Nie jesteś zalogowany.
Jeśli nie posiadasz konta, zarejestruj je już teraz! Pozwoli Ci ono w pełni korzystać z naszego serwisu. Spamerom dziękujemy!

Ogłoszenie

Prosimy o pomoc dla małej Julki — przekaż 1% podatku na Fundacji Dzieciom zdazyć z Pomocą.
Więcej informacji na dug.net.pl/pomagamy/.

#1  2007-04-03 18:40:13

  ufoshi - Użytkownik

ufoshi
Użytkownik
Zarejestrowany: 2005-09-16

Squid acl dansguardian i xxx

MAm pytanie czy ktos wogule uzywa dansguardiana - a jak tak to czy przy ransparentnym proxy, bo za chiny ludowe uruchomic nie moge.

squid.conf

http_port 8080
httpd_accel_host virtual
httpd_accel_port 80
httpd_accel_with_proxy on
httpd_accel_uses_host_header on

dansguardian.conf

filter_port 3128
proxy ip 127.0.0.1
proxy_port 8080

firewall - lnie przekierowujące do danguardiana

#Dansguardian
$IPTABLES -A INPUT -i $lan1 -p tcp --dport 3128 -j ACCEPT
$IPTABLES -t nat -A PREROUTING -i $lan1 -p tcp --dport 80 -j REDIRECT --to-ports 3128

Co moze byc źle bo juz nie wiem ;/

Offline

 

#2  2007-04-05 17:26:46

  ufoshi - Użytkownik

ufoshi
Użytkownik
Zarejestrowany: 2005-09-16

Re: Squid acl dansguardian i xxx

Witam to znowu ja ;]

po dodaniu przekierowania firewalla dansguardian dziala przez okolo 10 sekund po czym zadna strona juz nie chce wejsc. Pomozcie prosze bo po 2 dniach juz jest ciezko ;/.

to mój firewall


#!/bin/bash

echo "1" > /proc/sys/net/ipv4/ip_forward

IPTABLES="/usr/local/sbin/iptables"
wanip="xxx.xxx.xxx.xxx"
wan="eth0"
ip1="192.168.1.1"
ip2="10.1.0.1"
lan1="192.168.1.0/24"
lan2="10.1.0.0/24"
all="0/0"

#NAT
$IPTABLES -F -t nat
$IPTABLES -t nat -I POSTROUTING -s $lan1 -o $wan -j MASQUERADE
$IPTABLES -t nat -I POSTROUTING -s $lan2 -o $wan -j MASQUERADE
#przekierowanie do ulogd (logowanie polaczen nawiazanych: pakietow SYN)
$IPTABLES -t nat -A PREROUTING -s $lan1 -d ! $lan1 -m state --state NEW -j ULOG --ulog-nlgroup 1
$IPTABLES -t nat -A PREROUTING -s $lan2 -d ! $lan2 -m state --state NEW -j ULOG --ulog-nlgroup 1


#Squid - przekierowanie sieci na proxy (transparentne)
$IPTABLES -t nat -A PREROUTING -s $lan1 -p tcp --dport 80 -j DNAT --to xxx.xxx.xxx.xxx:8080
$IPTABLES -t nat -A PREROUTING -s $lan1 -p tcp --dport 8080 -j DNAT --to xxx.xxx.xxx.xxx:8080
$IPTABLES -t nat -A PREROUTING -s $lan2 -p tcp --dport 80 -j DNAT --to xxx.xxx.xxx.xxx:8080
$IPTABLES -t nat -A PREROUTING -s $lan2 -p tcp --dport 8080 -j DNAT --to xxx.xxx.xxx.xxx:8080
#Dansguardian
$IPTABLES -t nat -A OUTPUT -p tcp --dport 80 -j REDIRECT --to-ports 3128
$IPTABLES -t nat -A OUTPUT -p tcp --dport 8080 -j REDIRECT --to-ports 3128

#Firewall
#to tyle routingu - zaczynamy filtrowanie
#domyslne polisy i/o na drop
$IPTABLES -F
$IPTABLES -P INPUT DROP
$IPTABLES -P OUTPUT DROP
$IPTABLES -P FORWARD ACCEPT

