Re: atak na serwer www - apache 1.3.x
bieniu gras napisał(a):
> iptables -L -v -t nat
> Chain PREROUTING (policy ACCEPT 6163K packets, 350M bytes)
> pkts bytes target prot opt in out source destination
> 93 5580 DNAT tcp -- eth0 any anywhere
> ip_na_ktorym_jest_domena2 tcp dpt:www to:127.0.0.1:3128
hello,
Tak naprawdę to powinieneś zrobić REDIRECTa na squida, Po PREROUTINGu
masz łańcuch INPUT, w którym dodatkowo trzeba otworzyć dostęp do squida.
Proponuję coś następującego:
iptables -t nat -I PREROUTING -i eth0 -p tcp -d ip_domeny --dport 80 -j
REDIRECT --to-ports 3128
iptables -I INPUT -i eth0 -p tcp -d ip_domeny --dport 3128 -j ACCEPT -m
jakieś_moduy_i_inne_wodotryski --..itd
taka chytra sztuczka. Najfajniejsze w tym jest to, że na porcie 80 na
tym samym IP co ip_domeny może działać sobie apache. Redirect w natcie
zdejmuje odwołania z (zakładam) INTERNETU na port 80 nim one dojdą do
apache i przekierowuje je na 3128 (potrzebny ACCEPT w INPUTcie). Inne
odwołania np z localhosta na 127.0.0.1:80 trafiają do apache (jak na to
pozwoliłeś) :-)
Pozdrawiam
Marek Wyrzykowski
Reply to: