Nie jesteś zalogowany.
Jeśli nie posiadasz konta, zarejestruj je już teraz! Pozwoli Ci ono w pełni korzystać z naszego serwisu. Spamerom dziękujemy!

Ogłoszenie

Prosimy o pomoc dla małej Julki — przekaż 1% podatku na Fundacji Dzieciom zdazyć z Pomocą.
Więcej informacji na dug.net.pl/pomagamy/.

Strony: 1

 

#1  2007-04-03 18:40:13

  ufoshi - Użytkownik

ufoshi
Użytkownik
Zarejestrowany: 2005-09-16

Squid acl dansguardian i xxx

MAm pytanie czy ktos wogule uzywa dansguardiana - a jak tak to czy przy ransparentnym proxy, bo za chiny ludowe uruchomic nie moge.

squid.conf

http_port 8080
httpd_accel_host virtual
httpd_accel_port 80
httpd_accel_with_proxy on
httpd_accel_uses_host_header on

dansguardian.conf

filter_port 3128
proxy ip 127.0.0.1
proxy_port 8080

firewall - lnie przekierowujące do danguardiana

#Dansguardian
$IPTABLES -A INPUT -i $lan1 -p tcp --dport 3128 -j ACCEPT
$IPTABLES -t nat -A PREROUTING -i $lan1 -p tcp --dport 80 -j REDIRECT --to-ports 3128

Co moze byc źle bo juz nie wiem ;/

Offline

 

#2  2007-04-05 17:26:46

  ufoshi - Użytkownik

ufoshi
Użytkownik
Zarejestrowany: 2005-09-16

Re: Squid acl dansguardian i xxx

Witam to znowu ja ;]

po dodaniu przekierowania firewalla dansguardian dziala przez okolo 10 sekund po czym zadna strona juz nie chce wejsc. Pomozcie prosze bo po 2 dniach juz jest ciezko ;/.

to mój firewall


#!/bin/bash

echo "1" > /proc/sys/net/ipv4/ip_forward

IPTABLES="/usr/local/sbin/iptables"
wanip="xxx.xxx.xxx.xxx"
wan="eth0"
ip1="192.168.1.1"
ip2="10.1.0.1"
lan1="192.168.1.0/24"
lan2="10.1.0.0/24"
all="0/0"

#NAT
$IPTABLES -F -t nat
$IPTABLES -t nat -I POSTROUTING -s $lan1 -o $wan -j MASQUERADE
$IPTABLES -t nat -I POSTROUTING -s $lan2 -o $wan -j MASQUERADE
#przekierowanie do ulogd (logowanie polaczen nawiazanych: pakietow SYN)
$IPTABLES -t nat -A PREROUTING -s $lan1 -d ! $lan1 -m state --state NEW -j ULOG --ulog-nlgroup 1
$IPTABLES -t nat -A PREROUTING -s $lan2 -d ! $lan2 -m state --state NEW -j ULOG --ulog-nlgroup 1


#Squid - przekierowanie sieci na proxy (transparentne)
$IPTABLES -t nat -A PREROUTING -s $lan1 -p tcp --dport 80 -j DNAT --to xxx.xxx.xxx.xxx:8080
$IPTABLES -t nat -A PREROUTING -s $lan1 -p tcp --dport 8080 -j DNAT --to xxx.xxx.xxx.xxx:8080
$IPTABLES -t nat -A PREROUTING -s $lan2 -p tcp --dport 80 -j DNAT --to xxx.xxx.xxx.xxx:8080
$IPTABLES -t nat -A PREROUTING -s $lan2 -p tcp --dport 8080 -j DNAT --to xxx.xxx.xxx.xxx:8080
#Dansguardian
$IPTABLES -t nat -A OUTPUT -p tcp --dport 80 -j REDIRECT --to-ports 3128
$IPTABLES -t nat -A OUTPUT -p tcp --dport 8080 -j REDIRECT --to-ports 3128

#Firewall
#to tyle routingu - zaczynamy filtrowanie
#domyslne polisy i/o na drop
$IPTABLES -F
$IPTABLES -P INPUT DROP
$IPTABLES -P OUTPUT DROP
$IPTABLES -P FORWARD ACCEPT

$IPTABLES -A INPUT -i lo -j ACCEPT
$IPTABLES -A OUTPUT -o lo -j ACCEPT

#PING - dopuszczamy pingowanie tylko z wewnatrz sieci na wszystkie 3sieciowki, odrzucamy z neta
$IPTABLES -A INPUT -p icmp -s $lan1 -j ACCEPT
$IPTABLES -A INPUT -p icmp -s $lan2 -j ACCEPT
$IPTABLES -A INPUT -p icmp -m state --state ESTABLISHED,RELATED -j ACCEPT
$IPTABLES -A OUTPUT -p icmp -m state --state ESTABLISHED,RELATED -j ACCEPT
#PortSentry ! - wymagane fake-porty dla portsentry
$IPTABLES -A INPUT -p tcp --dport 11 -m state --state NEW -j ACCEPT
$IPTABLES -A INPUT -p udp --dport 11 -m state --state NEW -j ACCEPT
$IPTABLES -A INPUT -p tcp --dport 23 -m state --state NEW -j ACCEPT
$IPTABLES -A INPUT -p udp --dport 23 -m state --state NEW -j ACCEPT
$IPTABLES -A INPUT -p tcp --dport 38 -m state --state NEW -j ACCEPT
$IPTABLES -A INPUT -p tcp --dport 111 -m state --state NEW -j ACCEPT
$IPTABLES -A INPUT -p udp --dport 111 -m state --state NEW -j ACCEPT
$IPTABLES -A INPUT -p udp --dport 513 -m state --state NEW -j ACCEPT
#ESTABLISHED - przepuszczamy polaczenia nawiazane
$IPTABLES -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT
$IPTABLES -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
$IPTABLES -A OUTPUT -m state --state ! INVALID -j ACCEPT
#DNS - dopuszczamy klientow do dns'a
$IPTABLES -A INPUT -i eth1 -p tcp -s $lan1 -d $ip1 --dport 53 -m state --state NEW -j ACCEPT
$IPTABLES -A INPUT -i eth1 -p udp -s $lan1 -d $ip1 --dport 53 -m state --state NEW -j ACCEPT
$IPTABLES -A INPUT -i eth2 -p tcp -s $lan2 -d $ip2 --dport 53 -m state --state NEW -j ACCEPT
$IPTABLES -A INPUT -i eth2 -p udp -s $lan2 -d $ip2 --dport 53 -m state --state NEW -j ACCEPT
$IPTABLES -A INPUT -p tcp -s $lan1 -d $wanip --dport 53 -m state --state NEW -j ACCEPT
$IPTABLES -A INPUT -p tcp -s $lan2 -d $wanip --dport 53 -m state --state NEW -j ACCEPT
$IPTABLES -A INPUT -p udp -s $lan1 -d $wanip --dport 53 -m state --state NEW -j ACCEPT
$IPTABLES -A INPUT -p udp -s $lan2 -d $wanip --dport 53 -m state --state NEW -j ACCEPT
#SSH - wpuszczamy polaczenia na ssh
$IPTABLES -A INPUT -p tcp -s $all -d $wanip --dport 60022 -m state --state NEW -j ACCEPT
$IPTABLES -A INPUT -i eth1 -s 192.168.1.5 -d $ip1 -m state --state NEW -j ACCEPT
$IPTABLES -A INPUT -i eth2 -s 10.1.0.155 -d $ip2 -m state --state NEW -j ACCEPT
#FTP - wpuszczamy polaczenia na ftp
$IPTABLES -A INPUT -p tcp -i eth1 -s 192.168.1.5 -d $ip1 --dport 21 -m state --state NEW -j ACCEPT
$IPTABLES -A INPUT -p tcp -i eth2 -s 10.1.0.155 -d $ip2 --dport 21 -m state --state NEW -j ACCEPT
