Forum Debian Users Gang

pontifex · 2007-07-05 11:40:26

Witam, mimo iz temat roblemow ze squidem pojawial sie na tym forum bardzo czesto i mimo iz sprawdzilem chyba wszystkie przykladowe pliki konfiguracyjne to SQUID u mnie nie dziala jak nalezy.
Problem wyglada nastepujaco.
Serwer udostenia polaczenie internetowe i jest postawiony na DEBIANIE 4.0 ETCH, Kernel 2.6.18.-4-686, squid 2.6.STABLE5, iptables 1.3, 2 karty sieciowe eth0 (internet), eth1 (lan).
Squid uruchamia sie barzo ladnie bez zadnych bledow i figuruje sobie na liscie procesow, jednak gdy zrobie przekierowanie na firewallu na serwer proxy to w sieci lokalnej nie dziala www, nie wiem czy wina juz lezy po stronie przekierowania czy konfiguracji squida. Ponizej zamiesczam pliki konfiguracyjne. Gdyby ktos mogl rzucic okiem na to wszystko chlodnym spojrzeniem i cos zasugerowac, z gory dziekuje.

FIREWALL

Kod:

echo 1 > /proc/sys/net/ipv4/ip_forward
iptables -F
iptables -X
iptables -t nat -X
iptables -t nat -F

iptables -P INPUT DROP
iptables -P FORWARD DROP
iptables -P OUTPUT ACCEPT

iptables -A INPUT -i lo -j ACCEPT
iptables -A FORWARD -o lo -j ACCEPT

iptables -A INPUT -i eth0 -p icmp --icmp-type echo-request -j DROP 
iptables -A INPUT -i eth0 -p icmp --icmp-type echo-reply -j DROP
iptables -A INPUT -i eth1 -p icmp --icmp-type echo-request -j ACCEPT
iptables -A INPUT -i eth1 -p icmp --icmp-type echo-reply -j ACCEPT  

iptables -A INPUT -i eth0 -p tcp --dport 22 -j REJECT
iptables -A INPUT -i eth1 -p tcp --dport 22 -j ACCEPT

iptables -A INPUT -i eth1 -p tcp -s 192.168.1.0/24  --dport 137:139 -j ACCEPT
iptables -A INPUT -i eth1 -p udp -s 192.168.1.0/24  --dport 137:139 -j ACCEPT
iptables -A INPUT -i eth1 -p tcp -s 192.168.1.0/24  --dport 445 -j ACCEPT
iptables -A INPUT -i eth1 -p udp -s 192.168.1.0/24  --dport 445 -j ACCEPT

iptables -t nat -A PREROUTING -i eth1 -d 192.168.1.0/24 -j ACCEPT
iptables -t nat -A PREROUTING -i eth1 -p tcp --dport 80 -j REDIRECT --to-port 3128 
#iptables -t nat -A PREROUTING -i eth1 -p tcp -s 192.168.1.0/24 --dport 80 -j DNAT --to-destination 192.168.1.252:3128
#iptables -t nat -A PREROUTING -i eth1 -p tcp --dport 80 -j REDIRECT --to-port 3128

iptables -A INPUT -i eth0 -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A FORWARD -j ACCEPT -m state --state ESTABLISHED,RELATED
iptables -A OUTPUT -j ACCEPT -m state --state ESTABLISHED,RELATED

iptables -t nat -A POSTROUTING -s 192.168.1.0/24 -j MASQUERADE
iptables -A FORWARD -s 192.168.1.0/24 -j ACCEPT

iptables -A INPUT -i eth0 -j DROP

SQUID.conf

Kod:

SQUID.conf
http_port 3128 transparent
hierarchy_stoplist cgi-bin ?
acl QUERY urlpath_regex cgi-bin ?
no_cache deny QUERY

cache_mem 16 MB
cache_dir ufs /var/spool/squid 256 16 256
cache_access_log /var/log/squid/access.log
cache_log /var/log/squid/cache.log
cache_store_log /var/log/squid/store.log
useragent_log /var/log/squid/useragent.lo

#hosts_file /etc/hosts
dns_nameservers 194.204.152.34 194.204.159.1
refresh_pattern ^ftp: 1440 20% 10080
refresh_pattern ^gopher: 1440 0% 1440
refresh_pattern . 0 20% 4320

acl all src 0.0.0.0/0.0.0.0
acl manager proto cache_object
acl localhost src 127.0.0.1/255.255.255.255
acl to_localhost dst 127.0.0.0/8
acl lan src 192.168.1.0/24
acl to_lan dst 192.168.1.0/24

acl SSL_ports port 443 563 # https, snews
acl Safe_ports port 80 # http
acl Safe_ports port 21 # ftp
acl Safe_ports port 443 563 # https, snews
acl Safe_ports port 70 # gopher
acl Safe_ports port 210 # wais
acl Safe_ports port 1025-65535 # unregistered ports
acl Safe_ports port 280 # http-mgmt
acl Safe_ports port 488 # gss-http
acl Safe_ports port 591 # filemaker
acl Safe_ports port 777 # multiling http
acl Safe_ports port 631 # cups
acl Safe_ports port 873 # rsync
acl Safe_ports port 901 # SWAT
acl purge method PURGE
acl CONNECT method CONNECT

#acl dozwolone url_regex -i "/etc/squid/dozwolone.txt"
#acl dwuznaczne dstdom_regex -i "/etc/squid/dwuznaczne.txt"
#acl zakazane url_regex -i "/etc/squid/zakazane.txt"
#acl zakazane dstdomain -i "/etc/squid/zakazane.txt"
#acl dwuznaczne url_regex -i "/etc/squid/dwuznaczne.txt"

#http_access deny zakazane
#http_access deny dwuznaczne

http_access allow localhost
http_access allow to_localhost
http_access allow lan
http_access allow to_lan
http_access allow manager localhost
http_access deny manager
http_access allow purge localhost
http_access deny purge
http_access deny !Safe_ports
http_access deny CONNECT !SSL_ports
http_access deny all
http_reply_access allow all

icp_access allow all
cache_effective_group proxy
visible_hostname test
icp_access allow all
#httpd_accel_port 80
error_directory /usr/share/squid/errors/Polish
coredump_dir /var/spool/squid
ie_refresh on

Pozdrawiam

stepien86 · 2007-07-05 17:08:55

Ja bym sie przylaczyl do tematu i poprosił kogos kto sie na tym zna i ma troche czasu i chec napisania jakiegos HOWTO odnosnie SQUIDa podobnego do HowTo na temat Postfixa :]

Pozdrawiam

adam05 · 2007-07-05 17:53:33

a co squid w logach pokazuje?

Jak na moje firewall jest do dupy. Musisz przekierować port 80 na 3128 (w Twoim przypadku)
a nie widzę u Ciebie takiego łańcucha.

Pozdrawiam

aphex · 2007-07-05 21:20:14

Sprawdz sobie najpierw konfigurując ręcznie przeglądarkę jeśli będą działały strony przez proxy to masz ponizej regułkę która u mnie działa.

Kod:

iptables -t nat -A PREROUTING -i eth1 -p tcp --dport 80 -j REDIRECT --to-port 3128

squid.conf

Kod:

http_port 3128 
httpd_accel_port 80 
httpd_accel_with_proxy on 
httpd_accel_host virtual 
httpd_accel_uses_host_header on 
hierarchy_stoplist cgi-bin ? 
acl QUERY urlpath_regex cgi-bin ? 
no_cache deny QUERY 
cache_dir ufs /storage/cache 12250 16 256 
cache_mem 40 MB 
refresh_pattern -i (.*jpg$|.*gif$) 0 50% 28800 
refresh_pattern -i (.*html$|.*htm|.*shtml) 0 20% 1440 
refresh_pattern (http://.*/$) 0 20% 1440 
refresh_pattern ^ftp: 1440 20% 10080 
refresh_pattern ^gopher: 1440 0% 1440 
refresh_pattern . 0 20% 4320 
cache_access_log /storage/cache/access.log 
cache_log /storage/cache/cache.log 
cache_store_log /storage/cache/store.log 
pid_filename /storage/cache/squid.pid 
acl all src 0.0.0.0/0.0.0.0 
acl manager proto cache_object 
acl localhost src 127.0.0.1/255.255.255.255 
acl to_localhost dst 127.0.0.0/8 
acl SSL_ports port 443 563 
acl Safe_ports port 80          # http 
acl Safe_ports port 21          # ftp 
acl Safe_ports port 443 563     # https, snews 
acl Safe_ports port 1025-65535  # pozostałe porty 
acl CONNECT method CONNECT 
http_access allow manager localhost 
http_access deny manager 
http_access deny !Safe_ports 
http_access deny CONNECT !SSL_ports 
acl server src 192.168.1.1 
http_access allow server 
acl our_networks src 192.168.1.1-192.168.1.250 
http_access allow our_networks 
http_access deny all 
http_reply_access allow all 
icp_access allow all 
cache_effective_user proxy 
cache_effective_group proxy 
coredump_dir /storage/cache 
maximum_object_size 33000 KB
#redirector_bypass on
#redirect_program /sbin/lms-squid

zph_tos_local 8
zph_tos_peer 0
zph_tos_parent off

pontifex · 2007-07-30 09:31:08

Witam, ponownie chcialbym odgrzac temat. Minelo juz troszke czasu i przeintalowalem kilka wersji starszych debiana i wiele konfiguracji squida, miedzy innymi twoja aphex (po malej modyfikacji dostosowujacej konfig do najnowszej wersji), ale problem jest ten sam niezmiennie.
Co do wypowiedzi adama05 to zwroc uwage, ze ponizej 26 lini sa odpowiednie wpisy (niektore # ale wszystkie byly sprawdzane).

Ma ktos jeszcze jakies pomysly co moze byc przyczyna. Dodam, bo nie napisalem wczesniej tego ze jak jest wlaczone przekierowanie na firewallu i na serwerze ustawie recznie w przegladarce server proxy to laduje sie stronka squida access denied natomiast na pozozstalych komputerach nie mozna wyswietlic strony (komunikat squida nie wyswietla sie). Jak ustawie w przegladarce na serwerze automatyczne wykrywanie servera proxy to stronki sie laduja. Na pozostalych komputerach bez zmian nie wazne czy jest ustawiony serwer proxy recznie czy na auto strony sie nie laduja i nie ma zadnego komunikatu od squida.

Doslownie rece opadaja, moze jest jakis inny fajny server proxy pod linuxa i mniej problematyczny.

Pozdrawiam.

kayo · 2007-07-30 20:54:09

Witam, ponownie chcialbym odgrzac temat. Minelo juz troszke czasu i przeintalowalem kilka wersji starszych debiana i wiele konfiguracji squida, miedzy innymi twoja aphex (po malej modyfikacji dostosowujacej konfig do najnowszej wersji), ale problem jest ten sam niezmiennie.
Co do wypowiedzi adama05 to zwroc uwage, ze ponizej 26 lini sa odpowiednie wpisy (niektore # ale wszystkie byly sprawdzane).

Ma ktos jeszcze jakies pomysly co moze byc przyczyna. Dodam, bo nie napisalem wczesniej tego ze jak jest wlaczone przekierowanie na firewallu i na serwerze ustawie recznie w przegladarce server proxy to laduje sie stronka squida access denied natomiast na pozozstalych komputerach nie mozna wyswietlic strony (komunikat squida nie wyswietla sie). Jak ustawie w przegladarce na serwerze automatyczne wykrywanie servera proxy to stronki sie laduja. Na pozostalych komputerach bez zmian nie wazne czy jest ustawiony serwer proxy recznie czy na auto strony sie nie laduja i nie ma zadnego komunikatu od squida.

Doslownie rece opadaja, moze jest jakis inny fajny server proxy pod linuxa i mniej problematyczny.

Pozdrawiam.

Jest literowka czeski blad.
jest

Kod:

iptables -t nat -A PREROUTING -i eth1 -p tcp --dport 80 -j REDIRECT --to-port 3128

powinno byc

Kod:

iptables -t nat -A PREROUTING -i eth1 -p tcp --dport 80 -j REDIRECT --to-ports 3128

jeszcze raz - powinno byc --to-ports

Poza tym ja dolozylbym do tego serwerka binda cachujacego, by najpierw odpytywany on byl
I mala prosba - pokaz logi squida

pontifex · 2007-07-31 10:52:54

Poprawilem ale bez poprawy. Ponizej logiu squida.
CACHE.LOG

Kod:

2007/07/31 10:04:51| Starting Squid Cache version 2.6.STABLE5 for i386-debian-linux-gnu...
2007/07/31 10:04:51| Process ID 2808
2007/07/31 10:04:51| With 1024 file descriptors available
2007/07/31 10:04:51| Using epoll for the IO loop
2007/07/31 10:04:51| DNS Socket created at 0.0.0.0, port 1027, FD 6
2007/07/31 10:04:51| Adding nameserver 194.204.152.34 from squid.conf
2007/07/31 10:04:51| Adding nameserver 194.204.159.1 from squid.conf
2007/07/31 10:04:51| Referer logging is disabled.
2007/07/31 10:04:51| Unlinkd pipe opened on FD 12
2007/07/31 10:04:51| Swap maxSize 262144 KB, estimated 20164 objects
2007/07/31 10:04:51| Target number of buckets: 1008
2007/07/31 10:04:51| Using 8192 Store buckets
2007/07/31 10:04:51| Max Mem  size: 16384 KB
2007/07/31 10:04:51| Max Swap size: 262144 KB
2007/07/31 10:04:51| Local cache digest enabled; rebuild/rewrite every 3600/3600 sec
2007/07/31 10:04:51| Rebuilding storage in /var/spool/squid (CLEAN)
2007/07/31 10:04:51| Using Least Load store dir selection
2007/07/31 10:04:51| Set Current Directory to /var/spool/squid
2007/07/31 10:04:51| Loaded Icons.
2007/07/31 10:04:51| Accepting transparently proxied HTTP connections at 0.0.0.0, port 3128, FD 14.
2007/07/31 10:04:51| Accepting ICP messages at 0.0.0.0, port 3130, FD 15.
2007/07/31 10:04:51| HTCP Disabled.
2007/07/31 10:04:51| WCCP Disabled.
2007/07/31 10:04:51| Ready to serve requests.
2007/07/31 10:04:51| Done reading /var/spool/squid swaplog (1 entries)
2007/07/31 10:04:51| Finished rebuilding storage from disk.
2007/07/31 10:04:51|         1 Entries scanned
2007/07/31 10:04:51|         0 Invalid entries.
2007/07/31 10:04:51|         0 With invalid flags.
2007/07/31 10:04:51|         1 Objects loaded.
2007/07/31 10:04:51|         0 Objects expired.
2007/07/31 10:04:51|         0 Objects cancelled.
2007/07/31 10:04:51|         0 Duplicate URLs purged.
2007/07/31 10:04:51|         0 Swapfile clashes avoided.
2007/07/31 10:04:51|   Took 0.9 seconds (   1.1 objects/sec).
2007/07/31 10:04:51| Beginning Validation Procedure
2007/07/31 10:04:51|   Completed Validation Procedure
2007/07/31 10:04:51|   Validated 1 Entries
2007/07/31 10:04:51|   store_swap_size = 16k
2007/07/31 10:04:52| storeLateRelease: released 0 objects

ACCESS.LOG (zawsze pusty chyba, ze ustawie na serwerze recznie serwer proxy w przegladarce, wtedy pojawiaja sie wpisy)

Kod:

1185870399.283     13 IP_ZEW TCP_DENIED/403 1312 GET http://www.onet.pl/373-46aeec85 - NONE/- text/html
1185870399.839      0 IP_ZEW TCP_DENIED/403 1310 GET http://www.onet.pl/favicon.ico - NONE/- text/html
1185870401.077      0 IP_ZEW TCP_DENIED/403 1312 GET http://www.onet.pl/373-46aeec85 - NONE/- text/html
1185870402.287      0 IP_ZEW TCP_DENIED/403 1312 GET http://www.onet.pl/373-46aeec85 - NONE/- text/html
1185870403.045      0 IP_ZEW TCP_DENIED/403 1312 GET http://www.onet.pl/373-46aeec85 - NONE/- text/html
1185871002.735     13 IP_ZEW TCP_DENIED/403 1371 GET http://en-us.fxfeeds.mozilla.com/en-US/firefox/headlines.xml - NONE/- text/html
1185871013.102     37 IP_ZEW TCP_DENIED/403 1306 GET http://www.forum.dug.net.pl/ - NONE/- text/html
1185871013.749      0 IP_ZEW TCP_DENIED/403 1328 GET http://www.forum.dug.net.pl/favicon.ico - NONE/- text/html
1185871015.822      0 IP_ZEW TCP_DENIED/403 1306 GET http://www.forum.dug.net.pl/ - NONE/- text/html

STORE.LOG (zawsze pusty, chyba ze tak jak powyzej)

1185870399.283 RELEASE -1 FFFFFFFF 30ADF9DBF2C2C5EB3D13C8D92DE8C287 403 1185870399 0 1185870399 text/html 973/973 GET http://www.onet.pl/373-46aeec85
1185870399.839 RELEASE -1 FFFFFFFF 6973F6A2DAA41A21F75649C1372FB432 403 1185870399 0 1185870399 text/html 971/971 GET http://www.onet.pl/favicon.ico
1185870401.077 RELEASE -1 FFFFFFFF 3F1E2269F627DA2ABC9407DC39C89496 403 1185870401 0 1185870401 text/html 973/973 GET http://www.onet.pl/373-46aeec85
1185870402.287 RELEASE -1 FFFFFFFF 6F03A8AC68ED3FA894DCAD4003CE208B 403 1185870402 0 1185870402 text/html 973/973 GET http://www.onet.pl/373-46aeec85
1185870403.045 RELEASE -1 FFFFFFFF 1FF77EA02CB8F96FF025F8F3199C790F 403 1185870403 0 1185870403 text/html 973/973 GET http://www.onet.pl/373-46aeec85
1185871002.735 RELEASE -1 FFFFFFFF 988389602CAB814E804598BD1AE703AF 403 1185871002 0 1185871002 text/html 1031/1031 GET http://en-us.fxfeeds.mozilla.com/en-US/firefox/headlines.xml
1185871013.102 RELEASE -1 FFFFFFFF 088FBA485B181B5B7B2C6B01B753F96A 403 1185871013 0 1185871013 text/html 967/967 GET http://www.forum.dug.net.pl/
1185871013.749 RELEASE -1 FFFFFFFF 7BF9682A805B4F50DC298B00865EA0E8 403 1185871013 0 1185871013 text/html 989/989 GET http://www.forum.dug.net.pl/favicon.ico
1185871015.822 RELEASE -1 FFFFFFFF 0453A747F247FC9FFCE3FC1DC3B8B790 403 1185871015 0 1185871015 text/html 967/967 GET http://www.forum.dug.net.pl/

Dodatkowo wynik polecenia (iptables -t nat -L -nv) dla wpisu w firewallu (iptables -t nat -A PREROUTING -i eth1 -p tcp --dport 80 -j REDIRECT --to-ports 3128)

Kod:

 Chain PREROUTING (policy ACCEPT 2960 packets, 351K bytes)
 pkts bytes target     prot opt in     out     source               destination
    0     0 REDIRECT   tcp  --  eth1   *       0.0.0.0/0            0.0.0.0/0           tcp dpt:80 redir ports 3128

Chain POSTROUTING (policy ACCEPT 141 packets, 9436 bytes)
 pkts bytes target     prot opt in     out     source               destination
    3   156 MASQUERADE  0    --  *      *       192.168.1.0/24       0.0.0.0/0

Chain OUTPUT (policy ACCEPT 159 packets, 10586 bytes)
 pkts bytes target     prot opt in     out     source               destination

Gdzie widac 0 pakietow dla REDIRECT czyli tak jak by wogule firewall nie przekierowywal :(

Juz tyle razy to poprawialem ze moze ktos trzezwym okiem zauwazy blad.

kayo · 2007-07-31 11:22:56

Nie wiem... może się mylę ale to mi wygląda na to jakby squid nasłuchiwał na ip zewnętrznym...
zmień pierwszą linijkę squid.conf na

Kod:

http_port ip_wew_serwera:3128 transparent

Jakby co to uderzaj na jabbera (preferowany) lub gg

pontifex · 2007-07-31 12:04:31

Po zmianie wedlug twojej propozycji Kayo, teraz faktycznie pojawily sie wpisy po wykoonaniu polecenia iptables -t nat -L -nv

Kod:

Chain PREROUTING (policy ACCEPT 722 packets, 82230 bytes)
 pkts bytes target     prot opt in     out     source               destination
   15   720 REDIRECT   tcp  --  eth1   *       0.0.0.0/0            0.0.0.0/0           tcp dpt:80 redir ports 3128

Chain POSTROUTING (policy ACCEPT 56 packets, 3740 bytes)
 pkts bytes target     prot opt in     out     source               destination
    2   120 MASQUERADE  0    --  *      *       192.168.1.0/24       0.0.0.0/0

Chain OUTPUT (policy ACCEPT 64 packets, 4200 bytes)
 pkts bytes target     prot opt in     out     source               destination

Ale reszta bez zmian, strony sie nie laduja. Zastanawiam sie czy nie zainstalowac Debiana od nowa zeby zaczac z czystym kontem.

kayo · 2007-07-31 15:49:16

Po zmianie wedlug twojej propozycji Kayo, teraz faktycznie pojawily sie wpisy po wykoonaniu polecenia iptables -t nat -L -nv

Kod:

Chain PREROUTING (policy ACCEPT 722 packets, 82230 bytes)
 pkts bytes target     prot opt in     out     source               destination
   15   720 REDIRECT   tcp  --  eth1   *       0.0.0.0/0            0.0.0.0/0           tcp dpt:80 redir ports 3128

Chain POSTROUTING (policy ACCEPT 56 packets, 3740 bytes)
 pkts bytes target     prot opt in     out     source               destination
    2   120 MASQUERADE  0    --  *      *       192.168.1.0/24       0.0.0.0/0

Chain OUTPUT (policy ACCEPT 64 packets, 4200 bytes)
 pkts bytes target     prot opt in     out     source               destination

Ale reszta bez zmian, strony sie nie laduja. Zastanawiam sie czy nie zainstalowac Debiana od nowa zeby zaczac z czystym kontem.

A jak wyglada u ciebie routing? Mozesz go pokazac?

pontifex · 2007-08-01 18:30:59

Tak mniej wiecej to wyglada

Kod:

Kernel IP routing table
Destination     Gateway         Genmask         Flags Metric Ref    Use Iface
zarezerw_ip_sieci_zewnetrzne   0.0.0.0         255.255.255.248 U     0      0        0 eth0
192.168.1.0     0.0.0.0         255.255.255.0   U     0      0        0 eth1
0.0.0.0         ip_zewnetrzne_modemu   0.0.0.0         UG    0      0        0 eth0

kayo · 2007-08-01 22:38:54

Porownuje teraz moje ustawienia z twoimi.
Dodaj do linijki

Kod:

iptables -A FORWARD -s 192.168.1.0/24 -j ACCEPT

takie cos

Kod:

-p ALL

pontifex · 2007-08-02 07:20:44

Czy tak to ma wygladac

Kod:

iptables -A FORWARD -p ALL -s 192.168.1.0/24 -j ACCEPT

Jesli tak ma to wygladac to nic sie nie zmienilo.

A kompilowales jadro czy masz to ogolne dostarczane na plycie, albo squida kompilowales czy masz z paczki ? Bo ja mam z plyty i uaktualnione przez apt.

kayo · 2007-08-02 10:23:05

Czy tak to ma wygladac
Kod:
iptables -A FORWARD -p ALL -s 192.168.1.0/24 -j ACCEPT
Jesli tak ma to wygladac to nic sie nie zmienilo.

