Re: [PUG] Netzwerkfrage: Squid und Routing

Sat, 16 Oct 2004 10:08:48 -0700 

On Sat, Oct 16, 2004 at 06:23:03PM +0200, Christian Felsing wrote:
> Richard Burghause wrote:
> 
> >Standard ist DROP
> >
> >  
> >
> Genau, damit wird die Policy "Es ist alles verboten, was nicht
> ausdr�cklich erlaubt ist" eingestellt.
> 
> >Logge und l�sche TCP-Pakete, die vom Router kommen und nicht ins

zum Router gehen (OUTPUT)

Sch�ler --##Proxy Server##-- >>> HW-Router
    -- INPUT ->          --- OUTPUT -->

> >  
> >
> Man sollte dann auch ein Loglimit konfigurieren, sonst kann man mit
> einem simplen ping -f daf�r sorgen, dass das Logfile das verf�gbare
> Filesystem zu 100% f�llt.
geb ich dir recht ..

> 
> >Akzeptiere TCP-Pakete vom HW-Router auf die HTTP, HTTPS und DNS Ports in
> >jedes Netz
> >
> >  
> >
> Output Filter brauchst Du in der Regel nicht. Wenn m�glich, immer am
> Eingang filtern.

Bei meinem Ansatz schon denn wenn der Proxy wie auch immer missbraucht 
wird kann man mit den Output Regeln die Angelegenheit regeln.
Bspw. auch W�rmer die sich �ber Proxy+SMTP verbreiten wollen.


> 
> >Wie, was, wieso denn das nicht. Ich habe gedacht, das w�re notwendig und
> >ich w�rde den entsprechenden Missbrauch durch meine IP-Tables
> >blockieren...
> >
> >  
> >
> Genau so ist es auch. Wenn Du kein ip_forwarding hast, dann m�ssen f�r
> alle Dienste, die genutzt werden sollen, ein Proxy da sein. Was ist mit
> ssh ins Internet ? Telnet vom Netz A auf dem HW Router ?
                    ^^^^^^^^ - BAH!
Ich hatte verstanden das die Sch�ler nur Surfen sollen und habe deswegen
die restritive Regel, eben kein ip-forward angenommen.


> 
> Kannst mich ja direkt mal ansprechen. Habe hier auch noch spezial
> Configs f�r IPsec via WLAN, QoS usw.
> 
> Gr��e
> Christian
> 
> 
> 
> ----------------------------------------------------------------------------
> PUG - Penguin User Group Wiesbaden - http://www.pug.org

-- 
------------------------------------------------------------------------
  o.o 
  'v'    
 /   \  It's your choice - i use LINUX
  ~ ~ 
------------------------------------------------------------------------  

----------------------------------------------------------------------------
PUG - Penguin User Group Wiesbaden - http://www.pug.org

Antwort per Email an