[PLUTO-help] Problemi con squid

Luca sollazzo tailgunner75 a email.it
Gio 4 Dic 2003 15:15:46 CET 

Alle 13:55, giovedì 4 dicembre 2003, Piviul ha scritto:

> Grazie, no non l'ho fatto poiché credevo di avere configurato squid in
> transparent mode... o no?

il fatto che il proxy lavora in trasparenza non significa che non puoi 
configurare un browser per l'uso esplicito del proxy, nel qual caso il 
browser invia la richiesta direttamente alla porta 3128 del proxy, ed il  
redirect viene semplicemente bypassato ... se ad esempio un browser 
configurato per l'uso esplicito del proxy funziona, allora il problema sta 
nella fase di redirect, altrimenti potrebbe essere qualche altra cosa... non 
esclusi problemi di firewall... 
>
> Credo di si. Per permetterne l'uscita ho scritto:
> iptables -A OUTPUT -s $LAN_IPADDR -o $LAN_IFACE -j ACCEPT
> iptables -t nat -A OUTPUT -s $LAN_IPADDR -o $LAN_IFACE -j ACCEPT
> iptables -t nat -A POSTROUTING -s $LAN_IPADDR -o $LAN_IFACE -j ACCEPT
>
> iptables -A OUTPUT -s $INET_IPADDR -o $INET_IFACE -j ACCEPT
> iptables -t nat -A OUTPUT -s $INET_IPADDR -o $INET_IFACE -j ACCEPT
> iptables -t nat -A POSTROUTING -s $INET_IPADDR -o $INET_IFACE -j ACCEPT
>
> iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT

il problema potrebbe essere quì, se in input hai inpostato solo questa regola 
allora il fw non accetta nessuna connessione nuova su nessuna interfaccia, ma 
invia solo le risposte a connessioni esistenti.

ora, quando il browser manda una richiesta di connessione, tale richiesta 
viene intercettata dalla regola Redirect nel prerouting, e rigirata alla 
porta 3128 dell'elaboratore locale. a questo punto la connessione viene 
ignorata da

iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT

in quanto connessione nuova (bit SYN attivo) e finisce nelle mani della regola 
predefinita (che senz'altro sarà DROP) che la scarta.. e tu ricevi come 
risposta "Tempo scaduto" 

prova ad aggiungere questa regola:

iptables -A INPUT -i $LAN_IFACE -s $LAN_NET -p tcp --dport 3128 -j ACCEPT

dove $LAN_NET è l'indirizzo di rete della LAN (es 192.168.2.0/24)

.


> _______________________________________________
> pluto-help mailing list
> pluto-help a lists.pluto.it
> http://lists.pluto.it/cgi-bin/mailman/listinfo/pluto-help

More information about the pluto-help mailing list