免费注册 查看新帖 |

Chinaunix

  平台 论坛 博客 文库
论坛 IT运维 服务器应用 squid+iptable代理,局域网内机器无法通过联众游戏的身 ...
最近访问板块 发新帖
查看: 3415 | 回复: 7
打印 上一主题 下一主题

[proxy] squid+iptable代理,局域网内机器无法通过联众游戏的身份验证 [复制链接]

isalie

论坛徽章:
0
跳转到指定楼层
1 [收藏(0)] [报告]
发表于 2005-06-24 16:08 |只看该作者 |倒序浏览
联众的身份验证端口是2000,我在红字部分打开了2000端口,为什么还不行?单位同事拜托的事情,嘻嘻,还请大家帮忙

机器配置
双网卡,eth0接外网,eth1接内网,跟贴中贴squid.conf

  1. #!/bin/sh
  2. # /etc/firewall
  3. #
  4. # It will be called by /etc/rc.local

  6. echo 1 >; /proc/sys/net/ipv4/ip_forward
  7. /sbin/insmod ip_tables
  8. /sbin/insmod iptable_filter
  9. /sbin/insmod iptable_nat
  10. /sbin/insmod ip_nat_ftp
  11. /sbin/insmod ip_conntrack
  12. /sbin/insmod ip_conntrack_ftp
  13. /sbin/insmod ip_nat_ftp
  14. /sbin/iptables --flush  INPUT
  15. /sbin/iptables --flush  FORWARD
  16. /sbin/iptables --flush  POSTROUTING    --table  nat
  17. /sbin/iptables --flush  PREROUTING     --table nat
  18. /sbin/iptables --policy FORWARD ACCEPT
  19. /sbin/iptables --policy INPUT   ACCEPT
  20. /sbin/iptables --flush  PREROUTING     --table nat
  21. /sbin/iptables --policy FORWARD ACCEPT
  22. /sbin/iptables --policy INPUT   ACCEPT


  25. # 透明网关,所有内网的http请求被转给 squid 代理
  26. /sbin/iptables -t nat -A PREROUTING -i eth1 -p tcp -m tcp --dport 80 -j REDIRECT --to-ports 3128



  30. /sbin/iptables -t nat -A PREROUTING -p tcp -i eth0 -d a.b.c.d --dport 3390 -j DNAT --to 192.168.5.222:3389

  32. /sbin/iptables -t nat -A PREROUTING -p tcp -i eth0 -d a.b.c.d --dport 3391 -j DNAT --to 192.168.5.106:3389


  35. /sbin/iptables -t nat -A PREROUTING -p tcp -i eth0 -d a.b.c.d --dport 3394 -j DNAT --to 192.168.5.104:3389

  37. /sbin/iptables -t nat -A PREROUTING -p tcp -i eth0 -d a.b.c.d --dport 3395 -j DNAT --to 192.168.5.120:3389

  39. /sbin/iptables -t nat -A PREROUTING -p tcp -i eth0 -d a.b.c.d --dport 3399 -j DNAT --to 192.168.5.119:3389


  42. # close standard 3389

  44. /sbin/iptables -A INPUT -i eth1 -j ACCEPT

  46. # open SSH
  47. #/sbin/iptables -A INPUT -p tcp --dport 22 -j ACCEPT
  48. #/sbin/iptables -A INPUT -p udp --dport 22 -j ACCEPT

  50. # open pop3
  51. /sbin/iptables -A INPUT -p tcp --dport 110 -j ACCEPT
  52. /sbin/iptables -A INPUT -p udp --dport 110 -j ACCEPT

  54. # open http
  55. #/sbin/iptables -A INPUT -p tcp --dport 80 -j ACCEPT
  56. #/sbin/iptables -A INPUT -p udp --dport 80 -j ACCEPT

  58. # open squid
  59. /sbin/iptables -A INPUT -p tcp --dport 3128 -j ACCEPT
  60. /sbin/iptables -A INPUT -p udp --dport 3128 -j ACCEPT

  62. [color=red]# open GLworld user certification add by wangtie, the old one is stored as firewall.0624
  63. /sbin/iptables -A INPUT -p tcp --dport 2000 -j ACCEPT[/color]
  64. # close telnet
  65. /sbin/iptables -A INPUT -p tcp --dport 23 -j DROP
  66. /sbin/iptables -A INPUT -p udp --dport 23 -j DROP

  68. # permit XDMCP
  69. /sbin/iptables -A INPUT -i eth1 -p udp --dport 177 -j ACCEPT




