[Pluto-help] iptables/squid

Tommy dido a sicurweb.com
Mar 9 Apr 2002 20:03:18 CEST 

Ciao!

On Thursday 25 April 2002 18:49, you wrote:
> salve, non vorrei essere troppo rompiballe, ma il effetti anche la
> questione iptables/squid mi interessa parecchio...nel senso di farla
> funzionare! Ho installato e configurato squid in convivenza sulla linux box
> con iptables (credo che Tom non sia molto d'accordo, ma al momento non ho
> un altro pc da dedicarvi, anche se a breve penso di farlo).

no, invece... Secondo me non è male, come configurazione.... Anzi, da sempre 
firewall e proxy stanno bene assieme...

> Premetto che le regole di default INPUT ed OUTPUT sono su DROP.
> Dopo aver settato un redirect dalla 80 alla 3128 con la seguente:
> iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 80 -j
> REDIRECT --to-port 3128
> ho provato ad aggiunfere alcune regole per l'input e l'output, del tipo
> iptables -A INPUT -i eth0 -p tcp --dport 3128 -j ACCEPT
> iptables -A OUTPUT -o eth0 -p tcp --sport 3128 -j ACCEPT
> o qualcosa del genere, ma non funziona...
> Non appena provo a fare qualcosa del tipo:
> iptables -D INPUT ACCEPT
> iptables -D OUTPUT ACCEPT

forse -P ...


Guarda che devi anche modificare la configurazione di squid, per farlo 
lavorare in questo modo (si chiama transparent proxy, trovi un sacco di 
documentazione a riguardo). Lo hai fatto? 
I log di squid ti dicono  se con la policy di accept i client usano il proxy 
o escono direttamente??

Nota di fondo: se hai inpostato output su drop, e non espliciti che il 
traffico output verso la porta 80 è consentito, secondo me non esce niente. 
Se esce, forse bisogna aprire una segnalazione di bug....


> allora tutto funziona (e grazie) alla perfezione....
> Mi chiedo, perchè credo che mi sia oscuro, ma allora squid/iptables in che
> relazione stanno?
> Cioè squid, che risiede sul pc, dovrebbe essere autorizzato a
> prendere/inviare tutto quello che transita sulla porta 3128, pertanto
> basterebbe abilitare il transito su detta porta in input/output per il tcp,
> ma ciò non sembra andare.
> Ciao
> Giuseppe
> Eth0 (nic verso internet) 192.168.0.10
> Eth1 (nic verso la lan interna) 192.168.1.10
>

More information about the pluto-help mailing list