Re: squid und eingeschränkte Rechte.
Am Mon, 2003-11-03 um 09.18 schrieb Roland M. Kruggel:
>
Hallo,
>
> Aber die sache mit NAT macht mir noch ein wenig Probleme. Wenn ich in
> den Clients die Connetion auf 'Direkt' umstelle, also den Proxy umgehe,
> bekomme ich immer noch Zugriff auf das Internet. Ich habe das HOWTO
> gelesen, habe viel über NAT, iptables, Masquerading etc. und deren
> konfiguration gelesen, jedoch weis ich immer noch nicht wie ich das
> ganze jetzt deaktiviere.
>
aktuell noch mal mit iptabels.
Lasse nur z.B. noch
# abliefern der Anfrage am Router
$IPTABLES -A INPUT -i $DEV_LOC -s 192.168.1.1/24 -p TCP --sport
1024:65535 --dport http -m state --state NEW -j ACCEPT
# abliefern der Anfrage vom Router ins Netz
$IPTABLES -A OUTPUT -o $DEV_EXT -p TCP --sport 1024:65535 --dport http
-m state --state NEW -j ACCEPT
zu.
Durch Unterbinden des Forwardens muß der Router die Anfrage bearbeiten
und Sie selber weiterleiten.
Kommentiere z.B. sowas aus.
# $IPTABLES -A FORWARD -o $DEV_EXT -p TCP --sport 1024:65535 --dport
http -m state --state NEW -j ACCEPT
Damit deine bestehenden ein- und ausgehende Verbindungen aufrecht
erhalten werden defieniere z.B. soetwas.
$IPTABLES -A OUTPUT -o $DEV_EXT -m state --state ESTABLISHED,RELATED -j
ACCEPT
$IPTABLES -A INPUT -i $DEV_LOC -m state --state ESTABLISHED,RELATED -j
ACCEPT
# Masquerading und IP-FORWARDING
echo 1 > /proc/sys/net/ipv4/ip_dynaddr
echo 1 > /proc/sys/net/ipv4/ip_forward
$IPTABLES -t nat -A POSTROUTING -o $DEV_EXT -j MASQUERADE
sollten auch nicht fehlen.
Gruß Gerd
Reply to: