Skocz do zawartości

Squid - Firewall


BoloM

Rekomendowane odpowiedzi

Witam,

Mam oto taki problem. Ponizej schemat:

 

-->>LAN-->>SQUID-->>FIREWALL CISCO (NAT)-->>INTERNET

 

Opis:

 

Siec lan posiada IP: 10.10.10.0/24. Komputery z tej sieci maja uzywac SQUIDA. Rozglaszam to poprzez WPAD-a. Bramka domyslna dla sieci LAN jest IP Squida: 10.10.10.1. Linux ten posiada tylko jedna karte sieciowa i jeden IP. Bramka domyslna dla Squida jest IP Firewalla Cisco 10.10.10.2 gdzie jest realizowany NAT.

Bardzo prosze o pomoc w konfiguracji firewalla dla Squida. Po instalacji RedHata mam domyslna konfiguracje iptablesa, która puszcza wszystko. Dodalem wpis, który znalazlem w internecie: iptables -t nat -A PREROUTING -i eth0 -p tcp –dport 80 -j REDIRECT –to-port 3128, ale nie dziala:(.

Bardzo prosze o pomoc w konfiguracji.

 

Oczywiscie jest to mój pomysl. Jesli macie inne pomysly co do ustawienia Squida bede wdzieczny o wypowiedzi.. Moze to zle, ze robie go jako brame domyslna?). Bede wdzieczny za informacje.

Odnośnik do komentarza
Udostępnij na innych stronach

zrobilem cos takiego:

 

# Generated by iptables-save v1.3.5 on Mon Jul 16 11:47:31 2012

*nat

:PREROUTING ACCEPT [519:56564]

:POSTROUTING ACCEPT [25:1452]

:OUTPUT ACCEPT [67:3983]

-A PREROUTING -i eth0 -p tcp -m tcp --dport 80 -j REDIRECT --to-ports 3128

-A PREROUTING -i eth0 -p tcp -m tcp --dport 80 -j REDIRECT --to-ports 3128

-A POSTROUTING -o eth0 -j MASQUERADE

COMMIT

# Completed on Mon Jul 16 11:47:31 2012

# Generated by iptables-save v1.3.5 on Mon Jul 16 11:47:31 2012

*filter

:INPUT ACCEPT [0:0]

:FORWARD ACCEPT [0:0]

:OUTPUT ACCEPT [3330:1582921]

:RH-Firewall-1-INPUT - [0:0]

-A INPUT -j RH-Firewall-1-INPUT

-A INPUT -p tcp -m state --state NEW,RELATED,ESTABLISHED -m tcp --dport 3128 -j ACCEPT

-A FORWARD -j RH-Firewall-1-INPUT

-A RH-Firewall-1-INPUT -i lo -j ACCEPT

-A RH-Firewall-1-INPUT -p icmp -m icmp --icmp-type any -j ACCEPT

-A RH-Firewall-1-INPUT -p esp -j ACCEPT

-A RH-Firewall-1-INPUT -p ah -j ACCEPT

-A RH-Firewall-1-INPUT -d 224.0.0.251 -p udp -m udp --dport 5353 -j ACCEPT

-A RH-Firewall-1-INPUT -p udp -m udp --dport 631 -j ACCEPT

-A RH-Firewall-1-INPUT -p tcp -m tcp --dport 631 -j ACCEPT

-A RH-Firewall-1-INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT

-A RH-Firewall-1-INPUT -p tcp -m state --state NEW -m tcp --dport 22 -j ACCEPT

-A RH-Firewall-1-INPUT -p tcp -m state --state NEW -m tcp --dport 80 -j ACCEPT

-A RH-Firewall-1-INPUT -p tcp -m state --state NEW -m tcp --dport 21 -j ACCEPT

-A RH-Firewall-1-INPUT -p tcp -m state --state NEW -m tcp --dport 443 -j ACCEPT

-A RH-Firewall-1-INPUT -j REJECT --reject-with icmp-host-prohibited

COMMIT

# Completed on Mon Jul 16 11:47:31 2012

~

 

I chyba nie dziala. Prosze o sprawdzenie

Odnośnik do komentarza
Udostępnij na innych stronach

  • 4 weeks later...

Ten PREROUTING zadzialalby, gdybys wrzucil go na router (czyli twojego cisco), poniewaz dziala on w ten sposób, ze jak cos chce isc na port 80 gdziekolwiek, toprzekierowuje go na twojego SQUIDA.

Ale twoje regulka jest na SQUIDZIE wiecnikt tam nawet nie zaglada na port 80, w efekcie nie dziala.

Rozwiazaniem jest zrobic redirect na CISCO.

 

Pozdrawiam

Odnośnik do komentarza
Udostępnij na innych stronach

Jeśli chcesz dodać odpowiedź, zaloguj się lub zarejestruj nowe konto

Jedynie zarejestrowani użytkownicy mogą komentować zawartość tej strony.

Zarejestruj nowe konto

Załóż nowe konto. To bardzo proste!

Zarejestruj się

Zaloguj się

Posiadasz już konto? Zaloguj się poniżej.

Zaloguj się
×
×
  • Dodaj nową pozycję...