Problème avec iptables et redirection de port SQUID 3128
Problème avec iptables et redirection de port SQUID 3128 - réseaux et sécurité - Linux et OS Alternatifs
Marsh Posté le 03-03-2003 à 07:52:52
salut à tous
je viens d'essayer ce petit script pour voir sije passe pas squid sans règle de firewall et j'arrive sur une page d'erreur de SQUID qui me dit que mon URL n'est pas valide
est ce que quelqu'un aurait des infos
######################################################"
#!/bin/bash
#Activation du routage IP
echo 1 > /proc/sys/net/ipv4/ip_forward
# Chargement des modules
modprobe ip_tables
modprobe ip_nat_ftp
modprobe iptable_filter
modprobe iptable_nat
modprobe ip_conntrack
modprobe ip_conntrack_ftp
# Pour Masquer le LAN en faisant du Masquerading
iptables -t nat -A POSTROUTING -s 192.168.1.0/24 -j MASQUERADE
iptables -t nat -A PREROUTING -i eth1 -p tcp --dport 80 -j DNAT --to-destination 192.168.1.1:3128
Marsh Posté le 03-03-2003 à 09:35:11
| pat_testa_mora a écrit : salut à tous |
essaye peut-être "-j REDIRECT" au lien de "-j DNAT" mais dans ton cas je sais pas si ça passera, sinon essaye sans spécifier d'IP de destination : --to-port 3128
Marsh Posté le 03-03-2003 à 10:03:01
salut c'est pareil rien à faire toujours le même problème
Marsh Posté le 03-03-2003 à 10:12:48
un soucis d'ACL peut-être, quand il te dit que l'url est mal formatée, il te met "/" et quand tu passes le pointeur dessus tu as bien l'adresse demandée en bas dans la barre d'état ? (ou en faisant propriétés sur le lien)
Marsh Posté le 03-03-2003 à 11:28:44
A mon avis c est ton squid qui est pas configuré pour faire du mode transparetn.
J avais eu le meme probleme.
Marsh Posté le 03-03-2003 à 12:38:21
| pat_testa_mora a écrit : oui c'est ça mais comment comment on règle ce truc |
google -> squid transparent
ça devrait le faire
Marsh Posté le 03-03-2003 à 15:22:36
j'ai réussit à sortir via SQUID mais il ne bloque pas les URL que j'ai créer dans une ACL alors que si je désactive le firewall le proxy filtre bien les sites
Marsh Posté le 03-03-2003 à 15:55:28
Je pense que ton probléme majeur viens de
|
as tu une addresse assigée dynamiquement par ton fai ou est lui qui t'a demandé de mettre celle là ?
Parce que d'habitude (à ma connaissance) on ne mets aucune addresse à eth0 .
Marsh Posté le 04-03-2003 à 02:22:33
j'y suis arrivé mise à part que je n'arrive pas à faire du HTTPS et du FTP via mon proxy
est ce que quelqu'un aurait une idée
Marsh Posté le 16-04-2003 à 22:28:42
oui, le https normal
il faut recompiler squid, avec l'option --enable-ssl en +
Mais de toute façon les pages https ne sont pas garder en cache
Sujets relatifs:
- Probleme de config reseau [resolu]
- probleme touches :-( c nul ce truc :(:(:((
- Probleme de compilation de Mozilla [Résolu]
- [iptables] bloquer ttes les connexions en provenance d'1 PC
- problème avec PROFTPD
- Probleme partition/sauvegarde donnee importantes ...please help !!!
- [Squid] prob de port pour VNC Pcanywhere
- Gros probleme automount
- [Samba]probleme de droit d'acces
Marsh Posté le 03-03-2003 à 02:40:05
Salut à tous j'envoi encore un SOS parce que je ne m'en sort pas
J'ai essayé toute la nuit mais pas moyen
mon firewall marche plus ou moins bien enfin je ne sais pas s'il est suffisament sécurisé et j'aurais voulu mettre un SQUID mais q'il soit transparent mais pas moyen d'y arriver
je joint mon script
mes ip :
eth0 : 192.168.0.1 connecté a mon modem ADSL ethernet
eth1 : 192.168.1.1 connecté à mon LAN
ppp0 : ma connexion ADSL
################################################################
#!/bin/bash
#Activation du routage IP
echo 1 > /proc/sys/net/ipv4/ip_forward
# Protection contre le Spoofing
if [ -e /proc/sys/net/ipv4/conf/all/rp_filter ]
then
for filtre in /proc/sys/net/ipv4/conf/*/rp_filter
do
echo 1 > $filtre
done
fi
# Protection contre le ICMP
echo 1 > /proc/sys/net/ipv4/icmp_echo_ignore_all
echo 1 > /proc/sys/net/ipv4/icmp_echo_ignore_broadcasts
# Chargement des modules
modprobe ip_tables
modprobe ip_nat_ftp
modprobe iptable_filter
modprobe iptable_nat
modprobe ip_conntrack
modprobe ip_conntrack_ftp
# Effacement des anciennes règles et chaines
iptables -F
iptables -t nat -F
iptables -t mangle -F
iptables -X
iptables -t nat -X
# Politique par defaut
iptables -P INPUT DROP
iptables -P FORWARD DROP
iptables -P OUTPUT DROP
# Pour tout accepter sur la boucle locale
iptables -A INPUT -i lo -j ACCEPT
iptables -A OUTPUT -o lo -j ACCEPT
# Pour que le Proxy soit connecte
iptables -A OUTPUT -o ppp0 -p tcp -m multiport --dport 80,443,21 -m state --state NEW,ESTABLISHED -j ACCEPT
iptables -A INPUT -i ppp0 -p tcp -m multiport --sport 80,443,21 -m state --state ESTABLISHED -j ACCEPT
# Pour accepter la Resolution DNS sur la passerelle
iptables -A OUTPUT -o ppp0 -p udp --dport 53 -m state --state NEW,ESTABLISHED -j ACCEPT
iptables -A INPUT -i ppp0 -p udp --sport 53 -m state --state ESTABLISHED -j ACCEPT
iptables -A OUTPUT -o ppp0 -p tcp --dport 53 -m state --state NEW,ESTABLISHED -j ACCEPT
iptables -A INPUT -i ppp0 -p tcp --sport 53 -m state --state ESTABLISHED -j ACCEPT
# Pour que le Proxy soit tansparent
iptables -t nat -A PREROUTING -i eth1 -p tcp -m multiport --dport 80,443,21 -j DNAT --to-destination 192.168.1.1:3128
# Pour Masquer le LAN en faisant du Masquerading
iptables -t nat -A POSTROUTING -s 192.168.1.0/24 -j MASQUERADE
# Pour donner l'acces a internet au Lan
iptables -A FORWARD -s 192.168.1.0/24 -i eth1 -o ppp0 -p tcp -m multiport --dport 80,443,21 -m state --state NEW,ESTABLISHED -j ACCEPT
iptables -A FORWARD -d 192.168.1.0/24 -i ppp0 -o eth1 -p tcp -m multiport --sport 80,443,21 -m state --state ESTABLISHED -j ACCEPT
# Pour accepter la resolution DNS sur le LAN
iptables -A FORWARD -s 192.168.1.0/24 -i eth1 -o ppp0 -p udp --dport 53 -m state --state NEW,ESTABLISHED -j ACCEPT
iptables -A FORWARD -d 192.168.1.0/24 -i ppp0 -o eth1 -p udp --sport 53 -m state --state ESTABLISHED -j ACCEPT
iptables -A FORWARD -s 192.168.1.0/24 -i eth1 -o ppp0 -p tcp --dport 53 -m state --state NEW,ESTABLISHED -j ACCEPT
iptables -A FORWARD -d 192.168.1.0/24 -i ppp0 -o eth1 -p tcp --sport 53 -m state --state ESTABLISHED -j ACCEPT
# Pour accepter une connexion SSH
iptables -A INPUT -m state --state NEW,ESTABLISHED -p tcp --dport 22 -j ACCEPT
iptables -A OUTPUT -m state --state ESTABLISHED -p tcp --sport 22 -j ACCEPT
# Emettre une Connexion SSH
iptables -A OUTPUT -p tcp --dport 22 -m state --state NEW,ESTABLISHED -j ACCEPT
iptables -A INPUT -p tcp --sport 22 -m state --state ESTABLISHED -j ACCEPT
# Pour Autoriser les connexion FTP sur notre serveur
iptables -A FORWARD -p tcp --sport 21 -m state --state NEW,ESTABLISHED -j ACCEPT
iptables -A FORWARD -p tcp --dport 21 -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A FORWARD -p tcp --sport 20 -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT
iptables -A FORWARD -p tcp --dport 20 -m state --state ESTABLISHED -j ACCEPT
iptables -A FORWARD -p tcp --sport 1024:65535 --dport 1024:65535 -m state --state NEW,ESTABLISHED -j ACCEPT
iptables -A FORWARD -p tcp --sport 1024:65535 --dport 1024:65535 -m state --state ESTABLISHED,RELATED -j ACCEPT
# Pour envoyer des Mails
iptables -A FORWARD -i eth1 -o ppp0 -p tcp --dport 25 -m state --state NEW,ESTABLISHED -j ACCEPT
iptables -A FORWARD -i ppp0 -o eth1 -p tcp --sport 25 -m state --state ESTABLISHED -j ACCEPT
# Pour recevoir des Mails
iptables -A FORWARD -i eth1 -o ppp0 -p tcp --dport 110 -m state --state NEW,ESTABLISHED -j ACCEPT
iptables -A FORWARD -i ppp0 -o eth1 -p tcp --sport 110 -m state --state ESTABLISHED -j ACCEPT
echo " [Firewall Active]"
un peu d'aide serait la bien venue