Shorewall+squid [debian]

0

1

На debain стоит прокси.Ставим туда shorewall.Правила все нормально работают,кроме тех что относятся к squid.Инет Прокси не раздает.

shorewall/rules

REDIRECT loc 3128 tcp 80

ACCEPT $FW net tcp 80

shorewall/masq

eth1 eth0

shorewall/interfaces

net eth1 detect dhcp,tcpflags,nosmurfs,routefilter,logmartians

loc eth0 detect tcpflags,nosmurfs,routefilter,logmartians

shorewall/zones

fw firewall

net ipv4

loc ipv4

Может я чего не так делаю,не знаю.Но помощь в этом вопросе требуется.

Ссылка

←	Ошибка irq_stat 0x8 active_tag

Linux авторизация пользователей через Active Diretory

→

я не буду сильно оригинальным, если посоветую тебе выкинуть shorewall и просто по-человечески настроить iptables

Pinkbyte ★★★★★
(28.03.11 13:19:06 MSK)

Ответ на: комментарий от Pinkbyte 28.03.11 13:19:06 MSK

Этот вариант сразу отпадает)))Нужно допилить именно shorewall

komrad-zack
(28.03.11 13:45:05 MSK) автор топика

Ответ на: комментарий от komrad-zack 28.03.11 13:45:05 MSK

в логах что нибудь интересное есть?

splinter ★★★★★
(28.03.11 13:46:41 MSK)

Ответ на: комментарий от splinter 28.03.11 13:46:41 MSK

Правила записываются нормально.Никаких ошибок нету

komrad-zack
(28.03.11 14:03:29 MSK) автор топика

Ссылка

Правило с которым щас работает прокся -A PREROUTING -s 192.168.0.0/24 -i eth0 -p tcp -m tcp --dport 80 -j REDIRECT --to-ports 3128

komrad-zack
(28.03.11 14:05:13 MSK) автор топика

Ответ на: комментарий от komrad-zack 28.03.11 14:05:13 MSK

iptables -vn -L INPUT покажи

Pinkbyte ★★★★★
(28.03.11 15:40:52 MSK)

