The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

форумы  помощь  поиск  регистрация  майллист  ВХОД  слежка  RSS
"доступ до squid"
Вариант для распечатки Архивированная нить - только для чтения! 
Пред. тема | След. тема 
Форумы OpenNET: Виртуальная конференция (Public)
Изначальное сообщение [Проследить за развитием треда]

"доступ до squid"
Сообщение от dima Искать по авторуВ закладки on 17-Июн-03, 15:14  (MSK)
поставил для squid'a sarg, и увидел что через мой прокси ходит не только моя внутряняя сеть, но и левые адреса, как их закрыть? подскажите какой acl нужно прописать.
  Рекомендовать в FAQ | Cообщить модератору | Наверх

 Оглавление

Индекс форумов | Темы | Пред. тема | След. тема
Сообщения по теме

1. "доступ до squid"
Сообщение от Michael emailИскать по авторуВ закладки on 17-Июн-03, 15:32  (MSK)
>поставил для squid'a sarg, и увидел что через мой прокси ходит не
>только моя внутряняя сеть, но и левые адреса, как их закрыть?
>подскажите какой acl нужно прописать.

пишешь строчки в конфиге типа таких
http_port 192.168.0.1:3128
http_port 127.0.0.1:3128

  Рекомендовать в FAQ | Cообщить модератору | Наверх

2. "доступ до squid"
Сообщение от Nikolaev D. emailИскать по авторуВ закладки on 17-Июн-03, 15:40  (MSK)
>>поставил для squid'a sarg, и увидел что через мой прокси ходит не
>>только моя внутряняя сеть, но и левые адреса, как их закрыть?
>>подскажите какой acl нужно прописать.
>
>пишешь строчки в конфиге типа таких
>http_port 192.168.0.1:3128
>http_port 127.0.0.1:3128

Ходит будут, только будут получать отлуп от сквида - доступ запрещен, будут записи в логах.Надо на firewall закрывать.

  Рекомендовать в FAQ | Cообщить модератору | Наверх

3. "доступ до squid"
Сообщение от us.master emailИскать по авторуВ закладки on 17-Июн-03, 16:54  (MSK)
>>>поставил для squid'a sarg, и увидел что через мой прокси ходит не
>>>только моя внутряняя сеть, но и левые адреса, как их закрыть?
>>>подскажите какой acl нужно прописать.
>>
>>пишешь строчки в конфиге типа таких
>>http_port 192.168.0.1:3128
>>http_port 127.0.0.1:3128
>
>Ходит будут, только будут получать отлуп от сквида - доступ запрещен, будут
>записи в логах.Надо на firewall закрывать.

Не надо ничего на firewall закрывать.
Правильно написано же:

http_port 192.168.0.1:3128

3128 вообще снаружи не будет.

  Рекомендовать в FAQ | Cообщить модератору | Наверх

4. "доступ до squid"
Сообщение от Nikolaev D. emailИскать по авторуВ закладки on 17-Июн-03, 16:59  (MSK)
>>записи в логах.Надо на firewall закрывать.
>
>Не надо ничего на firewall закрывать.
>Правильно написано же:
>
>http_port 192.168.0.1:3128
>
>3128 вообще снаружи не будет.


Это так, если именно 192 сеть юзается.

  Рекомендовать в FAQ | Cообщить модератору | Наверх

8. "доступ до squid"
Сообщение от us.master emailИскать по авторуВ закладки on 17-Июн-03, 17:17  (MSK)
>>>записи в логах.Надо на firewall закрывать.
>>
>>Не надо ничего на firewall закрывать.
>>Правильно написано же:
>>
>>http_port 192.168.0.1:3128
>>
>>3128 вообще снаружи не будет.
>
>
>Это так, если именно 192 сеть юзается.


http_port 192.168.0.1:3128
http_port 1.2.3.4:3128
http_port 10.0.0.1:3128
http_port 55.0.0.5:3128

Пишешь сколько угодно строчек в squid.conf

  Рекомендовать в FAQ | Cообщить модератору | Наверх

5. "доступ до squid"
Сообщение от Michael emailИскать по авторуВ закладки on 17-Июн-03, 17:00  (MSK)
>Не надо ничего на firewall закрывать.
если маршрутизация включена, то закрывать надо!
иначе запрос пришедший снаружи на адрес 192.168.0.1 будет получен и обслужен!

>Правильно написано же:
>
>http_port 192.168.0.1:3128
>
>3128 вообще снаружи не будет.


  Рекомендовать в FAQ | Cообщить модератору | Наверх

6. "доступ до squid"
Сообщение от Nikolaev D. emailИскать по авторуВ закладки on 17-Июн-03, 17:03  (MSK)
>>Не надо ничего на firewall закрывать.
>если маршрутизация включена, то закрывать надо!
>иначе запрос пришедший снаружи на адрес 192.168.0.1 будет получен и обслужен!

Да как он придет-то ???

  Рекомендовать в FAQ | Cообщить модератору | Наверх

7. "доступ до squid"
Сообщение от админ Искать по авторуВ закладки on 17-Июн-03, 17:11  (MSK)
>>>Не надо ничего на firewall закрывать.
>>если маршрутизация включена, то закрывать надо!
>>иначе запрос пришедший снаружи на адрес 192.168.0.1 будет получен и обслужен!
>
>Да как он придет-то ???

acl all src 0.0.0.0/0.0.0.0

acl my_net src 192.168.1.0/255.255.255.0

http_access allow my_net

http_access deny all

  Рекомендовать в FAQ | Cообщить модератору | Наверх

9. "доступ до squid"
Сообщение от Michael emailИскать по авторуВ закладки on 17-Июн-03, 17:18  (MSK)
>>>>Не надо ничего на firewall закрывать.
>>>если маршрутизация включена, то закрывать надо!
>>>иначе запрос пришедший снаружи на адрес 192.168.0.1 будет получен и обслужен!
>>
>>Да как он придет-то ???
а почему ему не придти?
что мешает кому-то, например у провайдера или на полпути к провайдеру, прицепить свой компьютер и посылать с него http-запросы на машину со сквидом по адресу 192.168.0.1?
если маршрутизация включена, а защиты firewall-ом нет, то запрос дойдет до интерфейса сквида и будет им обслужен.
и вообще, включать маршрутизацию без защиты череповато для всей внутренней сети...

>
>acl all src 0.0.0.0/0.0.0.0
>
>acl my_net src 192.168.1.0/255.255.255.0
>
>http_access allow my_net
>
>http_access deny all
если злоумышленник в вышеприведенном случае возьмет себе адрес из сети 192.168.1.0 то это не поможет.
хотя указать подобное надо для более полной защиты в других случаях.

  Рекомендовать в FAQ | Cообщить модератору | Наверх

10. "доступ до squid"
Сообщение от Nikolaev D. emailИскать по авторуВ закладки on 17-Июн-03, 17:19  (MSK)

>>Да как он придет-то ???
>
>acl all src 0.0.0.0/0.0.0.0
>
>acl my_net src 192.168.1.0/255.255.255.0
Если именно 192,168-я сеть и слушать только 192 интерфейс, то все будет нормально. В противном случае все равно будут на 3128 порт и получать отлуп, о чем будут записи в логе.
>
>http_access allow my_net
>
>http_access deny all
>


  Рекомендовать в FAQ | Cообщить модератору | Наверх

11. "доступ до squid"
Сообщение от dima Искать по авторуВ закладки on 18-Июн-03, 10:43  (MSK)
>пишешь строчки в конфиге типа таких
>http_port 192.168.0.1:3128
>http_port 127.0.0.1:3128
Я так понял сквид по этим адресам будет слушать?
ТОка проблема в том что у меня и внутренний и внешний адрес одинаковые :-(
т.е. он опять же будет слушать всех подряд :-\
Я так думаю поэтому я через асл тоже настроить не мог...
Надо ставить вторую сетевую, или как то второй адрес прикрутить

  Рекомендовать в FAQ | Cообщить модератору | Наверх

12. "доступ до squid"
Сообщение от Michael emailИскать по авторуВ закладки on 18-Июн-03, 19:49  (MSK)
>>пишешь строчки в конфиге типа таких
>>http_port 192.168.0.1:3128
>>http_port 127.0.0.1:3128
>Я так понял сквид по этим адресам будет слушать?
ну да...

>ТОка проблема в том что у меня и внутренний и внешний адрес
>одинаковые :-(
это как это?
он у тебя в локалке и имеет только внутренний адрес?
или только внешний?
в любом случае iptables/ipchains позволят тебе разделить мухи и котлеты :)

>т.е. он опять же будет слушать всех подряд :-\
если он у тебя внутри локалки, то закрывать надо на том firewall-е, который закрывает твою сеть от внешнего мира
>Я так думаю поэтому я через асл тоже настроить не мог...
аксели тут нужны, но их недостаточно для хорошей защиты...

>Надо ставить вторую сетевую, или как то второй адрес прикрутить
если адрес внешний то было бы неплохо... опять же iptables/ipchains будет проще настраивать...

  Рекомендовать в FAQ | Cообщить модератору | Наверх

13. "доступ до squid"
Сообщение от dimas Искать по авторуВ закладки on 19-Июн-03, 14:58  (MSK)
>>ТОка проблема в том что у меня и внутренний и внешний адрес
>>одинаковые :-(
>это как это?
А вот так 8-)

>>Я так думаю поэтому я через асл тоже настроить не мог...
>аксели тут нужны, но их недостаточно для хорошей защиты...
Почему? Чем http_port лучше ACL?

>>Надо ставить вторую сетевую, или как то второй адрес прикрутить
>если адрес внешний то было бы неплохо... опять же iptables/ipchains будет проще
>настраивать...
вот я так и сделал, добавил сетевую, и перевел на нее всю внутреннюю сеть а на старой оставил внешнюю.


  Рекомендовать в FAQ | Cообщить модератору | Наверх

14. "доступ до squid"
Сообщение от Michael emailИскать по авторуВ закладки on 19-Июн-03, 15:03  (MSK)
>>аксели тут нужны, но их недостаточно для хорошей защиты...
>Почему? Чем http_port лучше ACL?
потому что сквид будет слушать только те интерфейсы, которые ты укажешь в http_port.
потому что нет 100% гарантии что с внешнего интерфейса не придет нечто, что заставит сквид перестать работать или работать на кого-то еще, а не на тебя...
банальный DOS можно будет устроить, если не отключить в сквиде внешний интерфейс...
  Рекомендовать в FAQ | Cообщить модератору | Наверх


Удалить

Индекс форумов | Темы | Пред. тема | След. тема
Пожалуйста, прежде чем написать сообщение, ознакомьтесь с данными рекомендациями.




Партнёры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру