[Pluto-security] Squid: reverse proxy

Beppe beppebz at tin.it
Thu Mar 6 15:55:59 CET 2003 

Ciao Dido, grazie per la risposta!

Parlando di "Re: [Pluto-security] Squid: reverse proxy", Tom 'Dido' Di Donato 
ha scritto:

<...cut...>

> >ed ho per evitare errori ho modificato le regole che accettano il traffico
> >verso il server:
> >$IPTABLES -A INTDMZ -p tcp -d webserver1 --dport 81 -j ACCEPT
>
> Qui tu fai riferimento a una catena nuova, INTDMZ. Ma come è creata e come
> ci "mandi" i pacchetti?

Essendo il Firewall a piu' zone ho scelto di gestire le stesse separando le 
catene, mi risulta piu comodo e piu' chiaro [evidentemente in questo caso no 
;o)]
Come le ho create ?
ho prima definito la catena in funzione delle mie schede di rete:

$IPTABLES -N INTDMZ
#da eth0 [va al router] ------>
# a eth1 [va alla DMZ]

Dopo gli ho assegnato il flusso di traffico giusto:
$IPTABLES -A FORWARD -i eth0 -o eth1 -j INTDMZ

Successivamente ho stabilito una serie di regole da applicare a questo 
traffico.

> io avrei messo
>
> $IPTABLES -A OUTPUT -p tcp -d webserver1 --dport 81 -j ACCEPT
> $IPTABLES -A INPUT -p tcp -s webserver1 --sport 81 -j ACCEPT
>
>
> Prova a vedere se va meglio...

Domani mattina provo subito e faccio sapere, anche se per tale prova 
avevo impostato il traffico di OUTPUT in accept quindi correggimi sbaglio 
dovrebbe fungere cmq. 

> In più, in questi casi ti consiglio di usare tcpdump sul web1, e loggare i
> pacchetti droppati sul firewall. Capisci meglio...

Fatto ... ma in parte!
Ho catturato solo SUL Firewall, e no sul Webserver. Sono stato tratto in 
inganno dal fatto che dalle catture sembrava il traffico non oltrepassase 
il FW e quindi non giungesse sulla macchina, ma potrei essermi sbagliato alla 
grande.Ok ... pare che ho ancora diverse cosette da provare ... thank's per 
le dritte!

> PER TUTTI:
> Da un sacco di messaggi in lista, mi sembra che non sia per niente chiaro
> come funziona il passaggio di un pacchetto all'interno delle catene di
> Netfilter. Vi consiglio di darci un'occhiata...

Heheh ... non posso darti torto; va beh me lo dico da solo: RTFM ;-)

> Dido

Ciao e grazie Beppe

> _______________________________________________
> pluto-security mailing list
> pluto-security at lists.pluto.linux.it
> http://lists.pluto.linux.it/mailman/listinfo/pluto-security

More information about the pluto-security mailing list