A kompilowales jadro czy masz to ogolne dostarczane na plycie, albo squida kompilowales czy masz z paczki ? Bo ja mam z plyty i uaktualnione przez apt.

Zmien poniższy skrypt pod swoje ustawienia i odpal go

Kod:

#!/bin/sh

################
# Konfiguracja #
################

F="/sbin/iptables"
LOG="ipt#"

#interfejs globalny - dla sieci zewnetrznej
G_NET_NAME="eth0"
G_NET_IP="1.1.1.1"
#interfejs lokalny - dla sieci wewnetrznej
L_NET_NAME="eth1"
L_NET_IP="192.168.1.1"
L_NET="192.168.1.0/24"
L_BRDC="192.168.1.255"

#ustawienie modulow i konfiguracji jadra
/sbin/modprobe ip_tables
/sbin/modprobe ip_conntrack
/sbin/modprobe ip_nat_ftp
/sbin/modprobe ip_conntrack_ftp

echo "1" > /proc/sys/net/ipv4/ip_forward

#ignorowanie ICMP echo request wysylanych na adres rozgloszeniowy
echo "1" > /proc/sys/net/ipv4/icmp_echo_ignore_broadcasts

#ochrona przed SYN flood
echo "1" > /proc/sys/net/ipv4/tcp_syncookies

#refuse source routed packets
echo "0" > /proc/sys/net/ipv4/conf/all/accept_source_route

echo "1" > /proc/sys/net/ipv4/conf/all/secure_redirects

#walidacja zrodla za pomoca reversed path (RFC1812).
echo "1" > /proc/sys/net/ipv4/conf/all/rp_filter

#logowanie pakietow z nieprawidlowych adresow
echo "1" > /proc/sys/net/ipv4/conf/all/log_martians

#################
# INICJALIZACJA #
#################

echo "Ustawienia polityki dla lancuchow standardowych..."
$F -P INPUT ACCEPT
$F -P FORWARD ACCEPT
$F -P OUTPUT ACCEPT
$F -t nat -P PREROUTING ACCEPT
$F -t nat -P OUTPUT ACCEPT
$F -t nat -P POSTROUTING ACCEPT
$F -t mangle -P PREROUTING ACCEPT
$F -t mangle -P OUTPUT ACCEPT
$F -t mangle -P INPUT ACCEPT
$F -t mangle -P FORWARD ACCEPT
$F -t mangle -P POSTROUTING ACCEPT

echo "Czyszczenie regul dla lancuchow standardowych..."
$F -F
$F -t nat -F
$F -t mangle -F

echo "Kasowanie wszystkich niestandardowych lancuchow..."
$F -X
$F -t nat -X
$F -t mangle -X

if [ "$1" = "stop" ]
then
    echo "Firewall zostal wylaczony."
    exit 0
fi

echo "Ustawienia polityki lancuchow standardowych..."
$F -P INPUT DROP
$F -P OUTPUT DROP
$F -P FORWARD DROP

echo "Tworzenie niestandardowych lancuchow regul..."
$F -N bledne_pakiety
$F -N bledne_pakiety_tcp
$F -N pakiety_icmp
$F -N tcp_wchodzace
$F -N tcp_wychodzace
$F -N udp_wchodzace
$F -N udp_wychodzace

##################
# bledne_pakiety #
##################
echo "Tworzenie regul dla lancucha bledne_pakiety..."

$F -A bledne_pakiety -p ALL -m state --state INVALID -j LOG --log-prefix "$LOG bledne_pakiety "
$F -A bledne_pakiety -p ALL -m state --state INVALID -j DROP
$F -A bledne_pakiety -p tcp -j bledne_pakiety_tcp
$F -A bledne_pakiety -p ALL -j RETURN

######################
# bledne_pakiety_tcp #
######################
echo "Tworzenie regul dla lancucha bledne_pakiety_tcp..."
#dla gate
$F -A bledne_pakiety_tcp -p tcp -i $L_NET_NAME -j RETURN

$F -A bledne_pakiety_tcp -p tcp ! --syn -m state --state NEW -j LOG --log-prefix "$LOG bledne_pakiety_tcp "
$F -A bledne_pakiety_tcp -p tcp ! --syn -m state --state NEW -j DROP

$F -A bledne_pakiety_tcp -p tcp --tcp-flags ALL NONE -j LOG --log-prefix "$LOG bledne_pakiety_tcp "
$F -A bledne_pakiety_tcp -p tcp --tcp-flags ALL NONE -j DROP

$F -A bledne_pakiety_tcp -p tcp --tcp-flags ALL ALL -j LOG --log-prefix "$LOG bledne_pakiety_tcp "
$F -A bledne_pakiety_tcp -p tcp --tcp-flags ALL ALL -j DROP

$F -A bledne_pakiety_tcp -p tcp --tcp-flags ALL FIN,URG,PSH -j LOG --log-prefix "$LOG bledne_pakiety_tcp "
$F -A bledne_pakiety_tcp -p tcp --tcp-flags ALL FIN,URG,PSH -j DROP

$F -A bledne_pakiety_tcp -p tcp --tcp-flags ALL SYN,RST,ACK,FIN,URG -j LOG --log-prefix "$LOG bledne_pakiety_tcp "
$F -A bledne_pakiety_tcp -p tcp --tcp-flags ALL SYN,RST,ACK,FIN,URG -j DROP

$F -A bledne_pakiety_tcp -p tcp --tcp-flags SYN,RST SYN,RST -j LOG --log-prefix "$LOG bledne_pakiety_tcp "
$F -A bledne_pakiety_tcp -p tcp --tcp-flags SYN,RST SYN,RST -j DROP

$F -A bledne_pakiety_tcp -p tcp --tcp-flags SYN,FIN SYN,FIN -j LOG --log-prefix "$LOG bledne_pakiety_tcp "
$F -A bledne_pakiety_tcp -p tcp --tcp-flags SYN,FIN SYN,FIN -j DROP

$F -A bledne_pakiety_tcp -p tcp -j RETURN

################
# pakiety_icmp #
################
echo "Tworzenie regul dla lancucha pakiety_icmp..."

$F -A pakiety_icmp --fragment -p ICMP -j LOG --log-prefix "$LOG pakiety_icmp fragmenty "
$F -A pakiety_icmp --fragment -p ICMP -j DROP

#ping - zachaszowac w przypadku odsloniecia powyzszych regul
$F -A pakiety_icmp -p ICMP -s 0/0 --icmp-type 8 -j DROP
#Time Exceeded
$F -A pakiety_icmp -p ICMP -s 0/0 --icmp-type 11 -j ACCEPT

$F -A pakiety_icmp -p ICMP -j RETURN

#################
# tcp_wchodzace #
#################
echo "Tworzenie regul dla lancucha tcp_wchodzace..."

#ident request
#reject zamiast drop w celu unikniecia opoznien przy polaczeniach
$F -A tcp_wchodzace -p TCP -s 0/0 --destination-port 113 -j REJECT
#nie pasujace: powrot i logowanie
$F -A tcp_wchodzace -p TCP -j RETURN

##################
# tcp_wychodzace #
##################
echo "Tworzenie regul dla lancucha tcp_wychodzace..."


#nie pasujace ACCEPT
$F -A tcp_wychodzace -p TCP -s 0/0 -j ACCEPT

#################
# udp_wchodzace #
#################
echo "Tworzenie regul dla lancucha udp_wchodzace..."

#Drop netbios calls
$F -A udp_wchodzace -p UDP -s 0/0 --destination-port 137 -j DROP
$F -A udp_wchodzace -p UDP -s 0/0 --destination-port 138 -j DROP

#ident - reject zamiast drop w celu unikniecia opoznien w polaczeniach
$F -A udp_wchodzace -p UDP -s 0/0 --destination-port 113 -j REJECT

#nie pasujace - powrot i logowanie
$F -A udp_wchodzace -p UDP -j RETURN

##################
# udp_wychodzace #
##################
echo "Tworzenie regul dla lancucha udp_wychodzace..."


#nie pasujace ACCEPT
$F -A udp_wychodzace -p UDP -s 0/0 -j ACCEPT

#########
# INPUT #
#########

echo "Tworzenie regul dla lancucha INPUT..."

$F -A INPUT -p ALL -i lo -j ACCEPT
$F -A INPUT -p ALL -j bledne_pakiety

#DOCSIS compliant cable modems
#Drop without logging.
$F -A INPUT -p ALL -d 224.0.0.1 -j DROP

#zezwolenie dla sieci lokalnej - dla gate
$F -A INPUT -p ALL -i $L_NET_NAME -s $L_NET -j ACCEPT
$F -A INPUT -p ALL -i $L_NET_NAME -d $L_BRDC -j ACCEPT

#Ustanowione polaczenia
$F -A INPUT -p ALL -i $G_NET_NAME -m state --state ESTABLISHED,RELATED -j ACCEPT

#reszta do odpowiednich lancuchow
$F -A INPUT -p ICMP -i $G_NET_NAME -j pakiety_icmp
$F -A INPUT -p TCP -i $G_NET_NAME -j tcp_wchodzace
$F -A INPUT -p UDP -i $G_NET_NAME -j udp_wchodzace

#zatrzymanie rozgloszen
$F -A INPUT -p ALL -d 255.255.255.255 -j DROP

#nie pasujace - logowanie
$F -A INPUT -j LOG --log-prefix "$LOG INPUT:99 "

###########
# FORWARD #
###########
#dla gate caly
echo "Tworzenie regul dla lancucha FORWARD..."

