From: Gürkan KARABATAK (gkarabatak@firat.edu.tr)
Date: Wed 08 Oct 2003 - 17:19:08 EDT
Yaptiklariniz dogru gibi gozukuyor (Network yapisi) Proxy icin cift =
ethernet gerekmiyor. Tek interfaceden hem istekleri alabilir hemde web =
isteklerini firewalla yollayabilirsiniz. Dediginiz gibi olsaydi =
makinasinda proxy calisan biri web sayfalarina baglanamazdi. Cift eth =
squid eger firewall uzerindeyse dogal olarak gereklidir.
Sizin olusturdugunuz yapida hata gozukmedigine gore server =
yapilandirmalarinda sorun olabilir. Transparan proxy icin squid.confta =
gerekli ayarlari yaptinizmi. Yaptiysaniz squidi sizmi derlediniz ve =
derlediyseniz --enable-linux-netfilter parametresini kullandinizmi. =
Ayrica squid icin browserinizda ayar (transparan olmadan) yaparak web =
sayfalarina erisebiliyormusunuz. Eger erisebilirseniz muhtemelen squidin =
yapilandirmasinda hata vardir. Erisemiyorsaniz squidin loglarina bakin =
istekler squide geliyormu? Eger gelmiyorsa sorunu baska yerde aramaniz =
gerekir. Tabi bir ihtimal firewall yapilandirmasindanda olabilir diger =
kurallarida bir gozden gecirin. En azindan squid olan makinadan web =
sayfalarina baglanabiliyormusunuz kontrol edin.
-----Original Message-----
From: emre46 emre [mailto:emre46@hotmail.com]=20
Sent: Wednesday, October 08, 2003 9:23 PM
To: linux-network@liste.linux.org.tr
Subject: [linux-network] Squid Sorunu (detayli a=E7yklama)
Tekrar Selamlar..
Anla=FE=FDlan network umun yap=FDs=FDn=FDda anlatmam gerekiyormu=FE =
fark=FDnda=20
de=F0ildim pardon..
Yap=FD olarak DMZ b=F6lgesinde iki tane web server, bir tane dns =
server,=20
bir tane mail server var tabi bunlar=FDnda =F6n=FCnde birde firewall =
var.
Localden biri internete =E7=FDkmak istedi=F0inde ..
iptables -t nat -A POSTROUTING -p tcp -s 192.168.1.0/24 -dport 80 =
-j=20
SNAT --to firewall_dis_ip
bu =FEekilde nat layarak =E7=FDkart=FDyordum.
dedi=F0iniz gibi DNS server snat layarak localdeki b=FCt=FCn =
istekleri=20
=E7=F6z=FCml=FCyor.
=DEu anda proxy server kullanmadan b=FCt=FCn localdeki herkes =
nete hi=E7=20
sorunsuz bir =FEekilde =E7=FDkabiliyor, dedi=F0im gibi amac=FDm =
b=FCt=FCn localdekileri=20
proxy server arac=FDl=FD=F0=FD ile internete =E7=FDkarmak.
Normalde izlemem gereken yol =FE=F6yle olacak de=F0ilmi localden =
firewall=20
a 80 port tan bir istek geldi=F0inde firewall bunu.
iptables -t nat -A PREROUTING -p tcp -s 192.168.1.0/24 --dport 80 -j =
DNAT=20
--to proxy_makine:3128
bu rule arac=FDl=FD=F0=FD ile destination =FD nat'layarak ve =
portunu 3128=20
yaparak proxy server'a y=F6nlendirecek.
ve daha sonra proxy server da gerekli izinlere bakt=FDktan sonra =
proxy=20
server =FDn gateway ide firewall =FDn i=E7 baca=F0=FD olaca=F0=FD i=E7in =
ona g=F6nderecek=20
(burada =FEu kafam=FD kar=FD=FEt=FDr=FDyor proxy server da iki tane =
ethernet kart=FD=20
olmas=FD gerekmiyormu birtanesi firewalldan gelen istekler i=E7in =
di=F0eri=20
firewall a g=F6ndermek i=E7in ?)
bu durumda firewall a bir rule daha eklememiz gerekiyor =
san=FDr=FDm o da
iptables -t nat -A POSTROUTING -p tcp -s proxy_ip -dport 80 -j SNAT =
--to firewall_dis_ip
bu rule sayesinde proxy server dan gelen istekleri firewall =FDn =
d=FD=FE ip=20
sine snat l=FDyor..
buraya kadar bildiklerim do=F0rumu ??
buraya kadar olanlar=FD uygulad=FDm ama o zaman hi=E7 kimse =
internete=20
=E7=FDkam=FDyor (ama sadece 80 den)
=FEimdi nas=FDl bir yol izlemem gerekiyorki proxy server =FD =
devreye=20
sokabileyim..
bu konuda nette bir =E7ok d=F6k=FCman okudum ama malesef =
san=FDr=FDm bir yerde=20
bir =FEeyleri ka=E7=FDr=FDyorum..
=DEimdiden te=FEekk=FCrler.
yard=FDmlar=FDn=FDz=FD bekliyorum
_________________________________________________________________
MSN 8 helps eliminate e-mail viruses. Get 2 months FREE*.=20
http://join.msn.com/?page=3Dfeatures/virus