проблемы с Squid + SAMS

[fisher74]

http://wiki.squid-cache.org/ConfigExamples/Intercept/LinuxDnat

Варианты конфигов рядом
http://wiki.squid-cache.org/CategoryConfigExample

[evgen_73]

Все работает! прыгал до потолка, спасибо Fiher74 за помощь!

Один вопрос остался: необходимо закрыть доступ к sams "извне" (с Eth0). Т.е. я так понимаю необходимо закрыть доступ к вебсерверу с 80 порта извне.

Заранее спасибо!

[fisher74]

пушка по воробьям

Код: [Выделить]

sudo iptables -I INPUT -p tcp --dport 80 ! -s ip_admina -j DROP

[insiki]

Сделай правила запрета входящих на сервер
iptables -P INPUT DROP

После разреши установку соединений только из локального интерфейса  (eth1 вероятно в твоем случае) на твой сервер (если извне вообще не хочешь, чтобы стучались).
После конечно же не забудь расписать цепочки FORWARD.

В самом верху посоветовал бы сброс и очистку всех правил таблиц
iptables -F
iptables -t nat -F
iptables -t mangle -F
iptables -X
iptables -t nat -X
iptables -t mangle -X

[fisher74]

В самом верху посоветовал бы сброс и очистку всех правил таблиц

В самом верху чего?

[insiki]

В самом верху посоветовал бы сброс и очистку всех правил таблиц

В самом верху чего?

Над (перед) остальными правилами
(правила перебираются сверху вниз)

[evgen_73]

Сделай правила запрета входящих на сервер
iptables -P INPUT DROP

Я не могу закрыть все, я пробросил необходимые порты входящие (RDP, FTP, прочие). Мне необходимо закрыть ТОЛЬКО вебсессии на Eht0 (подключен к Интернету) с внешних источников. Т.о. мне необходимо закрыть 80 порт.

Как то так! Спасибо!

[fisher74]

Над (перед) остальными правилами

Вы уверены, что Вы про правила говорите?

Дабы не развивать холивара: Вы сейчас говорите про shell-скрипт, который загружает правила в netfilter. И да будет Вам известно, что многие не используют отдельный shell-скрипт для этого. И пользуется им ТС или нет - неизвестно.
Ваше предложение, конечно, правильное, но в случае применения именного этого метода.
Пользователь решил продолжить мысль 17 Января 2014, 16:48:08:

Я не могу закрыть все, я пробросил необходимые порты входящие (RDP, FTP, прочие).

Не путайте себя и читающих новичков, хотя, судя по всему и сами являетесь таковыми.
Проброс (FORWARD) и входящие (INPUT) - разные цепочки, и запрет входящего траффика, никак не влияет на транзитный.

[evgen_73]

и как же мне быть?

да еще проверьте правильно ли я разворачиваю 9090 порт (с учетом того, что это порт для веб интерфейса)
формата http://192.168.1.150:9090 , где ххх.ххх.ххх.ххх - IP адрес внешнего интерфейса?

Код: [Выделить]

sudo iptables -t nat -A PREROUTING -d xxx.xxx.xxx.xxx -p tcp --dport 9090 -j DNAT --to-destination 192.168.10.150
sudo iptables -A FORWARD -d 192.168.10.150 -p tcp --dport 9090 -j ACCEPT
потом записываю в /etc/iptables.rules

Код: [Выделить]

sudo iptables-save > /etc/iptables.rules

[insiki]

Вы уверены, что Вы про правила говорите?

Пардон, немного косо въехал в оркестр

[fisher74]

и как же мне быть?

Про пушку я Вам ужк написал.
А так вопрос брандмауэра одним привилом не решается

да еще проверьте правильно ли я разворачиваю 9090 порт (с учетом того, что это порт для веб интерфейса)

Правильно

потом записываю в /etc/iptables.rules

[evgen_73]

А так вопрос брандмауэра одним привилом не решается

Я так понимаю это комплексно решать нужно...
может подкскажете
Пользователь решил продолжить мысль 17 Января 2014, 18:07:57:вот как развернуто все, FTP и 9090 не работает
xxx.xxx.xxx.xxx - внешка
192.168.1.ххх - локалка

как лучше поправить все?

Код: [Выделить]

*nat
:PREROUTING ACCEPT [358:25646]
:INPUT ACCEPT [291:20542]
:OUTPUT ACCEPT [19:1175]
:POSTROUTING ACCEPT [0:0]
-A PREROUTING -i eth1 -p tcp -m tcp --dport 80 -j DNAT --to-destination 46.8.127.87:3128
-A PREROUTING -i eth1 -p tcp -m tcp --dport 80 -j REDIRECT --to-ports 3128
-A PREROUTING -d xxx.xxx.xxx.xxx/32 -p tcp -m tcp --dport 3389 -j DNAT --to-destination 192.168.10.200
-A PREROUTING -d xxx.xxx.xxx.xxx/32 -p tcp -m tcp --dport 21 -j DNAT --to-destination 192.168.10.151
-A PREROUTING -d xxx.xxx.xxx.xxx/32 -p tcp -m tcp --dport 20 -j DNAT --to-destination 192.168.10.151
-A PREROUTING -d xxx.xxx.xxx.xxx/32 -p tcp -m tcp --dport 2121 -j DNAT --to-destination 192.168.10.151
-A PREROUTING -d xxx.xxx.xxx.xxx/32 -p tcp -m tcp --dport 5222 -j DNAT --to-destination 192.168.10.150
-A PREROUTING -d xxx.xxx.xxx.xxx/32 -p tcp -m tcp --dport 9090 -j DNAT --to-destination 192.168.10.150
-A PREROUTING -d xxx.xxx.xxx.xxx/32 -p tcp -m tcp --dport 37777 -j DNAT --to-destination 192.168.10.100
-A POSTROUTING -o eth0 -j MASQUERADE
-A POSTROUTING -o eth0 -j MASQUERADE
-A POSTROUTING -o eth0 -j MASQUERADE
-A POSTROUTING -o eth0 -j MASQUERADE
-A POSTROUTING -o eth0 -j MASQUERADE
-A POSTROUTING -o eth0 -j MASQUERADE
-A POSTROUTING -o eth0 -j MASQUERADE
-A POSTROUTING -o eth0 -j MASQUERADE
-A POSTROUTING -o eth0 -j MASQUERADE
COMMIT
# Completed on Fri Jan 17 15:09:17 2014
# Generated by iptables-save v1.4.12 on Fri Jan 17 15:09:17 2014
*filter
:INPUT ACCEPT [170:17378]
:FORWARD ACCEPT [36:10752]
:OUTPUT ACCEPT [167:29907]
-A FORWARD -d 192.168.10.254/32 -i eth0 -p tcp -m tcp --dport 8080 -j ACCEPT
COMMIT

[fisher74]

Я так понимаю это комплексно решать нужно...

Правильно понимаете

может подкскажете

Вопрос сетевой защиты выходит за рамки данной темы. Так же как и форвард портов

Но сразу могу сказать, что у Вас её нет. Совсем нет.

[evgen_73]

Возник еще вопрос по настройке встроенного редиректора самс. Я так понимаю нужно squidу показать, что ему нужно использовать редиректор самс? Какие параметры нужно добавить в squid.conf?