From: Abdulkadir Kor (linux@kopuz.com.tr)
Date: Mon 13 Oct 2003 - 02:53:46 EDT
Merhaba;
----- Original Message -----
From: "emre46 emre" <emre46@hotmail.com>
To: <linux-network@liste.linux.org.tr>
Sent: Sunday, October 12, 2003 9:08 PM
Subject: [linux-network] iptables (Sorunu Hala anlayamadım)
> Tekrar Tekrar Selamlar....
>
> Bir hafta oldu ben hala yol katedemedim en son firewall ın bütün
> kurallarını temizledim şu an sadece proxy nin ip si 80 porttan dışarıya
> çıkmaya yetkili, eğer localden biri internete bağlanmaya çalışıyorsa onuda
> proxy nin olduğu makineye yönlendirecek (ama malesef yönlendirmiyor hala)
>
> dns için yazdığım kurallarıda sildim ip yazarak bağlanmayı deniyorumki
> oradada gözümden kaçan bir sorun olmasın diye..
>
> Geldiğim son durum şu localden eğer internet explorer ın ayarlarında proxy
> kullan der ve proxy nin ip sini ve portunu girersem cache.log dosyasından
> takip ediyorum sorunsuz çıkıyor internete..
>
> ama proxy kullanma dersem nedense hala sorun var. cache dosyalarını
> bakıyorum hiç bir istek gelmiyor ffirewall makinesinin loglarına
bakıyorum
> garip bir durum yok. proxy makinesi internete sorunsuz çıkıyor.
>
> Kuralların son hali aşağıda ..
>
> Lütfen biri bana yardım etsin artık delirmek üzereyim. nette okumadığım
> döküman kalmadı...
>
> --------------------------------------------------------------------------
----------
> #/bin/bash
> iptables="/sbin/iptables"
> echo "1">/proc/sys/net/ipv4/ip_forward
> iptables -P INPUT DROP
> iptables -P OUTPUT ACCEPT
> iptables -P FORWARD DROP
>
> iptables -F
> iptables -X
> iptables -F -t nat
> iptables -X -t nat
> iptables -F -t mangle
> iptables -X -t mangle
>
> iptables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT
>
> iptables -A INPUT -i lo -j ACCEPT
> iptables -A OUTPUT -o lo -j ACCEPT
>
> #gelen paketin durumuna bakip bagliysa devam yeni baglantiysa ok bunlara
> uymuyorsa drop edelim
> iptables -N BAGLANTI_DURUMU
> iptables -A BAGLANTI_DURUMU -m state --state ESTABLISHED,RELATED -j ACCEPT
> iptables -A BAGLANTI_DURUMU -m state --state NEW -j ACCEPT
> iptables -A BAGLANTI_DURUMU -j DROP
>
> #80 den gelenleri Squid e yonlendir
> iptables -t nat -A PREROUTING -p tcp -s 192.168.1.0/24 --dport 80 -j DNAT
> --to $proxy_ip:$proxy_port
>
> #Squid i 80 den disari cikart
> iptables -t nat -A POSTROUTING -p tcp -s $proxy_ip --dport 80 -j SNAT --to
> $firewall_ext_ip
>
> iptables -A FORWARD -i eth0 -s $proxy_ip -p tcp -o eth2 --dport 80 -j
> BAGLANTI_DURUMU
> iptables -A INPUT -s $proxy_ip -p tcp -i eth0 --dport 80 -j
BAGLANTI_DURUMU
> --------------------------------------------------------------------------
-----------------------------------
>
> cevaplarınızı bekliyorum....
Verdiğiniz bilgilere göre; squid çalışıyor ancak yönlerdirme tablonuzda
sorun var.
> > firewall
>> eth0 = Internal Netork
>> eth1 = DMZ at
>> eth2 = External Network
bilgisini baz alarak
iç ağınızın "192.168.5.0"şeklinde bir IP bloğuna sahip olduğunu,
"255.255.255.0" ile maskelendiğini ve squid in 3128 (varsayılan) numaralı
potru dinlediğini kabul edersek aşağıdaki komut sizin için yeterli
olacaktır.
iptables -t nat -F
iptables -t nat -X
iptables -t nat -A POSTROUTING -s 192.195.5.0/24 -o eth0 -j MASQUEADE
iptables -t nat -A PREROUTING -p tcp -i eth0 -s 192.195.5.0/24 --dport 80 -j
REDIRECT --to 3128
İlgili komutları "root" yetkisiyle yazdığınızda, daha önceden yazdığınz tüm
"iptables" tanımları silinecektir.
..kolay gelsin