Transpqrent Squid I Iptables Proszę Pomóżcie Szybko

[samba]

Witam

 

Chcę zrobić transparent proxy (squid 2.6) z przekierowaniem ruchu 80 na 8080. Na serwerze mam

 

eth0 192.168.1.1/24 (do routera)

eth1 192.168.0.1/24 (do LAN)

 

Pytanie czy jest możliwość aby DHCP z ROUTERA nadawało adresy IP klientom za squidem (192.168.0.1/24) ? CZy DHCP trzeba ustawić dla eth1 ? Wolałbym mieć to na (routerze/UTM) Draytek VigorPro 5300 UTM. Panel Konfiguracyjny UTM

 

Po drugie

 

Wiem że pewno temat był wałkowany, ale nie mogę znaleźć dlaczego iptables na Centos 5.4 wywala mi błąd odnośnie lini 1 i 2 (nie kuma ip_conntrack_ftp).

W pliku sysctl.conf zrobiłem . Chce aby ftp działało za squidem !

 

net.ipv4.ip_forward = 1

 

W pliku iptables.conf jest coś takiego

IPTABLES_MODULES="ip_conntrack_netbios_ns ip_conntrack_ftp"

Przypuszczam że to mi coś psuje ?

 

Zrobiłem plik fw.sh o zawartości jak poniżej i dodałem do /rc.local by przy starcie ładował się zamiast standardowej konfiguracji firewalla.

#!/bin/bash

modprobe ip_conntrack_ftp
modprobe ip_conntrack

iptables -F
iptables -t nat -F
iptables -P INPUT DROP
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A INPUT -i lo -j ACCEPT
iptables -A INPUT -p icmp -m limit --limit 10/sec -j ACCEPT
iptables -A INPUT -A -s 192.168.0.0/24 -p tcp --dport 8080
iptables -P FORWARD DROP
iptables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCET
# wpuszczam pingi
iptables -A FORWARD -p icmp -j ACCEPT
# services
iptables -A FORWARD -p tcp --dport 21 -j ACCEPT
#iptables -A FORWARD -p tcp --dport 22 -j ACCEPT
iptables -A FORWARD -p tcp --dport 25 -j ACCEPT
iptables -A FORWARD -p tcp --dport 110 -j ACCEPT
iptables -A FORWARD -p tcp --dport 443 -j ACCEPT
iptables -A FORWARD -p tcp --dport 993 -j ACCEPT
iptables -A FORWARD -p tcp --dport 995 -j ACCEPT
# DNSY
iptables -A FORWARD -p tcp --dport 53 -j ACCEPT
iptables -A FORWARD -p udp --dport 53 -j ACCEPT

iptables -t nat -A POSTROUTING -o eth0 192.168.0.0/24 -j SNAT --to-source 192.168.1.2
iptables -t nat -A PREROUTING -i eth1 -s 192.168.0.0/24 -d ! 192.168.0.1 -p tcp --dport 80 -j REDIRECT --to-port 8080

 

Kiedyś jak to robiłem na FC bodajże 7 działało . Na centos nie.

 

Przy tej konfiguracji Klient (XP) nie pobiera adresu ip ( bo nie wiem gdzie DHCP postawić) jednakże przy ustawieniu na sztywno adresacji i wpisaniu adresu 192.168.0.1:8080 w IE widać proxy a to ma być transparent - bez konfiguracji przeglądarek na klientach.

Gdzie popełniłem błąd ?

[amarantus]

Hej,

 

ad 1:

jesli dhcp jest w 2 sieci to musisz na routerze laczacym sieci ustawic przekierowanie dla portow udp 67, 68, tak aby zapytania i odpowiedzi z dhcp przechodzily przez router; w cisco robi sie to komenda ip helper-address

 

ad 2:

tu masz konfiguracje dla iptables:

http://www.roz6.woiz.polsl.pl/~jarkarc/ind...ransparentsquid

 

--

Pozdrawiam

Michał

[samba]

ad 1:

jesli dhcp jest w 2 sieci to musisz na routerze laczacym sieci ustawic przekierowanie dla portow udp 67, 68, tak aby zapytania i odpowiedzi z dhcp przechodzily przez router; w cisco robi sie to komenda ip helper-address

No właśnie czy za squidem tj dla eth1 (druga sieć) musze ustawiać na maszynie serwer DHCP dla klientów 192.168.0.0/24 ?? Czy jest jakaś możliwość przepuszczenia dhcp aby adresacja leciała z routera (192.168.1.1) tj. przez eth0 ??

 

ad 2:

tu masz konfiguracje dla iptables:

 

Dzięki zaraz sprawdze !

 

 

 

[amarantus]

troszke nie rozumiem tego co napisales odnosnie dhcp.

Odpowiem tak:

jesli chcesz aby klienci z sieci 192.168.1.0/24 pobierali adresy z dhcp przez router posredniczacy to musisz na routerze ustawic reguly przekazujace dla dhcp czyli porty udp 67,68 i na serwerze dhcp ustawic pule adresow dla sieci 192.168.1.0/24.

 

Niestety nie podam Ci wpisow dla iptables, bo glownie pracuje na FreeBSD i Cisco, a Fedora sie zajolem na potrzeby jednego konkretnego projektu.

 

[samba]

troszke nie rozumiem tego co napisales odnosnie dhcp.

Odpowiem tak:

jesli chcesz aby klienci z sieci 192.168.1.0/24 pobierali adresy z dhcp przez router posredniczacy to musisz na routerze ustawic reguly przekazujace dla dhcp czyli porty udp 67,68 i na serwerze dhcp ustawic pule adresow dla sieci 192.168.1.0/24.

 

Niestety nie podam Ci wpisow dla iptables, bo glownie pracuje na FreeBSD i Cisco, a Fedora sie zajolem na potrzeby jednego konkretnego projektu.

 

Wiec postaram się narysować

 

192.168.1.1 (router)

dhcp squid z nat

_____ --------

|___|---------------------------| |--------------LAN 192.168.0.3-19/24

eth0 ------- eth1

192.168.1.2/24 192.168.0.1

 

Czy dla eth1 mam robić serwer DHCP dla LAN?

Chcę aby adresy DHCP były nadawane przez router dla sieci LAN czyli dla klientów 192.168.0.3-19

[amarantus]

napisz na gg: 3584068, tak bedzie najszybciej

[samba]

napisz na gg: 3584068, tak bedzie najszybciej

 

Może mi ktoś powiedzieć dlaczego

 

modprobe ip_conntrack_ftp

modprobe ip_conntrack

 

Nie chcą się załadować tj iptables wywala błąd dla tych wpisów na centos ? Jak załadować te moduły ??

[samba]

Może mi ktoś powiedzieć dlaczego

 

modprobe ip_conntrack_ftp

modprobe ip_conntrack

 

Nie chcą się załadować tj iptables wywala błąd dla tych wpisów na centos ? Jak załadować te moduły ??

Ewentualnie jak załadować powyższe reguły do standardowego IP tables w CENTOS ?

 

[centos]

Witam

 

Spróbuj wywołać te moduły następująco:

 

/sbin/modprobe ip_tables

/sbin/modprobe ip_conntrack

/sbin/modprobe ip_conntrack_ftp

 

Prawdopodobnie brakuje mu bezwzględnej ścieżki i dlatego nie działa.