Re: squid und eingeschränkte Rechte.

[Gerd Goehler <gerdg-dd@gmx.de>]

Am Mon, 2003-11-03 um 09.18 schrieb Roland M. Kruggel:
> 
Hallo,
> 
> Aber die sache mit NAT macht mir noch ein wenig Probleme. Wenn ich in 
> den Clients die Connetion auf 'Direkt' umstelle, also den Proxy umgehe, 
> bekomme ich immer noch Zugriff auf das Internet. Ich habe das HOWTO 
> gelesen, habe viel über NAT, iptables, Masquerading etc. und deren 
> konfiguration gelesen, jedoch weis ich immer noch nicht wie ich das 
> ganze jetzt deaktiviere.
> 
aktuell noch mal mit iptabels.

Lasse nur z.B. noch 

# abliefern der Anfrage am Router 
$IPTABLES -A INPUT -i $DEV_LOC -s 192.168.1.1/24 -p TCP --sport
1024:65535 --dport http -m state --state NEW -j ACCEPT 

# abliefern der Anfrage vom Router ins Netz 
$IPTABLES -A OUTPUT -o $DEV_EXT -p TCP --sport 1024:65535 --dport http
-m state --state NEW -j ACCEPT 

zu. 

Durch Unterbinden des Forwardens muß der Router die Anfrage bearbeiten
und Sie selber weiterleiten. 

Kommentiere z.B. sowas aus. 
# $IPTABLES -A FORWARD -o $DEV_EXT -p TCP --sport 1024:65535 --dport
http -m state --state NEW -j ACCEPT 

Damit deine bestehenden ein- und ausgehende Verbindungen aufrecht
erhalten werden defieniere z.B. soetwas. 
$IPTABLES -A OUTPUT -o $DEV_EXT -m state --state ESTABLISHED,RELATED -j
ACCEPT 
$IPTABLES -A INPUT -i $DEV_LOC -m state --state ESTABLISHED,RELATED -j
ACCEPT 

# Masquerading und IP-FORWARDING 
echo 1 > /proc/sys/net/ipv4/ip_dynaddr 
echo 1 > /proc/sys/net/ipv4/ip_forward 
$IPTABLES -t nat -A POSTROUTING -o $DEV_EXT -j MASQUERADE 

sollten auch nicht fehlen. 

Gruß Gerd