$IPTABLES -A INPUT -p udp -i eth1 -s 192.168.1.5 -d $ip1 --dport 21 -m state --state NEW -j ACCEPT
$IPTABLES -A INPUT -p udp -i eth2 -s 10.1.0.155 -d $ip2 --dport 21 -m state --state NEW -j ACCEPT
#FTP - dostep z calej sieci wewnetrznej (!)
$IPTABLES -A INPUT -p udp -i eth2 -s $lan1 -d $ip1 --dport 21 -m state --state NEW -j ACCEPT
$IPTABLES -A INPUT -p udp -i eth2 -s $lan1 -d $ip1 --dport 21 -m state --state NEW -j ACCEPT
$IPTABLES -A INPUT -p udp -i eth2 -s $lan2 -d $ip2 --dport 21 -m state --state NEW -j ACCEPT
$IPTABLES -A INPUT -p udp -i eth2 -s $lan2 -d $ip2 --dport 21 -m state --state NEW -j ACCEPT
#Poczta - tlumaczyc chyba nie trzeba :)
$IPTABLES -A INPUT -p tcp -s $all -d $wanip --dport 25 -m state --state NEW -j ACCEPT
$IPTABLES -A INPUT -p tcp -s $all -d $wanip --dport 110 -m state --state NEW -j ACCEPT
$IPTABLES -A INPUT -p udp -s $all -d $wanip --dport 110 -m state --state NEW -j ACCEPT
$IPTABLES -A INPUT -p tcp -s $all -d $wanip --dport 119 -m state --state NEW -j ACCEPT
$IPTABLES -A INPUT -p tcp -s $all -d $wanip --dport 995 -m state --state NEW -j ACCEPT
$IPTABLES -A INPUT -p udp -s $all -d $wanip --dport 995 -m state --state NEW -j ACCEPT
#Squid - otwieramy porty squida dla polaczen z wewnatrz sieci
$IPTABLES -A INPUT -i eth1 -p tcp -s $lan1 -d $ip1 --dport 8080 -m state --state NEW -j ACCEPT
$IPTABLES -A INPUT -i eth2 -p tcp -s $lan2 -d $ip2 --dport 8080 -m state --state NEW -j ACCEPT
$IPTABLES -A INPUT -i eth1 -p tcp -s $lan1 -d $wanip --dport 8080 -m state --state NEW -j ACCEPT
$IPTABLES -A INPUT -i eth2 -p tcp -s $lan2 -d $wanip --dport 8080 -m state --state NEW -j ACCEPT
#wpuszczone z neta - odchacz by uaktywnic
$IPTABLES -A INPUT -p tcp -s $all -d $wanip --dport 80 -m state --state NEW -j ACCEPT
#thttpd - drugi serwer www do wyswietlania urzytkownikom planszy
$IPTABLES -A INPUT -i eth1 -p tcp -s $lan1 -d $ip1 --dport 666 -m state --state NEW -j ACCEPT
$IPTABLES -A INPUT -i eth2 -p tcp -s $lan2 -d $ip2 --dport 666 -m state --state NEW -j ACCEPT
#FORWARDING - przepuszczamy cala reszte ruchu od klientow do neta
$IPTABLES -A FORWARD -i eth1 -s $lan1 -d $all -m state --state NEW -j ACCEPT
$IPTABLES -A FORWARD -i eth2 -s $lan2 -d $all -m state --state NEW -j ACCEPT
#wszystko inne (ewentualne) drop - nie filtruje ruchu a zapobiega anomaliom i pentli miedzy lanami
$IPTABLES -A FORWARD -s $all -d $all -j DROP


Dodam ze konfiguracja squida i dansguardiana raczej poprawna, bo jak tu odchacze przekierowanie do dansguardiana to zaczyna dzialac ale po chwili nie ma nic, zadna strona nie dziala

Z góry dzięki

Offline

 

 

Strony: 1

Stopka forum

Powered by PunBB
© Copyright 2002–2005 Rickard Andersson
Nas ludzie lubią po prostu, a nie klikając w przyciski ;-)