squid proxy port nyitás (forward talán)???

Debian GNU/Linux

Sziasztok!

Egy lehet alap dologgal zaklatlak titeket, és bár előszőr a barátomat Google-t kérdeztem, de mivel a kérdésben sem nagyon vagyok biztos, ezért inkább hozzáértőket kérdezek.

Adott:

céges hálózat.

Linux szerver: 192.168.0.2; mail, squid proxy. Ha jól tudom alap beállítás szinte minden.
átjáró:192.168.0.9; ez a routerünk.
A proxy a nagybecsű számlázó és nyilvántartó programunk miatt kell (Cobra Conto), ami ha közvetlenül átjáróra van kapcsolva, akkor elkezd "kommunikálni" a DNS szerverekkel és kiakad (ne kérdezzétek mi köze a DNS-hez, mert semmi, csak sz@r a progi és kész [nem csak ezért]).
Tehát aki Cobra-zik, az proxy mögött van.
Na most, fel kellene feltelepítenünk egy GLS Connect nevű progit, ami okés, csak épp nem kommunikál a GLS szerverrel, ha proxy mögött van. Ha közvetlenül a router-re van kötve a gép akkor megy, de akkor Cobra nuku. Ez elfogadhatatlan.

Na felhívta a rendszergazdánk őket, hogy milyen portokon kommunikál a progi a szerverrel. A válasz a 22 és a 80. 80 bizti megy, mert net azért van proxy mögül is. Gondolom itt a bibi a 22-es, SSH port lesz.

A linuxos rendszergazdi most szabin, nem elérhető.
Én magam is linuxot használok itt bent a cégnél munkagépnek, a rendszergazdik legnagyobb fejfájására. Én ilyen berhelős, konfigos, programozós őrült vagyok, ezért egyből elkezdtem túrni a netet a megoldás után, de aztán elbizonytalanodtam. Remélem ti segítetek most.

A válaszokat előre is köszi
Marrow

  • 3607 megtekintés

( csuhi | 2007. 10. 15., h – 15:14 )

Nemtom, jól értem-e de itt akkor az a lényeg, hogy minden proxizik, gondolom transzparens proxival, csak a GLS szerverével közvetlen kapcsolat kellene a 80as porton keresztül, proxy nélkül.
Asszem squid-el is meg lehet oldani, de ha transzparens a proxy akkor úgyis a tűzfal irányítja át a 80-as portról a cuccot a 3128-ra. Ezesetben meg kell a tűzfalnak mondani, hogy a GLS szervére irányuló forgalmat ne tegye át a 3128-ra. Valami ilyesmi:

iptables -t nat -A PREROUTING -p TCP -i HELYI_HÁLÓ_KARI -d ! GLS_SZERVER_IP --dport 80 -j REDIRECT --to-port 3128

Valószínű van is hasonló sorod, csak ezt: "-d ! GLS_SZERVER_IP" kell beszúrni még.

Remélem tudtam segíteni
--
http://csuhi.homelinux.net

Igen, majdnem mindenki proxyzik.
Hol tudom megnézni, hogy milyen iptables rule-ok vannak a gépen?
Honnan tudom, hogy transzparens a proxy?

Se az IPtables-hez, sem a squid-hez nem értek, szóval bocsi a hülye kérdésekért, de igyekszem megtanulni (az iptables-re tudsz vmi jó tutorialt?)

Az alábbi bejegyzést találtam az /etc/iptables.rules-ban.
Ez mond neked valamit?
Köszi, hogy eddig is segítettél, remélem most is fogsz...

Marrow

# Generated by iptables-save v1.2.11 on Mon Jan 16 13:45:14 2006
*nat
:PREROUTING ACCEPT [10:2364]
:POSTROUTING ACCEPT [17:4449]
:OUTPUT ACCEPT [17:4449]
-A PREROUTING -i ppp0 -p tcp -m tcp --dport 1723 -j DNAT --to-destination 192.168.0.131
COMMIT
# Completed on Mon Jan 16 13:45:14 2006
# Generated by iptables-save v1.2.11 on Mon Jan 16 13:45:14 2006
*filter
:INPUT ACCEPT [1369950:703371989]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [1488222:886018676]
-A FORWARD -o ppp0 -p tcp -m tcp --tcp-flags SYN,RST SYN -m tcpmss --mss 1400:1536 -j TCPMSS --clamp-mss-to-pmtu
COMMIT
# Completed on Mon Jan 16 13:45:14 2006

azt, hogy transzparens-e a proxy, onnan tudod, hogy a böngésződben nincs beállítva proxy, hanem "közvetlen interetkapcsolat" van. Vagyis a böngésződ/géped azt hiszi, hogy közetlen a nagyvilággal bezsélget, pedig nem: a gateway tűzfala kapja el a 80-as portok felé menő kéréseket és nyomja át a proxynak.

Köszönöm a választ Oops.
Ebben az esetben nem transzparens a proxy. Be kell állítani a böngészőben.
Még egy kis infó annak aki esetle tudna segíteni a fenti ügyben:

iptables -L szerint nincs semmilyen rule a szerveren:

Chain INPUT (policy ACCEPT)
target prot opt source destination

Chain FORWARD (policy ACCEPT)
target prot opt source destination

Chain OUTPUT (policy ACCEPT)
target prot opt source destination

Marrow

Talán megvan a megoldás, de mielőtt belepiszkálok, megkérdezek egy hozzáértőt.

acl all src 0.0.0.0/0.0.0.0
acl manager proto cache_object
acl localhost src 127.0.0.1/255.255.255.255
acl localnet src 192.168.0.0/16
acl to_localhost dst 127.0.0.0/8
acl SSL_ports port 443 563 # https, snews
acl SSL_ports port 873 # rsync
acl Safe_ports port 80 # http
acl Safe_ports port 21 # ftp
acl Safe_ports port 443 563 # https, snews
acl Safe_ports port 70 # gopher
acl Safe_ports port 210 # wais
acl Safe_ports port 1025-65535 # unregistered ports
acl Safe_ports port 280 # http-mgmt
acl Safe_ports port 488 # gss-http
acl Safe_ports port 591 # filemaker
acl Safe_ports port 777 # multiling http
acl Safe_ports port 631 # cups
acl Safe_ports port 873 # rsync
acl Safe_ports port 901 # SWAT
acl purge method PURGE
acl CONNECT method CONNECT

http_access allow manager localhost
http_access deny manager
http_access allow purge localhost
http_access deny purge
http_access deny !Safe_ports
http_access deny CONNECT !SSL_ports

Tehát én úgy látom, hogy mindent tilt, ami nem Safe_ports.
Ha hozzáadom a Safe_ports-hoz a 22-est, akkor mennie kell, nem?

Marrow

Nem fog kinyírni, és root jogom sincs. Elég sokmindenhez hozzáférek, mert érdekel. Sokat kérdeztem, aztán kaptam erre-arra olvasási jogokat, hogy nézegessem, ha már egyszer érdekel. Hálózathoz (lásd ez, meg a másik thread) nem értek, viszont mindig is kiváncsi voltam rá. Ha van egy hülye kérdések topic, akkor átvonulok oda, de úgy néz ki, hogy a féloldalas mosoly, és a "de kis ostoba" gondolat után azért mindenki mond valami használhatót is.

( j_szucs | 2007. 10. 16., k – 14:44 )

Ez a cobra linuxon megy? Nem tudod rávenni, hogy proxizzon, akkor is, ha a gateway meg van adva? Most hogyan állítod be benne a proxy használatot?

---
Mondjon le!

Nem, nem linuxon megy. Emiatt van egy NT szerverünk is, ami filemegosztást, tartományvezérlést lát el. Eze van maga a Cobra is. Mindeki paraméterezett parancsikonnal indít el egy példányt. Tehát mindenkinek egyénileg van beállítva a proxy használat értelemszerűen.
Ha meg van adva gateway, akkor folyamatosan fagy.

