小州 <kenduest.bbs@bbs.cynix.com.tw> wrote in message
news:3dg3Uj$39k@bbs.cynix.com.tw...
> ※ 引述《allen@goldnet.com.tw (合併恐慌中)》之銘言:
> > 請問各位我要如何設定ipchains才能強迫client使用proxy上網....我已設了
> > -j redirct
>
>   那您 squid 那邊應該是設定好了吧?
>
> > 我要說的是,若client端將proxy指到lan以外的proxy server,就不准他上網...
> > 強制client一定要從lan內部的proxy server上網
>
>   很難規範吧... 比方有人就是在外面自己架設一個在 port 23 上的
>   proxy server,然後使用該 proxy 要連線出去,這也是沒則..
>
>   所以在 nat 架構下,要限制不大可能... 除非您就是單純裡面與外面區隔
>   開來,然後 client 端就需要設定中介點的 proxy server 才可以連線出去。
>   許多公司就是使用這個架構。

擋掉其它的﹐只允許到 local proxy 的連線﹕
ipchains -I input -i $INT_IF -p TCP ! -d $INT_IP 3128 -j DENY

或是將 proxy 另外架在內部網路﹐只允許 proxy 連線﹕
ipchains -I input -i $INT_IF -p TCP ! -s $PROXY_IP -j DENY

如果您有其它服務﹐如電子郵件﹐將之架在外面﹐然後限制連線﹕
ipchains -I input -i $INT_IF -p TCP -d $EXT_MAIL_IP 25 -j ACDEPT
ipchains -I input -i $INT_IF -p TCP -d $EXT_MAIL_IP 110 -j ACDEPT

** 注意﹕如果按前面順序輸入的話﹐記得在 ipchains 後面用 -I 參數﹐如果用 -A
參數﹐請將順序反過來﹐且確定先清空目前的規則(-F)。