ppawlo Opublikowano 2 Grudnia 2003 Zgłoś Opublikowano 2 Grudnia 2003 Witam, mam zainstalowanego squida na linuxie - redhat 8.0 Całoś kontroluje mi firewall. Pytanie: Chciałbym, aby firewall blokował cały ruch przekazujący - FORWARD, i serwer udostępniał tylko strony przez proxy. Dodatkowo chciałbym odblokować porty dla poczty zewnętrznej i innych typowych usłg (np. gg). Jak to zrobić. w firewall-u jak zablokuję łańcuch FORWARD - to nic mi nie działa, łącznie z dns-em (na serwerze wpis "host onet.pl" - nie działa). INPUT - domyśleni drop, następnie otwieram porty ale tylko do serwera. lo - ma pełen dostęp. Output - domyślnie ACCEPT. Jak mam zrobić, - aby po zablokowaniu FORWARD - DROP otworzyć niektóre usługi tak aby np. gg działało, dns z serwera widział i odpowiadał na zapytania typu host onet.pl?? Cytuj Udostępnij tę odpowiedź Odnośnik do odpowiedzi Udostępnij na innych stronach Więcej opcji udostępniania...
lubmich Opublikowano 9 Grudnia 2003 Zgłoś Opublikowano 9 Grudnia 2003 Nie wszystko zrozumiałem - ale jak serwer ma przepuszczać tylko pocztę (pop3), gg i dns to na forward dajesz dla ruchu wychodzącego (czyli na karcie wewnętrznej) FORWARD 53 accept (tcp, udp) 110 accept (tcp) 8074 accept (tcp) reszta drop INPUT (dns) dhcp proxy reszta drop możesz postawić też dns-a u siebie wtedy nie otwierasz na forwardzie 53 a wszystkim w dhcp przydzielasz wlasego dns-a blokowanie forwardu nie wpływa na ruch z serwerka więc z dns-em masz coś innego (albo blokujesz więcej niż myślisz) sprawdz też no i wpisz regulki żeby nie przerywalo Ci połączeń rozpoczętych z serwerka IPT="/usr/sbin/iptables" $IPT -A INPUT -p tcp -j ACCEPT -m state --state ESTABLISHED $IPT -A INPUT -p tcp -j ACCEPT -m state --state RELATED $IPT -A INPUT -p udp -j ACCEPT -m state --state ESTABLISHED $IPT -A INPUT -p udp -j ACCEPT -m state --state RELATED i to samo dla forward jeżeli zdecydujesz się cokolwiek wypuszczać.. Cytuj Udostępnij tę odpowiedź Odnośnik do odpowiedzi Udostępnij na innych stronach Więcej opcji udostępniania...
