|
|
Oldal: 1 / 1
|
[ 7 hozzászólás ] |
|
!!! SUSE Linux 10.0 tűzfal + NAT HELP Linux guruk !!!
Szerző |
Üzenet |
chx
arany tag
Csatlakozott: szer. márc. 24, 2004 13:43 Hozzászólások: 320
|
Hat nem adja magat konnyen.
Ha a bongeszoben megadom a proxy-t (gw:3128) szepen megy minden, az FTP is. A baj csak az, hogy ha a gw-n beallitom, hogy minden, kifele 80,21-es portokra irányuló kérést forwardoljon a localhost:3128-ra, akkor a squid megkapja, de levágja az URL elejét.
pl: http://www.terminal.hu/index.php -ből /index.php lesz,
vagy http://www.terminal.hu/ -ból / lesz, és ezt így nyilván nem találja a böngésző.
De válaszol a squid, és ez jó. Keményen beledúrtam a konfigjába (mert mindent egyszerre akartam belőni), és elkexelhettem valamit. Szóval alakul, csak ki kell érlelni
Üdv:
chx
|
pén. máj. 19, 2006 16:37 |
|
|
chx
arany tag
Csatlakozott: szer. márc. 24, 2004 13:43 Hozzászólások: 320
|
"SQUID egyetlen hátránya, hogy HTTPS protokollt nem tud szűrni"
Régen konfigoltam, de az oldalukon a https-re keresés dobott pár találatot, lehet hogy lesz, vagy valami kiegészítő kell hozzá. Amúgy meg de hülye vagyok, https-t nem szoktak cache-elni, a biztonság miatt
Üdv:
chx
|
vas. ápr. 16, 2006 19:56 |
|
|
GabbeR83
vas-tag
Csatlakozott: szomb. ápr. 15, 2006 8:53 Hozzászólások: 8 Tartózkodási hely: Szolnok
|
MEGOLDOTTAM !!!
Sziasztok!
Hosszú kínlódás és persze sok-sok tanulás után sikerült megoldanom azt hiszem. SQUID egyetlen hátránya, hogy HTTPS protokollt nem tud szűrni, ezért kell, de csak ezért a NAT+MASQUERADE !!! Minden HTTP kérést a kliensekről átirányítok a Szeren lévő SQUID-re ott megszűröm, a HTTPS kéréseket meg csak egyszerűen kiküldöm a szerveren Susefirewall2-n keresztül SQUID nélkül, (webszűrés nélkül) a nagyvilágba...
És működik...
Types of acl:
Source/Destination IP address
Source/Destination Domain
Regular Expression match of requested domain
Words in the requested URL
Words in the source or destination domain
Current day/time
Destination port
Protocol (FTP, HTTP, SSL) # tehát HTTPS-t nem tud szűrni acl-eken keresztül !!!
Method (HTTP GET or HTTP POST)
Browser type
Name (according to the Ident protocol)
Autonomous System (AS) number
Username/Password pair
SNMP Community
Eddig teljesen jól megy, de még tesztelgetem, írok, ha valami gond lenne, ha valaki tud ennél jobb megoldást a fenti problémámra, szívesen állok elébe!
ThanX mégegyszer a tanácsokat!
Üdv.:
GabbeR83
|
vas. ápr. 16, 2006 17:29 |
|
|
chx
arany tag
Csatlakozott: szer. márc. 24, 2004 13:43 Hozzászólások: 320
|
Az FW_REDIRECT="192.168.16.0/24,0/0,tcp,80,3128" alapján készítsd el a
81, 8080, 8081, 443, 3128 -as portokra is, mivel ezek most nem mennek át a Squidre. A web szerverek ezeket a portokat szokták használni.
Amúgy a
FW_MASQUERADE="no"
FW_MASQ_NETS=""
sorok kitöltése kell, ha NAT-ot akarsz, így csak a http-t tudod használni, ami lehet hogy nem is baj?
Üdv:
chx
|
vas. ápr. 16, 2006 14:13 |
|
|
GabbeR83
vas-tag
Csatlakozott: szomb. ápr. 15, 2006 8:53 Hozzászólások: 8 Tartózkodási hely: Szolnok
|
Köszönöm a tippet chx!
Feltettem a Squidet és most már "félig-meddig" működik is, de a HTTPS oldalakat nem lehet még megtekinteni (pl. https://www.magyarorszag.hu )
Az alábbiakat csináltam:
/etc/sysconfig/SuseFirewall2 szerkesztése:
FW_ROUTE="yes"
FW_MASQUERADE="no"
FW_MASQ_NETS=""
FW_PROTECT_FROM_INT="yes"
FW_REDIRECT="192.168.16.0/24,0/0,tcp,80,3128"
/etc/squid/squid.conf -ot sikerült beállítani, hogy hagyományos (http) oldalakat meg lehessen nézni... alapból a "Safe_ports" acl engedélyezi a 443-s portot (https), mégsem műxik...
( acl Safe_ports port 443 563
http_acces deny !Safe_ports )
Már csak ez az egy lépés hiányzik....
Ha valaki tud, segítsen lécci !
Köszönöm!
GabbeR83
|
vas. ápr. 16, 2006 7:28 |
|
|
chx
arany tag
Csatlakozott: szer. márc. 24, 2004 13:43 Hozzászólások: 320
|
Squidet felrakod, /etc/sysconfig/SuSEfirewall2 -ben van valahol olyan sor, hogy: FW_REDIRECT=""
ezt kell kitölteni kb így:
FW_REDIRECT="192.168.0.0/24,0/0,tcp,80,3128"
Azaz a 192.168.0.0/255.255.255.0-s hálózatból bárhová (0/0), tcp 80 (web), megy a firewall:3128 -ra, azaz a squidre.
Így lesz egy transzparens proxyd, be sem kell állítani a klienseken, nem is tudnak róla, és még cache-elsz is. A squidet pedig már tudod konfigolni. Szerintem így jóval könnyebb, mint a láncokat piszkálni.
Egyébként így tudsz más szolgáltatásokat is kilőni, pl DC-t a firewall-ra irányítod, bár ez pont rossz példa volt Vagy 1000 felett szűröd a portokat, ez a config más részén van...
Ja igen, ha CSAK webet szeretnél, nem is kell NAT, ugye ezt is érdemes megfontolni.
Üdv:
chx
|
szomb. ápr. 15, 2006 11:16 |
|
|
GabbeR83
vas-tag
Csatlakozott: szomb. ápr. 15, 2006 8:53 Hozzászólások: 8 Tartózkodási hely: Szolnok
|
!!! SUSE Linux 10.0 tűzfal + NAT HELP Linux guruk !!!
Sziasztok!
A problémám a következő:
Van egy router (nem lehet hozzáférni), e mögé kell csinálni egy szervert (SUSE Linux), amelyen keresztül kliensek tudjanak internetezni, DE CSAK BIZONYOS OLDALAKAT tudjanak elérni (pl. www.terminal.hu), minden más tiltva legyen!
IP cím maszkolást megoldottam Susefirewall2 (tudnak internetezni belső hálóról) segítségével, viszont nem akar sehogy sem összejönni az IP szűrés...
iptables-szel próbálkozom, eddig nem sok sikerrel. Azt vettem észre, hogy ha a FORWARD láncot áligatom, akkor történik némi (negatív) változás. Az INPUT és OUTPUT láncokat hiába álligatom nem történik változás.
A vicc az egészben az, hogy az ellenkező esetet be tudom állítani, tehát, hogy minden oldalt el lehessen érni a kliensekről, kivéve azt, amit pont engedélyezni kellene...
Másik érdekes dolog: Ha a FORWARD láncot alapértelemezésben DROP-ra állítom (iptables -P FORWARD DROP ), akkor abszoloút semmi sem műxik, attól függetlenül, hogy milyen szabályt állítok be hozzá. (pl. iptables -A FORWARD -d "kül.ső.ip.cim." -j ACCEPT)
Egyáltalán MASQUERADE-olás esetén lehet valahogy szűrni?
Adatok:
eth0 - külső hálókártya 192.168.1.52 (DHCP-n router osztja)
eth1 - belső hálókártya 192.168.16.1 (Fix IP) -> ezen a hálókártyán meg én állítottam be egy DHCP szolgáltatást (tehát a kliens gép DHCP-n keresztül kap címet)
Vázlatosan:
LINUX GURUK "egyesüljetek", tiétek a pálya, segítségeteket előre is köszönöm !!!
|
szomb. ápr. 15, 2006 9:31 |
|
|
|
Oldal: 1 / 1
|
[ 7 hozzászólás ] |
|
Ki van itt |
Jelenlévő fórumozók: nincs regisztrált felhasználó valamint 4 vendég |
|
Nem nyithatsz témákat ebben a fórumban. Nem válaszolhatsz egy témára ebben a fórumban. Nem szerkesztheted a hozzászólásaidat ebben a fórumban. Nem törölheted a hozzászólásaidat ebben a fórumban.
|
|
|