Re: configurazione iptables x proxy rete interna
Risolto, avevo una regola nella catena FORWARD che mi bloccava il traffico.
La regola era la seguente:
iptables -A FORWARD -m state --state INVALID -p ! icmp -j DROP
ed era propio all'inizio della catena ;).
Secondo voi considerando che di default droppo tutti i pacchetti e alla
fine di tutte le catene c'e' un bel iptables -A $CHAIN -j DROP ha senso
la regola sopra?
Ciao e grazie mille per le risposte.
-------- Messaggio Originale --------
Da: Pignedoli Luca <lpignedoli@interpumpgroup.it>
A: debian-italian <debian-italian@lists.debian.org>
Oggetto: configurazione iptables x proxy rete interna
Data: 26/8/2005 13:33
> Ciao a tutti, ho una rete con un proxy interno e volevo configurare il
> firewall in modo che mi rediriga tutte le connessioni sulla porta 80
> alla porta del proxy.
>
> Il proxy (Squid) e' installato su una macchina nella rete locale (quindi
> non sul firewall), sul firewall ho installato Debian 3.1 kernel 2.6.12.
>
> Mettiamo che il proxu abbia come IP 192.168.0.250, sul firewall ho fatto
> le seguenti modifiche:
>
> 1) aggiunto in /etc/iproute2/rt_tables una riga con 202 "www.out"
> 2) impostato a 0 il file /proc/sys/net/ipv4/conf/eth1/send_redirects
> (eth1 e' l'interfaccia collegata alla rete locale).
> 3) impostata la seguente regola in iptables:
> "iptables -t mangle -A PREROUTING -i $ETH_LOC -s ! $IP_PROXY -p tcp
> --dport 80 -j MARK --set-mark 202"
> 4) creata la tabella di routing www.out
> "ip route add default via $IP_PROXY dev $ETH_LOC table www.out"
> 5) impostata la seguente regola
> "ip rule add fwmark 202 lookup www.out"
> 6) Sul proxy ho inserito la seguente regola:
> "iptables -t nat -A PREROUTING -p tcp --dport 80 -d ! $IP_PROXY -j
> REDIRECT 8080 "
>
> Ma non funziona, i client non riescono a navigare.
>
> Ho provato a fare un tcpdump sull'interfaccia del proxy e vedo che
> alcuni pacchetti arrivano sulla porta 80, ma in tutti i modi non riesco
> a navigare :(.
>
> Ho dimenticato qualcosa?
>
> Queste impostazioni sono uguali a quelle su un firewall vecchiotto (con
> Suse 7.3, kernel 2.4.12 che devo sostituire con questo) e funziona :(.
>
>
> Grazie per l'aiuto.
--
-----------------------------------------
|Luca Pignedoli |
|INTERPUMP GROUP S.p.A. |
|Via E.Fermi, 25 |
|42040 S.Ilario D'Enza (RE) - ITALY |
|e-mail: lpignedoli@interpumpgroup.it |
|Tel.: +39 0522 904311 |
|Fax.: +39 0522 904444 |
|Web Site: http://www.interpumpgroup.it |
-----------------------------------------
Reply to: