Re: configurazione iptables x proxy rete interna
trasparente nel senso che gli host a valle non vedono il NAT Beh, ma perchè ci sono casi in cui l'host si rende conto di essere nattato? P. -- Paolo Larcheri Linux User #383461 http://counter.li.org
Re: configurazione iptables x proxy rete interna
-BEGIN PGP SIGNED MESSAGE- Hash: SHA1 On Aug 28, 2005, at 11:50 AM, paolo wrote: trasparente nel senso che gli host a valle non vedono il NAT Beh, ma perchè ci sono casi in cui l'host si rende conto di essere nattato? Probabilmente mi sono espresso male. Firewall con NAT = La linux box NATTA e fa packet filtering Firewall senza NAT (o trasparente per comodità) = La linux box non NATTA, routa e basta facendo da firewall. Ciao P. -- Paolo Larcheri Linux User #383461 http://counter.li.org - - Riccardo Tortorici - Linux Registered User #365170 Count yourself @ http://counter.li.org/ ! - -- HTML email can be dangerous, is not always readable, wastes bandwidth and is simply not necessary please don't send them to me! http://www.georgedillon.com/web/netiquette.shtml -BEGIN PGP SIGNATURE- Version: GnuPG v1.4.1 (Darwin) iD8DBQFDEjKFSiJn2/P84wYRAvQpAJ0aD/TJI6TQQC+tgHVGBRqe/Z2WEACcCoHS FLavVP2b8WQgeulhmusqF70= =MrDM -END PGP SIGNATURE-
Re: configurazione iptables x proxy rete interna
-BEGIN PGP SIGNED MESSAGE- Hash: SHA1 On Aug 26, 2005, at 1:44 PM, debian-lists wrote: Gia' provato, ma non funziona anche perche' il firewall e' impostato come default gw sui client. Non dipende da quello, dipende dal fatto se faccia NAT o meno... Se fa routing puro, la tabella di nat non esiste per cui niente DNAT. Hai fatto caso, piuttosto, se nel target FORWARD stai forwardando in modo corretto? È probabile che i pacchetti entrano ed escono ma vengono bloccati al ritorno. se aggiungi una cosa simile cosa succede? iptables -A FORWARD -p tcp -m state --state ESTABLISHED,RELATED -j ACCEPT ciao Messaggio Originale Da: Riccardo Tortorici [EMAIL PROTECTED] A: debian-lists debian-italian@lists.debian.org Oggetto: Re:configurazione iptables x proxy rete interna Data: 26/8/2005 13:39 Il firewall è utilizzato come next-hop dai client e fa nat? se metti una regola del tipo: iptables -A PREROUTING -t nat -p tcp --dport 80 -j DNAT --to- destination 192.168.0.250:8080 dovrebbe funzionare... ma solo nel caso in cui il firewall non sia trasparente! Ciao - - Riccardo Tortorici - Linux Registered User #365170 Count yourself @ http://counter.li.org/ ! - -- HTML email can be dangerous, is not always readable, wastes bandwidth and is simply not necessary please don't send them to me! http://www.georgedillon.com/web/netiquette.shtml -BEGIN PGP SIGNATURE- Version: GnuPG v1.4.1 (Darwin) iD8DBQFDDwFmSiJn2/P84wYRAmXuAJ0Tw/XUsluEf0M1jdF/CqoEV7hE3gCgnBTy QFagD8v+nzIvoQcAr+WOKDA= =X5bn -END PGP SIGNATURE-
Re: configurazione iptables x proxy rete interna
On Fri, 26 Aug 2005 13:33:03 +0200 Pignedoli Luca [EMAIL PROTECTED] wrote: Ciao a tutti, ho una rete con un proxy interno e volevo configurare il firewall in modo che mi rediriga tutte le connessioni sulla porta 80 alla porta del proxy. snippone urka che giro hai fatto. dovrebbe bastarti questo sul fw: iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 80 -j REDIRECT \ --to-port 8080 e in squid.conf questo: http_port 8080 httpd_accel_host virtual httpd_accel_port 80 httpd_accel_with_proxy on httpd_accel_uses_host_header on ciao, a. -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
Re: configurazione iptables x proxy rete interna
Messaggio Originale Da: Riccardo Tortorici [EMAIL PROTECTED] A: debian-lists debian-italian@lists.debian.org Oggetto: Re:configurazione iptables x proxy rete interna Data: 26/8/2005 13:47 Non dipende da quello, dipende dal fatto se faccia NAT o meno... Se fa routing puro, la tabella di nat non esiste per cui niente DNAT. Il firewall fa' NAT. Hai fatto caso, piuttosto, se nel target FORWARD stai forwardando in modo corretto? È probabile che i pacchetti entrano ed escono ma vengono bloccati al ritorno. se aggiungi una cosa simile cosa succede? iptables -A FORWARD -p tcp -m state --state ESTABLISHED,RELATED -j ACCEPT ciao Ho provato ma cambia niente :( -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
Re: configurazione iptables x proxy rete interna
Da: alberto [EMAIL PROTECTED] A: [EMAIL PROTECTED] Oggetto: Re:configurazione iptables x proxy rete interna Data: 26/8/2005 13:49 urka che giro hai fatto. dovrebbe bastarti questo sul fw: iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 80 -j REDIRECT \ --to-port 8080 e in squid.conf questo: http_port 8080 httpd_accel_host virtual httpd_accel_port 80 httpd_accel_with_proxy on httpd_accel_uses_host_header on Si, questo andrebbe bene se il proxy fosse installato sul fw, ma il proxy e' installato su un'altra macchina nella rete locale. begin:vcard fn:Pignedoli Luca n:Pignedoli;Luca org:Interpump Group S.p.A. adr:;;Via E.Fermi, 25;S.Ilario D'Enza;Reggio Emilia;42040;Italy email;internet:[EMAIL PROTECTED] tel;work:+390522904311 tel;fax:+39052290 x-mozilla-html:FALSE url:http://www.interpumpgroup.it version:2.1 end:vcard
Re: configurazione iptables x proxy rete interna
On Fri, 26 Aug 2005 14:02:33 +0200 Pignedoli Luca [EMAIL PROTECTED] wrote: Si, questo andrebbe bene se il proxy fosse installato sul fw, ma il proxy e' installato su un'altra macchina nella rete locale. Sorry avevi specificato..ho letto veloce. Ad ogni modo va bene uguale, ovviamente devi redirezionare la 8080 verso l'ip del firewall. Oppure DNATtando come consigliato da Riccardo. ciao, a. -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
Re: configurazione iptables x proxy rete interna
prova questa sul fw (ti redirige tutto il traffico in arrivo dall'interfaccia del fw interna (eth0) tranne quella provenente dal proxy verso l'ip del proxy (porta 8080)): iptables -t nat -A PREROUTING -i eth0 -p tcp -m tcp --dport 80 -s ! $ip_del_proxy -j DNAT --to-destination ip_del_proxy:8080 Puoi disabilitare la notifica di lettura del messaggio ??? l'ho gia' provato ma non funziona :( Scusare per la notifica di lettura, non mi ricordavo di averla attivata :-p begin:vcard fn:Pignedoli Luca n:Pignedoli;Luca org:Interpump Group S.p.A. adr:;;Via E.Fermi, 25;S.Ilario D'Enza;Reggio Emilia;42040;Italy email;internet:[EMAIL PROTECTED] tel;work:+390522904311 tel;fax:+39052290 x-mozilla-html:FALSE url:http://www.interpumpgroup.it version:2.1 end:vcard
Re: configurazione iptables x proxy rete interna
Da: straluna [EMAIL PROTECTED] A: debian-lists debian-italian@lists.debian.org Oggetto: Re:configurazione iptables x proxy rete interna Data: 26/8/2005 14:09 On Fri, 26 Aug 2005 14:02:33 +0200 Pignedoli Luca [EMAIL PROTECTED] wrote: Sorry avevi specificato..ho letto veloce. Ad ogni modo va bene uguale, ovviamente devi redirezionare la 8080 verso l'ip del firewall. Oppure DNATtando come consigliato da Riccardo. Vorrai dire l'ip del proxy? -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
Re: configurazione iptables x proxy rete interna
Da: straluna [EMAIL PROTECTED] A: debian-lists debian-italian@lists.debian.org Oggetto: Re:configurazione iptables x proxy rete interna Data: 26/8/2005 14:17 On Fri, 26 Aug 2005 14:17:05 +0200 debian-lists debian-italian@lists.debian.org wrote: ROTFL!!! e' proprio venerdi':) ovviamente ip del proxy Vai di DNAT comunque. Si, e' propio venerdi' e devo farlo funzionare per domani. Comunque nn funziona a fare un DNAT diretto sull'ip del proxy ma non funziona, ho gia' provato :(. -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
Re: configurazione iptables x proxy rete interna
Ho provato a fare un tcpdump sull'interfaccia del proxy e vedo che alcuni pacchetti arrivano sulla porta 80, ma in tutti i modi non riesco a navigare :(. Visto che seguendo tutti i consigli che ti sono stati dati non ne vieni a capo ti consiglio di lavorare pesantemente di tcpdump per capire dove sta il problema... niente di più probabile che ti sia sfuggito qualcosa! P. -- Paolo Larcheri Linux User #383461 http://counter.li.org
Re: configurazione iptables x proxy rete interna
Risolto, avevo una regola nella catena FORWARD che mi bloccava il traffico. La regola era la seguente: iptables -A FORWARD -m state --state INVALID -p ! icmp -j DROP ed era propio all'inizio della catena ;). Secondo voi considerando che di default droppo tutti i pacchetti e alla fine di tutte le catene c'e' un bel iptables -A $CHAIN -j DROP ha senso la regola sopra? Ciao e grazie mille per le risposte. Messaggio Originale Da: Pignedoli Luca [EMAIL PROTECTED] A: debian-italian debian-italian@lists.debian.org Oggetto: configurazione iptables x proxy rete interna Data: 26/8/2005 13:33 Ciao a tutti, ho una rete con un proxy interno e volevo configurare il firewall in modo che mi rediriga tutte le connessioni sulla porta 80 alla porta del proxy. Il proxy (Squid) e' installato su una macchina nella rete locale (quindi non sul firewall), sul firewall ho installato Debian 3.1 kernel 2.6.12. Mettiamo che il proxu abbia come IP 192.168.0.250, sul firewall ho fatto le seguenti modifiche: 1) aggiunto in /etc/iproute2/rt_tables una riga con 202 www.out 2) impostato a 0 il file /proc/sys/net/ipv4/conf/eth1/send_redirects (eth1 e' l'interfaccia collegata alla rete locale). 3) impostata la seguente regola in iptables: iptables -t mangle -A PREROUTING -i $ETH_LOC -s ! $IP_PROXY -p tcp --dport 80 -j MARK --set-mark 202 4) creata la tabella di routing www.out ip route add default via $IP_PROXY dev $ETH_LOC table www.out 5) impostata la seguente regola ip rule add fwmark 202 lookup www.out 6) Sul proxy ho inserito la seguente regola: iptables -t nat -A PREROUTING -p tcp --dport 80 -d ! $IP_PROXY -j REDIRECT 8080 Ma non funziona, i client non riescono a navigare. Ho provato a fare un tcpdump sull'interfaccia del proxy e vedo che alcuni pacchetti arrivano sulla porta 80, ma in tutti i modi non riesco a navigare :(. Ho dimenticato qualcosa? Queste impostazioni sono uguali a quelle su un firewall vecchiotto (con Suse 7.3, kernel 2.4.12 che devo sostituire con questo) e funziona :(. Grazie per l'aiuto. -- - |Luca Pignedoli | |INTERPUMP GROUP S.p.A. | |Via E.Fermi, 25| |42040 S.Ilario D'Enza (RE) - ITALY | |e-mail: [EMAIL PROTECTED] | |Tel.: +39 0522 904311 | |Fax.: +39 0522 90 | |Web Site: http://www.interpumpgroup.it | - -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
Re: configurazione iptables x proxy rete interna
On Fri, 26 Aug 2005 14:25:22 +0200 debian-lists debian-italian@lists.debian.org wrote: Si, e' propio venerdi' e devo farlo funzionare per domani. Comunque nn funziona a fare un DNAT diretto sull'ip del proxy ma non funziona, ho gia' provato :(. Alura, se il proxy sta nella stessa subnet del fwall devi lavorare anche di snat perche' le risposte del proxy altrimenti vanno direttamente al client che ha fatto la richiesta, e questo tu non lo vuoi. Tcpdump sul client ti sara' mlto utile. ciao, a. -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
Re: configurazione iptables x proxy rete interna
Da: straluna [EMAIL PROTECTED] A: debian-italian@lists.debian.org Oggetto: Re:configurazione iptables x proxy rete interna Data: 26/8/2005 15:22 Alura, se il proxy sta nella stessa subnet del fwall devi lavorare anche di snat perche' le risposte del proxy altrimenti vanno direttamente al client che ha fatto la richiesta, e questo tu non lo vuoi. Tcpdump sul client ti sara' mlto utile. Ok, ho capito quello che vuoi dire, ma non mi va' bene e ti spiego il perche': Facendo cosi' (cioe' nattando gli ip dei client) per il server proxy le richieste dell pagine internet vengono eseguite sempre dallo stesso host (cioe' il fw), e questo mi impedisce di: 1) Creare delle acl sul tipo dei siti da visualizzare per client (Client A puo' vedere www.tin.it mentre il Client B no) 2) Avere una statistica di siti visualizzati per client. Ciao e grazie ancora. begin:vcard fn:Pignedoli Luca n:Pignedoli;Luca org:Interpump Group S.p.A. adr:;;Via E.Fermi, 25;S.Ilario D'Enza;Reggio Emilia;42040;Italy email;internet:[EMAIL PROTECTED] tel;work:+390522904311 tel;fax:+39052290 x-mozilla-html:FALSE url:http://www.interpumpgroup.it version:2.1 end:vcard
Re: configurazione iptables x proxy rete interna
On Fri, 26 Aug 2005 15:34:11 +0200 Pignedoli Luca [EMAIL PROTECTED] wrote: 1) Creare delle acl sul tipo dei siti da visualizzare per client (Client A puo' vedere www.tin.it mentre il Client B no) 2) Avere una statistica di siti visualizzati per client. Si', vero. Sono le due limitazioni tipiche di questa configurazione che risolvi o lavorando di iptables sul proxy come hai fatto tu o mettendo il proxy in dmz. ciauz, a. -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
Re: configurazione iptables x proxy rete interna
On Fri, 26 Aug 2005 15:22:34 +0200 straluna [EMAIL PROTECTED] wrote: Alura, se il proxy sta nella stessa subnet del fwall devi lavorare anche di snat perche' le risposte del proxy altrimenti vanno direttamente al client che ha fatto la richiesta, e questo tu non lo vuoi. Lascia perdere...tutto a posto vedo. ciao, a. -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
Re: configurazione iptables x proxy rete interna
-BEGIN PGP SIGNED MESSAGE- Hash: SHA1 On Aug 26, 2005, at 3:34 PM, Pignedoli Luca wrote: Da: straluna [EMAIL PROTECTED] A: debian-italian@lists.debian.org Oggetto: Re:configurazione iptables x proxy rete interna Data: 26/8/2005 15:22 Alura, se il proxy sta nella stessa subnet del fwall devi lavorare anche di snat perche' le risposte del proxy altrimenti vanno direttamente al client che ha fatto la richiesta, e questo tu non lo vuoi. Tcpdump sul client ti sara' mlto utile. Ok, ho capito quello che vuoi dire, ma non mi va' bene e ti spiego il perche': Facendo cosi' (cioe' nattando gli ip dei client) per il server proxy le richieste dell pagine internet vengono eseguite sempre dallo stesso host Questo richiede però che il firewall sia trasparente e che il router che ti fa uscire (che fa NAT per forza) abbia le rotte inverse per far tornare indietro le richieste. (cioe' il fw), e questo mi impedisce di: 1) Creare delle acl sul tipo dei siti da visualizzare per client (Client A puo' vedere www.tin.it mentre il Client B no) 2) Avere una statistica di siti visualizzati per client. Beh, potresti mettere snort+mysql+acid sul fw. Crei una regola su snort che ti logga tutte le richieste provenienti dai client (che magari vengono dallla eth0 ad esempio) con destination port = 80... volendo lo fai. Ciao e grazie ancora. Figurati! - - Riccardo Tortorici - Linux Registered User #365170 Count yourself @ http://counter.li.org/ ! - -- HTML email can be dangerous, is not always readable, wastes bandwidth and is simply not necessary please don't send them to me! http://www.georgedillon.com/web/netiquette.shtml -BEGIN PGP SIGNATURE- Version: GnuPG v1.4.1 (Darwin) iD8DBQFDDxxPSiJn2/P84wYRAvNbAJ42QBJvYxXr5yfGSmCSWuwLxASg/ACcCu9M B12lkWvml9u8ck4/E0flFX8= =yAZW -END PGP SIGNATURE-
Re: configurazione iptables x proxy rete interna
-BEGIN PGP SIGNED MESSAGE- Hash: SHA1 On Aug 26, 2005, at 4:09 PM, debian-lists wrote: Da: Riccardo Tortorici [EMAIL PROTECTED] A: debian-lists debian-italian@lists.debian.org Oggetto: Re:configurazione iptables x proxy rete interna Data: 26/8/2005 15:42 Questo richiede però che il firewall sia trasparente e che il router che ti fa uscire (che fa NAT per forza) abbia le rotte inverse per far tornare indietro le richieste. Ma come ti ho gia' detto infatti e' il firewall che NATTA i client in uscita. Scusa la mia ignoranza ma cosa intendi per firewall trasparente? Che fa da router senza nattare, ossia che non cambia gli header dei pacchetti modificando il source address, praticamente forwarda e basta (previa autorizzazione della chain FORWARD). ciao, spero di esserti stato d'aiuto. Ric PS. come mai vedo che il mittente è debian-list? - - Riccardo Tortorici - Linux Registered User #365170 Count yourself @ http://counter.li.org/ ! - -- HTML email can be dangerous, is not always readable, wastes bandwidth and is simply not necessary please don't send them to me! http://www.georgedillon.com/web/netiquette.shtml -BEGIN PGP SIGNATURE- Version: GnuPG v1.4.1 (Darwin) iD8DBQFDDzQuSiJn2/P84wYRAty1AJ0dktfQNefKiL0ddkeMj4z0FVp5bwCeNZ43 sXURLOdmJjzYeItwAzAq30I= =jUG4 -END PGP SIGNATURE-
Re: configurazione iptables x proxy rete interna
Riccardo Tortorici scrisse in data 26/08/2005 17:24: -BEGIN PGP SIGNED MESSAGE- Hash: SHA1 On Aug 26, 2005, at 4:09 PM, debian-lists wrote: Ma come ti ho gia' detto infatti e' il firewall che NATTA i client in uscita. Scusa la mia ignoranza ma cosa intendi per firewall trasparente? Che fa da router senza nattare, ossia che non cambia gli header dei pacchetti modificando il source address, praticamente forwarda e basta (previa autorizzazione della chain FORWARD). :-\ ...mai sentito parlare di firewall trasparente: estensione dal proxy trasparente? Piviul -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
Re: configurazione iptables x proxy rete interna
-BEGIN PGP SIGNED MESSAGE- Hash: SHA1 On Aug 26, 2005, at 5:36 PM, Paolo Sala wrote: Riccardo Tortorici scrisse in data 26/08/2005 17:24: -BEGIN PGP SIGNED MESSAGE- Hash: SHA1 On Aug 26, 2005, at 4:09 PM, debian-lists wrote: Ma come ti ho gia' detto infatti e' il firewall che NATTA i client in uscita. Scusa la mia ignoranza ma cosa intendi per firewall trasparente? Che fa da router senza nattare, ossia che non cambia gli header dei pacchetti modificando il source address, praticamente forwarda e basta (previa autorizzazione della chain FORWARD). :-\ ...mai sentito parlare di firewall trasparente: estensione dal proxy trasparente? trasparente nel senso che gli host a valle non vedono il NAT, quindi un indirizzo IP sorgente diverso da quello che realmente ha inviato il pacchetto. È solo una definizione di comodidità, perdonatemi se non sono stato chiaro :-) Ric - - Riccardo Tortorici - Linux Registered User #365170 Count yourself @ http://counter.li.org/ ! - -- HTML email can be dangerous, is not always readable, wastes bandwidth and is simply not necessary please don't send them to me! http://www.georgedillon.com/web/netiquette.shtml -BEGIN PGP SIGNATURE- Version: GnuPG v1.4.1 (Darwin) iD8DBQFDDzjRSiJn2/P84wYRAh1LAJ4hNj6GBg8WGv4VPcqeu5i8uvtXMQCfZ//y letPdaWx/Wp68+bVNsSSxdE= =wSt5 -END PGP SIGNATURE-
Re: configurazione iptables x proxy rete interna
Da: Riccardo Tortorici [EMAIL PROTECTED] A: debian-lists debian-italian@lists.debian.org Oggetto: Re:configurazione iptables x proxy rete interna Data: 26/8/2005 17:24 Che fa da router senza nattare, ossia che non cambia gli header dei pacchetti modificando il source address, praticamente forwarda e basta (previa autorizzazione della chain FORWARD). Ah, ok chiaro. No non e' il mio caso. ciao, spero di esserti stato d'aiuto. Ric Si molto, grazie. PS. come mai vedo che il mittente è debian-list? Questo e' un mistero anche per me. Utilizzo TB (su linux), prima avevo impostato il field Rispondi A: nelle opzioni, ora lo tolto altrimenti quando rispondevi alla mie mail anziche' inviarla in lista la mandavi al mio email, la cosa nn mi disturba ma nn mi sembra giusto x gli altri, metti che qualcuno ha un problema simile al mio leggendo le risposte magari lo risolve :) -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
Re: configurazione iptables x proxy rete interna
On Fri, 26 Aug 2005 16:00:51 +0200 Pignedoli Luca debian-italian@lists.debian.org wrote: Adesso mi rimane da risolvere il problema delle schede di rete... (vedi msg Assegnazione schede di rete e problema moduli). Ho letto ora...anch'io ti avrei suggerito le stesse cose del 3D. Eppero' quickdirty (molto dirty) puoi usare utility come nameif (pacchetto net-tools) o ifrename e assegnare il nome sulla base del MAC. ciao, a. -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]