Søg
Avatar billede skirk Nybegynder
24. januar 2003 - 10:37 Der er 9 kommentarer

mærkeligt Squid eller iptables problem :-(

Hej jeg har et underligt problem jeg har sat en Red Hat 8.0 squid server og iptables firewall på samme maskine. Når jeg så søger på en søgemaskine fra en klient som www.google.com er der ingen problemer MEN!!! når jeg fx går ind på www.edbpriser.dk og søger efter et ord ja så stener den bare den kommer ikke videre :( og når jeg så slår squid fra ja så er der ingen problemer (meget mystisk). Fx kunne jeg heller ikke logge mig ind her på www.eksperten.dk med squid slået til men slået fra kunne jeg godt.

Her er mit iptables sript:

iptables -F
iptables -t nat -F

iptables -P FORWARD DROP
iptables -P INPUT DROP
iptables -P OUTPUT ACCEPT

iptables -t nat -P POSTROUTING ACCEPT
iptables -t nat -P PREROUTING ACCEPT

iptables -A INPUT -p icmp -j ACCEPT
iptables -A INPUT -p udp --sport 53 -j ACCEPT
iptables -A INPUT -p tcp --sport 1024: -j ACCEPT
iptables -A OUTPUT -o eth1 -p tcp --sport 23 -j DROP

###NAT###
iptables -t nat -A POSTROUTING -o eth1 -j SNAT --to 10.4.120.4
iptables -t nat -A PREROUTING -p tcp -i eth1 -j DNAT --dport 80 \
--to 192.168.4.3
iptables -t nat -A PREROUTING -p tcp -i eth1 -j DNAT --dport 53 \
--to 192.168.4.3
iptables -t nat -A PREROUTING -p tcp -i eth1 -j DNAT --dport 20:21 \
--to 192.168.4.2
#iptables -t nat -A PREROUTING -i eth1 -p tcp --sport 8080 -j \
#REDIRECT --to 3128
#########

###Forward###
#iptables -A FORWARD -p all -i eth0 -s 192.168.4.0/24 -d 0/0 -j ACCEPT
iptables -A FORWARD -p icmp -j ACCEPT
iptables -A FORWARD -p all -j ACCEPT
iptables -A FORWARD -p tcp -j ACCEPT
iptables -A FORWARD -p udp -j ACCEPT
#############

og her min squid:

http_port 3128
cache_peer 10.4.0.1 parent 8080 0 no-query default
cache_mem 64 MB
cache_dir ufs /var/spool/squid 100 16 256
#hierarchy_stoplist cgi-bin ?
#acl QUERY urlpath_regex cgi-bin \?
#no_cache deny QUERY
cache_log /var/log/squid/cache.log
#log_mime_hdrs off
acl all src 0.0.0.0/0.0.0.0
acl lan src 192.168.4.0/255.255.255.0
acl localhost src 127.0.0.1/255.255.255.255
acl wl url_regex -i porno porn pron p0rn pr0n watersport goldenshower
acl wl url_regex -i shit shitting piss pissing pee peeing urin urine sex xxx
acl wl url_regex -i games gamez warez appz mp3 divx xvid mpg3 mpeg3 avi vcd svcd
http_access deny wl
http_access allow lan
http_access allow localhost
http_access allow all
cache_effective_user squid
cache_effective_group squid
strip_query_terms on


Jeg håber at der er en sjæl derude der har en løsning da dette prblem ridder mig som en mare :-/

MVH

Kristian Steen Kirk
Avatar billede langbein Nybegynder
24. januar 2003 - 13:15 #1
Det er ikke det minste merkelig at du ikke kan logge deg inn (tror jeg) :-) Det som er merkelig det er at du i det hel kan få opp siden til google. (Tror jeg) :-)  Går ut fra at det må være fordi den ligger i cachen til squid (eller work station.)

Husk: Squid jobber kun gjennom input og output chains, ikke gjennom forwarding chains !! og hva står det for input/output chains:

iptables -P INPUT DROP
iptables -P OUTPUT ACCEPT

iptables -A INPUT -p icmp -j ACCEPT
iptables -A INPUT -p udp --sport 53 -j ACCEPT
iptables -A INPUT -p tcp --sport 1024: -j ACCEPT

Hvordan skulle Squid klare å kommunisere ut mot webben via dette ??

Dem maskinen som kjører squid må være konfigurert slik at den er i stand til selv å surfe på internett. Test ut ved hjelp av lynx, eller hvis du eventuelt har x-win ved hjelp av Netscape om den selv er i stand til å "surfe". Bare da vil Squid som er en lokal prosess på denne makinen kunne fungere slik som ønsket.

Er forresten litt i tvil - skulle denne kunne åpne for web trafikk:
iptables -A INPUT -p tcp --sport 1024: -j ACCEPT
Jeg ville ikke tro det ???

Forsøk eventuelt et scrips som åpner alle firewall porter slik at du får eleminert dette som feilkilde.

Mulig jeg har skrvet litt tull og tøys over for jeg har ikke noe å teste med akkurat nå. Du har jo faktisk output chain til accept. Dette gir jo trafikk ut. Så var det returen, må man åpne for returen separat eller går dette automatisk. Er litt i tvil.

Men i alle fall - Hovedprinsippene er:

1. Når man kjører via squid så paserer all trafikk via input og output chains. Forward chains er ikke i bruk.

2. Når man kjører uten å gå via squid og i stedet via nat forbindelsen så paserer all trafikk via forward chains.

Håper at dette kan være til hjelp for videre "investigation". :-)
Avatar billede langbein Nybegynder
24. januar 2003 - 13:21 #2
Dette er jo ellers nesten litt selvmotsigende:

Den siste regel som trer i kraft det er at all forwarding trafikk skal droppes:
iptables -P FORWARD DROP

Men så gjelder disse to spesialregler som i reliteten sier at all trafikk kan passere gjennom forwarding chain:

iptables -A FORWARD -p tcp -j ACCEPT
iptables -A FORWARD -p udp -j ACCEPT

Input/output chain som styrer trafikken til fra Squid er satt opp med en del restriksjoner.

Trafikk til fra inetrnett fra workstation er satt uten restiksjoner når man kjører nat (eller utenom Squid).

Årsaken til problemene kan godt ligge i dette, vil jeg tro.
Avatar billede langbein Nybegynder
24. januar 2003 - 13:22 #3
Legg beskjed dersom dette ikke "virker"/klarer opp i problemet.
(Har både firewall og Squid kjørende der hjemme.)
Avatar billede langbein Nybegynder
24. januar 2003 - 13:27 #4
Forresten: Hva med ftp ?? Virker dette ?? Kan ikke se at du laster de tillegsmoduler man vanligvis behøver for å kjøre ftp active og passive mode gjennom firewall ??
Avatar billede skirk Nybegynder
24. januar 2003 - 14:07 #5
Ftp'en virker fint og internnet virker oxo fint

iptables -A INPUT -p tcp --sport 1024: -j ACCEPT det er en upriviligeret port der bliver åbnet.

Men har i så et fåreslag til hvordan den skal se ud?

Kritirier:

Der må ikke kune blive telnettet udefra og ind men på LAN skal det være mueligt.
Avatar billede langbein Nybegynder
24. januar 2003 - 14:22 #6
Javel, virker ftp via nat, dvs fra klienter på lan og ut  .. Red Hat 8.0, da har de vel gjerne begynt å legge dette inn som default i kjernen .. 7.3 hadde ikke det.

"iptables -A INPUT -p tcp --sport 1024: -j ACCEPT det er en upriviligeret port der bliver åbnet."

Er ikke 100 % enig det. Her står faktisk: Lukk opp for alle ip pakker med avsender port adresse 1024. Det er jo vanligvis mottaker port adresse man åpner for ??

Skal kikke litt nærmere der hjemme. Kjører nokså likt som det du beskriver. Bare ssh utenfta og så også med telnet fra lan og også ut fra server. Bruker også Squid og veksler mellom "Squid" og "ikke Squid" etter behov.
Avatar billede langbein Nybegynder
24. januar 2003 - 14:23 #7
http://iptables.1go.dk/
Avatar billede langbein Nybegynder
26. januar 2003 - 12:55 #8
Hvordan går det ?? Har vært utrolig opptatt en periode. Vil forsøke å testkjøre med og uten squid, evenuelt forsøke et nytt script, litt senere og hvis nødvendig ??
Avatar billede skirk Nybegynder
26. januar 2003 - 13:06 #9
Jeg skal prøve igen imorgen. Men kan jeg ikke se dit script i squid og iptables ?  for hvis dine scripts virker :)
Avatar billede Ny bruger Nybegynder

Din løsning...

Tilladte BB-code-tags: [b]fed[/b] [i]kursiv[/i] [u]understreget[/u] Web- og emailadresser omdannes automatisk til links. Der sættes "nofollow" på alle links.

Loading billede Opret Preview
Kategori
Se alle it-kurser fra Computerworld Kurser
IT-kurser om Microsoft 365, sikkerhed, personlig vækst, udvikling, digital markedsføring, grafisk design, SAP og forretningsanalyse.
Se alle it-kurser

Flere spørgsmål fra Linux kategorien

Titel Indlæg Oprettet Seneste aktivitet
Kun read only adgang til filer FTP Server på Ubuntu Server Af Strawberry i Linux 6 18/03/202619:27 24/03/202613:16
PIHOLE Af dcedata1977 i Linux 6 14/03/202620:13 22/03/202615:06
SDKORT / SSD Af dcedata1977 i Linux 5 13/03/202612:06 15/03/202614:52
Gøre Billeder og Tegninger større (Linux Mint) Af Ikke-ekspert i Linux 8 07/03/202621:10 09/03/202601:11
Netværksadgang for flere brugere til samme filer på Ubuntu Server Af Strawberry i Linux 2 27/02/202611:38 27/02/202620:28
Se alle spørgsmål i kategorien Opret spørgsmål

Log ind eller opret profil

Hov!

For at kunne deltage på Computerworld Eksperten skal du være logget ind.

Det er heldigvis nemt at oprette en bruger: Det tager to minutter og du kan vælge at bruge enten e-mail, Facebook eller Google som login.

Opret Log ind

Du kan også logge ind via nedenstående tjenester

Alle kategorier på Eksperten
Seneste spørgsmål Seneste aktivitet
I går 13:45 AJAX kode -javascript Af Asky i Programmeringsværktøjer
I går 11:50 Vælg indstilling - blå skærm med med flere muligheder for fejlretning Af Uvanga i Windows
14/0523:24 Google sheets beregning udfra dato Af rickiegrayholm i Office & Kontorpakker
14/0518:09 Outlook Classic, lukker ikke Af mort1 i E-mail programmer
13/0520:48 Bred buet skærm vs. 2 skærme Af Nanarsi i Skærme
White papers
Flere white papers »