[Primipassi] iptables: semplifichiamo le cose con squid
Aldo Podavini
a.podavini@mclink.it
Mar 23 Mar 2004 20:53:06 CET
Vediamo se questa volta riesco ad anticipare Marco :-)
Manuel Toniato wrote:
>E quindi, per fare in modo che qualcuno non cerchi di evitare il proxy io gli faccio una cosa del genere:
>
>iptables -P INPUT DROP
>iptables -A INPUT -p tcp --dport 3128 -j ACCEPT
>iptables -A INPUT -p tcp -m state --state ESTABLISHED,RELATED -j ACCEPT
>
>tutto ciò che deve passare è solo quello del proxy.
>
No, non è così.
Prova a impostare queste tue regole, a togliere il proxy dalla
configurazione dei tuoi browsers, e vedrai che continuano a navigare
allegramente.
Come mai ? :-)
Semplice: visto che la tua macchina fa da gateway verso la rete esterna,
le eventuali richieste http che nascano dai clients la "attraversano"
solo, e quindi non vengono intercettate dalla catena INPUT, bensì da
quella FORWARD.
Con le tue regole ottieni solo il risultato che un eventuale server http
che girasse sulla tua macchina risulterebbe irraggiungibile.
Chiaro, no ?
Se l'obiettivo che hai è che qualcuno cerchi di evitare il proxy, è
banalmente sufficiente disabilitare il forwarding (
/proc/sys/net/ipv4/ip_forward, ricordi ? ).
( btw: in teoria a questo punto potrebbe anche non esistere un default
gateway sui clients, se ci pensi... )
( Approfondimento: esiste un metodo ancora più "bastardo", che obbliga
anche i clients più neghittosi a passare dal proxy senza dirglielo,
lasciandoli nell'illusione che stiano navigando liberamente... ;-) Ma
qui andiamo un po' sul difficile... )
>Sul traffico in uscita non dovrebbero esserci particolari pericoli vero?
>Dovrei poter lasciare "iptables -P OUTPUT ACCEPT" senza particolari paure...
>O mi sbaglio?
>
>
Oddio, non è esattamente così, ma se ti fidi abbastanza della rete
esterna direi di sì...
Ciao
Aldo
-------------- parte successiva --------------
Un allegato non testuale è stato rimosso....
Nome: smime.p7s
Tipo: application/x-pkcs7-signature
Dimensione: 3060 bytes
Descrizione: S/MIME Cryptographic Signature
URL: <http://lists.linux.it/pipermail/primipassi/attachments/20040323/934c768b/attachment.bin>
Maggiori informazioni sulla lista
primipassi