Proxy vs. Linux

Milan Kerslager milan.kerslager na pslib.cz
Čtvrtek Říjen 31 09:06:56 CET 2002 

On Fri, 25 Oct 2002, Martin wrote:

> máme Linux RH 7.1, na něm na běží Proxy server (squid), přístup na internet
> je povolen pouze pro některé IP adresy, nastavení restrikcí vypadá
> následovně:
> $IPTABLES -I FORWARD -p TCP --dport 80:83 -s $OFFNET -j DROP
> $IPTABLES -I INPUT -p TCP --dport 111:65535 -s $OFFNET -j DROP
> $IPTABLES -I FORWARD -p TCP --dport 80:83 -s 000.000.000.000 -j ACCEPT
> #Client IP address
> $IPTABLES -I FORWARD -p TCP --dport 111:65535 -s 000.000.000.000 -j ACCEPT
> #Client IP address
> 
> - s tímto nastavením uživatelé, kteří nemají přístup na internet (jejich IP
> není ve výše uvedeném seznamu)
> mají problémy při komunikaci Outlooku se serverem,  když kliknou na
> příjmout/odeslat poštu, komunikace
> je velice pomalá (kolem 30 sekund)
> 
> Povolili jsme porty 1000:5000:
> $IPTABLES -I FORWARD -p TCP --dport 80:83 -s $OFFNET -j DROP
> $IPTABLES -I INPUT -p TCP --dport 111:65535 -s $OFFNET -j DROP
> $IPTABLES -I INPUT -p TCP --dport 1000:5000 -s $OFFNET -j ACCEPT
> $IPTABLES -I FORWARD -p TCP --dport 80:83 -s 000.000.000.000 -j ACCEPT
> #Client IP address
> $IPTABLES -I FORWARD -p TCP --dport 111:65535 -s 000.000.000.000 -j ACCEPT
> #Client IP address
> 
> Tímto jsme vyřešili problém s Outlookem, ale umožnili jsme komukoliv, kdo si
> nastaví v nastavení-ovládací
> panely-možnosti sítě internet-záložka připojení-nastavení místní sítě LAN,
> přístup na internet, i když jeho
> IP adresa není povolena pro přístup na internet.

Jednak to pisete jako Tatar od konce k zacatku, takze je prinejmensim 
obtizne se v tom vyznat (anzto se nevi, v jake posloupnosti delate ty 
inserty a jaky je vysledny stav).

Az si to napisete poporade, pak si najdete prvni pravidlo ACCEPT pro Vase 
Outlooky (tj. zrejme nejaka vnejsi IP adresa a port 25+110).

Uvedomte si, ze prvni ACCEPT prijme datagram a ukonci prochazeni iptables.

Pak si zkuste uvedomit, co chcete povolit a zakazte pristup na proxy (port 
3128) a povolte pristup na port 25 (SMTP) a 110 (POP3).

Aby Vam nekdo byl schopen poradit, musel byste alspon naznacit, jak to 
mate zapojene, kde je SMTP server a kde POP3 server.

Take muzete zkusit tcpdump (pripadne vlozit logovaci pravidla do iptables) 
a sledovat, kde co a jak prochazi.

-- 
                        Milan Keršláger
                        E-mail: milan.kerslager na pslib.cz
                        WWW:    http://www.pslib.cz/~kerslage/

Další informace o konferenci Redhat-cz