Avatar billede morten_leth Nybegynder
18. marts 2004 - 14:04 Der er 3 kommentarer og
1 løsning

hjælp til transparent proxy.

jeg kan ikke få det lort til at fungere, hvis jeg sætter klienten op til at køre på port 3128 så virker det fint nok men hvis jeg tager prxy instillingerne fra så virker det ikke længere, alt i alt er det enten min DNAT der ikke fungere ellers er det min squid der ikke fungere....
jeg kan ikke finde ud af hvilken en af delene det er....

sådan her ser min squid ud:

#Default:
http_port 3128

#We recommend you to use at least the following line.
hierarchy_stoplist cgi-bin ?

#We recommend you to use the following two lines.
acl QUERY urlpath_regex cgi-bin \?
no_cache deny QUERY

#Default:
cache_mem 48 MB

#Default:
maximum_object_size 12 MB

#Default:
cache_access_log /var/log/squid/access.log

#Default:
cache_log /var/log/squid/cache.log

#Recommended minimum configuration:
acl all src 0.0.0.0/0.0.0.0
acl manager proto cache_object
acl localhost src 127.0.0.1/255.255.255.255
acl SSL_ports port 443 563
acl Safe_ports port 80        # http
acl Safe_ports port 21        # ftp
acl Safe_ports port 443 563    # https, snews
acl Safe_ports port 70        # gopher
acl Safe_ports port 210        # wais
acl Safe_ports port 1025-65535    # unregistered ports
acl Safe_ports port 280        # http-mgmt
acl Safe_ports port 488        # gss-http
acl Safe_ports port 591        # filemaker
acl Safe_ports port 777        # multiling http
acl CONNECT method CONNECT

#Default:
http_access allow all
#
#Recommended minimum configuration:
#
# Only allow cachemgr access from localhost
http_access allow manager localhost
http_access deny manager
# Deny requests to unknown ports
http_access deny !Safe_ports
# Deny CONNECT to other than SSL ports
http_access deny CONNECT !SSL_ports
#
# INSERT YOUR OWN RULE(S) HERE TO ALLOW ACCESS FROM YOUR CLIENTS
#
# And finally deny all other access to this proxy
http_access allow localhost
http_access allow all
icp_access allow all

#Default:
httpd_accel_port 80
httpd_accel_with_proxy on
httpd_accel_uses_host_header on
httpd_accel_host virtuel




og min firewall ser sådan her ud....

#!/bin/sh script-fil (firewall)

#intern ip
INTIP=192.168.1.1
#ekstern ip
EXTIP=172.17.20.85

#starter med at blokere for forwarding af pakker saa tillader vi det senere
echo "0" > /proc/sys/net/ipv4/ip_forward

#luk al ingaaende traffik forst
iptables -P INPUT ACCEPT
iptables -P FORWARD DROP
iptables -P OUTPUT ACCEPT

#tommer koederne saa vi kan kore scriptet igen
iptables -F
iptables -t nat -F

#en ny kede laves
iptables -N block

#tillad al indgaaende traffik
#iptables -A INPUT -i lo -j ACCEPT

#Tillader at der bliver lavet nye forbindelser
iptables -A block -m state --state ESTABLISHED,RELATED -j ACCEPT
#og der bliver tilladt nye forbindelser, hvis de kommer indefra
iptables -A block -m state --state NEW -i eth0 -j ACCEPT
iptables -A block -m state --state NEW -i eth1 -j ACCEPT

#aktiver source nat
iptables -t nat -A POSTROUTING -s 192.168.0.0/24 -d "!" 172.17.20.85 -j SNAT --to $EXTIP

#aktiver ssh til computeren
iptables -A INPUT -p tcp -d $INTIP --dport 22 -j ACCEPT

#Proxy SQUID
iptables -t nat -A PREROUTING -p tcp -s 192.168.1.0/24  -d 172.17.20.85/24 --dport 80 -j RIDIRECT  --to-port 3128

#saa tillader vi forwarding af pakker
echo "1" > /proc/sys/net/ipv4/ip_forward
Avatar billede morten_leth Nybegynder
18. marts 2004 - 14:15 #1
har lige en lille rettelse.....
iptables -t nat -A PREROUTING -p tcp -s 192.168.1.0/24  -d 172.17.20.85/24 --dport 80 -j RIDIRECT  --to-port 3128 <--- denne her skal i stedet hedde

iptables -t nat -A PREROUTING -p tcp -s 192.168.1.0/24  -d 172.17.20.85/24 --dport 80 -j DNAT --to-destination 172.17.20.85:3128
Avatar billede jacs Nybegynder
19. marts 2004 - 15:47 #2
Hvilket output giver iptables -L ?

Mvh
Jacob
Avatar billede morten_leth Nybegynder
09. juni 2004 - 14:21 #3
hmmm.. sorry jeg henlagde sagen... og det er ikke aktuelt mere.. men tag da at lig et svar så dele vi pointene...
Avatar billede morten_leth Nybegynder
14. juni 2004 - 10:38 #4
Hmmm... jacs.. jeg lukker dette spm.. hvis du vil have nogen point så må du jo lige skrive i det her... så finder vi ud af det... men det er bare noget tid siden der er sket noget her i dette spm.. så jeg lukker og tager i første omgang alle point selv... ;)
Avatar billede Ny bruger Nybegynder

Din løsning...

Tilladte BB-code-tags: [b]fed[/b] [i]kursiv[/i] [u]understreget[/u] Web- og emailadresser omdannes automatisk til links. Der sættes "nofollow" på alle links.

Loading billede Opret Preview
Kategori
IT-kurser om Microsoft 365, sikkerhed, personlig vækst, udvikling, digital markedsføring, grafisk design, SAP og forretningsanalyse.

Log ind eller opret profil

Hov!

For at kunne deltage på Computerworld Eksperten skal du være logget ind.

Det er heldigvis nemt at oprette en bruger: Det tager to minutter og du kan vælge at bruge enten e-mail, Facebook eller Google som login.

Du kan også logge ind via nedenstående tjenester