[OT] iptables + squid e PASV
ciao a tutti,
su una sarge ho montanto un proxy con squid2.5-stable14 (piu iptables
ovviamente) che mi fa da gateway verso internet. Il problema è che non
riesco a scaricare in ftp usando il passive mode.
In squid.conf ho abilitato ftp_passive on .
Se provo ad usare wget dal proxy riseco a downloadare cio che voglio,
mentre se uso un client dietro al proxy ricevo
use PORT or PASV first.
Per ogni catena (INPUT - OUPUT - FORWARD ) ho creato delle sotto
catene a seconda che il flusso di dati provenga dalla scheda che si
affacci alla rete interna o a quella esterna suddividendole anche per
protocolli
Es per la catena di output:
# to internal network
$IPT -A OUTPUT -p ALL -o $LOCAL_IP -m state --state
ESTABLISHED,RELATED -j ACCEPT
$IPT -A OUTPUT -p tcp -s $LOCAL_IP -j tcp_outbound_int
$IPT -A OUTPUT -p udp -s $LOCAL_IP -j udp_outbound_int
$IPT -A OUTPUT -p icmp -s $LOCAL_IP -j icmp_packets_int
$IPT -A OUTPUT -p ALL -o $LOCAL_IFACE -m state --state
ESTABLISHED,RELATED -j ACCEPT
$IPT -A OUTPUT -p tcp -o $LOCAL_IFACE -j tcp_outbound_int
$IPT -A OUTPUT -p udp -o $LOCAL_IFACE -j udp_outbound_int
$IPT -A OUTPUT -p icmp -o $LOCAL_IFACE -j icmp_packets_int
# to internet
$IPT -A OUTPUT -p ALL -o $INET_IFACE -m state --state
ESTABLISHED,RELATED -j ACCEPT
$IPT -A OUTPUT -p tcp -o $INET_IFACE -j tcp_outbound_web
$IPT -A OUTPUT -p udp -o $INET_IFACE -j udp_outbound_web
$IPT -A OUTPUT -p icmp -o $INET_IFACE -j icmp_packets_web
Siccome uso delle regole abbastanza restrittive (policy DROP su tutte
e 3 le catene ) usando un RETURN a fine catena, ho aggiunto per le
catene di INPUT e OUTPUT l'abilitazione delle porte dalla 1024:65535
(perche per quella di FORWARD "incarica" squid, giusto?).
Ho provato anche disabilitando il firewall, ma niente da fare
Qualcuno mi saprebbe indicare la strada da percorrere per risolvere
questo problema?
grazie mille a tutti
lore
Reply to: