Помогите с доступом

[slonik81]

Помогите плиз новечку!
Проблема в следующем.
Стоит ubuntu 8.10 server, squid + sams. Все ходят в нет через эту проксю с разрешенных ip, но появился чел котрый прописав не разрешенный ip и dns провайдера в сетевых настройках выходит в инет в обход проки.
Как закрыть ему доступ?

[sht0rm]

Нат небось поднят?

[slonik81]

да есть такое, если iptables имеется в виду

[adept_]

Прокси прозрачный?

[slonik81]

нет

[sht0rm]

да есть такое, если iptables имеется в виду

Выкидывай нат, заруливай все на проксю.

[Tokh]

Выкидывай нат, заруливай все на проксю.

Нат вероятно можно оставить, но разрешить исключительно для прокси сервера?

[AnrDaemon]

Зачем прокси серверу нат? Или прокся - отдельная машина?

[slonik81]

Зачем прокси серверу нат? Или прокся - отдельная машина?

а как еще пробросить порты, если не натом

[sht0rm]

Зачем прокси серверу нат? Или прокся - отдельная машина?

а как еще пробросить порты, если не натом

Iptables, все запретить, разрешить только необходимые. А какой смысл в проксе если нат включен?

[Tokh]

А какой смысл в проксе если нат включен?

Кэш, спаморез. Экономия трафика, экономия времени на чтении из кеша или на вообще вырезании хлама.

[slonik81]

Зачем прокси серверу нат? Или прокся - отдельная машина?

а как еще пробросить порты, если не натом

Iptables, все запретить, разрешить только необходимые. А какой смысл в проксе если нат включен?

Простите за не понимание но разве нат и iptables это не одно и тоже??? Если нет то как посмотреть настройки ната???

[Tokh]

Зачем прокси серверу нат? Или прокся - отдельная машина?

а как еще пробросить порты, если не натом

Да поправьте меня, если не прав, но проброс портов идёт процедурами замены адреса назначения (DNAT), а выход в инет наружу процедурами замены адреса источника (SNAT). Разные процедуры, независимая обработка соединений. Поэтому SNAT вроде можно неиспользовать. Использую при этом DNAT. Если в SNAT совсем нет потребности. Но я это прям "счас" в торопях придумал. Может упустил чего.

iptables это firewall, который при помощи разных модулей может заниматься модификацией трафика. Например, он может заменять адреса источника-назначения в проходящем трафике. Source NAT и Destination NAT действия обеспечиваемые подключаемыми модулями iptables. Сама iptables может делать ещё много чего.
Пользователь решил продолжить мысль [time]Wed Aug  5 09:27:43 2009[/time]:

как посмотреть настройки ната???

Где-то там, где задаются правила iptables, надо смотреть эти правила их последовательность. Надо смотреть правила iptables.

Кстати, iptables умеют проверять MAC адрес. Как защита от сабжа это тоже - на дурачка.

[sht0rm]

А какой смысл в проксе если нат включен?

Кэш, спаморез. Экономия трафика, экономия времени на чтении из кеша или на вообще вырезании хлама.

Ну так для этого надо всем прокси прописывать. А тут нат, всем кому хочется и так в инет лезут.

P.S. И не совсем понимаю как сквидом спам резать.

[slonik81]

а вот iptables как хранится в какото файле или как??? и чтобы его править можно только командами???