Ограничить ресурсы apache, направить внутренний HTTP-трафик в squid

[BSB]

Есть шлюз с eth0 в мир и eth1 к доверенным ПК.
На нем крутится apache, на котором блог и настройки умного дома.

Две вещи хочется:
1. Сайт с настройками УД был доступен только с адресов интерфейса eth1.
2. Весь HTTP-трафик, не предназначенный для шлюза, перебрасывался в squid.

Как такое можно устроить?

По первой хотелке думал добавить еще один порт в ports.conf и объявить для сайта настроек этот порт в <VirtualHost>, но есть две проблемы:
- apache машет этим портом, как флагом, во все стороны;
- есть тупая андроидная прога удаленного управления, которая ломится на 80-й порт, и никак не настраивается.

[ArcFi]

Хотелки можно реализовать средствами iptables.
Давайте смотреть текущую конфигурацию:

Код: [Выделить]

ip a ; ip r ; sudo iptables-save

[BSB]

(Нажмите, чтобы показать/скрыть)

1: lo: <LOOPBACK,UP,LOWER_UP> mtu 16436 qdisc noqueue state UNKNOWN
    link/loopback 00:00:00:00:00:00 brd 00:00:00:00:00:00
    inet 127.0.0.1/8 scope host lo
    inet6 ::1/128 scope host
       valid_lft forever preferred_lft forever
2: eth0: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc pfifo_fast state UP qlen 1000
    link/ether f8:1a:67:03:65:68 brd ff:ff:ff:ff:ff:ff
    inet 192.168.1.22/24 brd 192.168.1.255 scope global eth0
    inet6 fe80::fa1a:67ff:fe03:6568/64 scope link
       valid_lft forever preferred_lft forever
3: eth1: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc pfifo_fast state UP qlen 1000
    link/ether 00:1b:fc:be:98:65 brd ff:ff:ff:ff:ff:ff
    inet 192.168.0.1/24 brd 192.168.0.255 scope global eth1
    inet6 fe80::21b:fcff:febe:9865/64 scope link
       valid_lft forever preferred_lft forever
4: wlan0: <NO-CARRIER,BROADCAST,MULTICAST,UP> mtu 1500 qdisc pfifo_fast state DOWN qlen 1000
    link/ether 00:15:af:22:84:88 brd ff:ff:ff:ff:ff:ff
default via 192.168.1.1 dev eth0  metric 100
192.168.0.0/24 dev eth1  proto kernel  scope link  src 192.168.0.1
192.168.1.0/24 dev eth0  proto kernel  scope link  src 192.168.1.22
# Generated by iptables-save v1.4.12 on Fri Aug 16 22:30:25 2013
*nat
:PREROUTING ACCEPT [21973:5783155]
:INPUT ACCEPT [1:84]
:OUTPUT ACCEPT [7690:792004]
:POSTROUTING ACCEPT [1814:124198]
-A POSTROUTING -o eth0 -j MASQUERADE
COMMIT
# Completed on Fri Aug 16 22:30:25 2013
# Generated by iptables-save v1.4.12 on Fri Aug 16 22:30:25 2013
*mangle
:PREROUTING ACCEPT [1039800:1234999975]
:INPUT ACCEPT [513799:659770229]
:FORWARD ACCEPT [514988:573636944]
:OUTPUT ACCEPT [306426:41272130]
:POSTROUTING ACCEPT [821996:615090076]
COMMIT
# Completed on Fri Aug 16 22:30:25 2013
# Generated by iptables-save v1.4.12 on Fri Aug 16 22:30:25 2013
*filter
:INPUT DROP [1589:277310]
:FORWARD DROP [0:0]
:OUTPUT DROP [0:0]
:INBOUND - [0:0]
:LOG_FILTER - [0:0]
:LSI - [0:0]
:LSO - [0:0]
:OUTBOUND - [0:0]
-A INPUT -s 127.0.0.1/32 -p tcp -m tcp ! --tcp-flags FIN,SYN,RST,ACK SYN -j ACCEPT
-A INPUT -s 127.0.0.1/32 -p udp -j ACCEPT
-A INPUT -i lo -j ACCEPT
-A INPUT -p icmp -m limit --limit 10/sec -j ACCEPT
-A INPUT -d 255.255.255.255/32 -i eth0 -j DROP
-A INPUT -d 192.168.1.255/32 -j DROP
-A INPUT -s 224.0.0.0/8 -j DROP
-A INPUT -d 224.0.0.0/8 -j DROP
-A INPUT -s 255.255.255.255/32 -j DROP
-A INPUT -d 0.0.0.0/32 -j DROP
-A INPUT -m state --state INVALID -j DROP
-A INPUT -f -m limit --limit 10/min -j LSI
-A INPUT -i eth0 -j INBOUND
-A INPUT -d 192.168.0.2/32 -i eth1 -j INBOUND
-A INPUT -d 192.168.1.22/32 -i eth1 -j INBOUND
-A INPUT -d 192.168.0.255/32 -i eth1 -j INBOUND
-A INPUT -j LOG_FILTER
-A INPUT -j LOG --log-prefix "Unknown Input" --log-level 6
-A FORWARD -p icmp -m limit --limit 10/sec -j ACCEPT
-A FORWARD -p tcp -m tcp --tcp-flags SYN,RST SYN -j TCPMSS --clamp-mss-to-pmtu
-A FORWARD -i eth1 -j OUTBOUND
-A FORWARD -d 192.168.0.0/24 -p tcp -m state --state RELATED,ESTABLISHED -j ACCEPT
-A FORWARD -d 192.168.0.0/24 -p udp -m state --state RELATED,ESTABLISHED -j ACCEPT
-A FORWARD -j LOG_FILTER
-A FORWARD -j LOG --log-prefix "Unknown Forward" --log-level 6
-A OUTPUT -s 192.168.1.22/32 -d 127.0.0.1/32 -p tcp -m tcp --dport 53 -j ACCEPT
-A OUTPUT -s 192.168.1.22/32 -d 127.0.0.1/32 -p udp -m udp --dport 53 -j ACCEPT
-A OUTPUT -o lo -j ACCEPT
-A OUTPUT -s 224.0.0.0/8 -j DROP
-A OUTPUT -d 224.0.0.0/8 -j DROP
-A OUTPUT -s 255.255.255.255/32 -j DROP
-A OUTPUT -d 0.0.0.0/32 -j DROP
-A OUTPUT -m state --state INVALID -j DROP
-A OUTPUT -o eth0 -j OUTBOUND
-A OUTPUT -o eth1 -j OUTBOUND
-A OUTPUT -j LOG_FILTER
-A OUTPUT -j LOG --log-prefix "Unknown Output" --log-level 6
-A INBOUND -p tcp -m state --state RELATED,ESTABLISHED -j ACCEPT
-A INBOUND -p udp -m state --state RELATED,ESTABLISHED -j ACCEPT
-A INBOUND -j LSI
-A LSI -j LOG_FILTER
-A LSI -p tcp -m tcp --tcp-flags FIN,SYN,RST,ACK SYN -m limit --limit 1/sec -j LOG --log-prefix "Inbound " --log-level 6
-A LSI -p tcp -m tcp --tcp-flags FIN,SYN,RST,ACK SYN -j DROP
-A LSI -p tcp -m tcp --tcp-flags FIN,SYN,RST,ACK RST -m limit --limit 1/sec -j LOG --log-prefix "Inbound " --log-level 6
-A LSI -p tcp -m tcp --tcp-flags FIN,SYN,RST,ACK RST -j DROP
-A LSI -p icmp -m icmp --icmp-type 8 -m limit --limit 1/sec -j LOG --log-prefix "Inbound " --log-level 6
-A LSI -p icmp -m icmp --icmp-type 8 -j DROP
-A LSI -m limit --limit 5/sec -j LOG --log-prefix "Inbound " --log-level 6
-A LSI -j DROP
-A LSO -j LOG_FILTER
-A LSO -m limit --limit 5/sec -j LOG --log-prefix "Outbound " --log-level 6
-A LSO -j REJECT --reject-with icmp-port-unreachable
-A OUTBOUND -p icmp -j ACCEPT
-A OUTBOUND -p tcp -m state --state RELATED,ESTABLISHED -j ACCEPT
-A OUTBOUND -p udp -m state --state RELATED,ESTABLISHED -j ACCEPT
-A OUTBOUND -j ACCEPT
COMMIT

[AnrDaemon]

По первой хотелке думал добавить еще один порт в ports.conf и объявить для сайта настроек этот порт в <VirtualHost>, но есть две проблемы:
- apache машет этим портом, как флагом, во все стороны;
- есть тупая андроидная прога удаленного управления, которая ломится на 80-й порт, и никак не настраивается.

Бред несёте. Всё нормально настраивается, причём прямо в строке <VirtualHost>.

[BSB]

По первой хотелке думал добавить еще один порт в ports.conf и объявить для сайта настроек этот порт в <VirtualHost>, но есть две проблемы:
- apache машет этим портом, как флагом, во все стороны;
- есть тупая андроидная прога удаленного управления, которая ломится на 80-й порт, и никак не настраивается.

Бред несёте. Всё нормально настраивается, причём прямо в строке <VirtualHost>.

Я не понимаю вас

[ArcFi]

Несколько нетривиально...
Кто и какими средствами составлял эти правила и как организована их автозагрузка?

Что-то я не наблюдаю ни одного правила, которое бы разрешало входящие пакеты со статусом NEW при дефолтной политике DROP.
Это слегка напрягает.

[BSB]

Возможно всё это стоит снести. Я поставил Firestarter, вроде как удобней отслеживать деятельность.

[AnrDaemon]

По первой хотелке думал добавить еще один порт в ports.conf и объявить для сайта настроек этот порт в <VirtualHost>, но есть две проблемы:
- apache машет этим портом, как флагом, во все стороны;
- есть тупая андроидная прога удаленного управления, которая ломится на 80-й порт, и никак не настраивается.

Бред несёте. Всё нормально настраивается, причём прямо в строке <VirtualHost>.

Я не понимаю вас

Это я не понимаю вас. Такое ощущение, что вы начитались "популярной ненаучной литературы", а документацию открыть забыли.

[BSB]

Это я не понимаю вас. Такое ощущение, что вы начитались "популярной ненаучной литературы", а документацию открыть забыли.

Я еще раз объясню:
по моему мнению, apache никак не ограничивает доступ к крутящимся на нем сайтам.
я думал в ports.conf к

Код: [Выделить]

Listen 80добавить

Код: [Выделить]

Listen 81
а sites-available/site1 начать со строчки

Код: [Выделить]

<VirtualHost *:81>Но есть две проблемы, одна из них в том, что я не хочу, чтобы со стороны eth0 могли попасть на сайт настроек - мне он нужен для доступа со стороны eth1. Так понятней?

[ArcFi]

Возможно всё это стоит снести.

Честно говоря, на вашем месте я бы так и сделал, а потом аккуратно прописал бы нужные правила.
Тем более, что firestarter уже слегка протух.

[AnrDaemon]

..............это я и называю "документацию открыть забыли".
Если бы вы напряглись хоть капельку, и заглянули в описание директивы VirtualHost, то сразу бы поняли, что сервер работает так, как вы ему сказали работать.
Сказали "пускай отовсюду, всегда и везде" - вот он всех и пускает.

[BSB]

..............это я и называю "документацию открыть забыли".

Ого, к стыду, для меня это открытие. Спасибо!

Остается лишь вторая проблема - почистить правила
Пользователь решил продолжить мысль 16 Августа 2013, 21:23:22:

Честно говоря, на вашем месте я бы так и сделал, а потом аккуратно прописал бы нужные правила.
Тем более, что firestarter уже слегка протух.

тогда давайте так и поступим (возвращаясь к посту #2)

[ArcFi]

В первом приближении:

*nat
:PREROUTING ACCEPT [0:0]
:INPUT ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]
:POSTROUTING ACCEPT [0:0]
-A PREROUTING -s 192.168.0.0/24 ! -d 192.168.0.0/24 -i eth1 -p tcp -m tcp --dport 80 -j REDIRECT --to-port 3128
-A PREROUTING -s 192.168.2.0/24 ! -d 192.168.2.0/24 -i wlan0 -p tcp -m tcp --dport 80 -j REDIRECT --to-port 3128
-A POSTROUTING -s 192.168.0.0/24 ! -d 192.168.0.0/24 -o eth0 -j MASQUERADE
-A POSTROUTING -s 192.168.2.0/24 ! -d 192.168.2.0/24 -o eth0 -j MASQUERADE
COMMIT

*filter
:INPUT ACCEPT [0:0]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]
-A INPUT -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
-A INPUT -p icmp -j ACCEPT
-A INPUT -i lo -j ACCEPT
-A INPUT -s 192.168.0.0/24 -i eth1 -p tcp -m conntrack --ctstate NEW -m multiport --dports 22,53,80,6543,6544 -j ACCEPT
-A INPUT -s 192.168.0.0/24 -i eth1 -p udp -m conntrack --ctstate NEW -m multiport --dports 53,67,123 -j ACCEPT
-A INPUT -s 192.168.2.0/24 -i wlan0 -p tcp -m conntrack --ctstate NEW -m multiport --dports 22,53,80,6543,6544 -j ACCEPT
-A INPUT -s 192.168.2.0/24 -i wlan0 -p udp -m conntrack --ctstate NEW -m multiport --dports 53,67,123 -j ACCEPT
-A INPUT -j REJECT --reject-with icmp-host-prohibited
-A FORWARD -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
-A FORWARD -p icmp -j ACCEPT
-A FORWARD -s 192.168.0.0/24 -i eth1 -j ACCEPT
-A FORWARD -s 192.168.2.0/24 -i wlan0 -j ACCEPT
-A FORWARD -j REJECT --reject-with icmp-host-prohibited
COMMIT

+
https://forum.ubuntu.ru/index.php?topic=99586.0

[BSB]

(Нажмите, чтобы показать/скрыть)

1: lo: <LOOPBACK,UP,LOWER_UP> mtu 16436 qdisc noqueue state UNKNOWN
    link/loopback 00:00:00:00:00:00 brd 00:00:00:00:00:00
    inet 127.0.0.1/8 scope host lo
    inet6 ::1/128 scope host
       valid_lft forever preferred_lft forever
2: eth0: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc pfifo_fast state UP qlen 1000
    link/ether f8:1a:67:03:65:68 brd ff:ff:ff:ff:ff:ff
    inet 192.168.1.22/24 brd 192.168.1.255 scope global eth0
    inet6 fe80::fa1a:67ff:fe03:6568/64 scope link
       valid_lft forever preferred_lft forever
3: eth1: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc pfifo_fast state UP qlen 1000
    link/ether 00:1b:fc:be:98:65 brd ff:ff:ff:ff:ff:ff
    inet 192.168.0.1/24 brd 192.168.0.255 scope global eth1
    inet6 fe80::21b:fcff:febe:9865/64 scope link
       valid_lft forever preferred_lft forever
4: wlan0: <NO-CARRIER,BROADCAST,MULTICAST,UP> mtu 1500 qdisc pfifo_fast state DOWN qlen 1000
    link/ether 00:15:af:22:84:88 brd ff:ff:ff:ff:ff:ff
default via 192.168.1.1 dev eth0  metric 100
192.168.0.0/24 dev eth1  proto kernel  scope link  src 192.168.0.1
192.168.1.0/24 dev eth0  proto kernel  scope link  src 192.168.1.22
# Generated by iptables-save v1.4.12 on Fri Aug 16 23:28:05 2013
*nat
:PREROUTING ACCEPT [45:4442]
:INPUT ACCEPT [25:3217]
:OUTPUT ACCEPT [43:3085]
:POSTROUTING ACCEPT [63:4310]
COMMIT
# Completed on Fri Aug 16 23:28:05 2013
# Generated by iptables-save v1.4.12 on Fri Aug 16 23:28:05 2013
*mangle
:PREROUTING ACCEPT [714:192574]
:INPUT ACCEPT [374:85408]
:FORWARD ACCEPT [294:100769]
:OUTPUT ACCEPT [197:57265]
:POSTROUTING ACCEPT [494:158130]
COMMIT
# Completed on Fri Aug 16 23:28:05 2013
# Generated by iptables-save v1.4.12 on Fri Aug 16 23:28:05 2013
*filter
:INPUT ACCEPT [374:85408]
:FORWARD ACCEPT [294:100769]
:OUTPUT ACCEPT [197:57265]
COMMIT
# Completed on Fri Aug 16 23:28:05 2013

продолжаю
Пользователь решил продолжить мысль 16 Августа 2013, 22:08:40:

(Нажмите, чтобы показать/скрыть)

# Generated by iptables-save v1.4.12 on Sat Aug 17 00:07:45 2013
*nat
:PREROUTING ACCEPT [35:11149]
:INPUT ACCEPT [12:2321]
:OUTPUT ACCEPT [59:5883]
:POSTROUTING ACCEPT [59:5883]
-A PREROUTING -s 192.168.0.0/24 ! -d 192.168.0.0/24 -i eth1 -p tcp -m tcp --dport 80 -j REDIRECT --to-ports 3128
-A POSTROUTING -s 192.168.0.0/24 ! -d 192.168.0.0/24 -o eth0 -j MASQUERADE
COMMIT
# Completed on Sat Aug 17 00:07:45 2013
# Generated by iptables-save v1.4.12 on Sat Aug 17 00:07:45 2013
*mangle
:PREROUTING ACCEPT [21024:8084853]
:INPUT ACCEPT [14445:7005475]
:FORWARD ACCEPT [6034:974513]
:OUTPUT ACCEPT [10581:1944897]
:POSTROUTING ACCEPT [16689:2924358]
COMMIT
# Completed on Sat Aug 17 00:07:45 2013
# Generated by iptables-save v1.4.12 on Sat Aug 17 00:07:45 2013
*filter
:INPUT ACCEPT [0:0]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [1:360]
-A INPUT -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
-A INPUT -p icmp -j ACCEPT
-A INPUT -i lo -j ACCEPT
-A INPUT -s 192.168.0.0/24 -i eth1 -p tcp -m conntrack --ctstate NEW -m multiport --dports 22,80 -j ACCEPT
-A INPUT -j REJECT --reject-with icmp-host-prohibited
-A FORWARD -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
-A FORWARD -p icmp -j ACCEPT
-A FORWARD -s 192.168.0.0/24 ! -d 192.168.0.0/24 -i eth1 -o eth0 -j ACCEPT
-A FORWARD -j REJECT --reject-with icmp-host-prohibited
COMMIT
# Completed on Sat Aug 17 00:07:45 2013

Всё верно?

[AnrDaemon]

Похоже на то.