Банк-клиент + SQUID + IPTABLES

[fisher74]

Кстати, опция -d позволяет перечисление IP-адресов/сетей через запятую.

Ошибку выдаёт, типа сеть такая не найдена. Может там должно быть по аналогии с этим?

Гхм... И действительно не работает.
Полистал man. Там чётко описано только про моноадрес (то есть без перечисления).
А вот в Wiki этот момент отдельно описан, причём с примерами. Видимо в какой-то версии это работало, а потом исключили.
Естественно, man-ы врать не будут. Плохо... не плохая была опция 

[AnrDaemon]

# Пропускаем обратную петлю
iptables -A INPUT -d 127.0.0.1 -j ACCEPT

Вообще-то локальная петля - это не один только 127.0.0.1... Должно быть
iptables -A INPUT -i lo -j ACCEPT

Причём ПОСЛЕ
iptables -A INPUT -m conntrack --ctstate ESTABLISHED,RELATED -j ACCEPT
(это правило вообще должно быть первым, сразу после учёта трафика)

[Дэлфи]

а у меня ещё такой вопрос...
Почему вот так не работает?

Код: [Выделить]

iptables -P OUTPUT DROP
. . .
iptables - A OUTPUT -m owner --uid-owner proxy -j ACCEPT

Хотя SQUID работает под пользователем proxy...

[AnrDaemon]

UID числом напиши.

[Дэлфи]

UID числом напиши.

Пробовал. Да и к тому же iptables и эту запись понимает, ибо "iptables -nL" выдает именно числовое значение uid. Но при этом трафик прокси он не пропускает.

[podkovyrsty]

UID числом напиши.

Пробовал. Да и к тому же iptables и эту запись понимает, ибо "iptables -nL" выдает именно числовое значение uid. Но при этом трафик прокси он не пропускает.

В цепочке output еще правила есть перед этим?
Что в построуте?

[Дэлфи]

В цепочке output еще правила есть перед этим?
Что в построуте?

ну вот всё из первого поста:

Код: [Выделить]

iptables -P INPUT DROP
iptables -P OUTPUT DROP
iptables -P FORWARD DROP

. . .

# Пропускаем пакеты уже установленных соединений
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A OUTPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT

# Пропускаем сквид
iptables -A OUTPUT -m owner --uid-owner squid -j ACCEPT

# Поднимаем nat
iptables -t nat -A POSTROUTING -o eth0 -j SNAT --to-source $_WAN_IP

. . .


[AnrDaemon]

В цепочке output еще правила есть перед этим?
Что в построуте?

ну вот всё из первого поста:

Десятый за сегодня раз - мы вам не онлайн-интерпретаторы шелл-скриптов.
iptables-save показывайте.

[Дэлфи]

iptables-save показывайте.

Код: [Выделить]

root@server:~# iptables-save
# Generated by iptables-save v1.4.4 on Wed Apr 13 09:21:37 2011
*nat
:PREROUTING ACCEPT [129862:15120394]
:POSTROUTING ACCEPT [21:1331]
:OUTPUT ACCEPT [548:36707]
-A POSTROUTING -o eth0 -j SNAT --to-source $_WAN_IP
COMMIT
# Completed on Wed Apr 13 09:21:37 2011
# Generated by iptables-save v1.4.4 on Wed Apr 13 09:21:37 2011
*filter
:INPUT DROP [12:1409]
:FORWARD DROP [0:0]
:OUTPUT DROP [0:0]
-A INPUT -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
-A INPUT -i lo -j ACCEPT
-A INPUT -s 192.168.1.0/24 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 22 -j ACCEPT
-A FORWARD -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
-A FORWARD -s 192.168.1.0/24 -p tcp -m multiport --dports 110,25,443,995 -j ACCEPT
-A OUTPUT -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
-A OUTPUT -m owner --uid-owner proxy -j ACCEPT
COMMIT
# Completed on Wed Apr 13 09:21:37 2011
root@server:~#
Пользователь решил продолжить мысль 12 Апреля 2011, 20:33:29:Извиняюсь, народ, затупил конкретно... DNS же обходит любые фаерволы, ога...  

[AnrDaemon]

Почему и говорим, что -P OUTPUT DROP это почти всегда ошибка...

[Дэлфи]

Ну не знаю, я как и многие придерживаюсь правила "закрыто всё, кроме того, что открыто". Может это и ошибка, может - наоборот. Много споров по этому поводу. Но тут просто я сам накосячил))
Пользователь решил продолжить мысль 13 Апреля 2011, 04:10:52:Хотя всё же это правило скорее всего должно быть нацелено на INPUT и FORWARD... Так что, пожалуй, насчёт OUTPUT я согласен)

[NanoGlist]

ПРобросьте это все безобразие через xinetd!

[AnrDaemon]

ПРобросьте это все безобразие через xinetd!

Зачем так извращаться?

[NanoGlist]

Затем, что бы сЫкономить время  и нервы

[AnrDaemon]

Затем, что бы сЫкономить время  и нервы

Сам то понял, что ляпнул?