  74. #/sbin/iptables --append FORWARD --in-interface eth1 --match state --state ESTABLISHED,RELATED --jump ACCEPT
  75. #########

  77. touch /var/lock/subsys/local
复制代码
isalie

论坛徽章:
0
2 [报告]
发表于 2005-06-24 16:14 |只看该作者

squid+iptable代理,局域网内机器无法通过联众游戏的身份验证

谁知道怎么输出squid.conf的简单形式啊,全部都是大片大片的注释,贴不完。谢谢。
实战分享:从技术角度谈机器学习入门| 【大话IT】RadonDB低门槛向MySQL集群下战书 | ChinaUnix打赏功能已上线! | 新一代分布式关系型数据库RadonDB知多少?
platinum

论坛徽章:
0
3 [报告]
发表于 2005-06-24 19:20 |只看该作者

squid+iptable代理,局域网内机器无法通过联众游戏的身份验证

不应该是 INPUT 链
不过不清楚你要怎么“打开”这 2000 端口,需求描述不清
实战分享:从技术角度谈机器学习入门| 【大话IT】RadonDB低门槛向MySQL集群下战书 | ChinaUnix打赏功能已上线! | 新一代分布式关系型数据库RadonDB知多少?
isalie

论坛徽章:
0
4 [报告]
发表于 2005-06-25 09:35 |只看该作者

squid+iptable代理,局域网内机器无法通过联众游戏的身份验证

因为我查了一下各种游戏的端口

中国游戏中心 TCP 8000
联众世界 TCP 2000
网易泡泡 UDP 4001
边锋网络游戏世界 TCP 4000
中国围棋网 TCP 9696
笨苹果游戏互动网 UDP 5000
上海热线游戏频道 TCP 8000
凯思帝国游戏在线 TCP 2050
网上赢家 TCP 8001
证券之星 Tcp 8888

然后我看到这片文章
简单方法封联众和QQ
作者:cx6445 2005-02-03 14:47:31 来自:Linux先生
我简单写一下一块网卡eth0做的代理,并封联众、边峰和QQ
#!/bin/bash
echo -n "Firewall start................"
echo 1 >; /proc/sys/net/ipv4/ip_forward
iptables -F
iptables -F -t nat
iptables -P INPUT DROP
iptables -A INPUT -s x.x.x.x tcp -p tcp --dport 22 -i ppp0 -j ACCEPT
(这样除了特定机器能从公网远程控制网关,网关在公网上就象隐形一样很难攻击)
iptables -P FORWARD DROP
iptables -A FORWARD -p ICMP -j ACCEPT
iptables -A FORWARD -p tcp -s ! 192.168.1.0/24 -j ACCEPT
iptables -A FORWARD -p tcp -s 192.168.1.0/24 --dport 20 -j ACCEPT
iptables -A FORWARD -p tcp -s 192.168.1.0/24 --dport 21 -j ACCEPT
iptables -A FORWARD -p tcp -s 192.168.1.0/24 --dport 22 -j ACCEPT
iptables -A FORWARD -p tcp -s 192.168.1.0/24 --dport 25 -j ACCEPT
iptables -A FORWARD -p tcp -s 192.168.1.0/24 --dport 80 -j ACCEPT
iptables -A FORWARD -p tcp -s 192.168.1.0/24 --dport 110 -j ACCEPT
...
...
iptables -A FORWARD -p tcp -s 192.168.1.0/24 --dport XXX -j ACCEPT
(或者iptables -A FORWARD -p tcp -s 192.168.1.0/24 --dport 1:1024 -j ACCEPT,这样除非代理用得是极少数开放的端口,否则也不能使用代理。由于规则过于严格可能有部份网站不能正常浏览和下载。有兴趣也可配合squid 彻底封住代理)
iptables -A FORWARD -p udp -s 192.168.1.0/24 --dport 8000 -j DROP
封QQ
iptables -A FORWARD -p udp -j ACCEPT
iptables -A FORWARD -p tcp --dport 4000 -o ppp0 -j DROP
iptables -A FORWARD -p tcp --dport 2000 -o ppp0 -j DROP
(封边峰和联众的密码认证,配合cron可实现分时段封锁)
iptables -t nat -A POSTROUTING -s 192.168.1.0/24 -o ppp0 -j MASQUERADE
echo "[ OK ]"

