Обсуждение настройки и работы сервисов, резервирования, сетевых настроек и вопросов безопасности ОС для молодых и начинающих системных администраторов.
На машине прокси squid. Все другие машины в инет через эту машину. Для них выхода в инет через 80 зактыт. А сама машина с squid может через 80 порт выходить. Как закрыть на самой машине?
1. Даже если проходить через аутпут все равно проходит через postrouting nat'a, ведь так?
2. Значит, он подподает под первое правило, т.е. аксепт - проходит без изменений. А какой сорс адрес у этого пакета при выходе?
3. Я не пойму каковы правила выбора строки с правилом. Чем больше соотвествий? 2-е правило более описательное, чем первое.
там routing decision до output. Значит сорс адрес пакета будет адрес интефейса с инетом. Он подподает под первое правило и уходит без изьенений. Значит надо добавить правлило, чтобы дропился или реджектился адрес интерфейса с инетом на выходе или в аутпуте? Но на суси 11.1 через файрол не выходит. Файрвол включон.
to барабашка: Нескромный вопрос: а зачем фильтровать трафик в таблице nat? Для этого ведь существует таблица filter. Так что, тебе нужно сделать примерно следующее (если я, конечно, правильно понял твой словесный понос):
