Vynuceni www provozu pres squid

Miroslav BENES mbenes na tenez.cz
Pondělí Červenec 31 13:20:33 CEST 2000 

Preji krasny den !


Pokousim se uzivatelum nastavit, aby na www stranky pristupovali 
takto :

a) volitelne pres nas squid
b) primy pristup na www povinne pres squid
c) jiny squid zakazan.

Squid bezi na fw, ktery je pripojen do sveta i do vnitrni site 
10.x.x.x a ma nastaven ipchains

Udelal jsem tato pravidla :

# chain pro predavani paketu z vnitrni site ven
ipch -N good-bad
ipch -A forward -s 10.0.0.0/8 -i eth0 -j good-bad
...
ipch -A forward -j DENY -l


# takto by fungovala maskarada pro WWW provoz
#ipch -A good-bad -p tcp --dport www -j MASQ

dale se maskaraduji jine sluzby, ale WWW ne !

# pravidla pro vstupujici pakety :
# presmerovani WWW provozu na squid
ipch -A input -s 10.0.0.0/8 --dport www -p tcp -j REDIRECT 3128
# viz email Milana Kerslagera ze 4.7.2000
# zakazani jineho squid-a (na adrese 10.0.0.255)
ipch -A input -s 10.0.0.0/8 --dport 3128 -d ! 10.0.0.255 -p tcp DENY

Takto to zda se chodi. REDIRECT prehazuje pakety. Kdyz zapnu 
logovani, vidim v logu :

input REDIRECT 3128 eth1 PROTO=6 10.2.57.0:21335 195.47.97.141:80 ...

a v logu squida se take objevuji zaznamy, ze prislusny objekt byl 
predan klientovi.


Takto jsem to vyzkousel a nasadil do ostreho provozu. Mam ale dojem , 
ze ted pres squid-a netece vsechno. Prikaz netstat -n na fw mi obcas 
ukaze neco podobneho :

tcp 0 0 210.62.154.1:80 10.8.56.6:3067 SPOJENO

.. tedy ze ZDROJOVA adresa je cizi (210.62.154.1 coz je 
c1.h210062154.is.net.tw), port 80 (WWW), cilova adresa je mistni, 
port 3067.


Jak je to mozne ? Myslel jsem, ze jsem aspon zaklady TCP/P vstrebal, 
ale tohle mi unika. Vypada to, jako by vzdaleny stroj navazal spojeni 
s klientem v nasi siti a predaval mu pakety. Ale jak se mohli spojit, 
kdyz to nejde pres maskaradu ? Zminena domena se neobjevila v logu 
squida, takze timto posjenim protekly data mimo nej. Jak mohl stroj 
z vnitrni site vubec navazat spjeni se svetem na portu 80, kdyz 
veskery takovy provoz mel byt presmerovan ? Jak to mam nastavit, aby 
_opravdu_ vsechno slo pres squid ?


Diky za nakopnuti.





--------------------------
Miroslav BENES
E-mail   : mbenes na tenez.cz
TENEZ Chotebor, a.s
--------------------------

Další informace o konferenci Linux