Proxy vs. Linux

[Marek Poláček]

Martin wrote:

>Dobrý den,
>
>máme Linux RH 7.1, na něm na běží Proxy server (squid), přístup na internet
>je povolen pouze pro některé IP adresy, nastavení restrikcí vypadá
>následovně:
>$IPTABLES -I FORWARD -p TCP --dport 80:83 -s $OFFNET -j DROP
>$IPTABLES -I INPUT -p TCP --dport 111:65535 -s $OFFNET -j DROP
>$IPTABLES -I FORWARD -p TCP --dport 80:83 -s 000.000.000.000 -j ACCEPT
>#Client IP address
>$IPTABLES -I FORWARD -p TCP --dport 111:65535 -s 000.000.000.000 -j ACCEPT
>#Client IP address
>
>- s tímto nastavením uživatelé, kteří nemají přístup na internet (jejich IP
>není ve výše uvedeném seznamu)
>mají problémy při komunikaci Outlooku se serverem,  když kliknou na
>příjmout/odeslat poštu, komunikace
>je velice pomalá (kolem 30 sekund)
>
>Povolili jsme porty 1000:5000:
>$IPTABLES -I FORWARD -p TCP --dport 80:83 -s $OFFNET -j DROP
>$IPTABLES -I INPUT -p TCP --dport 111:65535 -s $OFFNET -j DROP
>$IPTABLES -I INPUT -p TCP --dport 1000:5000 -s $OFFNET -j ACCEPT
>$IPTABLES -I FORWARD -p TCP --dport 80:83 -s 000.000.000.000 -j ACCEPT
>#Client IP address
>$IPTABLES -I FORWARD -p TCP --dport 111:65535 -s 000.000.000.000 -j ACCEPT
>#Client IP address
>
>Tímto jsme vyřešili problém s Outlookem, ale umožnili jsme komukoliv, kdo si
>nastaví v nastavení-ovládací
>panely-možnosti sítě internet-záložka připojení-nastavení místní sítě LAN,
>přístup na internet, i když jeho
>IP adresa není povolena pro přístup na internet.
>
>Prosím poraďte mi, jak se dá tohle vyřešit.
>Děkuji a s pozdravem,
>Martin
>
>
>
>
Ahoj ,

Tento vypis je z akej masiny, z tej so Squidom?
nejak my to nie je jasne, ten outlook komunikuje s cim a kde?
Squid pocuva na akom porte?
Ja som si doteraz myslel, ze ked das:

$IPTABLES -I INPUT -p TCP --dport 111:65535 -s $OFFNET -j DROP
$IPTABLES -I INPUT -p TCP --dport 1000:5000 -s $OFFNET -j ACCEPT

tak sa vykona iba prvy riadok a pakety dropne.


Pekny den.