Re: Squid i Iptables

To: debian-user-catalan@lists.debian.org
Cc: "Ferran Pegueroles" <ferran@pegueroles.cat>, "Francesc Guasch" <frankie@etsetb.upc.edu>, Ramon Cuñé <ramoncunye@gmail.com>
Subject: Re: Squid i Iptables
From: Jaume Sabater <jaume@argus.net>
Date: Thu, 17 May 2007 12:26:28 +0200
Message-id: <[🔎] 200705171226.29437.jaume@argus.net>
Reply-to: jaume@argus.net
In-reply-to: <[🔎] 57500.194.224.15.34.1179393349.squirrel@mail.pegueroles.com>
References: <[🔎] 3cfec61c0705170112p5e7bcbdeo331d00dd37f2af0f@mail.gmail.com> <[🔎] 464C13C0.5040202@etsetb.upc.edu> <[🔎] 57500.194.224.15.34.1179393349.squirrel@mail.pegueroles.com>

Potser millor:

iptables -P OUTPUT ACCEPT
iptables -A OUTPUT -p tcp -m tcp --tcp-flags SYN,ACK,FIN,RST SYN  -j DROP

Amb això evitaràs que el teu servidor faci consultes a fora, però necessites 
que el proxy consulti també:

iptables -I OUTPUT -p tcp -m tcp -m owner --dport 80 --tcp-flags 
SYN,ACK,FIN,RST SYN --uid-owner proxy --gid-owner proxy -j ACCEPT

El Thursday 17 May 2007 11:15, Ferran Pegueroles va escriure:
> Si vols rebre alguna resposta del servidor tambe hauries de obrir la
> sortida
>
> Normalment
>
> iptables -P OUTPUT ACCEPT
>
> no ha de ser un forat de seguretat, sino des del teu servidor no podras
> accedir a cap lloc.
>
> > -----BEGIN PGP SIGNED MESSAGE-----
> > Hash: SHA1
> >
> > En/na Ramon Cuñé ha escrit:
> >> Tinc un servidor amb un Debian Sarge i proxy squid funcionant
> >> perfectament. Ara volia afegir regles iptables al servidor, perque
> >> sols és pogues accedir a aquest servei que dono pel port 8080. He fet
> >> el següent:
> >>
> >> he creat un fitxer a /etc/network/if.up.d/cfg_iptables amb el següent
> >> contingut:
> >>
> >> #Flush de les regles
> >> iptables -F
> >> iptables -X
> >> iptables -Z
> >> iptables -t nat -F
> >>
> >> # Política per defecte
> >> iptables -P INPUT DROP
> >> iptables -P OUTPUT DROP
> >> iptables -P FORWARD DROP
> >>
> >> #Obro el port del squid
> >> iptables -A INPUT -p tcp --dport 8080 -j ACCEPT
> >>
> >>
> >> I quan llanço aquest script ja no puc accedir al proxy,  que tinc
> >> malament? Vaig ben encarat?
> >
> > ni al proxy ni a res, et falta com a mínim:
> > iptables -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
> >
> > potser també t'anirà bé tenir:
> > - -A INPUT -i lo -j ACCEPT
> >
> > i si afegeixes aquesta linia veuràs els accessos rebutjats
> > al /var/log/messages:
> >
> > - -A INPUT -j LOG
> > -----BEGIN PGP SIGNATURE-----
> > Version: GnuPG v1.4.6 (GNU/Linux)
> > Comment: Using GnuPG with Mozilla - http://enigmail.mozdev.org
> >
> > iD8DBQFGTBO9VfvsWQAffzIRAs8NAJ43OivLz+fAcGF77ntSjdvHKmzuXgCeIjbj
> > g5LM3PjNe/V+yDd2LlWawis=
> > =vun8
> > -----END PGP SIGNATURE-----
> >
> >
> > --
> > To UNSUBSCRIBE, email to debian-user-catalan-REQUEST@lists.debian.org
> > with a subject of "unsubscribe". Trouble? Contact
> > listmaster@lists.debian.org
>
> --
> Salutacions / Regards
> --------------------------------------------------------
>  Ferran Pegueroles Forcadell
>  mailto:ferran@pegueroles.cat
>  http://www.pegueroles.cat
>  Tels (+34)937252106 - (+34)667658535

-- 
:: :: :: :: :: :: :: :: :: :: :: :: :: :: :: :: 
:: Jaume Sabater
:: administrador de sistemes
:: jaume@argus.net

  argus.net TECNOLOGIA CREATIVA 
  "creant en la web des de 1995"

  www.argus.net | tel: 932 92 41 00 | fax: 932 92 42 25 | info@argus.net
  Avgda. Marquès de Comillas, 13 (Poble Espanyol) | 08038 | Barcelona

Reply to:

References:
- Squid i Iptables
  - From: "Ramon Cuñé" <ramoncunye@gmail.com>
- Re: Squid i Iptables
  - From: Francesc Guasch <frankie@etsetb.upc.edu>
- Re: Squid i Iptables
  - From: "Ferran Pegueroles" <ferran@pegueroles.cat>

Prev by Date: Re: Squid i Iptables
Next by Date: Re: Proftpd
Previous by thread: Re: Squid i Iptables
Next by thread: gnome i .bashrc
Index(es):
- Date
- Thread