( yndy | 2007. 10. 16., k – 20:37 )

Ha jol ertem, van ket program ugyanazon a gepen. Az egyik kizarolag proxy-n keresztul tud kommunikalni, a masik meg proxy nelkul.
Altalaban nem a GEP kommunikal proxy nelkul vagy proxy-n keresztul, hanem a programok. Tehat ha az egyik progiban (Cobra) beallitod, hogy proxy-t hasznaljon, a masikat (GLS) pedig proxy beallitas nelkul kuldod ki a netre, az nem jelenthet megoldast?
Egyebkent miert ertesz az alatt, hogy "közvetlenül a router-re van kötve a gép" ?

Igen. Van két program a gépen. AZ egyik (Cobra: intranetes számlázó-nyilvántartó progi) csak proxy-val mehet, mert ha a net beállításban őt átjárót talál, akkor lefagy. A másik progi (GLS) meg nem megy proxyval. A GLS-es progiban lehet proxyt állítani, de ha be van állítva, ha nem, akkor sem megy. Teljesen kikapcsolni a proxyt pedig a Cobra miatt nem lehet. Egyébként semmi másra nem kell a proxy, csak hogy a Cobra ne akadjon ki.

"mert ha a net beállításban őt átjárót talál, akkor lefagy"
Erdekes progi lehet.
Egy onallo gepen is lefagy, ha be van allitva a gw, vagy azert fagy le, mert elkezd kommunikalni a gw-n keresztul valakivel es abba doglik bele?
Arra nem gondoltal, hogy felteszel a gepre valami (ingyenes) szemelyi tuzfalat, amivel megtiltod annak a f*snak, hogy gw-n keresztul kommunikaljon?

Ha körbekérdeznél a progival kapcsolatban, akkor az "érdekes" volna a legenyhébb kifejezés rá. Önálló gépen is fagy ha van gateway.
A személyi tűzfalra még nem gondoltam, de ha minden igaz, akkor pont a f*s fejlesztői mondták, hogy a proxy a megoldás, tehát ez nekik csak eszükbe jutott. De azért ennek utánanézek, köszönöm.

Ha jól értem, akkor ez a dolog nem fog menni egyazon számítógépen, mert:

- Ha megadsz a gépnek gw-t, akkor fagy a Cobra
- Ha nem , akkor nem megy a GLS
- a GLS viszont nem proxizik, tehát neki muszály lenne gw-t és dns-t használnia.

Innentől meg van lőve a dolog.
Ha jól értem...

--
http://csuhi.homelinux.net

( machobymb v | 2007. 10. 25., cs – 13:34 )

Légy szíves segítsetek! Miért nem érhető el ezzen a Squid konfiggal a 8443-as port?

http_port 3128
hierarchy_stoplist cgi-bin ?
acl QUERY urlpath_regex cgi-bin \?
no_cache deny QUERY
hosts_file /etc/hosts
acl all src 0.0.0.0/0.0.0.0
acl manager proto cache_object
acl localhost src 127.0.0.1/255.255.255.255
acl SSL_ports port 443 563
acl Safe_ports port 80
acl Safe_ports port 21
acl Safe_ports port 8443
acl Safe_ports port 443 563
acl Safe_ports port 70
acl Safe_ports port 210
acl Safe_ports port 1025-65535
acl Safe_ports port 280
acl Safe_ports port 488
acl Safe_ports port 591
acl Safe_ports port 777
acl Safe_ports port 901
acl Safe_ports port 3389
acl Safe_ports port 25
acl purge method PURGE
acl CONNECT method CONNECT
acl helyi_halo src 192.168.0.0/24
http_access allow manager localhost
http_access deny manager
http_access allow purge localhost
http_access deny purge
http_access deny !Safe_ports
http_access deny CONNECT !SSL_ports
http_access allow localhost
http_access allow helyi_halo
http_access deny all
icp_access allow all
http_reply_access allow all
always_direct allow all
cache_swap_low 90
cache_swap_high 95
cache_dir ufs /var/spool/squid 100 16 256

Egy szervert kellen webes felületen elérni, konfigurálni. Azt kapom a Squidtől, hogy Access denied. Miért? Az iptasbles nem tilt semmit.