The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]

форумы  помощь  поиск  регистрация  майллист  ВХОД  слежка  RSS
"iptables+squid"
Вариант для распечатки  
Пред. тема | След. тема 
Форумы Информационная безопасность (Public)
Изначальное сообщение [Проследить за развитием треда]

"iptables+squid" 
Сообщение от kid emailИскать по авторуВ закладки(ok) on 14-Окт-04, 10:46  (MSK)
народ помогите...замучился..(только к iptables tutorial не отправляйте читал) есть Squid настроенный на прозрачное проксирование и iptables который должен пускать пользователей из подсети 192.168.0.0\255.255.255.0 eth0 в инет через eth1
# Generated by iptables-save v1.2.6a on Thu Oct 14 09:15:31 2004

*nat
:PREROUTING ACCEPT [113:19617]
:POSTROUTING ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]
[0:0] -A PREROUTING -p tcp -m tcp --dport 80 -j REDIRECT --to-ports 3128
[0:0] -A POSTROUTING -o eth1 -j SNAT --to-source 83.149.204.26

COMMIT
# Completed on Thu Oct 14 09:15:31 2004
# Generated by iptables-save v1.2.6a on Thu Oct 14 09:15:31 2004
*mangle
:PREROUTING ACCEPT [434:45184]
:INPUT ACCEPT [434:45184]

:FORWARD ACCEPT [0:0]

:OUTPUT ACCEPT [0:0]

:POSTROUTING ACCEPT [0:0]

COMMIT

# Completed on Thu Oct 14 09:15:31 2004

# Generated by iptables-save v1.2.6a on Thu Oct 14 09:15:31 2004

*filter

:INPUT DROP [297:33285]

:FORWARD DROP [0:0]

:OUTPUT DROP [0:0]

:allowed - [0:0]

:bad_tcp_packets - [0:0]

:icmp_packets - [0:0]

:tcp_packets - [0:0]

:udp_packets - [0:0]

[0:0] -A INPUT -p tcp -j bad_tcp_packets

[0:0] -A INPUT -s 192.168.0.0 -i eth0 -j ACCEPT

[0:0] -A INPUT -s 127.0.0.1 -i lo -j ACCEPT

[0:0] -A INPUT -s 192.168.0.30 -i lo -j ACCEPT

[0:0] -A INPUT -s 83.149.204.26 -i lo -j ACCEPT

[0:0] -A INPUT -d 83.149.204.26 -m state --state RELATED,ESTABLISHED -j ACCEPT

[0:0] -A INPUT -i eth1 -p tcp -j tcp_packets
[0:0] -A INPUT -i eth1 -p udp -j udp_packets

[0:0] -A INPUT -i eth1 -p icmp -j icmp_packets
[0:0] -A INPUT -d 224.0.0.0/255.0.0.0 -i eth1 -j DROP

[0:0] -A FORWARD -p tcp -j bad_tcp_packets
[0:0] -A FORWARD -i eth1 -j ACCEPT

[0:0] -A FORWARD -m state --state RELATED,ESTABLISHED -j ACCEPT

[0:0] -A OUTPUT -p tcp -j bad_tcp_packets
[0:0] -A OUTPUT -s 127.0.0.1 -j ACCEPT

[0:0] -A OUTPUT -s 192.168.0.30 -j ACCEPT
[0:0] -A OUTPUT -s 83.149.204.26 -j ACCEPT

[0:0] -A allowed -p tcp -m tcp --tcp-flags SYN,RST,ACK SYN -j ACCEPT
[0:0] -A allowed -p tcp -m state --state

RELATED,ESTABLISHED -j ACCEPT

[0:0] -A allowed -o tcp -j DROP

[0:0] -A bad_tcp_packets -p tcp -m tcp --tcp-flags SYN,ACK SYN,ACK -m state --state NEW -j REJECT --reject-with tcp-reset
[0:0] -A bad_tcp_packets -p tcp -m tcp ! --tcp-flags SYN,RST,ACK SYN -m state --state NEW -j LOG --log-prefix "New not syn:"
[0:0] -A bad_tcp_packets -p tcp -m tcp ! --tcp-flags SYN,RST,ACK SYN -m state --state NEW -j DROP

