[Date Prev][Date Next] [Thread Prev][Thread Next] [Date Index] [Thread Index]

Re: aiuto per proxy trasparente con squid



Dario Pilori ha scritto:
[cut]
A doverlo ammettere, mi sembra un po' un casino questo script :-)
Provo ad interpretare i tuoi desideri, e lo riscrivo più
"ordinatamente".
Allora:

#!/bin/bash
# Interface connected to Internet
INTERNET="eth0"
# Interface connected to LAN
LAN_IN="eth1"
# Squid port
SQUID_PORT="3128"

# Pulisci vecchio firewall
iptables -F
iptables -X
iptables -Z
iptables -t nat -F
iptables -t nat -X
iptables -t nat -Z
iptables -t mangle -F
iptables -t mangle -X
iptables -t mangle -Z

# IP Forward
echo 1 > /proc/sys/net/ipv4/ip_forward

# Policy di default
iptables -P OUTPUT ACCEPT
iptables -P INPUT DROP
iptables -P FORWARD DROP

# Catena INPUT
iptables -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
iptables -A INPUT -i $LAN_IN -j ACCEPT
iptables -A INPUT -p icmp --icmp-type ! echo-request -j ACCEPT
iptables -A INPUT -i lo -j ACCEPT

# NAT e Redirect
iptables -t nat -A POSTROUTING -o $INTERNET -j MASQUERADE
iptables -t nat -A PREROUTING -i $LAN_IN -p tcp --dport 80 -j REDIRECT
--to-port $SQUID_PORT

# Altre regole FORWARD
iptables -A FORWARD -m state --state RELATED,ESTABLISHED -j ACCEPT
iptables -A FORWARD -i $LAN_IN -j ACCEPT
iptables -A FORWARD -p icmp --icmp-type ! echo-request -j ACCEPT


Prova così. Ora lo script è un po' più ordinato, e ho preso spunto
direttamente dallo script del mio proxy trasparente :-)
ciao
ti ringrazio, lo script non l'ho fatto io, l'ho copiato dal sito che ho indicato nella prima email, purtroppo di iptables sono a completo digiuno, allora
ho riavviato la mia lenny, l'output di iptables e' il seguente (con iptables -vv -L):

Chain INPUT (policy ACCEPT 0 packets, 0 bytes)
 pkts bytes target     prot opt in     out     source               destination

Chain FORWARD (policy ACCEPT 0 packets, 0 bytes)
 pkts bytes target     prot opt in     out     source               destination

Chain OUTPUT (policy ACCEPT 0 packets, 0 bytes)
 pkts bytes target     prot opt in     out     source               destination
libiptc v1.4.1.1. 620 bytes.
Table `filter'

dal portatile navigo solo dopo aver inserito il proxy a mano nella configurazione connessione, dopo aver applicato il tuo script con iptalbes ho il seguente output :

Chain INPUT (policy DROP 0 packets, 0 bytes)
 pkts bytes target     prot opt in     out     source               destination
    4   186 ACCEPT     all  --  any    any     anywhere             anywhere            state RELATED,ESTABLISHED
    0     0 ACCEPT     all  --  eth1   any     anywhere             anywhere
    0     0 ACCEPT     icmp --  any    any     anywhere             anywhere            icmp !echo-request
    0     0 ACCEPT     all  --  lo     any     anywhere             anywhere

Chain FORWARD (policy DROP 1 packets, 52 bytes)
 pkts bytes target     prot opt in     out     source               destination
    0     0 ACCEPT     all  --  any    any     anywhere             anywhere            state RELATED,ESTABLISHED
    0     0 ACCEPT     all  --  eth1   any     anywhere             anywhere
    0     0 ACCEPT     icmp --  any    any     anywhere             anywhere            icmp !echo-request

Chain OUTPUT (policy ACCEPT 4 packets, 327 bytes)
 pkts bytes target     prot opt in     out     source               destination
libiptc v1.4.1.1. 1800 bytes.
Table `filter'

il risultato e' sempre lo stesso non cambia nulla, devo sempre inserire il proxy sul browser del portatile, eth0 e' quella collegata ad internet con fastweb, eth1 e' quella collegata al portatile con cavo incrociato, secondo te cosa c'e' di sbagliato? teoricamente se ho capito bene il discorso del firewall trasparente devo forwaddare le richieste di eth1 della porta 80 sulla 3128 dove c'e' squid in ascolto e sul portatile non dovrei settare nessun proxy dovrebbe funzionare come se fosse direttamente collegato a fastweb senza nessun intermediario, giusto?

teoricamente dovrebbe bastare solo questa riga
iptables -t nat -A PREROUTING -i $LAN_IN -p tcp --dport 80 -j REDIRECT --to-port $SQUID_PORT
ma purtroppo non va, non capisco


-- 
Nobuteru
Linux Registered User #368935 since 01-10-2004
Powered by Debian Lenny
GPG Key fingerprint 0061 6CE8 02EB 0CAA 16E2 7ECD 1AC4 32A2 C30B A8ED
Jabber ID nobuteru@jabber.org
Reply to: