Настроить squid на редирект http портов

@Professional · Регистрация: 23.09.2010

Студворк — интернет-сервис помощи студентам

Добрый день, имеется Squid в прозрачном режиме и у меня возникла проблема с фильтрацией http 8080 порта.
Особо умные звери, решили ходить на сайты с 8080 портом, где нет фильтрации... По всей видимости кальмар не умеет фильтровать http порты и требуется заворачивать все соединения на него.

Мне передали уже готовую систему фильтрации но не могу в ней разобраться, просьба помочь. Спасибо.

Схема:
https://yadi.sk/i/UvnEcDkFt5H6u

@gng · 07.07.2016, 21:39

Сообщение от Professional

Особо умные звери, решили ходить на сайты с 8080 портом, где нет фильтрации

Почему бы нет, если вы разрешаете?
Либо закрывайте всё кроме нужного, пермонентно вылавливая нарушителей, которые всё равно будут находить лазейки до тех пор, пока хоть что-то открыто в мир;
либо решайте вопрос административными методами: пусть подпишут соотверствующую бумагу и не лезут куда не нужно под страхом увольнения.

Сообщение от Professional

Мне передали уже готовую систему фильтрации

Что вам нужно настройть: сквид, циску, их связку, или сами не знаете?

@Professional · 08.07.2016, 01:58 **[ТС]**

Сообщение от gng

Что вам нужно настройть: сквид, циску, их связку, или сами не знаете?

Как будет правильней? через Squid не получится закрыть все порты и оставить 80

Сообщение от gng

Либо закрывайте всё кроме нужного

Я к вам за этим обратился, я не знаю, как оставить тока 80 порт.

@gng · 08.07.2016, 11:27

Сообщение от Professional

Как будет правильней? через Squid не получится закрыть все порты и оставить 80

Если мартшутизатор - циска, то его и настраивайте.
Есил на маршрузизаторе Линукс - настраивайте на нем фаревол (iptables).
Скуид - это http-прокси и фильтрацией на уровне ip не занимается.

Сообщение от Professional

Я к вам за этим обратился, я не знаю, как оставить тока 80 порт.

В качестве совета. Если в сети важные данные и есть определенные требования к безопасности, то лучше не эксперементируйте, дождитесь админа из отпуска.

@Professional · 11.07.2016, 04:34 **[ТС]**

Сообщение от gng

Если мартшутизатор - циска, то его и настраивайте.

Подскажите как сделать на CISCO редирект с 8080 на 80

@gng · 11.07.2016, 12:09

Сообщение от Professional

Подскажите как сделать на CISCO редирект с 8080 на 80

Наберите в Гугле "cisco проброс портов" и даю 90 из 100, что уже на первой странице будет статья, где всё подробно "разжевано".

@Professional · 12.07.2016, 14:33 **[ТС]**

Сообщение от gng

Наберите в Гугле "cisco проброс портов" и даю 90 из 100, что уже на первой странице будет статья, где всё подробно "разжевано".

Чтоб вам так же помогали.

Dmitry · 12.07.2016, 14:45

вот таким правилом в linux заворачивают трафик всех, кто хочет 80-й порт на порт 3128 прозрачной проксы

Bash
1
iptables -t nat -A PREROUTING -i eth2 -p tcp --dport 80 -j REDIRECT --to-port 3128

попробуйте по аналогии завернуть 8080
либо же вообще дропнуть все, что пытается на порт 8080...

@gng · 12.07.2016, 17:08

Не по теме:

Сообщение от Professional

Чтоб вам так же помогали.

Извиняюсь. У меня нету циски и боюсь ошибиться в ответе.
Попробуйте задать вопрос в разделе по сетевому оборудованию.
Отослал к Гуглу, поскольку сам бы так поступил в подобной ситуации.

@Professional · 13.07.2016, 06:31 **[ТС]**

Сообщение от Dmitry

вот таким правилом в linux заворачивают трафик всех, кто хочет 80-й порт на порт 3128 прозрачной проксы

Bash
1
iptables -t nat -A PREROUTING -i eth2 -p tcp --dport 80 -j REDIRECT --to-port 3128

попробуйте по аналогии завернуть 8080
либо же вообще дропнуть все, что пытается на порт 8080...

На сквиде сделал:

Bash
1
iptables -t nat -A PREROUTING -i gre1 -p tcp --dport 8080 -j REDIRECT --to-port 3128

На CISCO пробовал писать вот так:

Bash
1
2
access-list 100 extended deny tcp 10.0.0.0 255.0.0.0 eq 8080
access-list 100 extended permit ip any any

Выдает:

Code
1
% Invalid input detected at '^' marker.

Что я не правильно написал?

Вот тут до меня видно заворачивали:

Code
1
208M   11G DNAT       tcp  --  gre1   *       0.0.0.0/0            0.0.0.0/0            tcp dpt:80 to:10.170.0.*:3128

Как сделать также ток с 8080?

