Excelent. Asta cautam. Identificarea conexiunilor dupa id-ul squid-ului. Daca citeam cu atentie manualul iptables... Morala: Victor, RTFM.
Va multumesc. -- Victor Cristolovean. On Thursday 20 February 2003 19:32, Ionut Murgoci wrote: > Intelegand din mailul tau ca serverul de fw != serverul de squid si > te temi ca cineva de pe serverul de aplicatii pe care ruleaza squid sa nu > iasa pe web direct. > > Ai solutia: > > 1. Faci drop pe mashina cu squid, pe OUTPUT -o eth_spre_fw la tot ce > pleaca spre 80 mai putin id-ul userului squid :) asta ar veni cam asa > ceva: > > ROOT=0 > SQUID=`id squid|cut -d\( -f1|cut -d= -f 2` > IPADDR= adresa ta de ip > EXTERNAL_INTERFACE= interfata spre firewall > UNPRIVPORTS=UNPRIVPORTS="1024:" > > iptables -A INPUT -i $EXTERNAL_INTERFACE -p tcp ! --syn \ > --source-port 80 \ > -d $IPADDR --destination-port $UNPRIVPORTS -j ACCEPT > > iptables -A OUTPUT -o $EXTERNAL_INTERFACE -p tcp \ > -s $IPADDR --source-port $UNPRIVPORTS \ > --destination-port 80 -j ACCEPT \ > --match owner --uid-owner $ROOT > > iptables -A OUTPUT -o $EXTERNAL_INTERFACE -p tcp \ > -s $IPADDR --source-port $UNPRIVPORTS \ > --destination-port 80 -j ACCEPT \ > --match owner --uid-owner $SQUID > > Dupa care faci un drop frumos pe OUTPUT --destination-port 80 > > > La fel poti face si pentru 443 :) adica https. > > > PS: Nu poti face proxy transparent in functie de uid. > ipt_owner: only valid for LOCAL_OUT or POST_ROUTING. > Adica in PRE_ROUTING muci. -- Pentru dezabonare, trimiteti mail la [EMAIL PROTECTED] cu subiectul 'unsubscribe rlug'. REGULI, arhive si alte informatii: http://www.lug.ro/mlist/