$IPTABLES -A INPUT -i lo -j ACCEPT
$IPTABLES -A OUTPUT -o lo -j ACCEPT

#PING - dopuszczamy pingowanie tylko z wewnatrz sieci na wszystkie 3sieciowki, odrzucamy z neta
$IPTABLES -A INPUT -p icmp -s $lan1 -j ACCEPT
$IPTABLES -A INPUT -p icmp -s $lan2 -j ACCEPT
$IPTABLES -A INPUT -p icmp -m state --state ESTABLISHED,RELATED -j ACCEPT
$IPTABLES -A OUTPUT -p icmp -m state --state ESTABLISHED,RELATED -j ACCEPT
#PortSentry ! - wymagane fake-porty dla portsentry
$IPTABLES -A INPUT -p tcp --dport 11 -m state --state NEW -j ACCEPT
$IPTABLES -A INPUT -p udp --dport 11 -m state --state NEW -j ACCEPT
$IPTABLES -A INPUT -p tcp --dport 23 -m state --state NEW -j ACCEPT
$IPTABLES -A INPUT -p udp --dport 23 -m state --state NEW -j ACCEPT
$IPTABLES -A INPUT -p tcp --dport 38 -m state --state NEW -j ACCEPT
$IPTABLES -A INPUT -p tcp --dport 111 -m state --state NEW -j ACCEPT
$IPTABLES -A INPUT -p udp --dport 111 -m state --state NEW -j ACCEPT
$IPTABLES -A INPUT -p udp --dport 513 -m state --state NEW -j ACCEPT
#ESTABLISHED - przepuszczamy polaczenia nawiazane
$IPTABLES -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT
$IPTABLES -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
$IPTABLES -A OUTPUT -m state --state ! INVALID -j ACCEPT
#DNS - dopuszczamy klientow do dns'a
$IPTABLES -A INPUT -i eth1 -p tcp -s $lan1 -d $ip1 --dport 53 -m state --state NEW -j ACCEPT
$IPTABLES -A INPUT -i eth1 -p udp -s $lan1 -d $ip1 --dport 53 -m state --state NEW -j ACCEPT
$IPTABLES -A INPUT -i eth2 -p tcp -s $lan2 -d $ip2 --dport 53 -m state --state NEW -j ACCEPT
$IPTABLES -A INPUT -i eth2 -p udp -s $lan2 -d $ip2 --dport 53 -m state --state NEW -j ACCEPT
$IPTABLES -A INPUT -p tcp -s $lan1 -d $wanip --dport 53 -m state --state NEW -j ACCEPT
$IPTABLES -A INPUT -p tcp -s $lan2 -d $wanip --dport 53 -m state --state NEW -j ACCEPT
$IPTABLES -A INPUT -p udp -s $lan1 -d $wanip --dport 53 -m state --state NEW -j ACCEPT
$IPTABLES -A INPUT -p udp -s $lan2 -d $wanip --dport 53 -m state --state NEW -j ACCEPT
#SSH - wpuszczamy polaczenia na ssh
$IPTABLES -A INPUT -p tcp -s $all -d $wanip --dport 60022 -m state --state NEW -j ACCEPT
$IPTABLES -A INPUT -i eth1 -s 192.168.1.5 -d $ip1 -m state --state NEW -j ACCEPT
$IPTABLES -A INPUT -i eth2 -s 10.1.0.155 -d $ip2 -m state --state NEW -j ACCEPT
#FTP - wpuszczamy polaczenia na ftp
$IPTABLES -A INPUT -p tcp -i eth1 -s 192.168.1.5 -d $ip1 --dport 21 -m state --state NEW -j ACCEPT
$IPTABLES -A INPUT -p tcp -i eth2 -s 10.1.0.155 -d $ip2 --dport 21 -m state --state NEW -j ACCEPT
$IPTABLES -A INPUT -p udp -i eth1 -s 192.168.1.5 -d $ip1 --dport 21 -m state --state NEW -j ACCEPT
$IPTABLES -A INPUT -p udp -i eth2 -s 10.1.0.155 -d $ip2 --dport 21 -m state --state NEW -j ACCEPT
#FTP - dostep z calej sieci wewnetrznej (!)
$IPTABLES -A INPUT -p udp -i eth2 -s $lan1 -d $ip1 --dport 21 -m state --state NEW -j ACCEPT
$IPTABLES -A INPUT -p udp -i eth2 -s $lan1 -d $ip1 --dport 21 -m state --state NEW -j ACCEPT
$IPTABLES -A INPUT -p udp -i eth2 -s $lan2 -d $ip2 --dport 21 -m state --state NEW -j ACCEPT
$IPTABLES -A INPUT -p udp -i eth2 -s $lan2 -d $ip2 --dport 21 -m state --state NEW -j ACCEPT
#Poczta - tlumaczyc chyba nie trzeba :)
$IPTABLES -A INPUT -p tcp -s $all -d $wanip --dport 25 -m state --state NEW -j ACCEPT
$IPTABLES -A INPUT -p tcp -s $all -d $wanip --dport 110 -m state --state NEW -j ACCEPT
$IPTABLES -A INPUT -p udp -s $all -d $wanip --dport 110 -m state --state NEW -j ACCEPT
$IPTABLES -A INPUT -p tcp -s $all -d $wanip --dport 119 -m state --state NEW -j ACCEPT
$IPTABLES -A INPUT -p tcp -s $all -d $wanip --dport 995 -m state --state NEW -j ACCEPT
$IPTABLES -A INPUT -p udp -s $all -d $wanip --dport 995 -m state --state NEW -j ACCEPT
#Squid - otwieramy porty squida dla polaczen z wewnatrz sieci
$IPTABLES -A INPUT -i eth1 -p tcp -s $lan1 -d $ip1 --dport 8080 -m state --state NEW -j ACCEPT
$IPTABLES -A INPUT -i eth2 -p tcp -s $lan2 -d $ip2 --dport 8080 -m state --state NEW -j ACCEPT
$IPTABLES -A INPUT -i eth1 -p tcp -s $lan1 -d $wanip --dport 8080 -m state --state NEW -j ACCEPT
$IPTABLES -A INPUT -i eth2 -p tcp -s $lan2 -d $wanip --dport 8080 -m state --state NEW -j ACCEPT
#wpuszczone z neta - odchacz by uaktywnic
$IPTABLES -A INPUT -p tcp -s $all -d $wanip --dport 80 -m state --state NEW -j ACCEPT
#thttpd - drugi serwer www do wyswietlania urzytkownikom planszy
$IPTABLES -A INPUT -i eth1 -p tcp -s $lan1 -d $ip1 --dport 666 -m state --state NEW -j ACCEPT
$IPTABLES -A INPUT -i eth2 -p tcp -s $lan2 -d $ip2 --dport 666 -m state --state NEW -j ACCEPT
#FORWARDING - przepuszczamy cala reszte ruchu od klientow do neta
$IPTABLES -A FORWARD -i eth1 -s $lan1 -d $all -m state --state NEW -j ACCEPT
$IPTABLES -A FORWARD -i eth2 -s $lan2 -d $all -m state --state NEW -j ACCEPT
#wszystko inne (ewentualne) drop - nie filtruje ruchu a zapobiega anomaliom i pentli miedzy lanami
$IPTABLES -A FORWARD -s $all -d $all -j DROP


Dodam ze konfiguracja squida i dansguardiana raczej poprawna, bo jak tu odchacze przekierowanie do dansguardiana to zaczyna dzialac ale po chwili nie ma nic, zadna strona nie dziala

Z góry dzięki

Offline

 

Stopka forum

Powered by PunBB
© Copyright 2002–2005 Rickard Andersson
Nas ludzie lubią po prostu, a nie klikając w przyciski ;-)

[ Generated in 0.009 seconds, 9 queries executed ]

Informacje debugowania

Time (s) Query
0.00010 SET CHARSET latin2
0.00004 SET NAMES latin2
0.00090 SELECT u.*, g.*, o.logged FROM punbb_users AS u INNER JOIN punbb_groups AS g ON u.group_id=g.g_id LEFT JOIN punbb_online AS o ON o.ident='18.220.206.141' WHERE u.id=1
0.00218 REPLACE INTO punbb_online (user_id, ident, logged) VALUES(1, '18.220.206.141', 1733046873)
0.00054 SELECT * FROM punbb_online WHERE logged<1733046573
0.00102 SELECT t.subject, t.closed, t.num_replies, t.sticky, f.id AS forum_id, f.forum_name, f.moderators, fp.post_replies, 0 FROM punbb_topics AS t INNER JOIN punbb_forums AS f ON f.id=t.forum_id LEFT JOIN punbb_forum_perms AS fp ON (fp.forum_id=f.id AND fp.group_id=3) WHERE (fp.read_forum IS NULL OR fp.read_forum=1) AND t.id=7454 AND t.moved_to IS NULL
0.00022 SELECT search_for, replace_with FROM punbb_censoring
0.00185 SELECT u.email, u.title, u.url, u.location, u.use_avatar, u.signature, u.email_setting, u.num_posts, u.registered, u.admin_note, p.id, p.poster AS username, p.poster_id, p.poster_ip, p.poster_email, p.message, p.hide_smilies, p.posted, p.edited, p.edited_by, g.g_id, g.g_user_title, o.user_id AS is_online FROM punbb_posts AS p INNER JOIN punbb_users AS u ON u.id=p.poster_id INNER JOIN punbb_groups AS g ON g.g_id=u.group_id LEFT JOIN punbb_online AS o ON (o.user_id=u.id AND o.user_id!=1 AND o.idle=0) WHERE p.topic_id=7454 ORDER BY p.id LIMIT 0,25
0.00118 UPDATE punbb_topics SET num_views=num_views+1 WHERE id=7454
Total query time: 0.00803 s