$F -A FORWARD -p ALL -j bledne_pakiety
$F -A FORWARD -p tcp -i $L_NET_NAME -j tcp_wychodzace
$F -A FORWARD -p udp -i $L_NET_NAME -j udp_wychodzace
$F -A FORWARD -p ALL -i $L_NET_NAME -j ACCEPT

$F -A FORWARD -i $G_NET_NAME -m state --state ESTABLISHED,RELATED -j ACCEPT

#nie pasujace - loguj
$F -A FORWARD -j LOG --log-prefix "$LOG FORWARD:99 "

##########
# OUTPUT #
##########

echo "Tworzenie regul dla lancucha OUTPUT..."

$F -A OUTPUT -m state -p icmp --state INVALID -j DROP
$F -A OUTPUT -p ALL -s 127.0.0.1 -j ACCEPT
$F -A OUTPUT -p ALL -o lo -j ACCEPT

#dla gate
$F -A OUTPUT -p ALL -s $L_NET_IP -j ACCEPT
$F -A OUTPUT -p ALL -o $L_NET_NAME -j ACCEPT

$F -A OUTPUT -p ALL -o $G_NET_NAME -j ACCEPT

#nie pasujace - loguj
$F -A OUTPUT -j LOG --log-prefix "$LOG OUTPUT:99 "

#############
# nat table #
#############
echo "Tworzenie regul dla tablicy nat..."
#w nat wszystkie reguly dla gate
##############
# PREROUTING #
##############
echo "    lancuch PREROUTING"
#Redirect HTTP for a transparent proxy
$F -t nat -A PREROUTING -p tcp --destination-port 80 -j REDIRECT --to-ports 3128

###############
# POSTROUTING #
###############
echo "    lancuch POSTROUTING"

$F -t nat -A POSTROUTING -o $G_NET_NAME -j SNAT --to-source $G_NET_IP
$F -t nat -A POSTROUTING -o $L_NET_NAME -j SNAT --to-source $G_NET_IP
################
# mangle table #
################
echo "Tworzenie regul dla mangle table..."

Ja mam iptables i kernela z repo

pontifex · 2007-08-07 11:35:26

Witam ponownie, i odrazu wielkie dzieki Kayo za pomoc, wstepnie moge juz powiedziec ze dziala. Jeszcze musze troche potestowac zeby byc pewnym na 100% (chce jeszcze sprawdzic te stare pliki konfiguracyjne).
Musze jednak wyjasnic, moze sie to komus przyda, ze na trudnosci ze squidem miala u mnie wplyw rowniez karta sieciowa na ktorej bylo wyjscie na swiat. Dzis ja wymienilem i problem jak reka odjal, a to dzieki wyzucanym przez plik konfiguracyjny Kayo logom.

Pozdrawiam

Forum Debian Users Gang

Ogłoszenie

#1 2007-07-05 11:40:26

pontifex - Użytkownik

SQUID 2.6.STABLE5 niby dziala a jednak

Kod:

Kod:

#2 2007-07-05 17:08:55

stepien86 - Członek DUG

Re: SQUID 2.6.STABLE5 niby dziala a jednak

#3 2007-07-05 17:53:33

adam05 - Adamin

Re: SQUID 2.6.STABLE5 niby dziala a jednak

#4 2007-07-05 21:20:14

aphex - Użytkownik

Re: SQUID 2.6.STABLE5 niby dziala a jednak

Kod:

Kod:

#5 2007-07-30 09:31:08

pontifex - Użytkownik

Re: SQUID 2.6.STABLE5 niby dziala a jednak

#6 2007-07-30 20:54:09

kayo - Członek DUG

Re: SQUID 2.6.STABLE5 niby dziala a jednak

Kod:

Kod:

#7 2007-07-31 10:52:54

pontifex - Użytkownik

Re: SQUID 2.6.STABLE5 niby dziala a jednak

Kod:

Kod:

Kod:

#8 2007-07-31 11:22:56

kayo - Członek DUG

Re: SQUID 2.6.STABLE5 niby dziala a jednak

Kod:

#9 2007-07-31 12:04:31

pontifex - Użytkownik

Re: SQUID 2.6.STABLE5 niby dziala a jednak

Kod:

#10 2007-07-31 15:49:16

kayo - Członek DUG

Re: SQUID 2.6.STABLE5 niby dziala a jednak

Kod:

#11 2007-08-01 18:30:59

pontifex - Użytkownik

Re: SQUID 2.6.STABLE5 niby dziala a jednak

Kod:

#12 2007-08-01 22:38:54

kayo - Członek DUG

Re: SQUID 2.6.STABLE5 niby dziala a jednak

Kod:

Kod:

#13 2007-08-02 07:20:44

pontifex - Użytkownik

Re: SQUID 2.6.STABLE5 niby dziala a jednak

Kod:

#14 2007-08-02 10:23:05

kayo - Członek DUG

Re: SQUID 2.6.STABLE5 niby dziala a jednak

Kod:

Kod:

#15 2007-08-07 11:35:26

pontifex - Użytkownik

Re: SQUID 2.6.STABLE5 niby dziala a jednak

Stopka forum