LINUX.ORG.RU
ФорумAdmin

А вот ТАК слабо???


0

0

from: xseven@narod.ru Народ! Понимаю, что всех уже этим вопросом задолбали, но у меня нестандартная ситуация :(.
Сконектил одну машинку с инетом. Эта тачка должна выполнять роль Линукс-Терминала, создавать как можно меньший трафик и вести учет по пользователям (а не по ip).
Поставил Squid, настроил кэш, настроил авторизацию ncsa (по пользователям).
Состряпал статистику, кто где был, кто что на сколько насидел.
Теперь одна проблема - нужно чтобы юзверя ВСЕГДА пользовались проксей, а на пряму заходить не могли...
Пробовал prefs.js (все настройки мозиллы, в том числе и проксевые) сделать только для чтения, чтобы настройки юзверя поменять не могли. Но запускаешь браузер, меняешь настройки и все! Можно лазить напрямую, а так низя...
Как это с помощью ip-chains можно сделать???? Перечитал вроде все, что можно, доки, мэны и хавто, ну нигде не нашел похожей ситуации. нужно то всего ничего - чтобы учет трафика велся по http и ftp протоколам...
Заранее благодарен! icq: 92175834. Email:xseven@narod.ru

anonymous

Привет!

1. А почему бы не сделать сет адреса 10.0.0.... или 192.168....? Столько
сил экономит. И времени.
2. ipmasq - Маскарадинг и прозрачный прокси - все на linuxdoc.

AlikaaTOD
()

Если все адреса реальные, то можно с помощью ipchains настроить запрет определённой подсети на доступ в инет, а разрешить только к проксику.

barmasay
()

Если все адреса реальные, то можно с помощью ipchains настроить запрет определённой подсети на доступ в инет, а разрешить только к проксику.

barmasay
()

ipchains -A input -p tcp -s 192.168.0.0/16 -d 0/0 80 -j DENY

запрешает доступ машинам из сети 192.168.0.0/255.255.0.0 в инет на 80 порт (www)

ae
()

Молодец! Но на мой взгляд лучше это правило поставить для forward - иначе, если на той же машине есть какая-либо web служба - порежется все

Maximka
()

Ну и закрыть еще на публичные прокси ... и https

anonymous
()

а можно вот так попробовать: ipchains -A input eth0 -d 0.0.0.0/0 80 -j REDIRECT 3128 все запросы на 80 порт редиректятся на сквид через eth0 но можно и просто адреса поставить

dicks
()

Вы все всё не так поняли, возможно я криво объяснил, но ситуация такова: на ОДНОЙ машине: 213.59.48.21. Стоит ОДНОВРЕМЕННО и клиент (браузер) и сервер (прокся). Повторюсь - на ОДНОЙ машине! Если запретить исходящие пакеты на 80 - прокся тоже работать перестанет!!! Если же редиректить те пакеты с 80 на 3128 получиться.... хм... вот что получсться, если я правильно понимаю: Исходящий на 80 ip редиректит его на 127.0.0.1:3128 3128 отправляет его на 80 порт, который в свою очередь снова идет на 3128 :))) Проблема в том, что исходящий ВСЕГД будет порт 80, хоть у прокси, хоть у браузера...

anonymous
()

from: xseven@narod.ru Вы все всё не так поняли, возможно я криво объяснил, но ситуация такова: на ОДНОЙ машине: 213.59.48.21. Стоит ОДНОВРЕМЕННО и клиент (браузер) и сервер (прокся). Повторюсь - на ОДНОЙ машине! Если запретить исходящие пакеты на 80 - прокся тоже работать перестанет!!! Если же редиректить те пакеты с 80 на 3128 получиться.... хм... вот что получсться, если я правильно понимаю: Исходящий на 80 ip редиректит его на 127.0.0.1:3128 3128 отправляет его на 80 порт, который в свою очередь снова идет на 3128 :))) Проблема в том, что исходящий ВСЕГД будет порт 80, хоть у прокси, хоть у браузера...

anonymous
()

про редирект, ты не так понял редиректится входящая цепочка... т. е. весь трафик на 80 порт с интерфейса eth0 (или с адресов которые ты там укажешь) будет перенаправляться на 3128, а исходящий порт с клиентской машины не 80 а где-то за пределами 1024...

dicks
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.
Admin