Как я вынуждаю всю интернет-коммуникацию пройти Сквид?

Question 1

У меня есть вариант использования, где я хочу управлять (и аудит), весь доступ к сети приложениями работает на настольном ПК Ubuntu. Сквид смотрел большой запуск - я установил и настроил его. Где веб-браузеры настроены для использования прокси на localhost:3128, я получаю аудит и управление доступом, которое я ищу.

Препятствие - то, что любое приложение, которое не настроено для эксклюзивного использования localhost:3128 в качестве прокси, может все еще связаться как нормальное и с моей LAN и с Интернетом.

Я нашел различную детализацию документов 'с практическими рекомендациями', как настроить хосты с несколькими платами Ethernet, чтобы действовать как шлюзы - и использовать Сквид в качестве обязательного прокси..., но моя конфигурация тонко отличается. Я хочу быть уверенным, что сквид является единственным приложением, которое связывается по сети. Существует ли простой способ блокировать весь доступ к сети (входящий, и исходящий - даже включая DNS - и т.д.) кроме через сквид на единственном хосте с одним соединением Ethernet?

Question 2

Можно просто установить правила с брандмауэром для отклонения всех исходящих портов за исключением 3 128. Удостоверьтесь, который Вы имеете ufw, установил (sudo apt-get install ufw, если это не) , затем:

sudo ufw deny out to any # deny all outgoing addresses
sudo ufw allow out from any to 127.0.0.1 port 3128 proto udp # allow the single outgoing port
sudo ufw allow out from any to 127.0.0.1 port 3128 proto tcp
sudo ufw allow out from any port 3128 to any # outgoing from any IP:3128 to any address (to allow packets of squid)

Вы не можете быть уверены, что все существующие приложения использовали бы прокси по простой причине, что некоторые из них даже не могут быть записаны с прокси в памяти (прокси не могут использоваться прозрачно, приложения должны проявить специальную заботу о прокси) , но , правила ufw удостоверились бы, что их пакеты не сожмут от других портов. И не забывайте для установки http (s) _proxy переменные в /etc/environment.

Community · Answer 1 · 28 September 2019 в 17:32

Можно просто установить правила с брандмауэром для отклонения всех исходящих портов за исключением 3 128. Удостоверьтесь, который Вы имеете ufw, установил (sudo apt-get install ufw, если это не) , затем:

sudo ufw deny out to any # deny all outgoing addresses
sudo ufw allow out from any to 127.0.0.1 port 3128 proto udp # allow the single outgoing port
sudo ufw allow out from any to 127.0.0.1 port 3128 proto tcp
sudo ufw allow out from any port 3128 to any # outgoing from any IP:3128 to any address (to allow packets of squid)

Вы не можете быть уверены, что все существующие приложения использовали бы прокси по простой причине, что некоторые из них даже не могут быть записаны с прокси в памяти (прокси не могут использоваться прозрачно, приложения должны проявить специальную заботу о прокси) , но , правила ufw удостоверились бы, что их пакеты не сожмут от других портов. И не забывайте для установки http (s) _proxy переменные в /etc/environment.

Как я вынуждаю всю интернет-коммуникацию пройти Сквид?

1 ответ

Другие вопросы по тегам:

Похожие вопросы: