Nie jesteś zalogowany.
Jeśli nie posiadasz konta, zarejestruj je już teraz! Pozwoli Ci ono w pełni korzystać z naszego serwisu. Spamerom dziękujemy!
Prosimy o pomoc dla małej Julki — przekaż 1% podatku na Fundacji Dzieciom zdazyć z Pomocą.
Więcej informacji na dug.net.pl/pomagamy/.
MAm pytanie czy ktos wogule uzywa dansguardiana - a jak tak to czy przy ransparentnym proxy, bo za chiny ludowe uruchomic nie moge.
squid.conf
http_port 8080
httpd_accel_host virtual
httpd_accel_port 80
httpd_accel_with_proxy on
httpd_accel_uses_host_header on
dansguardian.conf
filter_port 3128
proxy ip 127.0.0.1
proxy_port 8080
firewall - lnie przekierowujące do danguardiana
#Dansguardian
$IPTABLES -A INPUT -i $lan1 -p tcp --dport 3128 -j ACCEPT
$IPTABLES -t nat -A PREROUTING -i $lan1 -p tcp --dport 80 -j REDIRECT --to-ports 3128
Co moze byc źle bo juz nie wiem ;/
Offline
Witam to znowu ja ;]
po dodaniu przekierowania firewalla dansguardian dziala przez okolo 10 sekund po czym zadna strona juz nie chce wejsc. Pomozcie prosze bo po 2 dniach juz jest ciezko ;/.
to mój firewall
#!/bin/bash
echo "1" > /proc/sys/net/ipv4/ip_forward
IPTABLES="/usr/local/sbin/iptables"
wanip="xxx.xxx.xxx.xxx"
wan="eth0"
ip1="192.168.1.1"
ip2="10.1.0.1"
lan1="192.168.1.0/24"
lan2="10.1.0.0/24"
all="0/0"
#NAT
$IPTABLES -F -t nat
$IPTABLES -t nat -I POSTROUTING -s $lan1 -o $wan -j MASQUERADE
$IPTABLES -t nat -I POSTROUTING -s $lan2 -o $wan -j MASQUERADE
#przekierowanie do ulogd (logowanie polaczen nawiazanych: pakietow SYN)
$IPTABLES -t nat -A PREROUTING -s $lan1 -d ! $lan1 -m state --state NEW -j ULOG --ulog-nlgroup 1
$IPTABLES -t nat -A PREROUTING -s $lan2 -d ! $lan2 -m state --state NEW -j ULOG --ulog-nlgroup 1
#Squid - przekierowanie sieci na proxy (transparentne)
$IPTABLES -t nat -A PREROUTING -s $lan1 -p tcp --dport 80 -j DNAT --to xxx.xxx.xxx.xxx:8080
$IPTABLES -t nat -A PREROUTING -s $lan1 -p tcp --dport 8080 -j DNAT --to xxx.xxx.xxx.xxx:8080
$IPTABLES -t nat -A PREROUTING -s $lan2 -p tcp --dport 80 -j DNAT --to xxx.xxx.xxx.xxx:8080
$IPTABLES -t nat -A PREROUTING -s $lan2 -p tcp --dport 8080 -j DNAT --to xxx.xxx.xxx.xxx:8080
#Dansguardian
$IPTABLES -t nat -A OUTPUT -p tcp --dport 80 -j REDIRECT --to-ports 3128
$IPTABLES -t nat -A OUTPUT -p tcp --dport 8080 -j REDIRECT --to-ports 3128
#Firewall
#to tyle routingu - zaczynamy filtrowanie
#domyslne polisy i/o na drop
$IPTABLES -F
$IPTABLES -P INPUT DROP
$IPTABLES -P OUTPUT DROP
$IPTABLES -P FORWARD ACCEPT
$IPTABLES -A INPUT -i lo -j ACCEPT
$IPTABLES -A OUTPUT -o lo -j ACCEPT
#PING - dopuszczamy pingowanie tylko z wewnatrz sieci na wszystkie 3sieciowki, odrzucamy z neta
$IPTABLES -A INPUT -p icmp -s $lan1 -j ACCEPT
$IPTABLES -A INPUT -p icmp -s $lan2 -j ACCEPT
$IPTABLES -A INPUT -p icmp -m state --state ESTABLISHED,RELATED -j ACCEPT
$IPTABLES -A OUTPUT -p icmp -m state --state ESTABLISHED,RELATED -j ACCEPT
#PortSentry ! - wymagane fake-porty dla portsentry
$IPTABLES -A INPUT -p tcp --dport 11 -m state --state NEW -j ACCEPT
$IPTABLES -A INPUT -p udp --dport 11 -m state --state NEW -j ACCEPT
$IPTABLES -A INPUT -p tcp --dport 23 -m state --state NEW -j ACCEPT
$IPTABLES -A INPUT -p udp --dport 23 -m state --state NEW -j ACCEPT
$IPTABLES -A INPUT -p tcp --dport 38 -m state --state NEW -j ACCEPT
$IPTABLES -A INPUT -p tcp --dport 111 -m state --state NEW -j ACCEPT
$IPTABLES -A INPUT -p udp --dport 111 -m state --state NEW -j ACCEPT
$IPTABLES -A INPUT -p udp --dport 513 -m state --state NEW -j ACCEPT
#ESTABLISHED - przepuszczamy polaczenia nawiazane
$IPTABLES -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT
$IPTABLES -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
$IPTABLES -A OUTPUT -m state --state ! INVALID -j ACCEPT
#DNS - dopuszczamy klientow do dns'a
$IPTABLES -A INPUT -i eth1 -p tcp -s $lan1 -d $ip1 --dport 53 -m state --state NEW -j ACCEPT
$IPTABLES -A INPUT -i eth1 -p udp -s $lan1 -d $ip1 --dport 53 -m state --state NEW -j ACCEPT
$IPTABLES -A INPUT -i eth2 -p tcp -s $lan2 -d $ip2 --dport 53 -m state --state NEW -j ACCEPT
$IPTABLES -A INPUT -i eth2 -p udp -s $lan2 -d $ip2 --dport 53 -m state --state NEW -j ACCEPT
$IPTABLES -A INPUT -p tcp -s $lan1 -d $wanip --dport 53 -m state --state NEW -j ACCEPT
$IPTABLES -A INPUT -p tcp -s $lan2 -d $wanip --dport 53 -m state --state NEW -j ACCEPT
$IPTABLES -A INPUT -p udp -s $lan1 -d $wanip --dport 53 -m state --state NEW -j ACCEPT
$IPTABLES -A INPUT -p udp -s $lan2 -d $wanip --dport 53 -m state --state NEW -j ACCEPT
#SSH - wpuszczamy polaczenia na ssh
$IPTABLES -A INPUT -p tcp -s $all -d $wanip --dport 60022 -m state --state NEW -j ACCEPT
$IPTABLES -A INPUT -i eth1 -s 192.168.1.5 -d $ip1 -m state --state NEW -j ACCEPT
$IPTABLES -A INPUT -i eth2 -s 10.1.0.155 -d $ip2 -m state --state NEW -j ACCEPT
#FTP - wpuszczamy polaczenia na ftp
$IPTABLES -A INPUT -p tcp -i eth1 -s 192.168.1.5 -d $ip1 --dport 21 -m state --state NEW -j ACCEPT
$IPTABLES -A INPUT -p tcp -i eth2 -s 10.1.0.155 -d $ip2 --dport 21 -m state --state NEW -j ACCEPT
$IPTABLES -A INPUT -p udp -i eth1 -s 192.168.1.5 -d $ip1 --dport 21 -m state --state NEW -j ACCEPT
$IPTABLES -A INPUT -p udp -i eth2 -s 10.1.0.155 -d $ip2 --dport 21 -m state --state NEW -j ACCEPT
#FTP - dostep z calej sieci wewnetrznej (!)
$IPTABLES -A INPUT -p udp -i eth2 -s $lan1 -d $ip1 --dport 21 -m state --state NEW -j ACCEPT
$IPTABLES -A INPUT -p udp -i eth2 -s $lan1 -d $ip1 --dport 21 -m state --state NEW -j ACCEPT
$IPTABLES -A INPUT -p udp -i eth2 -s $lan2 -d $ip2 --dport 21 -m state --state NEW -j ACCEPT
$IPTABLES -A INPUT -p udp -i eth2 -s $lan2 -d $ip2 --dport 21 -m state --state NEW -j ACCEPT
#Poczta - tlumaczyc chyba nie trzeba :)
$IPTABLES -A INPUT -p tcp -s $all -d $wanip --dport 25 -m state --state NEW -j ACCEPT
$IPTABLES -A INPUT -p tcp -s $all -d $wanip --dport 110 -m state --state NEW -j ACCEPT
$IPTABLES -A INPUT -p udp -s $all -d $wanip --dport 110 -m state --state NEW -j ACCEPT
$IPTABLES -A INPUT -p tcp -s $all -d $wanip --dport 119 -m state --state NEW -j ACCEPT
$IPTABLES -A INPUT -p tcp -s $all -d $wanip --dport 995 -m state --state NEW -j ACCEPT
$IPTABLES -A INPUT -p udp -s $all -d $wanip --dport 995 -m state --state NEW -j ACCEPT
#Squid - otwieramy porty squida dla polaczen z wewnatrz sieci
$IPTABLES -A INPUT -i eth1 -p tcp -s $lan1 -d $ip1 --dport 8080 -m state --state NEW -j ACCEPT
$IPTABLES -A INPUT -i eth2 -p tcp -s $lan2 -d $ip2 --dport 8080 -m state --state NEW -j ACCEPT
$IPTABLES -A INPUT -i eth1 -p tcp -s $lan1 -d $wanip --dport 8080 -m state --state NEW -j ACCEPT
$IPTABLES -A INPUT -i eth2 -p tcp -s $lan2 -d $wanip --dport 8080 -m state --state NEW -j ACCEPT
#wpuszczone z neta - odchacz by uaktywnic
$IPTABLES -A INPUT -p tcp -s $all -d $wanip --dport 80 -m state --state NEW -j ACCEPT
#thttpd - drugi serwer www do wyswietlania urzytkownikom planszy
$IPTABLES -A INPUT -i eth1 -p tcp -s $lan1 -d $ip1 --dport 666 -m state --state NEW -j ACCEPT
$IPTABLES -A INPUT -i eth2 -p tcp -s $lan2 -d $ip2 --dport 666 -m state --state NEW -j ACCEPT
#FORWARDING - przepuszczamy cala reszte ruchu od klientow do neta
$IPTABLES -A FORWARD -i eth1 -s $lan1 -d $all -m state --state NEW -j ACCEPT
$IPTABLES -A FORWARD -i eth2 -s $lan2 -d $all -m state --state NEW -j ACCEPT
#wszystko inne (ewentualne) drop - nie filtruje ruchu a zapobiega anomaliom i pentli miedzy lanami
$IPTABLES -A FORWARD -s $all -d $all -j DROP
Dodam ze konfiguracja squida i dansguardiana raczej poprawna, bo jak tu odchacze przekierowanie do dansguardiana to zaczyna dzialac ale po chwili nie ma nic, zadna strona nie dziala
Z góry dzięki
Offline
Time (s) | Query |
---|---|
0.00009 | SET CHARSET latin2 |
0.00004 | SET NAMES latin2 |
0.00096 | SELECT u.*, g.*, o.logged FROM punbb_users AS u INNER JOIN punbb_groups AS g ON u.group_id=g.g_id LEFT JOIN punbb_online AS o ON o.ident='3.142.250.86' WHERE u.id=1 |
0.00204 | REPLACE INTO punbb_online (user_id, ident, logged) VALUES(1, '3.142.250.86', 1732829426) |
0.00068 | SELECT * FROM punbb_online WHERE logged<1732829126 |
0.00096 | DELETE FROM punbb_online WHERE ident='13.59.183.186' |
0.00055 | SELECT topic_id FROM punbb_posts WHERE id=56748 |
0.00055 | SELECT id FROM punbb_posts WHERE topic_id=7454 ORDER BY posted |
0.00045 | SELECT t.subject, t.closed, t.num_replies, t.sticky, f.id AS forum_id, f.forum_name, f.moderators, fp.post_replies, 0 FROM punbb_topics AS t INNER JOIN punbb_forums AS f ON f.id=t.forum_id LEFT JOIN punbb_forum_perms AS fp ON (fp.forum_id=f.id AND fp.group_id=3) WHERE (fp.read_forum IS NULL OR fp.read_forum=1) AND t.id=7454 AND t.moved_to IS NULL |
0.00024 | SELECT search_for, replace_with FROM punbb_censoring |
0.00079 | SELECT u.email, u.title, u.url, u.location, u.use_avatar, u.signature, u.email_setting, u.num_posts, u.registered, u.admin_note, p.id, p.poster AS username, p.poster_id, p.poster_ip, p.poster_email, p.message, p.hide_smilies, p.posted, p.edited, p.edited_by, g.g_id, g.g_user_title, o.user_id AS is_online FROM punbb_posts AS p INNER JOIN punbb_users AS u ON u.id=p.poster_id INNER JOIN punbb_groups AS g ON g.g_id=u.group_id LEFT JOIN punbb_online AS o ON (o.user_id=u.id AND o.user_id!=1 AND o.idle=0) WHERE p.topic_id=7454 ORDER BY p.id LIMIT 0,25 |
0.00073 | UPDATE punbb_topics SET num_views=num_views+1 WHERE id=7454 |
Total query time: 0.00808 s |