[0:0] -A icmp_packets -s 192.168.0.0/255.255.0.0 -p icmp -m icmp --icmp-type 8 -j ACCEPT

[0:0] -A icmp_packets -s 192.168.0.0/255.255.0.0 -p icmp -m icmp --icmp-type 11 -j ACCEPT

[0:0] -A tcp_packets -s 192.168.0.0/255.255.0.0 -p tcp -m tcp --dport 21 -j allowed

[0:0] -A tcp_packets -s 192.168.0.0/255.255.0.0 -p tcp -m tcp --dport 22 -j allowed

[0:0] -A udp_packets -s 192.168.0.0/255.255.0.0 -p udp -m udp --dport 53 -j ACCEPT

[0:0] -A udp_packets -d 83.149.204.27 -i eth1 -p udp -m udp --dport 135:139 -j DROP

COMMIT
# Completed on Thu Oct 14 09:15:31 2004

  Правка | Высказать мнение | Ответить | Рекомендовать в FAQ | Cообщить модератору | Наверх

 Оглавление

  • iptables+squid, куа, 10:53 , 14-Окт-04, (1)  
    • iptables+squid, kid, 11:06 , 14-Окт-04, (2)  
      • iptables+squid, dimus, 15:36 , 15-Окт-04, (3)  
  • iptables+squid, Hunter, 12:23 , 18-Окт-04, (4)  

Индекс форумов | Темы | Пред. тема | След. тема
Сообщения по теме

1. "iptables+squid" 
Сообщение от куа Искать по авторуВ закладки on 14-Окт-04, 10:53  (MSK)
посмотри squid -v
  Удалить Правка | Высказать мнение | Ответить | Рекомендовать в FAQ | Cообщить модератору | Наверх

2. "iptables+squid" 
Сообщение от kid emailИскать по авторуВ закладки(ok) on 14-Окт-04, 11:06  (MSK)
>посмотри squid -v

и чего?? squid cache version 2.5.stable6
и далее configure options

  Удалить Правка | Высказать мнение | Ответить | Рекомендовать в FAQ | Cообщить модератору | Наверх

3. "iptables+squid" 
Сообщение от dimus Искать по авторуВ закладки(??) on 15-Окт-04, 15:36  (MSK)
А пакеты вообще из внутренней сети во внешнюю проходят? Я так в свое время намучался, пока не разобрался в чем дело. Попробуй пингануть из внутренней сети яндекс, например. Если все пучком - значит дело где-то уровнем выше.  

Попробуй настроить сквид без редиректа, на порт 3128. Такой режим, кстати, более безопасный.

Чтобы проверить, работает ли редирект вообще, можно попробовать изменить порт, на который ты передаешь пакет на порт заведомо рабочей службы. Например с 80 порта гнать на 23 - telnet или 22 - ssh. Тогда по идее должно сработать telnet <ip> 80, и если заработает, то значит виновата не iptables

  Удалить Правка | Высказать мнение | Ответить | Рекомендовать в FAQ | Cообщить модератору | Наверх

4. "iptables+squid" 
Сообщение от Hunter emailИскать по авторуВ закладки(??) on 18-Окт-04, 12:23  (MSK)
iptables -A PREROUTING -s 192.168.0.0/16 -i eth0 -p tcp --dport 80 -j REDIRECT --to-ports 3128 # Заворачиваем в сквида
iptables -A POSTROUTING -s 192.168.0.0/16 -o eth0 -j SNAT --to-source 83.149.204.26 # NATим
iptables -A INPUT -i eth0 -s 192.168.0.0/16 -p tcp --dport 3128 -j ACCEPT # Разрешаем форвард для редиректа
iptables -A FORWARD -i lo -j ACCEPT # Разрешаем пакеты с localhost, на который редиректнулись первым правилом
echo "1" > /proc/sys/net/ipv4/ip_forward # не забываем про фровардинг между ифейсами ;)
  Удалить Правка | Высказать мнение | Ответить | Рекомендовать в FAQ | Cообщить модератору | Наверх


Архив | Удалить

Индекс форумов | Темы | Пред. тема | След. тема
Пожалуйста, прежде чем написать сообщение, ознакомьтесь с данными рекомендациями.




Спонсоры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2022 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру