Ограничить ресурсы apache, направить внутренний HTTP-трафик в squid

[ArcFi]

INPUT/OUTPUT — только для трафика, который предназначен этому хосту.
FORWARD — только транзитный трафик.

[BSB]

INPUT/OUTPUT — только для трафика, который предназначен этому хосту.
FORWARD — только транзитный трафик.

Во, доперло, спасибо!

Код: [Выделить]

-A INPUT -s 192.168.1.0/24 -dst 192.168.1.100 -p tcp -m tcp --dport 80 -j ACCEPT
-A OUTPUT -s 192.168.1.0/24 -dst 192.168.1.100 -p tcp -m tcp --dport 80 -j ACCEPT- так, выходит?

[ArcFi]

Код: [Выделить]

-A INPUT -i eth0 -p tcp -m conntrack --ctstate NEW -m tcp --dport 80 -j ACCEPT

[AnrDaemon]

Забудьте вы уже про OUTPUT...

[BSB]

ArcFi, спасибо!
AnrDaemon, почему забыть? Потому что он в начале :OUTPUT ACCEPT?

[ArcFi]

OUTPUT обычно считается доверенным.

[AnrDaemon]

AnrDaemon, почему забыть? Потому что он в начале :OUTPUT ACCEPT?

Хотя бы поэтому.
Настоящая причина в том, что для правильной фильтрации исходящего трафика надо как минимум ОЧЕНЬ хорошо представлять себе, что машина делает, какие задачи выполняет, и как вобще работает IP стек. (Вы вообще знаете, что это такое, IP стек? И как он правильно называется?)

[BSB]

Хотя бы поэтому.
Настоящая причина в том, что для правильной фильтрации исходящего трафика надо как минимум ОЧЕНЬ хорошо представлять себе, что машина делает, какие задачи выполняет, и как вобще работает IP стек. (Вы вообще знаете, что это такое, IP стек? И как он правильно называется?)

Вот! В этом-то и проблема!

[AnrDaemon]

При умеренном использовании это не проблема.
Как сказал выше уважаемый ArcFi, трафик, генерируемый самим сервером, по умолчанию считается доверенным.