Debian/Ubuntu - IPtables на прокси

Debian/Ubuntu - IPtables на прокси

aldar

Новый участник

Сообщения: 11
Благодарности: 0

Здравствуйте!
squid на убунту.

У клиентов ip-address proxy прописывается только в браузере. Шлюзом же указывается внутренний файервол.
Некоторые клиенты сидят в одной сети с прокси сервером. Требуется закрыть прямой доступ к прокси серверу с его обоих интерфейсов посредствам iptables самого прокси. Оставив только http port. То есть если у клиента шлюзом указать прокси сервер, его не пускало в интернет. Но если этот же клиент лезит через файервол - его пропускало.

iptables -A FORWARD -i ${INT} -o $EXT -s ${INT_BCAST} -j ACCEPT
iptables -A FORWARD -i ${EXT} -m state --state ESTABLISHED,RELATED -j ACCEPT

Если $INT_BCAST задать только ip адрес файервола, клиентам закрыт доступ в инет.
Если $INT_BCAST задать клиентов, то клиенты сидящие с файерволом в одной сети, могут заходить в интернет обходя файервол, поставив его основным шлюзом.

Отправлено: 07:51, 04-12-2013

AMDBulldozer

Ветеран

Сообщения: 2029
Благодарности: 704

Профиль | Отправить PM | Цитировать

aldar, жаль, что Вы не указали топологию вашей сети. Вообще говоря, есть несколько способов решения Вашей задачи.
Приведу навсидку два первых попавшихся:
1. Можно проверять на proxy TTL поступающих пакетов (-m ttl -ttl-eq). Пакеты, которые направлены непосредственно на proxy будут иметь большее значение этого поля.
2. Если считать, что ваш proxy должен получать пакеты только с межсетевого фильтра, можно вообще отказаться от использования iptables и закрыть на нем все MAC-адреса, кроме адреса брандмауэра, при помощи ebtables

-------
Господа! Убедительная просьба не обращаться за консультациями в ЛС. Поверьте, создать ветку в соответствующем разделе форума гораздо эффективнее.

Отправлено: 20:06, 04-12-2013 | #2