Сообщения iluha

Когда squid стоит на той-же машине, что и фаервол запросы к нему направляются с помощью iptables REDIRECT. А что делать когда squid стоит на другой машине?

iluha
(31.07.03 12:06:03 MSD)

2 комментария

SARG

Подскажите, почему sarg стал при запуске зависать. После того как его поставил пару дней все было нормально, а потом он перестал генерить ежедневные отчеты.

iluha
(26.07.03 19:19:54 MSD)

squid delay pools

А где поподробнее можно почитать про сабж?

iluha
(25.07.03 12:30:13 MSD)

3 комментария

25 port снова

Вот мой фаервол. Почта на внутр. почтовик так и не попадает. Где грабли? Всю башку уже ими отбил:)))))

IPTABLES="/sbin/iptables"

/sbin/depmod -a

/sbin/modprobe ip_tables
/sbin/modprobe ip_conntrack
/sbin/modprobe iptable_filter
/sbin/modprobe iptable_mangle
/sbin/modprobe iptable_nat
/sbin/modprobe ipt_LOG
/sbin/modprobe ipt_limit
/sbin/modprobe ipt_state

echo "1" > /proc/sys/net/ipv4/ip_forward

$IPTABLES -P INPUT DROP
$IPTABLES -P OUTPUT DROP
$IPTABLES -P FORWARD DROP

$IPTABLES -N bad_tcp_packets

$IPTABLES -N allowed
$IPTABLES -N tcp_packets
$IPTABLES -N udp_packets
$IPTABLES -N icmp_packets

$IPTABLES -A bad_tcp_packets -p tcp ! --syn -m state --state NEW -j LOG \
--log-prefix "New not syn:"
$IPTABLES -A bad_tcp_packets -p tcp ! --syn -m state --state NEW -j DROP

$IPTABLES -A allowed -p TCP --syn -j ACCEPT
$IPTABLES -A allowed -p TCP -m state --state ESTABLISHED,RELATED -j ACCEPT
$IPTABLES -A allowed -p TCP -j DROP

$IPTABLES -A tcp_packets -p TCP -s 0/0 --dport 21 -j allowed
$IPTABLES -A tcp_packets -p TCP -s 0/0 --dport 22 -j allowed
$IPTABLES -A tcp_packets -p TCP -s 0/0 --dport 25 -j allowed
$IPTABLES -A tcp_packets -p TCP -s 0/0 --dport 80 -j allowed
$IPTABLES -A tcp_packets -p TCP -s 0/0 --dport 443 -j allowed
$IPTABLES -A tcp_packets -p TCP -s 0/0 --dport 113 -j allowed
$IPTABLES -A tcp_packets -p TCP -s 0/0 --dport 110 -j allowed

$IPTABLES -A udp_packets -p UDP -s 0/0 --destination-port 53 -j ACCEPT
$IPTABLES -A udp_packets -p UDP -s 0/0 --destination-port 123 -j ACCEPT
$IPTABLES -A udp_packets -p UDP -s 0/0 --destination-port 2074 -j ACCEPT
$IPTABLES -A udp_packets -p UDP -s 0/0 --destination-port 4000 -j ACCEPT

$IPTABLES -A icmp_packets -p ICMP -s 0/0 --icmp-type 8 -j ACCEPT
$IPTABLES -A icmp_packets -p ICMP -s 0/0 --icmp-type 11 -j ACCEPT

$IPTABLES -A INPUT -p tcp -j bad_tcp_packets

$IPTABLES -A INPUT -p ALL -i $LAN_IFACE -s $LAN_IP_RANGE -j ACCEPT
$IPTABLES -A INPUT -p ALL -i $LO_IFACE -s $LO_IP -j ACCEPT
$IPTABLES -A INPUT -p ALL -i $LO_IFACE -s $LAN_IP -j ACCEPT
$IPTABLES -A INPUT -p ALL -i $LO_IFACE -s $INET_IP -j ACCEPT
$IPTABLES -A INPUT -p ALL -i $LAN_IFACE -d $LAN_BROADCAST_ADDRESS -j ACCEPT

$IPTABLES -A INPUT -p UDP -i $LAN_IFACE --dport 67 --sport 68 -j ACCEPT

$IPTABLES -A INPUT -p ALL -d $INET_IP -m state --state ESTABLISHED,RELATED \
-j ACCEPT
$IPTABLES -A INPUT -p TCP -i $INET_IFACE -j tcp_packets
$IPTABLES -A INPUT -p UDP -i $INET_IFACE -j udp_packets
$IPTABLES -A INPUT -p ICMP -i $INET_IFACE -j icmp_packets

$IPTABLES -A INPUT -m limit --limit 3/minute --limit-burst 3 -j LOG \
--log-level DEBUG --log-prefix "IPT INPUT packet died: "

$IPTABLES -A FORWARD -p tcp -j bad_tcp_packets

$IPTABLES -A FORWARD -i $LAN_IFACE -j ACCEPT
$IPTABLES -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT

$IPTABLES -A FORWARD -m limit --limit 3/minute --limit-burst 3 -j LOG \
--log-level DEBUG --log-prefix "IPT FORWARD packet died: "

iptables -A FORWARD -p tcp -i $INET_IFACE -d 10.66.2.69 --dport 25 -j allowed

$IPTABLES -A OUTPUT -p tcp -j bad_tcp_packets

$IPTABLES -A OUTPUT -p ALL -s $LO_IP -j ACCEPT
$IPTABLES -A OUTPUT -p ALL -s $LAN_IP -j ACCEPT
$IPTABLES -A OUTPUT -p ALL -s $INET_IP -j ACCEPT

$IPTABLES -A OUTPUT -m limit --limit 3/minute --limit-burst 3 -j LOG \
--log-level DEBUG --log-prefix "IPT OUTPUT packet died: "

iptables -t nat -A PREROUTING -i $LAN_IFACE -p tcp --dport 80 -j REDIRECT --to-port 3128

$IPTABLES -t nat -A POSTROUTING -o $INET_IFACE -j SNAT --to-source $INET_IP
#$IPTABLES -t nat -A POSTROUTING -p TCP -s $LAN_IP -j MASQUERADE
#$IPTABLES -t nat -A POSTROUTING -d 10.66.2.69 --destination-port 25 -j SNAT --to-source $LAN_IP
iptables -t nat -A PREROUTING -p tcp -s $INET_IP --dport 25 -j DNAT --to-destination 10.66.2.69:25
#$IPTABLES -t nat -A POSTROUTING -s $LAN_IP_RANGE -j SNAT --to-source $INET_IP

iluha
(20.07.03 20:15:43 MSD)

7 комментариев

25 port

Пишу в правилах: iptables -t nat -A PREROUTING -p tcp -d $INET_IP --destination-port 25 -j DNAT --to-destination 192.168.0.69:25

Не работает, то есть почтовик в локальной сети почту из вне не получает, зато резво отпраляет:))

Где грабли?

iluha
(19.07.03 21:11:25 MSD)

5 комментариев

перенаправление 25 порта

Ранее уже обращался к уважаемому all с вопросом пенернаправления приходящих пакетов по 25 порту с внешнего адреса на внутреннюю машину, где стоит почтовик, но предложенные варианты не помогли. Поэтому обращаюсь еще раз. Firewall на iptables. Когда стоял 6.2 и был ipchains, то помогала утилита ipmasqadm. Сейчас никак не могу решить эту проблему. Help

iluha
(19.07.03 14:43:48 MSD)

4 комментария

squid acl

Почему, пока не сделаю allow all squid никого не пускает, хотя внутренняя сеть в acl прописана?

iluha
(18.07.03 21:10:51 MSD)

2 комментария

ipchains

Т.к. сквидом пока ограничить доступ не получается (см Тема: squid) хочу отрубить отдельных товарищей от инета через ipchains, но что-то у меня опять ничего не получается. Пишу вот так: ipchains -A input -i $LAN_INTERFACE_1 -s 10.66.2.69 -j DENY ipchains -A output -i $LAN_INTERFACE_1 -s 10.66.2.69 -j DENY ipchains -A input -i $LAN_INTERFACE_1 -d 10.66.2.69 -j DENY ipchains -A output -i $LAN_INTERFACE_1 -d 10.66.2.69 -j DENY

не получается.

Где грабли?

iluha
(30.06.03 16:06:22 MSD)

2 комментария

squid

Почему, после того, как я убрал http_access allow для всех acl, сабж все равно всех в инет пускает? Доступ делал по ip

iluha
(26.06.03 17:01:33 MSD)

13 комментариев

RSS подписка на новые темы