From: Gürkan KARABATAK (gkarabatak@firat.edu.tr)
Date: Fri 10 Oct 2003 - 08:42:11 EDT
Bu durumda eger explorerda ayar yaparak squid calisiyorsa yaptiginiz =
iptables tanimlamasiyla transparan olarak da calismasi lazim. Alttaki =
tanimlama bunun icin yeterli olmali.
-A PREROUTING -s seninmakinaip -p tcp --dport 80 -j DNAT --to =
squidip:3128
-A POSTROUTING -o eth2 -s squidip -j SNAT --to eth2ip
Yanlis olan
iptables -t nat -A POSTROUTING -o eth0 -s $benim_makine -d $proxy_ip -j=20
SNAT --to $firewall_local_ip
Bu tanimlamada yanlis. Cunku -o eth2 olmali SNAT iceriye gelen =
paketlerde kullanilmaz disariya cikan paketlerde kullanilir. Ayrica =
squide yonlendirme yaptiginizda (DNAT) kaynak ip degismez cunku =
PREROUTING yapiyorsunuz sadece hedef degisir ve squidde de clientlarin =
ipsi gozukmeli firewallun degil. Firewallun ipsinin gozukme sebebi =
tanimlamanin yanlis olmasi.
Eger tum makinalari squide yonlendirmek isterseniz -s ! squidip =
kullanmaniz gerekir. Aksi halde squidin istekleride tekrar squide =
geridoner ve loop olusur.
-----Original Message-----
From: emre46 emre [mailto:emre46@hotmail.com]=20
Sent: Friday, October 10, 2003 3:05 PM
To: linux-network@liste.linux.org.tr
Subject: [linux-network] iptables (Sorunu devam)
Tekrar te=FEekk=FCrlerimi dile getirip devam edeyim..
=DE=F6yle izah edeyim
firewall
eth0 =3D Internal Netork
eth1 =3D DMZ at
eth2 =3D External Network
buna g=F6re hem benim makine hemde squid olan makinem eth0 Internal =
Network=20
b=F6lgesinde (bu yap=FD do=F0ru de=F0ilmi ?)
( Anlayamadigim birsey var. 2. kuralda yazdiginiz dogruysa ve proxy e=20
firewall ip si geliyorsa,)
burada kastetti=F0im firewall =FDn eth0 olan ip si idi
kafam iyice kar=FD=FEt=FD :)
Tekrar Te=FEekk=FCrler
_________________________________________________________________
Get a FREE computer virus scan online from McAfee.=20
http://clinic.mcafee.com/clinic/ibuy/campaign.asp?cid=3D3963