呵呵,不知道斑竹大人有何见教
实战分享:从技术角度谈机器学习入门| 【大话IT】RadonDB低门槛向MySQL集群下战书 | ChinaUnix打赏功能已上线! | 新一代分布式关系型数据库RadonDB知多少?
platinum

论坛徽章:
0
5 [报告]
发表于 2005-06-25 11:20 |只看该作者

squid+iptable代理,局域网内机器无法通过联众游戏的身份验证

是啊,问题是你要允许出去,还是允许进来,还是允许如何
你现在的规则是允许别人访问 Linux 系统的 tcp/2000
实战分享:从技术角度谈机器学习入门| 【大话IT】RadonDB低门槛向MySQL集群下战书 | ChinaUnix打赏功能已上线! | 新一代分布式关系型数据库RadonDB知多少?
isalie

论坛徽章:
0
6 [报告]
发表于 2005-06-25 21:48 |只看该作者

squid+iptable代理,局域网内机器无法通过联众游戏的身份验证

封的时候采用是forward,是不是我也应该用forward?
iptables -A FORWARD -p tcp --dport 2000 -o eth0 -j ACCEPT

eth0是外网的
实战分享:从技术角度谈机器学习入门| 【大话IT】RadonDB低门槛向MySQL集群下战书 | ChinaUnix打赏功能已上线! | 新一代分布式关系型数据库RadonDB知多少?
gdwk

论坛徽章:
0
7 [报告]
发表于 2005-06-26 09:51 |只看该作者

squid+iptable代理,局域网内机器无法通过联众游戏的身份验证

[quote]原帖由 "isalie"]谁知道怎么输出squid.conf的简单形式啊,全部都是大片大片的注释,贴不完。谢谢。[/quote 发表:


grep -v "^#" squid.conf | grep -v "^$" | more
实战分享:从技术角度谈机器学习入门| 【大话IT】RadonDB低门槛向MySQL集群下战书 | ChinaUnix打赏功能已上线! | 新一代分布式关系型数据库RadonDB知多少?
isalie

论坛徽章:
0
8 [报告]
发表于 2005-06-27 16:33 |只看该作者

squid+iptable代理,局域网内机器无法通过联众游戏的身份验证

  1. hierarchy_stoplist cgi-bin ?
  2. acl QUERY urlpath_regex cgi-bin \?
  3. no_cache deny QUERY
  4. acl all src 0.0.0.0/0.0.0.0
  5. acl manager proto cache_object
  6. acl localhost src 127.0.0.1/255.255.255.255
  7. acl SSL_ports port 443 563
  8. acl Safe_ports port 80          # http
  9. acl Safe_ports port 21          # ftp
  10. acl Safe_ports port 443 563     # https, snews
  11. acl Safe_ports port 70          # gopher
  12. acl Safe_ports port 210         # wais
  13. acl Safe_ports port 1025-65535  # unregistered ports
  14. acl Safe_ports port 280         # http-mgmt
  15. acl Safe_ports port 488         # gss-http
  16. acl Safe_ports port 591         # filemaker
  17. acl Safe_ports port 777         # multiling http
  18. acl CONNECT method CONNECT
  19. acl our_subnet src 192.168.5.2-192.168.5.255
  20. http_access allow our_subnet
  21. http_access allow manager localhost
  22. http_access deny manager
  23. http_access deny !Safe_ports
  24. http_access deny CONNECT !SSL_ports
  25. http_access allow localhost
  26. http_access deny all
  27. icp_access allow all
  28. visible_hostname www.sita.edu.cn
  29. httpd_accel_host virtual
  30. httpd_accel_port 80
  31. httpd_accel_with_proxy on
  32. httpd_accel_uses_host_header on
复制代码
实战分享:从技术角度谈机器学习入门| 【大话IT】RadonDB低门槛向MySQL集群下战书 | ChinaUnix打赏功能已上线! | 新一代分布式关系型数据库RadonDB知多少?
返回列表 发新帖
高级模式
B Color Image Link Quote Code Smilies
您需要登录后才可以回帖 登录 | 注册

本版积分规则 发表回复

  

北京盛拓优讯信息技术有限公司. 版权所有 京ICP备16024965号-6 北京市公安局海淀分局网监中心备案编号:11010802020122 niuxiaotong@pcpop.com 17352615567
未成年举报专区
中国互联网协会会员  联系我们:huangweiwei@itpub.net
感谢所有关心和支持过ChinaUnix的朋友们 转载本站内容请注明原作者名及出处

清除 Cookies - ChinaUnix - Archiver - WAP - TOP