Proxy vs. Linux
Milan Kerslager
milan.kerslager na pslib.cz
Čtvrtek Říjen 31 09:06:56 CET 2002
On Fri, 25 Oct 2002, Martin wrote:
> máme Linux RH 7.1, na něm na běží Proxy server (squid), přístup na internet
> je povolen pouze pro některé IP adresy, nastavení restrikcí vypadá
> následovně:
> $IPTABLES -I FORWARD -p TCP --dport 80:83 -s $OFFNET -j DROP
> $IPTABLES -I INPUT -p TCP --dport 111:65535 -s $OFFNET -j DROP
> $IPTABLES -I FORWARD -p TCP --dport 80:83 -s 000.000.000.000 -j ACCEPT
> #Client IP address
> $IPTABLES -I FORWARD -p TCP --dport 111:65535 -s 000.000.000.000 -j ACCEPT
> #Client IP address
>
> - s tímto nastavením uživatelé, kteří nemají přístup na internet (jejich IP
> není ve výše uvedeném seznamu)
> mají problémy při komunikaci Outlooku se serverem, když kliknou na
> příjmout/odeslat poštu, komunikace
> je velice pomalá (kolem 30 sekund)
>
> Povolili jsme porty 1000:5000:
> $IPTABLES -I FORWARD -p TCP --dport 80:83 -s $OFFNET -j DROP
> $IPTABLES -I INPUT -p TCP --dport 111:65535 -s $OFFNET -j DROP
> $IPTABLES -I INPUT -p TCP --dport 1000:5000 -s $OFFNET -j ACCEPT
> $IPTABLES -I FORWARD -p TCP --dport 80:83 -s 000.000.000.000 -j ACCEPT
> #Client IP address
> $IPTABLES -I FORWARD -p TCP --dport 111:65535 -s 000.000.000.000 -j ACCEPT
> #Client IP address
>
> Tímto jsme vyřešili problém s Outlookem, ale umožnili jsme komukoliv, kdo si
> nastaví v nastavení-ovládací
> panely-možnosti sítě internet-záložka připojení-nastavení místní sítě LAN,
> přístup na internet, i když jeho
> IP adresa není povolena pro přístup na internet.
Jednak to pisete jako Tatar od konce k zacatku, takze je prinejmensim
obtizne se v tom vyznat (anzto se nevi, v jake posloupnosti delate ty
inserty a jaky je vysledny stav).
Az si to napisete poporade, pak si najdete prvni pravidlo ACCEPT pro Vase
Outlooky (tj. zrejme nejaka vnejsi IP adresa a port 25+110).
Uvedomte si, ze prvni ACCEPT prijme datagram a ukonci prochazeni iptables.
Pak si zkuste uvedomit, co chcete povolit a zakazte pristup na proxy (port
3128) a povolte pristup na port 25 (SMTP) a 110 (POP3).
Aby Vam nekdo byl schopen poradit, musel byste alspon naznacit, jak to
mate zapojene, kde je SMTP server a kde POP3 server.
Take muzete zkusit tcpdump (pripadne vlozit logovaci pravidla do iptables)
a sledovat, kde co a jak prochazi.
--
Milan Keršláger
E-mail: milan.kerslager na pslib.cz
WWW: http://www.pslib.cz/~kerslage/
Další informace o konferenci Redhat-cz