Nie jesteś zalogowany.
Jeśli nie posiadasz konta, zarejestruj je już teraz! Pozwoli Ci ono w pełni korzystać z naszego serwisu. Spamerom dziękujemy!
Prosimy o pomoc dla małej Julki — przekaż 1% podatku na Fundacji Dzieciom zdazyć z Pomocą.
Więcej informacji na dug.net.pl/pomagamy/.
Witam, mimo iz temat roblemow ze squidem pojawial sie na tym forum bardzo czesto i mimo iz sprawdzilem chyba wszystkie przykladowe pliki konfiguracyjne to SQUID u mnie nie dziala jak nalezy.
Problem wyglada nastepujaco.
Serwer udostenia polaczenie internetowe i jest postawiony na DEBIANIE 4.0 ETCH, Kernel 2.6.18.-4-686, squid 2.6.STABLE5, iptables 1.3, 2 karty sieciowe eth0 (internet), eth1 (lan).
Squid uruchamia sie barzo ladnie bez zadnych bledow i figuruje sobie na liscie procesow, jednak gdy zrobie przekierowanie na firewallu na serwer proxy to w sieci lokalnej nie dziala www, nie wiem czy wina juz lezy po stronie przekierowania czy konfiguracji squida. Ponizej zamiesczam pliki konfiguracyjne. Gdyby ktos mogl rzucic okiem na to wszystko chlodnym spojrzeniem i cos zasugerowac, z gory dziekuje.
FIREWALL
echo 1 > /proc/sys/net/ipv4/ip_forward iptables -F iptables -X iptables -t nat -X iptables -t nat -F iptables -P INPUT DROP iptables -P FORWARD DROP iptables -P OUTPUT ACCEPT iptables -A INPUT -i lo -j ACCEPT iptables -A FORWARD -o lo -j ACCEPT iptables -A INPUT -i eth0 -p icmp --icmp-type echo-request -j DROP iptables -A INPUT -i eth0 -p icmp --icmp-type echo-reply -j DROP iptables -A INPUT -i eth1 -p icmp --icmp-type echo-request -j ACCEPT iptables -A INPUT -i eth1 -p icmp --icmp-type echo-reply -j ACCEPT iptables -A INPUT -i eth0 -p tcp --dport 22 -j REJECT iptables -A INPUT -i eth1 -p tcp --dport 22 -j ACCEPT iptables -A INPUT -i eth1 -p tcp -s 192.168.1.0/24 --dport 137:139 -j ACCEPT iptables -A INPUT -i eth1 -p udp -s 192.168.1.0/24 --dport 137:139 -j ACCEPT iptables -A INPUT -i eth1 -p tcp -s 192.168.1.0/24 --dport 445 -j ACCEPT iptables -A INPUT -i eth1 -p udp -s 192.168.1.0/24 --dport 445 -j ACCEPT iptables -t nat -A PREROUTING -i eth1 -d 192.168.1.0/24 -j ACCEPT iptables -t nat -A PREROUTING -i eth1 -p tcp --dport 80 -j REDIRECT --to-port 3128 #iptables -t nat -A PREROUTING -i eth1 -p tcp -s 192.168.1.0/24 --dport 80 -j DNAT --to-destination 192.168.1.252:3128 #iptables -t nat -A PREROUTING -i eth1 -p tcp --dport 80 -j REDIRECT --to-port 3128 iptables -A INPUT -i eth0 -m state --state ESTABLISHED,RELATED -j ACCEPT iptables -A FORWARD -j ACCEPT -m state --state ESTABLISHED,RELATED iptables -A OUTPUT -j ACCEPT -m state --state ESTABLISHED,RELATED iptables -t nat -A POSTROUTING -s 192.168.1.0/24 -j MASQUERADE iptables -A FORWARD -s 192.168.1.0/24 -j ACCEPT iptables -A INPUT -i eth0 -j DROP
SQUID.conf
SQUID.conf http_port 3128 transparent hierarchy_stoplist cgi-bin ? acl QUERY urlpath_regex cgi-bin ? no_cache deny QUERY cache_mem 16 MB cache_dir ufs /var/spool/squid 256 16 256 cache_access_log /var/log/squid/access.log cache_log /var/log/squid/cache.log cache_store_log /var/log/squid/store.log useragent_log /var/log/squid/useragent.lo #hosts_file /etc/hosts dns_nameservers 194.204.152.34 194.204.159.1 refresh_pattern ^ftp: 1440 20% 10080 refresh_pattern ^gopher: 1440 0% 1440 refresh_pattern . 0 20% 4320 acl all src 0.0.0.0/0.0.0.0 acl manager proto cache_object acl localhost src 127.0.0.1/255.255.255.255 acl to_localhost dst 127.0.0.0/8 acl lan src 192.168.1.0/24 acl to_lan dst 192.168.1.0/24 acl SSL_ports port 443 563 # https, snews acl Safe_ports port 80 # http acl Safe_ports port 21 # ftp acl Safe_ports port 443 563 # https, snews acl Safe_ports port 70 # gopher acl Safe_ports port 210 # wais acl Safe_ports port 1025-65535 # unregistered ports acl Safe_ports port 280 # http-mgmt acl Safe_ports port 488 # gss-http acl Safe_ports port 591 # filemaker acl Safe_ports port 777 # multiling http acl Safe_ports port 631 # cups acl Safe_ports port 873 # rsync acl Safe_ports port 901 # SWAT acl purge method PURGE acl CONNECT method CONNECT #acl dozwolone url_regex -i "/etc/squid/dozwolone.txt" #acl dwuznaczne dstdom_regex -i "/etc/squid/dwuznaczne.txt" #acl zakazane url_regex -i "/etc/squid/zakazane.txt" #acl zakazane dstdomain -i "/etc/squid/zakazane.txt" #acl dwuznaczne url_regex -i "/etc/squid/dwuznaczne.txt" #http_access deny zakazane #http_access deny dwuznaczne http_access allow localhost http_access allow to_localhost http_access allow lan http_access allow to_lan http_access allow manager localhost http_access deny manager http_access allow purge localhost http_access deny purge http_access deny !Safe_ports http_access deny CONNECT !SSL_ports http_access deny all http_reply_access allow all icp_access allow all cache_effective_group proxy visible_hostname test icp_access allow all #httpd_accel_port 80 error_directory /usr/share/squid/errors/Polish coredump_dir /var/spool/squid ie_refresh on
Pozdrawiam
Offline
Ja bym sie przylaczyl do tematu i poprosił kogos kto sie na tym zna i ma troche czasu i chec napisania jakiegos HOWTO odnosnie SQUIDa podobnego do HowTo na temat Postfixa :]
Pozdrawiam
Offline
a co squid w logach pokazuje?
Jak na moje firewall jest do dupy. Musisz przekierować port 80 na 3128 (w Twoim przypadku)
a nie widzę u Ciebie takiego łańcucha.
Pozdrawiam
Offline
Sprawdz sobie najpierw konfigurując ręcznie przeglądarkę jeśli będą działały strony przez proxy to masz ponizej regułkę która u mnie działa.
iptables -t nat -A PREROUTING -i eth1 -p tcp --dport 80 -j REDIRECT --to-port 3128
squid.conf
http_port 3128 httpd_accel_port 80 httpd_accel_with_proxy on httpd_accel_host virtual httpd_accel_uses_host_header on hierarchy_stoplist cgi-bin ? acl QUERY urlpath_regex cgi-bin ? no_cache deny QUERY cache_dir ufs /storage/cache 12250 16 256 cache_mem 40 MB refresh_pattern -i (.*jpg$|.*gif$) 0 50% 28800 refresh_pattern -i (.*html$|.*htm|.*shtml) 0 20% 1440 refresh_pattern (http://.*/$) 0 20% 1440 refresh_pattern ^ftp: 1440 20% 10080 refresh_pattern ^gopher: 1440 0% 1440 refresh_pattern . 0 20% 4320 cache_access_log /storage/cache/access.log cache_log /storage/cache/cache.log cache_store_log /storage/cache/store.log pid_filename /storage/cache/squid.pid acl all src 0.0.0.0/0.0.0.0 acl manager proto cache_object acl localhost src 127.0.0.1/255.255.255.255 acl to_localhost dst 127.0.0.0/8 acl SSL_ports port 443 563 acl Safe_ports port 80 # http acl Safe_ports port 21 # ftp acl Safe_ports port 443 563 # https, snews acl Safe_ports port 1025-65535 # pozostałe porty acl CONNECT method CONNECT http_access allow manager localhost http_access deny manager http_access deny !Safe_ports http_access deny CONNECT !SSL_ports acl server src 192.168.1.1 http_access allow server acl our_networks src 192.168.1.1-192.168.1.250 http_access allow our_networks http_access deny all http_reply_access allow all icp_access allow all cache_effective_user proxy cache_effective_group proxy coredump_dir /storage/cache maximum_object_size 33000 KB #redirector_bypass on #redirect_program /sbin/lms-squid zph_tos_local 8 zph_tos_peer 0 zph_tos_parent off
Offline
Witam, ponownie chcialbym odgrzac temat. Minelo juz troszke czasu i przeintalowalem kilka wersji starszych debiana i wiele konfiguracji squida, miedzy innymi twoja aphex (po malej modyfikacji dostosowujacej konfig do najnowszej wersji), ale problem jest ten sam niezmiennie.
Co do wypowiedzi adama05 to zwroc uwage, ze ponizej 26 lini sa odpowiednie wpisy (niektore # ale wszystkie byly sprawdzane).
Ma ktos jeszcze jakies pomysly co moze byc przyczyna. Dodam, bo nie napisalem wczesniej tego ze jak jest wlaczone przekierowanie na firewallu i na serwerze ustawie recznie w przegladarce server proxy to laduje sie stronka squida access denied natomiast na pozozstalych komputerach nie mozna wyswietlic strony (komunikat squida nie wyswietla sie). Jak ustawie w przegladarce na serwerze automatyczne wykrywanie servera proxy to stronki sie laduja. Na pozostalych komputerach bez zmian nie wazne czy jest ustawiony serwer proxy recznie czy na auto strony sie nie laduja i nie ma zadnego komunikatu od squida.
Doslownie rece opadaja, moze jest jakis inny fajny server proxy pod linuxa i mniej problematyczny.
Pozdrawiam.
Offline
Witam, ponownie chcialbym odgrzac temat. Minelo juz troszke czasu i przeintalowalem kilka wersji starszych debiana i wiele konfiguracji squida, miedzy innymi twoja aphex (po malej modyfikacji dostosowujacej konfig do najnowszej wersji), ale problem jest ten sam niezmiennie.
Co do wypowiedzi adama05 to zwroc uwage, ze ponizej 26 lini sa odpowiednie wpisy (niektore # ale wszystkie byly sprawdzane).
Ma ktos jeszcze jakies pomysly co moze byc przyczyna. Dodam, bo nie napisalem wczesniej tego ze jak jest wlaczone przekierowanie na firewallu i na serwerze ustawie recznie w przegladarce server proxy to laduje sie stronka squida access denied natomiast na pozozstalych komputerach nie mozna wyswietlic strony (komunikat squida nie wyswietla sie). Jak ustawie w przegladarce na serwerze automatyczne wykrywanie servera proxy to stronki sie laduja. Na pozostalych komputerach bez zmian nie wazne czy jest ustawiony serwer proxy recznie czy na auto strony sie nie laduja i nie ma zadnego komunikatu od squida.
Doslownie rece opadaja, moze jest jakis inny fajny server proxy pod linuxa i mniej problematyczny.
Pozdrawiam.
Jest literowka czeski blad.
jest
iptables -t nat -A PREROUTING -i eth1 -p tcp --dport 80 -j REDIRECT --to-port 3128
powinno byc
iptables -t nat -A PREROUTING -i eth1 -p tcp --dport 80 -j REDIRECT --to-ports 3128
jeszcze raz - powinno byc --to-ports
Poza tym ja dolozylbym do tego serwerka binda cachujacego, by najpierw odpytywany on byl
I mala prosba - pokaz logi squida
Offline
Poprawilem ale bez poprawy. Ponizej logiu squida.
CACHE.LOG
2007/07/31 10:04:51| Starting Squid Cache version 2.6.STABLE5 for i386-debian-linux-gnu... 2007/07/31 10:04:51| Process ID 2808 2007/07/31 10:04:51| With 1024 file descriptors available 2007/07/31 10:04:51| Using epoll for the IO loop 2007/07/31 10:04:51| DNS Socket created at 0.0.0.0, port 1027, FD 6 2007/07/31 10:04:51| Adding nameserver 194.204.152.34 from squid.conf 2007/07/31 10:04:51| Adding nameserver 194.204.159.1 from squid.conf 2007/07/31 10:04:51| Referer logging is disabled. 2007/07/31 10:04:51| Unlinkd pipe opened on FD 12 2007/07/31 10:04:51| Swap maxSize 262144 KB, estimated 20164 objects 2007/07/31 10:04:51| Target number of buckets: 1008 2007/07/31 10:04:51| Using 8192 Store buckets 2007/07/31 10:04:51| Max Mem size: 16384 KB 2007/07/31 10:04:51| Max Swap size: 262144 KB 2007/07/31 10:04:51| Local cache digest enabled; rebuild/rewrite every 3600/3600 sec 2007/07/31 10:04:51| Rebuilding storage in /var/spool/squid (CLEAN) 2007/07/31 10:04:51| Using Least Load store dir selection 2007/07/31 10:04:51| Set Current Directory to /var/spool/squid 2007/07/31 10:04:51| Loaded Icons. 2007/07/31 10:04:51| Accepting transparently proxied HTTP connections at 0.0.0.0, port 3128, FD 14. 2007/07/31 10:04:51| Accepting ICP messages at 0.0.0.0, port 3130, FD 15. 2007/07/31 10:04:51| HTCP Disabled. 2007/07/31 10:04:51| WCCP Disabled. 2007/07/31 10:04:51| Ready to serve requests. 2007/07/31 10:04:51| Done reading /var/spool/squid swaplog (1 entries) 2007/07/31 10:04:51| Finished rebuilding storage from disk. 2007/07/31 10:04:51| 1 Entries scanned 2007/07/31 10:04:51| 0 Invalid entries. 2007/07/31 10:04:51| 0 With invalid flags. 2007/07/31 10:04:51| 1 Objects loaded. 2007/07/31 10:04:51| 0 Objects expired. 2007/07/31 10:04:51| 0 Objects cancelled. 2007/07/31 10:04:51| 0 Duplicate URLs purged. 2007/07/31 10:04:51| 0 Swapfile clashes avoided. 2007/07/31 10:04:51| Took 0.9 seconds ( 1.1 objects/sec). 2007/07/31 10:04:51| Beginning Validation Procedure 2007/07/31 10:04:51| Completed Validation Procedure 2007/07/31 10:04:51| Validated 1 Entries 2007/07/31 10:04:51| store_swap_size = 16k 2007/07/31 10:04:52| storeLateRelease: released 0 objects
ACCESS.LOG (zawsze pusty chyba, ze ustawie na serwerze recznie serwer proxy w przegladarce, wtedy pojawiaja sie wpisy)
1185870399.283 13 IP_ZEW TCP_DENIED/403 1312 GET http://www.onet.pl/373-46aeec85 - NONE/- text/html 1185870399.839 0 IP_ZEW TCP_DENIED/403 1310 GET http://www.onet.pl/favicon.ico - NONE/- text/html 1185870401.077 0 IP_ZEW TCP_DENIED/403 1312 GET http://www.onet.pl/373-46aeec85 - NONE/- text/html 1185870402.287 0 IP_ZEW TCP_DENIED/403 1312 GET http://www.onet.pl/373-46aeec85 - NONE/- text/html 1185870403.045 0 IP_ZEW TCP_DENIED/403 1312 GET http://www.onet.pl/373-46aeec85 - NONE/- text/html 1185871002.735 13 IP_ZEW TCP_DENIED/403 1371 GET http://en-us.fxfeeds.mozilla.com/en-US/firefox/headlines.xml - NONE/- text/html 1185871013.102 37 IP_ZEW TCP_DENIED/403 1306 GET http://www.forum.dug.net.pl/ - NONE/- text/html 1185871013.749 0 IP_ZEW TCP_DENIED/403 1328 GET http://www.forum.dug.net.pl/favicon.ico - NONE/- text/html 1185871015.822 0 IP_ZEW TCP_DENIED/403 1306 GET http://www.forum.dug.net.pl/ - NONE/- text/html
STORE.LOG (zawsze pusty, chyba ze tak jak powyzej)
1185870399.283 RELEASE -1 FFFFFFFF 30ADF9DBF2C2C5EB3D13C8D92DE8C287 403 1185870399 0 1185870399 text/html 973/973 GET http://www.onet.pl/373-46aeec85
1185870399.839 RELEASE -1 FFFFFFFF 6973F6A2DAA41A21F75649C1372FB432 403 1185870399 0 1185870399 text/html 971/971 GET http://www.onet.pl/favicon.ico
1185870401.077 RELEASE -1 FFFFFFFF 3F1E2269F627DA2ABC9407DC39C89496 403 1185870401 0 1185870401 text/html 973/973 GET http://www.onet.pl/373-46aeec85
1185870402.287 RELEASE -1 FFFFFFFF 6F03A8AC68ED3FA894DCAD4003CE208B 403 1185870402 0 1185870402 text/html 973/973 GET http://www.onet.pl/373-46aeec85
1185870403.045 RELEASE -1 FFFFFFFF 1FF77EA02CB8F96FF025F8F3199C790F 403 1185870403 0 1185870403 text/html 973/973 GET http://www.onet.pl/373-46aeec85
1185871002.735 RELEASE -1 FFFFFFFF 988389602CAB814E804598BD1AE703AF 403 1185871002 0 1185871002 text/html 1031/1031 GET http://en-us.fxfeeds.mozilla.com/en-US/firefox/headlines.xml
1185871013.102 RELEASE -1 FFFFFFFF 088FBA485B181B5B7B2C6B01B753F96A 403 1185871013 0 1185871013 text/html 967/967 GET http://www.forum.dug.net.pl/
1185871013.749 RELEASE -1 FFFFFFFF 7BF9682A805B4F50DC298B00865EA0E8 403 1185871013 0 1185871013 text/html 989/989 GET http://www.forum.dug.net.pl/favicon.ico
1185871015.822 RELEASE -1 FFFFFFFF 0453A747F247FC9FFCE3FC1DC3B8B790 403 1185871015 0 1185871015 text/html 967/967 GET http://www.forum.dug.net.pl/
Dodatkowo wynik polecenia (iptables -t nat -L -nv) dla wpisu w firewallu (iptables -t nat -A PREROUTING -i eth1 -p tcp --dport 80 -j REDIRECT --to-ports 3128)
Chain PREROUTING (policy ACCEPT 2960 packets, 351K bytes) pkts bytes target prot opt in out source destination 0 0 REDIRECT tcp -- eth1 * 0.0.0.0/0 0.0.0.0/0 tcp dpt:80 redir ports 3128 Chain POSTROUTING (policy ACCEPT 141 packets, 9436 bytes) pkts bytes target prot opt in out source destination 3 156 MASQUERADE 0 -- * * 192.168.1.0/24 0.0.0.0/0 Chain OUTPUT (policy ACCEPT 159 packets, 10586 bytes) pkts bytes target prot opt in out source destination
Gdzie widac 0 pakietow dla REDIRECT czyli tak jak by wogule firewall nie przekierowywal :(
Juz tyle razy to poprawialem ze moze ktos trzezwym okiem zauwazy blad.
Offline
Nie wiem... może się mylę ale to mi wygląda na to jakby squid nasłuchiwał na ip zewnętrznym...
zmień pierwszą linijkę squid.conf na
http_port ip_wew_serwera:3128 transparent
Jakby co to uderzaj na jabbera (preferowany) lub gg
Offline
Po zmianie wedlug twojej propozycji Kayo, teraz faktycznie pojawily sie wpisy po wykoonaniu polecenia iptables -t nat -L -nv
Chain PREROUTING (policy ACCEPT 722 packets, 82230 bytes) pkts bytes target prot opt in out source destination 15 720 REDIRECT tcp -- eth1 * 0.0.0.0/0 0.0.0.0/0 tcp dpt:80 redir ports 3128 Chain POSTROUTING (policy ACCEPT 56 packets, 3740 bytes) pkts bytes target prot opt in out source destination 2 120 MASQUERADE 0 -- * * 192.168.1.0/24 0.0.0.0/0 Chain OUTPUT (policy ACCEPT 64 packets, 4200 bytes) pkts bytes target prot opt in out source destination
Ale reszta bez zmian, strony sie nie laduja. Zastanawiam sie czy nie zainstalowac Debiana od nowa zeby zaczac z czystym kontem.
Offline
Po zmianie wedlug twojej propozycji Kayo, teraz faktycznie pojawily sie wpisy po wykoonaniu polecenia iptables -t nat -L -nv
Kod:
Chain PREROUTING (policy ACCEPT 722 packets, 82230 bytes) pkts bytes target prot opt in out source destination 15 720 REDIRECT tcp -- eth1 * 0.0.0.0/0 0.0.0.0/0 tcp dpt:80 redir ports 3128 Chain POSTROUTING (policy ACCEPT 56 packets, 3740 bytes) pkts bytes target prot opt in out source destination 2 120 MASQUERADE 0 -- * * 192.168.1.0/24 0.0.0.0/0 Chain OUTPUT (policy ACCEPT 64 packets, 4200 bytes) pkts bytes target prot opt in out source destinationAle reszta bez zmian, strony sie nie laduja. Zastanawiam sie czy nie zainstalowac Debiana od nowa zeby zaczac z czystym kontem.
A jak wyglada u ciebie routing? Mozesz go pokazac?
Offline
Tak mniej wiecej to wyglada
Kernel IP routing table Destination Gateway Genmask Flags Metric Ref Use Iface zarezerw_ip_sieci_zewnetrzne 0.0.0.0 255.255.255.248 U 0 0 0 eth0 192.168.1.0 0.0.0.0 255.255.255.0 U 0 0 0 eth1 0.0.0.0 ip_zewnetrzne_modemu 0.0.0.0 UG 0 0 0 eth0
Offline
Porownuje teraz moje ustawienia z twoimi.
Dodaj do linijki
iptables -A FORWARD -s 192.168.1.0/24 -j ACCEPT
takie cos
-p ALL
Offline
Czy tak to ma wygladac
iptables -A FORWARD -p ALL -s 192.168.1.0/24 -j ACCEPT
Jesli tak ma to wygladac to nic sie nie zmienilo.
A kompilowales jadro czy masz to ogolne dostarczane na plycie, albo squida kompilowales czy masz z paczki ? Bo ja mam z plyty i uaktualnione przez apt.
Offline
Czy tak to ma wygladac
Kod:
iptables -A FORWARD -p ALL -s 192.168.1.0/24 -j ACCEPTJesli tak ma to wygladac to nic sie nie zmienilo.
A kompilowales jadro czy masz to ogolne dostarczane na plycie, albo squida kompilowales czy masz z paczki ? Bo ja mam z plyty i uaktualnione przez apt.
Zmien poniższy skrypt pod swoje ustawienia i odpal go
#!/bin/sh ################ # Konfiguracja # ################ F="/sbin/iptables" LOG="ipt#" #interfejs globalny - dla sieci zewnetrznej G_NET_NAME="eth0" G_NET_IP="1.1.1.1" #interfejs lokalny - dla sieci wewnetrznej L_NET_NAME="eth1" L_NET_IP="192.168.1.1" L_NET="192.168.1.0/24" L_BRDC="192.168.1.255" #ustawienie modulow i konfiguracji jadra /sbin/modprobe ip_tables /sbin/modprobe ip_conntrack /sbin/modprobe ip_nat_ftp /sbin/modprobe ip_conntrack_ftp echo "1" > /proc/sys/net/ipv4/ip_forward #ignorowanie ICMP echo request wysylanych na adres rozgloszeniowy echo "1" > /proc/sys/net/ipv4/icmp_echo_ignore_broadcasts #ochrona przed SYN flood echo "1" > /proc/sys/net/ipv4/tcp_syncookies #refuse source routed packets echo "0" > /proc/sys/net/ipv4/conf/all/accept_source_route echo "1" > /proc/sys/net/ipv4/conf/all/secure_redirects #walidacja zrodla za pomoca reversed path (RFC1812). echo "1" > /proc/sys/net/ipv4/conf/all/rp_filter #logowanie pakietow z nieprawidlowych adresow echo "1" > /proc/sys/net/ipv4/conf/all/log_martians ################# # INICJALIZACJA # ################# echo "Ustawienia polityki dla lancuchow standardowych..." $F -P INPUT ACCEPT $F -P FORWARD ACCEPT $F -P OUTPUT ACCEPT $F -t nat -P PREROUTING ACCEPT $F -t nat -P OUTPUT ACCEPT $F -t nat -P POSTROUTING ACCEPT $F -t mangle -P PREROUTING ACCEPT $F -t mangle -P OUTPUT ACCEPT $F -t mangle -P INPUT ACCEPT $F -t mangle -P FORWARD ACCEPT $F -t mangle -P POSTROUTING ACCEPT echo "Czyszczenie regul dla lancuchow standardowych..." $F -F $F -t nat -F $F -t mangle -F echo "Kasowanie wszystkich niestandardowych lancuchow..." $F -X $F -t nat -X $F -t mangle -X if [ "$1" = "stop" ] then echo "Firewall zostal wylaczony." exit 0 fi echo "Ustawienia polityki lancuchow standardowych..." $F -P INPUT DROP $F -P OUTPUT DROP $F -P FORWARD DROP echo "Tworzenie niestandardowych lancuchow regul..." $F -N bledne_pakiety $F -N bledne_pakiety_tcp $F -N pakiety_icmp $F -N tcp_wchodzace $F -N tcp_wychodzace $F -N udp_wchodzace $F -N udp_wychodzace ################## # bledne_pakiety # ################## echo "Tworzenie regul dla lancucha bledne_pakiety..." $F -A bledne_pakiety -p ALL -m state --state INVALID -j LOG --log-prefix "$LOG bledne_pakiety " $F -A bledne_pakiety -p ALL -m state --state INVALID -j DROP $F -A bledne_pakiety -p tcp -j bledne_pakiety_tcp $F -A bledne_pakiety -p ALL -j RETURN ###################### # bledne_pakiety_tcp # ###################### echo "Tworzenie regul dla lancucha bledne_pakiety_tcp..." #dla gate $F -A bledne_pakiety_tcp -p tcp -i $L_NET_NAME -j RETURN $F -A bledne_pakiety_tcp -p tcp ! --syn -m state --state NEW -j LOG --log-prefix "$LOG bledne_pakiety_tcp " $F -A bledne_pakiety_tcp -p tcp ! --syn -m state --state NEW -j DROP $F -A bledne_pakiety_tcp -p tcp --tcp-flags ALL NONE -j LOG --log-prefix "$LOG bledne_pakiety_tcp " $F -A bledne_pakiety_tcp -p tcp --tcp-flags ALL NONE -j DROP $F -A bledne_pakiety_tcp -p tcp --tcp-flags ALL ALL -j LOG --log-prefix "$LOG bledne_pakiety_tcp " $F -A bledne_pakiety_tcp -p tcp --tcp-flags ALL ALL -j DROP $F -A bledne_pakiety_tcp -p tcp --tcp-flags ALL FIN,URG,PSH -j LOG --log-prefix "$LOG bledne_pakiety_tcp " $F -A bledne_pakiety_tcp -p tcp --tcp-flags ALL FIN,URG,PSH -j DROP $F -A bledne_pakiety_tcp -p tcp --tcp-flags ALL SYN,RST,ACK,FIN,URG -j LOG --log-prefix "$LOG bledne_pakiety_tcp " $F -A bledne_pakiety_tcp -p tcp --tcp-flags ALL SYN,RST,ACK,FIN,URG -j DROP $F -A bledne_pakiety_tcp -p tcp --tcp-flags SYN,RST SYN,RST -j LOG --log-prefix "$LOG bledne_pakiety_tcp " $F -A bledne_pakiety_tcp -p tcp --tcp-flags SYN,RST SYN,RST -j DROP $F -A bledne_pakiety_tcp -p tcp --tcp-flags SYN,FIN SYN,FIN -j LOG --log-prefix "$LOG bledne_pakiety_tcp " $F -A bledne_pakiety_tcp -p tcp --tcp-flags SYN,FIN SYN,FIN -j DROP $F -A bledne_pakiety_tcp -p tcp -j RETURN ################ # pakiety_icmp # ################ echo "Tworzenie regul dla lancucha pakiety_icmp..." $F -A pakiety_icmp --fragment -p ICMP -j LOG --log-prefix "$LOG pakiety_icmp fragmenty " $F -A pakiety_icmp --fragment -p ICMP -j DROP #ping - zachaszowac w przypadku odsloniecia powyzszych regul $F -A pakiety_icmp -p ICMP -s 0/0 --icmp-type 8 -j DROP #Time Exceeded $F -A pakiety_icmp -p ICMP -s 0/0 --icmp-type 11 -j ACCEPT $F -A pakiety_icmp -p ICMP -j RETURN ################# # tcp_wchodzace # ################# echo "Tworzenie regul dla lancucha tcp_wchodzace..." #ident request #reject zamiast drop w celu unikniecia opoznien przy polaczeniach $F -A tcp_wchodzace -p TCP -s 0/0 --destination-port 113 -j REJECT #nie pasujace: powrot i logowanie $F -A tcp_wchodzace -p TCP -j RETURN ################## # tcp_wychodzace # ################## echo "Tworzenie regul dla lancucha tcp_wychodzace..." #nie pasujace ACCEPT $F -A tcp_wychodzace -p TCP -s 0/0 -j ACCEPT ################# # udp_wchodzace # ################# echo "Tworzenie regul dla lancucha udp_wchodzace..." #Drop netbios calls $F -A udp_wchodzace -p UDP -s 0/0 --destination-port 137 -j DROP $F -A udp_wchodzace -p UDP -s 0/0 --destination-port 138 -j DROP #ident - reject zamiast drop w celu unikniecia opoznien w polaczeniach $F -A udp_wchodzace -p UDP -s 0/0 --destination-port 113 -j REJECT #nie pasujace - powrot i logowanie $F -A udp_wchodzace -p UDP -j RETURN ################## # udp_wychodzace # ################## echo "Tworzenie regul dla lancucha udp_wychodzace..." #nie pasujace ACCEPT $F -A udp_wychodzace -p UDP -s 0/0 -j ACCEPT ######### # INPUT # ######### echo "Tworzenie regul dla lancucha INPUT..." $F -A INPUT -p ALL -i lo -j ACCEPT $F -A INPUT -p ALL -j bledne_pakiety #DOCSIS compliant cable modems #Drop without logging. $F -A INPUT -p ALL -d 224.0.0.1 -j DROP #zezwolenie dla sieci lokalnej - dla gate $F -A INPUT -p ALL -i $L_NET_NAME -s $L_NET -j ACCEPT $F -A INPUT -p ALL -i $L_NET_NAME -d $L_BRDC -j ACCEPT #Ustanowione polaczenia $F -A INPUT -p ALL -i $G_NET_NAME -m state --state ESTABLISHED,RELATED -j ACCEPT #reszta do odpowiednich lancuchow $F -A INPUT -p ICMP -i $G_NET_NAME -j pakiety_icmp $F -A INPUT -p TCP -i $G_NET_NAME -j tcp_wchodzace $F -A INPUT -p UDP -i $G_NET_NAME -j udp_wchodzace #zatrzymanie rozgloszen $F -A INPUT -p ALL -d 255.255.255.255 -j DROP #nie pasujace - logowanie $F -A INPUT -j LOG --log-prefix "$LOG INPUT:99 " ########### # FORWARD # ########### #dla gate caly echo "Tworzenie regul dla lancucha FORWARD..." $F -A FORWARD -p ALL -j bledne_pakiety $F -A FORWARD -p tcp -i $L_NET_NAME -j tcp_wychodzace $F -A FORWARD -p udp -i $L_NET_NAME -j udp_wychodzace $F -A FORWARD -p ALL -i $L_NET_NAME -j ACCEPT $F -A FORWARD -i $G_NET_NAME -m state --state ESTABLISHED,RELATED -j ACCEPT #nie pasujace - loguj $F -A FORWARD -j LOG --log-prefix "$LOG FORWARD:99 " ########## # OUTPUT # ########## echo "Tworzenie regul dla lancucha OUTPUT..." $F -A OUTPUT -m state -p icmp --state INVALID -j DROP $F -A OUTPUT -p ALL -s 127.0.0.1 -j ACCEPT $F -A OUTPUT -p ALL -o lo -j ACCEPT #dla gate $F -A OUTPUT -p ALL -s $L_NET_IP -j ACCEPT $F -A OUTPUT -p ALL -o $L_NET_NAME -j ACCEPT $F -A OUTPUT -p ALL -o $G_NET_NAME -j ACCEPT #nie pasujace - loguj $F -A OUTPUT -j LOG --log-prefix "$LOG OUTPUT:99 " ############# # nat table # ############# echo "Tworzenie regul dla tablicy nat..." #w nat wszystkie reguly dla gate ############## # PREROUTING # ############## echo " lancuch PREROUTING" #Redirect HTTP for a transparent proxy $F -t nat -A PREROUTING -p tcp --destination-port 80 -j REDIRECT --to-ports 3128 ############### # POSTROUTING # ############### echo " lancuch POSTROUTING" $F -t nat -A POSTROUTING -o $G_NET_NAME -j SNAT --to-source $G_NET_IP $F -t nat -A POSTROUTING -o $L_NET_NAME -j SNAT --to-source $G_NET_IP ################ # mangle table # ################ echo "Tworzenie regul dla mangle table..."
Ja mam iptables i kernela z repo
Offline
Witam ponownie, i odrazu wielkie dzieki Kayo za pomoc, wstepnie moge juz powiedziec ze dziala. Jeszcze musze troche potestowac zeby byc pewnym na 100% (chce jeszcze sprawdzic te stare pliki konfiguracyjne).
Musze jednak wyjasnic, moze sie to komus przyda, ze na trudnosci ze squidem miala u mnie wplyw rowniez karta sieciowa na ktorej bylo wyjscie na swiat. Dzis ja wymienilem i problem jak reka odjal, a to dzieki wyzucanym przez plik konfiguracyjny Kayo logom.
Pozdrawiam
Offline