Тема: problemi s iptables/forward (Прочетена 1894 пъти)

npelov · « -: Oct 07, 2004, 20:48 »

Izpolzvam edno staro PC za router.
Vsichko na port 80 se redirektva kym squid. Ostanaloto minava direktno.
Vsichko raboti browsing, icq mirc, no ne i SSL
kogato se opitam da otvorq stranica sys https:// ne stava
razbrah che squid ne moje da obslujva ssl kato transparent.

na eth0 se vryzvam chrez pptp kym server-a
na eth1 sa clientite
pptp server 192.168.29.2
clienti 192.168.2.0/24
lokalni adresi do koito klientite trqbva da imat dostyp:
192.168.65.0/24
192.168.11.0/24
ip adres eth0: 192.168.65.90
ip adres eth1: 192.168.2.1
gateway za 192.168.29.2: 192.168.65.1

eto rezultata ot iptables-save:

Примерен код

# Generated by iptables-save v1.2.6a on Thu Oct 7 20:16:42 2004
*nat
:PREROUTING ACCEPT [117438:12154092]
:POSTROUTING ACCEPT [32484:2061568]
:OUTPUT ACCEPT [67718:4262264]
-A PREROUTING -d 192.168.65.0/255.255.255.0 -j RETURN
-A PREROUTING -d 192.168.11.0/255.255.255.0 -j RETURN
-A PREROUTING -d 192.168.2.0/255.255.255.0 -j RETURN
-A PREROUTING -i eth1 -p tcp -m tcp --dport 80 -j REDIRECT --to-ports 3128
-A POSTROUTING -d 192.168.65.0/255.255.255.0 -o eth0 -j SNAT --to-source 192.1
-A POSTROUTING -d 192.168.11.0/255.255.255.0 -o eth0 -j SNAT --to-source 192.1
-A POSTROUTING -o ppp0 -j MASQUERADE
COMMIT
# Completed on Thu Oct 7 20:16:42 2004
# Generated by iptables-save v1.2.6a on Thu Oct 7 20:16:42 2004
*filter
:INPUT ACCEPT [14655915:18771453014]
:FORWARD ACCEPT [6438368:9221769469]
:OUTPUT ACCEPT [23009026:18469951449]
-A INPUT -d 192.168.2.0/255.255.255.0 -j ACCEPT
-A INPUT -s 192.168.65.30 -j ACCEPT
-A INPUT -i eth0 -p udp -m udp --sport 67:68 --dport 67:68 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 0:1023 --tcp-flags SYN,RST,ACK SYN -j REJECT --
-A INPUT -p tcp -m tcp --dport 2049 --tcp-flags SYN,RST,ACK SYN -j REJECT --re
-A INPUT -p udp -m udp --dport 0:1023 -j REJECT --reject-with icmp-port-unreac
-A INPUT -p udp -m udp --dport 2049 -j REJECT --reject-with icmp-port-unreacha
-A INPUT -p tcp -m tcp --dport 6000:6009 --tcp-flags SYN,RST,ACK SYN -j REJECT
-A INPUT -p tcp -m tcp --dport 7100 --tcp-flags SYN,RST,ACK SYN -j REJECT --re
-A FORWARD -i ppp0 -o eth1 -m state --state RELATED,ESTABLISHED -j ACCEPT
-A FORWARD -s 192.168.65.0/255.255.255.0 -d 192.168.2.0/255.255.255.0 -o eth0
-A FORWARD -s 192.168.11.0/255.255.255.0 -d 192.168.2.0/255.255.255.0 -o eth0
-A FORWARD -i eth1 -o ppp0 -j ACCEPT
-A FORWARD -p tcp -m tcp --tcp-flags SYN,RST SYN -j TCPMSS --clamp-mss-to-pmtu
COMMIT
# Completed on Thu Oct 7 20:16:42 2004

Примерен код

Red Hat 8.0
Squid 2.5

« **Отговор #1 -:** Oct 07, 2004, 22:00 »

1. ПИШИ НА КИРИЛИЦА
2. Ползвай търсачката

Какво намери търсачката за начало:
http://www.linux-bg.org/cgi-bin....t+squid

http://www.linux-bg.org/cgi-bin....t+squid

http://www.linux-bg.org/cgi-bin....t+squid

npelov · « **Отговор #2 -:** Oct 08, 2004, 05:27 »

1. ОК
2. Винаги ползвам търсачката (нищо не открих).И проблема не е в squid. Той си работи. Проблема е в iptables. Не иска да препраща secure сайтове.
Пример: http://www.my-siemens.com/developer (това не е https, но препраща към https site)

P.S. мразя постоянно да превключвам кирилица/латиница ':p'

« **Отговор #3 -:** Oct 08, 2004, 08:34 »

Цитат (npelov @ Окт. 07 2004,21:48)

Здрасти !
ползваш : -A PREROUTING -i eth1 -p tcp -m tcp --dport 80 -j REDIRECT --to-ports 3128
не би ли следвало за транспарент да ползваш :
-A PREROUTING -s 192.168.2.0/24 -p tcp -m tcp --dport j DNAT --to-destination {ip.to.na.routera}:3128

« **Отговор #4 -:** Oct 08, 2004, 08:37 »

Цитат (Guest @ Окт. 08 2004,09:34)

Цитат на: npelov,Окт. 07 2004,21:48

Здрасти !
ползваш : -A PREROUTING -i eth1 -p tcp -m tcp --dport 80 -j REDIRECT --to-ports 3128
не би ли следвало за транспарент да ползваш :
-A PREROUTING -s 192.168.2.0/24 -p tcp -m tcp --dport j DNAT --to-destination {ip.to.na.routera}:3128

уффф, малко рано и доста неясно ! грешка !
не аир-то на роутер-а, а айр-то на сепията !!!
и е добра идея да огледаш ACL на сепията.

vesok · « **Отговор #5 -:** Oct 08, 2004, 08:40 »

Цитат

мразя постоянно да превключвам кирилица/латиница

Аз пък мразя да чета на шльокавица ':p'

След реда:

Цитат

-A PREROUTING -i eth1 -p tcp -m tcp --dport 80 -j REDIRECT --to-ports 3128

добави:

-A PREROUTING -i eth1 -p tcp -m tcp --dport 443 -j REDIRECT --to-ports 3129

След това в squid.conf добави

Примерен код

https_port 3129

(така както си направил http_port 3128)

Рестартирай squid, презареди си firewall-правилата и би трябвало да си готов.

Ice___Cool · « **Отговор #6 -:** Oct 08, 2004, 10:01 »

Пич работата е там, че само порт 80 прашташ към Скуид, а трябва и 443 - това е дефаулт порта на ССЛ

npelov · « **Отговор #7 -:** Oct 08, 2004, 19:27 »

Да ама не искам SSL да минава през squid поради тези причини:
1. SSL не се кешира
2. Squid НЕ може да обслужва SSL като транспарент прокси

Идеята ми е SSL да минава през FORWARD

Подобни теми
	Заглавие	Започната от	Отговора	Прегледи	Последна публикация
	Forward na URL Хардуерни и софтуерни проблеми	spider	0	854	Apr 30, 2004, 13:13 от spider
	Port forward? Настройка на програми	tzappa	9	4361	Oct 05, 2004, 19:37 от tzappa
	iptables port FORWARD Настройка на програми	tuxi	3	2472	Oct 09, 2004, 09:00 от tuxi
	VPN интернет forward? Системни настройки	masterross	4	2356	Jan 30, 2006, 13:14 от masterross
	Vpn forward Настройка на програми	w1zard	4	1447	Jan 14, 2007, 00:16 от w1zard

Автор Тема: problemi s iptables/forward (Прочетена 1894 пъти)