Добавлено через 38 минут
Сделал так и нет результата:

Code
1
2
3
4
5
5     418M   23G WHITELIST  tcp  --  gre1   *       0.0.0.0/0            0.0.0.0/0            tcp dpt:443
6     208M   11G DNAT       tcp  --  gre1   *       0.0.0.0/0            0.0.0.0/0            tcp dpt:80 to:10.170.0.*:3128
7     417M   23G DNAT       tcp  --  gre1   *       0.0.0.0/0            0.0.0.0/0            tcp dpt:443 to:10.170.0.*:3129
8        0     0 DNAT       tcp  --  gre1   *       0.0.0.0/0            0.0.0.0/0            tcp dpt:8080 to:10.170.0.*:3128
9        0     0 REDIRECT   tcp  --  gre1   *       0.0.0.0/0            0.0.0.0/0            tcp dpt:8080 redir ports 3128

@Professional · 25.07.2016, 14:30 **[ТС]**

Товарищи, ну что ни кто не сможет помочь?

@kalsarikannit · 31.07.2016, 02:28

Сообщение от Professional

Товарищи, ну что ни кто не сможет помочь?

Запретите In/Out/Forward 8080 в своей сети. Любой затычкой - линукс, циська, цевиндовс.
Можно написать решение для линукс, но это будет слишком нагло выглядеть.
А про циську и про виндульку - низя, ибо не линукс.
Да и не видел я их стописят лет.

Новые блоги и статьи Все статьи Все блоги /
SDL3 для Web (WebAssembly): Подключение Box2D v3, физика и отрисовка коллайдеров 8Observer8 12.02.2026 Содержание блога Box2D - это библиотека для 2D физики для анимаций и игр. С её помощью можно определять были ли коллизии между конкретными объектами и вызывать обработчики событий столкновения. . . .	SDL3 для Web (WebAssembly): Загрузка PNG с прозрачным фоном с помощью SDL_LoadPNG (без SDL3_image) 8Observer8 11.02.2026 Содержание блога Библиотека SDL3 содержит встроенные инструменты для базовой работы с изображениями - без использования библиотеки SDL3_image. Пошагово создадим проект для загрузки изображения. . .	SDL3 для Web (WebAssembly): Загрузка PNG с прозрачным фоном с помощью SDL3_image 8Observer8 10.02.2026 Содержание блога Библиотека SDL3_image содержит инструменты для расширенной работы с изображениями. Пошагово создадим проект для загрузки изображения формата PNG с альфа-каналом (с прозрачным. . .	Установка Qt-версии Lazarus IDE в Debian Trixie Xfce volvo 10.02.2026 В общем, достали меня глюки IDE Лазаруса, собранной с использованием набора виджетов Gtk2 (конкретно: если набирать текст в редакторе и вызвать подсказку через Ctrl+Space, то после закрытия окошка. . .
SDL3 для Web (WebAssembly): Работа со звуком через SDL3_mixer 8Observer8 08.02.2026 Содержание блога Пошагово создадим проект для загрузки звукового файла и воспроизведения звука с помощью библиотеки SDL3_mixer. Звук будет воспроизводиться по клику мышки по холсту на Desktop и по. . .	SDL3 для Web (WebAssembly): Основы отладки веб-приложений на SDL3 по USB и Wi-Fi, запущенных в браузере мобильных устройств 8Observer8 07.02.2026 Содержание блога Браузер Chrome имеет средства для отладки мобильных веб-приложений по USB. В этой пошаговой инструкции ограничимся работой с консолью. Вывод в консоль - это часть процесса. . .	SDL3 для Web (WebAssembly): Обработчик клика мыши в браузере ПК и касания экрана в браузере на мобильном устройстве 8Observer8 02.02.2026 Содержание блога Для начала пошагово создадим рабочий пример для подготовки к экспериментам в браузере ПК и в браузере мобильного устройства. Потом напишем обработчик клика мыши и обработчик. . .	Философия технологии iceja 01.02.2026 На мой взгляд у человека в технических проектах остается роль генерального директора. Все остальное нейронки делают уже лучше человека. Они не могут нести предпринимательские риски, не могут. . .

@Professional 0 / 0 / 0 Регистрация: 23.09.2010 Сообщений: 73

	Настроить squid на редирект http портов 07.07.2016, 10:53. Показов 3044. Ответов 11 Метки нет (Все метки) Добрый день, имеется Squid в прозрачном режиме и у меня возникла проблема с фильтрацией http 8080 порта. Особо умные звери, решили ходить на сайты с 8080 портом, где нет фильтрации... По всей видимости кальмар не умеет фильтровать http порты и требуется заворачивать все соединения на него. Мне передали уже готовую систему фильтрации но не могу в ней разобраться, просьба помочь. Спасибо. Схема: https://yadi.sk/i/UvnEcDkFt5H6u 0

@Professional 0 / 0 / 0 Регистрация: 23.09.2010 Сообщений: 73
	25.07.2016, 14:30 [ТС]
	Товарищи, ну что ни кто не сможет помочь? 0