форумы  помощь  поиск  регистрация  майллист  ВХОД  слежка

Вариант для распечатки		Архивированная нить - только для чтения!  Пред. тема | След. тема
Форумы OpenNET: Виртуальная конференция (Public)
Изначальное сообщение		[Проследить за развитием треда]

"доступ до squid"
Сообщение от dima on 17-Июн-03, 15:14  (MSK)
поставил для squid'a sarg, и увидел что через мой прокси ходит не только моя внутряняя сеть, но и левые адреса, как их закрыть? подскажите какой acl нужно прописать.
	Рекомендовать в FAQ | Cообщить модератору | Наверх

Индекс форумов | Темы | Пред. тема | След. тема

Сообщения по теме

1. "доступ до squid"
Сообщение от Michael on 17-Июн-03, 15:32  (MSK)
>поставил для squid'a sarg, и увидел что через мой прокси ходит не >только моя внутряняя сеть, но и левые адреса, как их закрыть? >подскажите какой acl нужно прописать. пишешь строчки в конфиге типа таких http_port 192.168.0.1:3128 http_port 127.0.0.1:3128
	Рекомендовать в FAQ | Cообщить модератору | Наверх

	2. "доступ до squid"
	Сообщение от Nikolaev D. on 17-Июн-03, 15:40  (MSK)
	>>поставил для squid'a sarg, и увидел что через мой прокси ходит не >>только моя внутряняя сеть, но и левые адреса, как их закрыть? >>подскажите какой acl нужно прописать. > >пишешь строчки в конфиге типа таких >http_port 192.168.0.1:3128 >http_port 127.0.0.1:3128 Ходит будут, только будут получать отлуп от сквида - доступ запрещен, будут записи в логах.Надо на firewall закрывать.
		Рекомендовать в FAQ | Cообщить модератору | Наверх

	3. "доступ до squid"
	Сообщение от us.master on 17-Июн-03, 16:54  (MSK)
	>>>поставил для squid'a sarg, и увидел что через мой прокси ходит не >>>только моя внутряняя сеть, но и левые адреса, как их закрыть? >>>подскажите какой acl нужно прописать. >> >>пишешь строчки в конфиге типа таких >>http_port 192.168.0.1:3128 >>http_port 127.0.0.1:3128 > >Ходит будут, только будут получать отлуп от сквида - доступ запрещен, будут >записи в логах.Надо на firewall закрывать. Не надо ничего на firewall закрывать. Правильно написано же: http_port 192.168.0.1:3128 3128 вообще снаружи не будет.
		Рекомендовать в FAQ | Cообщить модератору | Наверх

	4. "доступ до squid"
	Сообщение от Nikolaev D. on 17-Июн-03, 16:59  (MSK)
	>>записи в логах.Надо на firewall закрывать. > >Не надо ничего на firewall закрывать. >Правильно написано же: > >http_port 192.168.0.1:3128 > >3128 вообще снаружи не будет. Это так, если именно 192 сеть юзается.
		Рекомендовать в FAQ | Cообщить модератору | Наверх

	8. "доступ до squid"
	Сообщение от us.master on 17-Июн-03, 17:17  (MSK)
	>>>записи в логах.Надо на firewall закрывать. >> >>Не надо ничего на firewall закрывать. >>Правильно написано же: >> >>http_port 192.168.0.1:3128 >> >>3128 вообще снаружи не будет. > > >Это так, если именно 192 сеть юзается. http_port 192.168.0.1:3128 http_port 1.2.3.4:3128 http_port 10.0.0.1:3128 http_port 55.0.0.5:3128 Пишешь сколько угодно строчек в squid.conf
		Рекомендовать в FAQ | Cообщить модератору | Наверх

	5. "доступ до squid"
	Сообщение от Michael on 17-Июн-03, 17:00  (MSK)
	>Не надо ничего на firewall закрывать. если маршрутизация включена, то закрывать надо! иначе запрос пришедший снаружи на адрес 192.168.0.1 будет получен и обслужен! >Правильно написано же: > >http_port 192.168.0.1:3128 > >3128 вообще снаружи не будет.
		Рекомендовать в FAQ | Cообщить модератору | Наверх

	6. "доступ до squid"
	Сообщение от Nikolaev D. on 17-Июн-03, 17:03  (MSK)
	>>Не надо ничего на firewall закрывать. >если маршрутизация включена, то закрывать надо! >иначе запрос пришедший снаружи на адрес 192.168.0.1 будет получен и обслужен! Да как он придет-то ???
		Рекомендовать в FAQ | Cообщить модератору | Наверх

	7. "доступ до squid"
	Сообщение от админ on 17-Июн-03, 17:11  (MSK)
	>>>Не надо ничего на firewall закрывать. >>если маршрутизация включена, то закрывать надо! >>иначе запрос пришедший снаружи на адрес 192.168.0.1 будет получен и обслужен! > >Да как он придет-то ??? acl all src 0.0.0.0/0.0.0.0 acl my_net src 192.168.1.0/255.255.255.0 http_access allow my_net http_access deny all
		Рекомендовать в FAQ | Cообщить модератору | Наверх

	9. "доступ до squid"
	Сообщение от Michael on 17-Июн-03, 17:18  (MSK)
	>>>>Не надо ничего на firewall закрывать. >>>если маршрутизация включена, то закрывать надо! >>>иначе запрос пришедший снаружи на адрес 192.168.0.1 будет получен и обслужен! >> >>Да как он придет-то ??? а почему ему не придти? что мешает кому-то, например у провайдера или на полпути к провайдеру, прицепить свой компьютер и посылать с него http-запросы на машину со сквидом по адресу 192.168.0.1? если маршрутизация включена, а защиты firewall-ом нет, то запрос дойдет до интерфейса сквида и будет им обслужен. и вообще, включать маршрутизацию без защиты череповато для всей внутренней сети... > >acl all src 0.0.0.0/0.0.0.0 > >acl my_net src 192.168.1.0/255.255.255.0 > >http_access allow my_net > >http_access deny all если злоумышленник в вышеприведенном случае возьмет себе адрес из сети 192.168.1.0 то это не поможет. хотя указать подобное надо для более полной защиты в других случаях.
		Рекомендовать в FAQ | Cообщить модератору | Наверх

	10. "доступ до squid"
	Сообщение от Nikolaev D. on 17-Июн-03, 17:19  (MSK)
	>>Да как он придет-то ??? > >acl all src 0.0.0.0/0.0.0.0 > >acl my_net src 192.168.1.0/255.255.255.0 Если именно 192,168-я сеть и слушать только 192 интерфейс, то все будет нормально. В противном случае все равно будут на 3128 порт и получать отлуп, о чем будут записи в логе. > >http_access allow my_net > >http_access deny all >
		Рекомендовать в FAQ | Cообщить модератору | Наверх

	11. "доступ до squid"
	Сообщение от dima on 18-Июн-03, 10:43  (MSK)
	>пишешь строчки в конфиге типа таких >http_port 192.168.0.1:3128 >http_port 127.0.0.1:3128 Я так понял сквид по этим адресам будет слушать? ТОка проблема в том что у меня и внутренний и внешний адрес одинаковые :-( т.е. он опять же будет слушать всех подряд :-\ Я так думаю поэтому я через асл тоже настроить не мог... Надо ставить вторую сетевую, или как то второй адрес прикрутить
		Рекомендовать в FAQ | Cообщить модератору | Наверх

	12. "доступ до squid"
	Сообщение от Michael on 18-Июн-03, 19:49  (MSK)
	>>пишешь строчки в конфиге типа таких >>http_port 192.168.0.1:3128 >>http_port 127.0.0.1:3128 >Я так понял сквид по этим адресам будет слушать? ну да... >ТОка проблема в том что у меня и внутренний и внешний адрес >одинаковые :-( это как это? он у тебя в локалке и имеет только внутренний адрес? или только внешний? в любом случае iptables/ipchains позволят тебе разделить мухи и котлеты :) >т.е. он опять же будет слушать всех подряд :-\ если он у тебя внутри локалки, то закрывать надо на том firewall-е, который закрывает твою сеть от внешнего мира >Я так думаю поэтому я через асл тоже настроить не мог... аксели тут нужны, но их недостаточно для хорошей защиты... >Надо ставить вторую сетевую, или как то второй адрес прикрутить если адрес внешний то было бы неплохо... опять же iptables/ipchains будет проще настраивать...
		Рекомендовать в FAQ | Cообщить модератору | Наверх

	13. "доступ до squid"
	Сообщение от dimas on 19-Июн-03, 14:58  (MSK)
	>>ТОка проблема в том что у меня и внутренний и внешний адрес >>одинаковые :-( >это как это? А вот так 8-) >>Я так думаю поэтому я через асл тоже настроить не мог... >аксели тут нужны, но их недостаточно для хорошей защиты... Почему? Чем http_port лучше ACL? >>Надо ставить вторую сетевую, или как то второй адрес прикрутить >если адрес внешний то было бы неплохо... опять же iptables/ipchains будет проще >настраивать... вот я так и сделал, добавил сетевую, и перевел на нее всю внутреннюю сеть а на старой оставил внешнюю.
		Рекомендовать в FAQ | Cообщить модератору | Наверх

	14. "доступ до squid"
	Сообщение от Michael on 19-Июн-03, 15:03  (MSK)
	>>аксели тут нужны, но их недостаточно для хорошей защиты... >Почему? Чем http_port лучше ACL? потому что сквид будет слушать только те интерфейсы, которые ты укажешь в http_port. потому что нет 100% гарантии что с внешнего интерфейса не придет нечто, что заставит сквид перестать работать или работать на кого-то еще, а не на тебя... банальный DOS можно будет устроить, если не отключить в сквиде внешний интерфейс...
		Рекомендовать в FAQ | Cообщить модератору | Наверх

Удалить

Индекс форумов | Темы | Пред. тема | След. тема

Пожалуйста, прежде чем написать сообщение, ознакомьтесь с данными рекомендациями.