我有一台 Linux 机器,内核为 3.7.0,带有 Squid 代理服务器和直接 Internet 连接。浏览器和 Squid 位于同一台机器上。是否可以只允许通过 Squid 访问 Web?也许可以使用 SELinux?
答案1
iptables您可以使用( )中的所有者模块-m owner --uid-owner $SQUID_UID来设置 Squid 的允许规则,然后拒绝其他流量。
答案2
也许是这样的?
# Your debian machine (gateway)
LAN_IP="192.168.0.1"
# Your network
LAN_IP_RANGE="192.168.0.0/24"
# Your squid machine
PROXY_IP="192.168.0.254"
PROXY_PORT="3128"
iptables -t mangle -A PREROUTING -s $LAN_IP_RANGE ! -d $LAN_IP_RANGE -p TCP --destination-port 80 -j MARK --set-mark 11
iptables -t nat -A PREROUTING -m mark --mark 11 -p TCP -j DNAT --to-destination ${PROXY_IP}:${PROXY_PORT}
iptables -t nat -A POSTROUTING -m mark --mark 11 -p TCP -j SNAT --to-source $LAN_IP
答案3
以下是代码:
iptables -P INPUT DROP
iptables -P FORWARD DROP
#loopback interface
iptables -A INPUT -i lo -j ACCEPT
iptables -A OUTPUT -o lo -j ACCEPT
#DNS
iptables -A OUTPUT -p udp --dport 53 -j ACCEPT
iptables -A INPUT -p udp --sport 53 -j ACCEPT
#http,https traffic only through Squid - nobody user
iptables -A OUTPUT -p tcp -m multiport --dports 80,443 -m state -m owner --uid-owner nobody --state NEW,ESTABLISHED -j ACCEPT
iptables -A INPUT -p tcp -m multiport --sports 80,443 -m state --state ESTABLISHED -j ACCEPT