Ответ на: комментарий от Pinkbyte 28.03.11 15:40:52 MSK

*mangle
:PREROUTING ACCEPT [1737:897243]
:INPUT ACCEPT [1695:889642]
:FORWARD ACCEPT [18:1172]
:OUTPUT ACCEPT [1681:940699]
:POSTROUTING ACCEPT [1687:940431]
:tcfor - [0:0]
:tcout - [0:0]
:tcpost - [0:0]
:tcpre - [0:0]
-A PREROUTING -j tcpre
-A FORWARD -j MARK --set-xmark 0x0/0xff
-A FORWARD -j tcfor
-A OUTPUT -j tcout
-A POSTROUTING -j tcpost
COMMIT
# Completed
*nat
:PREROUTING ACCEPT [110:11835]
:POSTROUTING ACCEPT [80:3400]
:OUTPUT ACCEPT [10:600]
:dnat - [0:0]
:eth1_masq - [0:0]
:loc_dnat - [0:0]
:net_dnat - [0:0]
-A PREROUTING -j dnat
-A POSTROUTING -o eth1 -j eth1_masq
-A dnat -i eth1 -j net_dnat
-A dnat -i eth0 -j loc_dnat
-A eth1_masq -s 192.168.2.224/27 -j MASQUERADE
-A eth1_masq -s 192.168.1.0/24 -j MASQUERADE
-A eth1_masq -s 192.168.0.0/24 -j MASQUERADE
-A loc_dnat ! -d 192.168.0.253/32 -p tcp -m tcp --dport 80 -j REDIRECT --to-ports 3128
-A net_dnat -p tcp -m tcp --dport 3389 -m comment --comment "RDP" -j DNAT --to-destination 192.168.0.250
COMMIT
# Completed(частями)
-A Drop -j dropInvalid
-A Drop -p udp -m multiport --dports 135,445 -m comment --comment "SMB" -j DROP
-A Drop -p udp -m udp --dport 137:139 -m comment --comment "SMB" -j DROP
-A Drop -p udp -m udp --sport 137 --dport 1024:65535 -m comment --comment "SMB" -j DROP
-A Drop -p tcp -m multiport --dports 135,139,445 -m comment --comment "SMB" -j DROP
-A Drop -p udp -m udp --dport 1900 -m comment --comment "UPnP" -j DROP
-A Drop -p tcp -j dropNotSyn
-A Drop -p udp -m udp --sport 53 -m comment --comment "Late DNS Replies" -j DROP
-A Reject
-A Reject -p tcp -m tcp --dport 113 -m comment --comment "Auth" -j reject
-A Reject -j dropBcast
-A Reject -p icmp -m icmp --icmp-type 3/4 -m comment --comment "Needed ICMP types" -j ACCEPT
-A Reject -p icmp -m icmp --icmp-type 11 -m comment --comment "Needed ICMP types" -j ACCEPT
-A Reject -j dropInvalid
-A Reject -p udp -m multiport --dports 135,445 -m comment --comment "SMB" -j reject
-A Reject -p udp -m udp --dport 137:139 -m comment --comment "SMB" -j reject
-A Reject -p udp -m udp --sport 137 --dport 1024:65535 -m comment --comment "SMB" -j reject
-A Reject -p tcp -m multiport --dports 135,139,445 -m comment --comment "SMB" -j reject
-A Reject -p udp -m udp --dport 1900 -m comment --comment "UPnP" -j DROP
-A Reject -p tcp -j dropNotSyn
-A Reject -p udp -m udp --sport 53 -m comment --comment "Late DNS Replies" -j DROP
-A dropBcast -m addrtype --dst-type BROADCAST -j DROP
-A dropBcast -d 224.0.0.0/4 -j DROP
-A dropInvalid -m conntrack --ctstate INVALID -j DROP
-A dropNotSyn -p tcp -m tcp ! --tcp-flags FIN,SYN,RST,ACK SYN -j DROP
-A fw2loc -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
-A fw2loc -p icmp -j ACCEPT
-A fw2loc -p tcp -m tcp --dport 21 -m comment --comment "FTP" -j ACCEPT
-A fw2loc -j Reject
-A fw2loc -j LOG --log-prefix "Shorewall:fw2loc:REJECT:" --log-level 6
-A fw2loc -g reject
-A fw2net -p udp -m udp --dport 67:68 -j ACCEPT
-A fw2net -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
-A fw2net -p icmp -j ACCEPT
-A fw2net -p tcp -m tcp --dport 21 -m comment --comment "FTP" -j ACCEPT
-A fw2net -p tcp -m tcp --dport 80 -m comment --comment "Web" -j ACCEPT
-A fw2net -p tcp -m tcp --dport 443 -m comment --comment "Web" -j ACCEPT
-A fw2net -j Reject
-A fw2net -j LOG --log-prefix "Shorewall:fw2net:REJECT:" --log-level 6
-A fw2net -g reject
-A loc2fw -m conntrack --ctstate INVALID,NEW -j smurfs
-A loc2fw -p tcp -j tcpflags
-A loc2fw -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
-A loc2fw -p tcp -m tcp --dport 2222 -j ACCEPT
-A loc2fw -p icmp -m icmp --icmp-type 8 -m comment --comment "Ping" -j ACCEPT
-A loc2fw -p tcp -m tcp --dport 21 -m comment --comment "FTP" -j ACCEPT
-A loc2fw -p tcp -m tcp --dport 3128 -m conntrack --ctorigdstport 80 -m conntrack ! --ctorigdst 192.168.0.253 -j ACCEPT
-A loc2fw -p tcp -m tcp --dport 22 -m comment --comment "SSH" -j ACCEPT
-A loc2fw -j Reject
-A loc2fw -j LOG --log-prefix "Shorewall:loc2fw:REJECT:" --log-level 6
-A loc2fw -g reject
-A loc2net -m conntrack --ctstate INVALID,NEW -j smurfs
-A loc2net -p tcp -j tcpflags
-A loc2net -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
-A loc2net -p tcp -m tcp --dport 21 -m comment --comment "FTP" -j ACCEPT
-A loc2net -p tcp -m tcp --dport 3389 -m comment --comment "RDP" -j ACCEPT
-A loc2net -p tcp -m tcp --dport 22 -m comment --comment "SSH" -j ACCEPT
-A loc2net -j ACCEPT
-A logdrop -j DROP
-A logflags -j LOG --log-prefix "Shorewall:logflags:DROP:" --log-level 6 --log-ip-options
-A logflags -j DROP
-A logreject -j reject
-A net2fw -m conntrack --ctstate INVALID,NEW -j smurfs
-A net2fw -p udp -m udp --dport 67:68 -j ACCEPT
-A net2fw -p tcp -j tcpflags
-A net2fw -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
-A net2fw -p udp -m udp --dport 53 -m comment --comment "DNS" -j ACCEPT
-A net2fw -p tcp -m tcp --dport 53 -m comment --comment "DNS" -j ACCEPT
-A net2fw -p tcp -m tcp --dport 2222 -j ACCEPT
-A net2fw -p icmp -m icmp --icmp-type 8 -m comment --comment "Ping" -j DROP
-A net2fw -p tcp -m tcp --dport 21 -m comment --comment "FTP" -j ACCEPT
-A net2fw -j Drop
-A net2fw -j LOG --log-prefix "Shorewall:net2fw:DROP:" --log-level 6
-A net2fw -j DROP
-A net2loc -m conntrack --ctstate INVALID,NEW -j smurfs
-A net2loc -p tcp -j tcpflags
-A net2loc -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
-A net2loc -p tcp -m tcp --dport 21 -m comment --comment "FTP" -j ACCEPT
-A net2loc -d 192.168.0.250/32 -p tcp -m tcp --dport 3389 -m comment --comment "RDP" -j ACCEPT
-A net2loc -j Drop
-A net2loc -j LOG --log-prefix "Shorewall:net2loc:DROP:" --log-level 6
-A net2loc -j DROP
-A reject -m addrtype --src-type BROADCAST -j DROP
-A reject -s 224.0.0.0/4 -j DROP
-A reject -p igmp -j DROP
-A reject -p tcp -j REJECT --reject-with tcp-reset
-A reject -p udp -j REJECT --reject-with icmp-port-unreachable
-A reject -p icmp -j REJECT --reject-with icmp-host-unreachable
-A reject -j REJECT --reject-with icmp-host-prohibited
-A smurflog -j LOG --log-prefix "Shorewall:smurfs:DROP:" --log-level 6
-A smurflog -j DROP
-A smurfs -s 0.0.0.0/32 -j RETURN
-A smurfs -m addrtype --src-type BROADCAST -g smurflog
-A smurfs -s 224.0.0.0/4 -g smurflog

komrad-zack
(28.03.11 16:26:58 MSK) автор топика

Ссылка

Ответ на: комментарий от Pinkbyte 28.03.11 15:40:52 MSK

Не тот вывод написал.ошибочка вот

iptables -vn -L INPUT
Chain INPUT (policy DROP 0 packets, 0 bytes)
 pkts bytes target     prot opt in     out     source               destination         
    6   360 dynamic    all  --  *      *       0.0.0.0/0            0.0.0.0/0           ctstate INVALID,NEW 
    4  1034 net2fw     all  --  eth1   *       0.0.0.0/0            0.0.0.0/0           
   25  1624 loc2fw     all  --  eth0   *       0.0.0.0/0            0.0.0.0/0           
    0     0 ACCEPT     all  --  lo     *       0.0.0.0/0            0.0.0.0/0           
    0     0 ACCEPT     all  --  *      *       0.0.0.0/0            0.0.0.0/0           ctstate RELATED,ESTABLISHED 
    0     0 Reject     all  --  *      *       0.0.0.0/0            0.0.0.0/0           
    0     0 LOG        all  --  *      *       0.0.0.0/0            0.0.0.0/0           LOG flags 0 level 6 prefix `Shorewall:INPUT:REJECT:' 
    0     0 reject     all  --  *      *       0.0.0.0/0            0.0.0.0/0           [goto]

komrad-zack
(28.03.11 18:50:52 MSK) автор топика

Ответ на: комментарий от komrad-zack 28.03.11 18:50:52 MSK

>-A loc2fw -p tcp -m tcp --dport 3128 -m conntrack --ctorigdstport 80 -m conntrack ! --ctorigdst 192.168.0.253 -j ACCEPT

пипец!

замени это на -A loc2fw -p tcp --dport 3128 -j ACCEPT

Pinkbyte ★★★★★
(28.03.11 20:54:42 MSK)

Ссылка

Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.

←	Ошибка irq_stat 0x8 active_tag

Admin

Linux авторизация пользователей через Active Diretory

→

Похожие темы