LINUX.ORG.RU
ФорумAdmin

О безопасности SQUID


0

0

У меня есть сервер, одной картой он в городской сети, а другой - в локальной. На нем запущен proxy-сервер SQUID. Я, естественно, в squid.conf разрешил использовать proxy только для машин из локальной сети.

Вопрос такой, возможно ли с компьютера из городской сети (в той же сетке, что и мой сервер) получить доступ к SQUID'у, просто подделав IP-адрес? Если да, то как с этим бороться?

Спасибо!

anonymous

> возможно ли с компьютера из городской сети (в той же сетке, что и мой сервер) получить доступ к SQUID'у, просто подделав IP-адрес?
Смотря что считать "доступом". Полноценный - нет, т.к. squid отвечать будет тоже этому подделанному адресу, следовательно согласно таблице маршрутизации он уйдет не в ту сеть, а туда, где его не ждут, т.е. соединение не установится.

> Если да, то как с этим бороться?
iptables -A INPUT -i ethX -p tcp --dport 3128 -j DROP
где ethX - интерфейс, смотрящий в городскую сеть.

spirit ★★★★★
()
Ответ на: комментарий от spirit

можно спокойно обойтись без iptables - использовать опцию squid.conf http_port и сказать ею сквиду слушать клиентские запросы только на нужном интерфейсе.

sasha999 ★★★★
()
Ответ на: комментарий от sasha999

> слушать клиентские запросы только на нужном интерфейсе.
И что, до этого интерфейса думаете не доберутся ??? И запросто.
Даже обычным telnet-ом :-)

spirit ★★★★★
()
Ответ на: комментарий от spirit

а слабо закрыть telnet? и пользоваться ssh

anonymous
()
Ответ на: комментарий от sasha999 

да, и вдогонку - идеологически правильно будет более радикальное решение -
iptables -A input -i ethXX -s mynet/myprefix -j DROP
нефиг спуфить :)

sasha999 ★★★★
()
Ответ на: комментарий от sasha999

Точно :-)
А еще rp_filter включить:
sysctl -w net.ipv4.conf.*.rp_filter = 1

spirit ★★★★★
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.
Admin