Risolto, avevo una regola nella catena FORWARD che mi bloccava il traffico.
La regola era la seguente: iptables -A FORWARD -m state --state INVALID -p ! icmp -j DROP ed era propio all'inizio della catena ;). Secondo voi considerando che di default droppo tutti i pacchetti e alla fine di tutte le catene c'e' un bel iptables -A $CHAIN -j DROP ha senso la regola sopra? Ciao e grazie mille per le risposte. -------- Messaggio Originale -------- Da: Pignedoli Luca <[EMAIL PROTECTED]> A: debian-italian <debian-italian@lists.debian.org> Oggetto: configurazione iptables x proxy rete interna Data: 26/8/2005 13:33 > Ciao a tutti, ho una rete con un proxy interno e volevo configurare il > firewall in modo che mi rediriga tutte le connessioni sulla porta 80 > alla porta del proxy. > > Il proxy (Squid) e' installato su una macchina nella rete locale (quindi > non sul firewall), sul firewall ho installato Debian 3.1 kernel 2.6.12. > > Mettiamo che il proxu abbia come IP 192.168.0.250, sul firewall ho fatto > le seguenti modifiche: > > 1) aggiunto in /etc/iproute2/rt_tables una riga con 202 "www.out" > 2) impostato a 0 il file /proc/sys/net/ipv4/conf/eth1/send_redirects > (eth1 e' l'interfaccia collegata alla rete locale). > 3) impostata la seguente regola in iptables: > "iptables -t mangle -A PREROUTING -i $ETH_LOC -s ! $IP_PROXY -p tcp > --dport 80 -j MARK --set-mark 202" > 4) creata la tabella di routing www.out > "ip route add default via $IP_PROXY dev $ETH_LOC table www.out" > 5) impostata la seguente regola > "ip rule add fwmark 202 lookup www.out" > 6) Sul proxy ho inserito la seguente regola: > "iptables -t nat -A PREROUTING -p tcp --dport 80 -d ! $IP_PROXY -j > REDIRECT 8080 " > > Ma non funziona, i client non riescono a navigare. > > Ho provato a fare un tcpdump sull'interfaccia del proxy e vedo che > alcuni pacchetti arrivano sulla porta 80, ma in tutti i modi non riesco > a navigare :(. > > Ho dimenticato qualcosa? > > Queste impostazioni sono uguali a quelle su un firewall vecchiotto (con > Suse 7.3, kernel 2.4.12 che devo sostituire con questo) e funziona :(. > > > Grazie per l'aiuto. -- ----------------------------------------- |Luca Pignedoli | |INTERPUMP GROUP S.p.A. | |Via E.Fermi, 25 | |42040 S.Ilario D'Enza (RE) - ITALY | |e-mail: [EMAIL PROTECTED] | |Tel.: +39 0522 904311 | |Fax.: +39 0522 904444 | |Web Site: http://www.interpumpgroup.it | ----------------------------------------- -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED]