Re: {Spam?} Re: SOLVED Re: Squid als transparenter Proxy ohne manuelle Proxyeinstellung im Browser
Danke, hab "never_direct allow all" in squid.conf hinzugefügt. Immer noch die gleiche Mozilla-Fehlermeldung. Vielleicht liegt es ja an iptables: Ist es normal, dass ich trotz der Port-Umleitung... iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 80 -j REDIRECT --to-port 3128 ... immer noch ins Internet komme, wenn ich die (Externer-)Proxy-Einstellungen in Mozilla aktiviere? Normalerweise dürfte doch der (externe) Proxy gar nicht mehr angesprochen werden, weil Port-Umleitung, oder? Biegt iptables den Port vielleicht doch nicht um? Alfred P.S.: Schön langsam wird die Betreff-Zeile etwas extrem... :-J Bjoern Schmidt wrote: Alfred Ostermeier wrote: Klappt leider noch nicht: Sobald ich mache "Direct connection to the internet" bringt Mozilla beim Ansurfen von http-Seiten immer "The connection was refused when attempting to contact ..." never_direct allow all -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject "unsubscribe". Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: {Spam?} Re: SOLVED Re: Squid als transparenter Proxy ohne manuelle Proxyeinstellung im Browser
Alfred Ostermeier wrote: Klappt leider noch nicht: Sobald ich mache "Direct connection to the internet" bringt Mozilla beim Ansurfen von http-Seiten immer "The connection was refused when attempting to contact ..." never_direct allow all -- Mit freundlichen Gruessen Bjoern Schmidt -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject "unsubscribe". Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: SOLVED Re: Squid als transparenter Proxy ohne manuelle Proxyeinstellung im Browser
Hallo > Ich habe den Port in der cache_peers-Zeile jetzt mal auf 3128 verstellt, > ohne Erfolg (selbstverständlich hab ich squid neu gestartet). Ich denke > aber, dass man hier schon den Port des externen Proxy (8080) angeben > soll, schließlich gebe ich ja unmittelbar zuvor den Namen > (proxy..de) desselben an. Aber 100-prozentig auskennen > tu ich mich natürlich nicht, deshalb frage ich ja auch hier. Hm..., glaube nun hatte ich nen Dreher drin. Liegt wohl an der Uhrzeit. :-) Schau mal unter www.squid-handbuch.de dort Online Handbuch, Inhalt und dann 6.2 Routing-Optionen zu anderen Proxys Da steht das sehr gut beschrieben. Das Buch zu kaufen kann ich nur empfehlen. Man muß dann aber auch die Zeit haben, um das mal zu nutzen. :-) Gruß Torsten
Re: SOLVED Re: Squid als transparenter Proxy ohne manuelle Proxyeinstellung im Browser
Torsten Zumpf wrote: Ich habe das zwar noch nicht geschafft zu installieren, aber ich würde sagen die 8080 nach parent sagt squid es soll da auf Port 8080 lauschen. Dein FW weißt aber auf 3128. Verstehe, ich bin also so eine Art Versuchskaninchen für dich! ;-) Ich habe den Port in der cache_peers-Zeile jetzt mal auf 3128 verstellt, ohne Erfolg (selbstverständlich hab ich squid neu gestartet). Ich denke aber, dass man hier schon den Port des externen Proxy (8080) angeben soll, schließlich gebe ich ja unmittelbar zuvor den Namen (proxy..de) desselben an. Aber 100-prozentig auskennen tu ich mich natürlich nicht, deshalb frage ich ja auch hier. Alfred -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject "unsubscribe". Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: SOLVED Re: Squid als transparenter Proxy ohne manuelle Proxyeinstellung im Browser
Hallo > *squid.conf*: > cache_peer proxy..de parent 8080 7 no-query > allow-miss Ich habe das zwar noch nicht geschafft zu installieren, aber ich würde sagen die 8080 nach parent sagt squid es soll da auf Port 8080 lauschen. Dein FW weißt aber auf 3128. > Ich habe keinen Port angegeben, es wird auf dem Standard-Port 3128 > gelauscht. > Torsten
Re: SOLVED Re: Squid als transparenter Proxy ohne manuelle Proxyeinstellung im Browser
