From: Genco YILMAZ (gyilmaz@genco.gen.tr)
Date: Thu 27 Nov 2003 - 13:39:11 EST
Ugur hocam ,
squid'i transparent olarak calisacak sekilde ayarladiniz mi ?
kolay gelsin
Ugur Koc wrote:
>Selam arkadaslar Benim 2 gun ugrasip cozemedigim bir sorunum var (guya
>bayramda is yerine gelip koklu bir degisiklik yapacaktim ama iki gunden beri
>cozemedigim bir sorunla karsilastim)..
>
>Bu konuda yardimci olursaniz sevinirim.
>
>Network yapim sole
> Firewall
> EXT_IP = 212.xxx.xxx.xxx
> DMZ_IP = 212.xxx.xxx.xxx
> LOCAL_IP = 192.168.1.249
>
> Squid
> 192.168.1.247
>
>
> iptables yapisi sole
>#/bin/bash
>iptables="/sbin/iptables"
>portlar="1024:65535"
>echo "1">/proc/sys/net/ipv4/ip_forward
>
>
>iptables -P INPUT DROP
>iptables -P OUTPUT ACCEPT
>iptables -P FORWARD DROP
>
>iptables -F
>iptables -X
>iptables -F -t nat
>iptables -X -t nat
>iptables -F -t mangle
>iptables -X -t mangle
>
>iptables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT
>
>#loopback
>iptables -A INPUT -i lo -j ACCEPT
>iptables -A FORWARD -o lo -j ACCEPT
>
>
>#istenmeyen paketler icin yeni bir zincir tanimliyoruz ver log tutyoruz
>iptables -N ISTENMEYEN_PAKET
>iptables -A ISTENMEYEN_PAKET -j LOG --log-prefix "istenmeyen paketler"
>iptables -A ISTENMEYEN_PAKET -j DROP
>
>
>#--- KONTROL adinda yeni bir zincir tanimliyoruz. --------
>iptables -N KONTROL
>iptables -A KONTROL -m state --state ESTABLISHED,RELATED -j ACCEPT
>iptables -A KONTROL -m state --state NEW -j ACCEPT
>iptables -A KONTROL -j DROP
>#----- yeni zincir sonu -----------------------------------
>
>
>#--- Local DNAT la --------------------------------
>iptables -t nat -A PREROUTING -i eth0 -s !$proxy_ip -p tcp --dport 80 -j
>DNAT --to $proxy_ip:$proxy_port
>iptables -A INPUT -i eth0 -s $proxy_ip -j KONTROL
>iptables -A FORWARD -i eth0 -s $proxy_ip -j KONTROL
>#--- Local Sonu ----------------------------------------------
>
>
>#--- Proxy SNAT la -------------------
>iptables -t nat -A POSTROUTING -s $proxy_ip -j SNAT --to $EXT_IP
>iptables -A INPUT -i eth0 -s $proxy_ip -j KONTROL
>iptables -A FORWARD -i eth0 -s $proxy_ip -j KONTROL
>#--- proxy sonu ------------------------------------------
>
>
>#localden DMZ ye
>iptables -A INPUT -p tcp -i eth0 -s 192.168.1.0/24 --sport $portlar -d
>$WEB_SERVER --dport 80 -j KONTROL
>iptables -A FORWARD -p tcp -i eth0 -o eth1 -s 192.168.1.0/24 --sport
>$portlar -d $WEB_SERVER --dport 80 -j KONTROL
>
>
>
>#---DMZ iceriden disariya ----------------------------
> #Web Server
>iptables -A INPUT -i eth1 -p tcp -s $WEB_SERVER --dport 80 --sport $portlar
>-j KONTROL
>iptables -A FORWARD -i eth1 -o eth2 -p tcp -s $WEB_SERVER --dport 80 --sport
>$portlar -j KONTROL
>
>
> #Dns Server
>iptables -A INPUT -i eth1 -p udp -s $DNS_SERVER --dport 53 --sport $portlar
>-j KONTROL
>iptables -A FORWARD -i eth1 -o eth2 -p udp -s $DNS_SERVER --dport 53 --sport
>$portlar -j KONTROL
>
>#--- Dmz iceriden disariya sonu -----------------------
>
>
>#--- DMZ disaridan iceriye --------------------------
> #Web server
>iptables -A INPUT -i eth2 -p tcp -d $WEB_SERVER --dport 80 -j KONTROL
>iptables -A FORWARD -i eth2 -o eth1 -p tcp -d $WEB_SERVER --dport 80 -j
>KONTROL
>
>
> #Dns Server
>iptables -A INPUT -i eth2 -p udp -d $DNS_SERVER --dport 53 -j KONTROL
>iptables -A FORWARD -i eth2 -o eth1 -p udp -d $DNS_SERVER --dport 53 -j
>KONTROL
>#----------------------------->>>---------------------
>
>
>iptables -A INPUT -i eth1 -p udp --dport 53 --sport $portlar -j KONTROL
>iptables -A FORWARD -i eth1 -o eth2 -p udp --dport 53 -j KONTROL
>
>
>iptables -A INPUT -j ISTENMEYEN_PAKET
>iptables -A FORWARD -j ISTENMEYEN_PAKET
>
>
>simdi yukaridaki scipt hicbir sekilde proxye ulasamyo ama localden her hangi
>bir makineden ie nin ayarlarinda proxy ip sini ve portunu yazarsam sorunsuz
>bir sekilde proxy uzerinden internete cikabiliyorum
>
>firewall in loglarini inceledigimde hic bir sorun yokmus gibi gozukuyor ama
>ne hikmetse bir turlu
>
>iptables -t nat -A PREROUTING -i eth0 -s !$proxy_ip -p tcp --dport 80 -j
>DNAT --to $proxy_ip:$proxy_port
>iptables -A INPUT -i eth0 -s $proxy_ip -j KONTROL
>iptables -A FORWARD -i eth0 -s $proxy_ip -j KONTROL
>
>bu script calismiyo..
>
>bir kac deneme yaparken sunu denedim.
>
>bu rule u eklersem bu defa EXT_IP proxy server a geliyo hatta firewall in
>ice bakan 192.168.1.249 u da yazarsam hemen bu alttaki satira oda proxye
>geliyo ama o zaman da butun local bir ipden mis gibi oluyo oda benim isime
>yaamiyo
>
>iptables -t nat -A POSTROUTING -s !$proxy_ip -j SNAT --to EXT_IP
>iptables -A INPUT -i eth0 -s !$proxy_ip -j BAGLANTI
>iptables -A FORWARD -i eth0 -s !$proxy_ip -j BAGLANTI
>
>iptables -t nat -A PREROUTING -i eth0 -s !$proxy_ip -p tcp --dport 80 -j
>DNAT --to $proxy_ip:$proxy_port
>iptables -A INPUT -i eth0 -s $proxy_ip -j KONTROL
>iptables -A FORWARD -i eth0 -s $proxy_ip -j KONTROL
>
>
>dnslerde bir problem vardir diye ip ler uzerindede baglanmaya calistim ama
>bir sonuc alamadim su an kafayi yemek uzereyim..
>
>lutfen biri yardim etsin
>
>_________________________________________________________________
>The new MSN 8: advanced junk mail protection and 2 months FREE*
>http://join.msn.com/?page=features/junkmail
>
>
>
>