iptables - nat help

Fórumok

iptables - nat help

Hozzászólások

Sziasztok!

Van egy háló, amibe kellene egy transparent proxy. Squid re gondoltam... Ennek kész a configja, siman, ha belövöm, mint proxy futrohan.
Van két hálókártyánk, eth0 (172.21.253.250)(belső háló felé) és eth1 (253.251)(kifelé)
Az a lényeg, hogy a főnökök látni szeretnék, ki mit netezik...Ez megoldva sarg-al (squid log bol szedi a dolgokat).
De sajnos valamiért nem veszi transparent proxynak a proxy-t.
Az eth0 van a belső háló switch-be rakva, mig az eth1 a külső hardveres tűzfal switch-be (253.254 a hardveres tuzfal ip).
Kellene nekem segiteni olyan iptables scriptben, ami nem szűr semmit, csak minden kérést átpakol a squid-nek. A vicces, hogy azért ezt a gépet el kellene érnem ssh-n, http-n (a sarg miatt) és ftp-n... de ezek keresztül is menjenek rajta....
huhh... nemtom érthető volt-e... lassan 2 hete szenvedek vele... de már 5letem sincs...
iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 80 -j REDIRECT --to-port 8080 sajnos nemjó...
köszönöm előre is

es a dolgozoknak ugye szoltatok errol?
mert kulonben lehet csunyan a birosagon talaljatok magatokat...

[quote:6e9008de54="nug"]es a dolgozoknak ugye szoltatok errol?
mert kulonben lehet csunyan a birosagon talaljatok magatokat...

igen... a szerződésükben és az IT szabályzatban is benne van...
nem én akarom ezt elhiheted, hanem a főnökség... nekem csak munkát ad sajnos

A squid-et transzparens szervernek kell beallitani, a squid hogyanban leirtak alapjan. A kliens gepeken ha nem veszel fel kulon proxy-t (mer ugye ettol transzparens) akkor alapbol az eredeti cim 80as portjat celozzak. Ezt iranyithatod at a redirectel a sajat proxy-d portjara. Ha a te webservered is a 80as portot hasznalja akkor at kell iranyitani a te cimedre erkezo kereseket a webszerveredhez. Vagyis kell a -d ! 172.21.253.250 igy, minden a nem erre a cimre tarto csomit at tudsz tenni a sajat proxydra, es amiknek ez a celcime azok el fogjak erni a sajat webszervered.

iptables -t nat -A PREROUTING -s $helyi_halo -d ! $router_lan_oldal --dport 80 -j REDIRECT --to-ports $squid_portod

mivel ez a gép a tuzfal és a net-switch között lesz, mi lesz ezekkel?
ftp, msn, https, pop3, smtp, imap stb?

Nekem 2 kérdésem lenne.
1. amit már napok ota nem talállok sehol a neten az iptables.conf állomány debian alatt hol található.
2.hogyan tudom kiengedni iptables+firestarter párosnál a webszervert ftp szervert mailszervert mert irja a doksija a firestarternek hogy blokkolja valószínüleg de hogy hogyan kell kiengedni az nem.
Alapból hogy kell kiengedni az apache2 -t mert lehet nem is jól akarom kikengedni.Köszi.

[quote:098e2fe997="polgar79"]Nekem 2 kérdésem lenne.
1. amit már napok ota nem talállok sehol a neten az iptables.conf állomány debian alatt hol található.

szerintem futtass le egy updatedb -t majd egy locate iptables.conf ot
:D :D :D :D :D :D :D :D :D :D :D :D :D :D :D :D :D :D :D :D