Як відкрити порт...

[rus]

  Запустив я SQUID працює... тепер є проблемка , потрібно відкрити порти під он-лайн ігри, наприклад Ультіма, вона користується портом 2593... підскажіть плз як це зробити, пробував міняти в списку портів(в squid.conf) не получається.
   Доречі аська працює без додаткових настройок... так і повинно бути??

[Володимир Лісівка]

Відкрити порт можна так само, як ви його закривали.
Squid - це проксі (посередник), який працює на якомусь одному порті, до решти портів він не має відношення.
Порти закриваються за допомогою firewall. Якщо у вас NAT (декілька машин, з IP-ками для внутрішньої мережі, на зразок 192.168.x.x і одним сервером з нормальною ip-кою), то  знесіть той firewall - простіше прямо сервіси позакривати на сервері, ніж закривати/відкривати кожен порт firewal-ом.

[Дмитро Ковальов]

Якщо у вас NAT (декілька машин, з IP-ками для внутрішньої мережі, на зразок 192.168.x.x і одним сервером з нормальною ip-кою), то  знесіть той firewall - простіше прямо сервіси позакривати на сервері, ніж закривати/відкривати кожен порт firewal-ом.

Невірно. Вірніше частково вірно, для того випадку, коли брандмауер, це - виділена машина, яка більше нічого не робить.

Але загалом (для смертних), це не так. Тому відкриті всередину мережі порти і назовню  порти -- зовсім різні речі. Всередину у мене можуть бути відкриті ssh, rpc (для nfs), 6000-60xx для X-ів, lpd, ldap і ще купа всякого сміття, яке мені потрібно для внутрішньої мережі. Назовню я загалом відкриваю http/https і ssh(для кількох надійних IP-адрес).

Можна, звичайно, сервіси позакривати через tcp_wrappers, але це зовсім не те.

[dusoft]

Поясніть будь ласка, що ви маєте на увазі коли кажете "всередину мережі і назовню".

[Дмитро Ковальов]

Маємо стандартну конфігурацію:

* ISP нам надає одну IP адресу (або динамічну, або статичну -- хто скільки грошей хоче платити).
* Маємо більше одного комп'ютера, які треба підключити і користуватися мережею.

Тобто, потрібно встановити шлюз з NAT. З одного боку цього шлюза будуть -- інтернет/всесвітні тенета, з іншого боку -- кілька персональних машин. Ці кілька персональних машин мають бути настроєними з приватними IP адресами (10.0.0.0 або 192.168.0.0).

Це й мається на увазі під "всередину" (кілька персональних машин) і "назовню" (весь цей дикий інтернет).

Наприклад, шлюзова машина, в мене одночасно виконує функції і dns/xntp/nfs/smtp (що ще забув?) сервера (звичайно ж і брандмауера теж). З точки зору безпеки, це чесно кажучи не рекомендується, але ставити виділену машину для шлюза/брандмауера я не можу.

З огляду на всі ці сервіси, які я маю надавати для своїх комп'ютерів в мережі, я повинен відкрити всі ці порти для 10.0.0.0, але ні за яких умов їх не можна відкривати назовню. Назовню в мене відкрито тільки http/https. Для цього і встановлюється брандмауер (ipf/ipfw/ipchains/iptable - в кого що є), який пропускає пакети на одному інтерфейсі і не пропускає на іншому в залежності від того, кому що треба.

[dusoft]

Дякую, тепер я зрозумів, що ви мали на увазі.