Klappt leider noch nicht: Sobald ich mache "Direct connection to the internet" bringt Mozilla beim Ansurfen von http-Seiten immer "The connection was refused when attempting to contact ..." Meine Konfigurationen: *Firewall-Skript (vorläufig entschärft)*: iptables -F iptables -X iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 80 -j REDIRECT --to-port 3 128 *modconf - kernel/net/ipv4/netfilter*: + ip_conntrack + ip_tables + ipt_MASQUERADE + ipt_REDIRECT + iptable_filter + iptable_nat *squid.conf*: cache_peer proxy..de parent 8080 7 no-query allow-miss Ich habe keinen Port angegeben, es wird auf dem Standard-Port 3128 gelauscht. Habe ich irgendwas vergessen? Grüße Alfred Bjoern Schmidt wrote: Alfred Ostermeier wrote: Danke. Weiß jemand, was ich in /etc/squid/squid.conf meines lokalen squids eintragen muss, damit dieser die abgefangenen Requests - weiterleitet an den externen Proxy http://proxy..de:8080 ??? cache_peer proxy..de parent 8080 7 no-query allow-miss -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject "unsubscribe". Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: SOLVED Re: Squid als transparenter Proxy ohne manuelle Proxyeinstellung im Browser
Alfred Ostermeier wrote: Danke. Weiß jemand, was ich in /etc/squid/squid.conf meines lokalen squids eintragen muss, damit dieser die abgefangenen Requests - weiterleitet an den externen Proxy http://proxy..de:8080 ??? cache_peer proxy..de parent 8080 7 no-query allow-miss -- Mit freundlichen Gruessen Bjoern Schmidt -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject "unsubscribe". Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: SOLVED Re: Squid als transparenter Proxy ohne manuelle Proxyeinstellung im Browser
Danke. Weiß jemand, was ich in /etc/squid/squid.conf meines lokalen squids eintragen muss, damit dieser die abgefangenen Requests - weiterleitet an den externen Proxy http://proxy..de:8080 ??? Alfred Torsten Zumpf wrote: Als Proxy nimmst du Squid. iptables leitet dann mit der schon geschriebenen Regel die Anfragen an Port 80 auf 8080 (oder anderen) weiter, wo dann squid lauscht und diese entgegennimmt. Die weitere Konfiguration liegt dann bei squid. -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject "unsubscribe". Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: SOLVED Re: Squid als transparenter Proxy ohne manuelle Proxyeinstellung im Browser
Hallo > Brauch ich zu iptables noch einen lokalen Proxy-Server? Wenn ja, wie sieht > die Aufgabenteilung zwischen den beiden Diensten aus? Als Proxy nimmst du Squid. iptables leitet dann mit der schon geschriebenen Regel die Anfragen an Port 80 auf 8080 (oder anderen) weiter, wo dann squid lauscht und diese entgegennimmt. Die weitere Konfiguration liegt dann bei squid. Gruß Torsten
Re: SOLVED Re: Squid als transparenter Proxy ohne manuelle Proxyeinstellung im Browser
Hallo, meine Internetverbindung in unserem LAN geht ausschließlich über einen externen Proxy (auf den ich keinen Einfluss habe) und ich würde gerne den Proxy für alle Programme zentral spezifizieren, anstatt in sämtlichen Programmen einzeln. Was wohl auch den Vorteil hätte, dass Programme ohne Proxy-Unterstützung evt. nun doch ins Internet finden (z.B. Bittorrent, iphone; Während Windows-Bittorrent runterlädt, weil es die Internetoptionen der Systemsteuerung/ von IE nutzt, tut es Linux-Bittorrent eben nicht). Bin ich in diesem Thread richtig, oder ist mein Anliegen etwas gänzlich anderes. Brauch ich zu iptables noch einen lokalen Proxy-Server? Wenn ja, wie sieht die Aufgabenteilung zwischen den beiden Diensten aus? Grüße Alfred -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject "unsubscribe". Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: SOLVED Re: Squid als transparenter Proxy ohne manuelle Proxyeinstellung im Browser
Hi! On Mon, 12 Jul 2004 08:40:06 +0200, Tobias Krais wrote: >> >> iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 80 -j REDIRECT >> --to-port 8080 > >> Den Rest sollte dann Squid machen. Als Hinweis am Rand sei noch >> erwähnt, dass Du damit FTP nicht abfängst (Port 21) und HTTPS auch >> nicht vergessen werden sollte (Port 443). > > Mir genügt Port 80. Danke für deinen Hinweis. > Ist es überhaupt sinnvoll, HTTPS durch einen Proxy laufen zu lassen? Ich habe gerade nochmal im "Transparent Proxy with Linux and Squid mini-HOWTO" von Daniel Kiracofe [1] nachgelesen. Der schreibt dort [2]: "Finally, as far as transparently proxing HTTPS (e.g. secure web pages using SSL, TSL, etc.), you can't do it. Don't even ask. For the explanation, do a search for 'man-in-the-middle attack'. Note that you probably don't really need to transparently proxy HTTPS anyway, since squid can not cache secure pages." Simon [1] http://www.tldp.org/HOWTO/TransparentProxy.html [2] http://www.tldp.org/HOWTO/TransparentProxy-2.html#ss2.3 -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject "unsubscribe". Probleme? Mail an [EMAIL PROTECTED] (engl)
SOLVED Re: Squid als transparenter Proxy ohne manuelle Proxyeinstellung im Browser
Hi Jan, > | Kann mir jemand sagen, welchen Befehl ich eingeben muss, damit > | alle HTTP-aufrufe auf Port 8080 von Squid umgebogen werden? eth0 > | ist das lokale Netzwerk, eth1 ist im Internet. > Ich nehme an, deine Firwall und dein Proxy laufen auf einem Rechner? Ja. > Dann sollte es sowas hier in der Art tun (ohne GewÃhr): > > iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 80 -j REDIRECT > --to-port 8080 :-) Ich habe wohl irgendeinen Fehler gemacht, als ich einen (meineserachtens gleichen) iptables Befehl abgesetzt habe. Jetzt funktioniert es :-). > Den Rest sollte dann Squid machen. Als Hinweis am Rand sei noch > erwÃhnt, dass Du damit FTP nicht abfÃngst (Port 21) und HTTPS auch > nicht vergessen werden sollte (Port 443). Mir genÃgt Port 80. Danke fÃr deinen Hinweis. GrÃssle, Tobias -- Tobias Krais Infos zu Technikfolgen im Bereich Bio- und Gentechnik: http://www.bats.ch -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject "unsubscribe". Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: Squid als transparenter Proxy ohne manuelle Proxyeinstellung im Browser
Hallo zusammen, vielen Dank fÃr die Links, ich probiere sie am Montag aus. GrÃssle, Tobi Am Fr, den 09.07.2004 schrieb Jan Kesten um 7:22: > -BEGIN PGP SIGNED MESSAGE- > Hash: SHA1 > > Tobias Krais wrote: > > | Nach was muss ich da suchen? Ich habe mal squid transpartenter Proxy > | konfigurieren gemacht, aber nichts, was mein Problem lÃst. Kannst > du mir > | einen Hint fÃr dir Keywords geben? > > Schau mal hier: > > http://en.tldp.org/HOWTO/TransparentProxy-4.html > > Cheers, > Jan > - -- > GPG-KeyID: 82201FC4 > Available at my public sks keyserver sks.nerdcamp.net > Please report any problems using sks.nerdcamp.net! > -BEGIN PGP SIGNATURE- > Version: GnuPG v1.2.4 (MingW32) > Comment: Using GnuPG with Mozilla - http://enigmail.mozdev.org > > iD8DBQFA7iuYvvmCkIIgH8QRAjtaAJ9kmK334J7AN9r2tLU6AK8uRNNnMQCgupZC > qyay3S+bsb0OFX87pNmth4A= > =36m+ > -END PGP SIGNATURE- -- Tobias Krais Infos rund um Sicherheit der Gen- und Biotechnologie: www.bats.ch -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject "unsubscribe". Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: Squid als transparenter Proxy ohne manuelle Proxyeinstellung im Browser
-BEGIN PGP SIGNED MESSAGE- Hash: SHA1 Tobias Krais wrote: | Nach was muss ich da suchen? Ich habe mal squid transpartenter Proxy | konfigurieren gemacht, aber nichts, was mein Problem lÃst. Kannst du mir | einen Hint fÃr dir Keywords geben? Schau mal hier: http://en.tldp.org/HOWTO/TransparentProxy-4.html Cheers, Jan - -- GPG-KeyID: 82201FC4 Available at my public sks keyserver sks.nerdcamp.net Please report any problems using sks.nerdcamp.net! -BEGIN PGP SIGNATURE- Version: GnuPG v1.2.4 (MingW32) Comment: Using GnuPG with Mozilla - http://enigmail.mozdev.org iD8DBQFA7iuYvvmCkIIgH8QRAjtaAJ9kmK334J7AN9r2tLU6AK8uRNNnMQCgupZC qyay3S+bsb0OFX87pNmth4A= =36m+ -END PGP SIGNATURE- -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject "unsubscribe". Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: Squid als transparenter Proxy ohne manuelle Proxyeinstellung im Browser
am 08.07.2004, um 21:39:20 +0200 mailte Tobias Krais folgendes: > > Dem Squid muß man aber auch noch sagen, daß er sich so verhalten soll. > > Google kennt die nötigen Parameter. > > Nach was muss ich da suchen? Ich habe mal squid transpartenter Proxy > konfigurieren gemacht, aber nichts, was mein Problem löst. Kannst du mir > einen Hint für dir Keywords geben? http://www.linux-web.de/thread.php?threadid=3055 Andreas -- Andreas Kretschmer(Kontakt: siehe Header) Tel. NL Heynitz: 035242/47212 GnuPG-ID 0x3FFF606C http://wwwkeys.de.pgp.net ===Schollglas Unternehmensgruppe=== -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject "unsubscribe". Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: Squid als transparenter Proxy ohne manuelle Proxyeinstellung im Browser
Am Donnerstag, 8. Juli 2004 21:39 schrieb Tobias Krais: > > Nach was muss ich da suchen? Ich habe mal squid transpartenter Proxy > konfigurieren gemacht, aber nichts, was mein Problem lÃst. Kannst du mir > einen Hint fÃr dir Keywords geben? > > GrÃssle, Tobi google(transparent proxy squid) http://www.faqs.org/docs/Linux-mini/TransparentProxy.html -- public-key http://little.homeunix.net/publickey/publickey.txt
Re: Squid als transparenter Proxy ohne manuelle Proxyeinstellung im Browser
Hi Andreas, > > | Kann mir jemand sagen, welchen Befehl ich eingeben muss, damit > > | alle HTTP-aufrufe auf Port 8080 von Squid umgebogen werden? eth0 > > | ist das lokale Netzwerk, eth1 ist im Internet. > > > > Ich nehme an, deine Firwall und dein Proxy laufen auf einem Rechner? Ja. > > Dann sollte es sowas hier in der Art tun (ohne GewÃÂhr): > > > > iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 80 -j REDIRECT > > --to-port 8080 Das habe ich genau so gemacht und es lÃuft nicht Ãber Squid. > Dem Squid muà man aber auch noch sagen, daà er sich so verhalten soll. > Google kennt die nÃtigen Parameter. Nach was muss ich da suchen? Ich habe mal squid transpartenter Proxy konfigurieren gemacht, aber nichts, was mein Problem lÃst. Kannst du mir einen Hint fÃr dir Keywords geben? GrÃssle, Tobi -- Tobias Krais Infos rund um Sicherheit der Gen- und Biotechnologie: www.bats.ch -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject "unsubscribe". Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: Squid als transparenter Proxy ohne manuelle Proxyeinstellung im Browser
am 08.07.2004, um 15:09:25 +0200 mailte Jan Kesten folgendes: > Tobias Krais wrote: > > | Kann mir jemand sagen, welchen Befehl ich eingeben muss, damit > | alle HTTP-aufrufe auf Port 8080 von Squid umgebogen werden? eth0 > | ist das lokale Netzwerk, eth1 ist im Internet. > > Hallo, Tobias! > > Ich nehme an, deine Firwall und dein Proxy laufen auf einem Rechner? > Dann sollte es sowas hier in der Art tun (ohne Gewähr): > > iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 80 -j REDIRECT > --to-port 8080 > > Den Rest sollte dann Squid machen. Als Hinweis am Rand sei noch Dem Squid muß man aber auch noch sagen, daß er sich so verhalten soll. Google kennt die nötigen Parameter. Andreas -- Andreas Kretschmer(Kontakt: siehe Header) Tel. NL Heynitz: 035242/47212 GnuPG-ID 0x3FFF606C http://wwwkeys.de.pgp.net ===Schollglas Unternehmensgruppe=== -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject "unsubscribe". Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: Squid als transparenter Proxy ohne manuelle Proxyeinstellung im Browser
-BEGIN PGP SIGNED MESSAGE- Hash: SHA1 Tobias Krais wrote: | Kann mir jemand sagen, welchen Befehl ich eingeben muss, damit | alle HTTP-aufrufe auf Port 8080 von Squid umgebogen werden? eth0 | ist das lokale Netzwerk, eth1 ist im Internet. Hallo, Tobias! Ich nehme an, deine Firwall und dein Proxy laufen auf einem Rechner? Dann sollte es sowas hier in der Art tun (ohne GewÃhr): iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 80 -j REDIRECT - --to-port 8080 Den Rest sollte dann Squid machen. Als Hinweis am Rand sei noch erwÃhnt, dass Du damit FTP nicht abfÃngst (Port 21) und HTTPS auch nicht vergessen werden sollte (Port 443). HTH, Jan - -- GPG-KeyID: 82201FC4 Available at my public sks keyserver sks.nerdcamp.net Please report any problems using sks.nerdcamp.net! -BEGIN PGP SIGNATURE- Version: GnuPG v1.2.4 (MingW32) Comment: Using GnuPG with Mozilla - http://enigmail.mozdev.org iD8DBQFA7UeFvvmCkIIgH8QRAiP6AJ0S724v+QeW/YfJYy5+CNdEu3063QCcDuNz iLyviAlII9mTotH7lDTxtIQ= =ZD3A -END PGP SIGNATURE- -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject "unsubscribe". Probleme? Mail an [EMAIL PROTECTED] (engl)
Squid als transparenter Proxy ohne manuelle Proxyeinstellung im Browser
Liebe Liste, ich habe einen Squid aufgesetzt und der funktioniert wunderprÃchtig. Aber nur, wenn ich ihn manuell im Browser als Proxy einstelle. Jetzt hÃtte ich es gerne so, dass jeder HTTP zugriff Ãber Squid lÃuft (hÃrt auf Port 8080). Dazu kann man - soweit ich gegooglet habe - einfach den Port 80 umbiegen - eben auf Port 8080. Aber das funktioniert bei mir nicht so wie es soll. Ich vermute, dass es damit zusammenhÃngt, dass ich endoshield als Firewallskript habe und wenn ich dann noch einen iptables befehl eingebe wird der hinten angehÃnt und ist damit ohne Wirkung. Kann mir jemand sagen, welchen Befehl ich eingeben muss, damit alle HTTP-aufrufe auf Port 8080 von Squid umgebogen werden? eth0 ist das lokale Netzwerk, eth1 ist im Internet. WÃre um einen Tipp sehr dankbar! GrÃssle, Tobias Nachfolgend das endoshield skript: --- # #**ENDOSHIELD 1.2** #Written by Endo (Dave Cheeseman) [EMAIL PROTECTED] #EndoShield Site - http://www.sourceforge.net/projects/endoshield #** #Configuration Part of the script - If you are unsure of any of these points, leave them as the default setting, changing these #options can seriously affect the security of your firewall. #Do you want to run a ipchains firewall or iptables? #If you are unsure about this, you need to find out what kernel you are running. #See the readme file for more information. TYPE="iptables" # Change INETDEV to the network device connceted to the Internet (ppp0/eth0) # This is ppp0 by default for dial-up connections. Most cable modem users # will probably want eth0 or possibly eth1. When in doubt look at the command # 'ifconfig'. INETDEV="eth1" # Change LAN to the correct network address and network mask for your LAN # this can be found by using ifconfig from one of the clients LAN="192.168.1.0/24" # Change LANDEV to the network device connected to your LAN LANDEV="eth0" # There should be no need to change this LOCALIP=`ifconfig $LANDEV | grep inet | cut -d : -f 2 | cut -d \ -f 1` #Do you want other machines on the internet to be able to PING your machine? #(If unsure, leave as no) PING="no" #If you selected no as the previous option, do you want the machine to log #the dropped pings? LOGPINGS="no" #If you trust all data coming from your local network, put yes. TRUST="yes" #If you want to share this machines internet connection, put yes #(This will provide Masquerading services for you LAN) #Otherwise, put no SHARE="yes" #Is this machine connected to a Samba Network? #If yes, over a LAN? SAMBALAN="no" #Or over a WAN? SAMBAWAN="no" #Or over both? SAMBA="no" #If you are running any servers on your machine, you need to specify them below, #you also need to specify wether these servers/ports should be open to just your local #network, or the whole world. If you answer yes to PORTNAMEPUBLIC, then the specified port #will be open to the whole internet, if this is left to the default, which is no, but you #have specified that you are running a server on the port, the port will only be available to #your local lan. #Do you run a FTP server? FTP="no" FTPPUBLIC="no" #Do you run a SSH server? SSH="yes" SSHPUBLIC="yes" #Do you run a telnet server? TELNET="no" TELNETPUBLIC="no" #Do you run a Web server? WEB="no" WEBPUBLIC="no" #Do you run a mail server? MAIL="no" MAILPUBLIC="no" #Do you run identd? IDENT="no" IDENTPUBLIC="no" #If you want to add any trusted hosts, that is, machines on the internet or on your local network #which you want to fully trust (Allow all data from these machines pass through the firewall), then #list these machines below. TRUSTEDHOST1="131.211.28.48" TRUSTEDHOST2="195.92.249.253" TRUSTEDHOST3="194.159.164.195" TRUSTEDHOST4="129.27.3.9" TRUSTEDHOST5="1.1.1.1" #If you want to block any hosts from accessing your machine, please list them below, these machines #will not be able to access your machine at all, even your public access servers. DENYHOST1="1.1.1.1" DENYHOST2="1.1.1.1" DENYHOST3="1.1.1.1" DENYHOST4="1.1.1.1" DENYHOST5="1.1.1.1" #End of Configuration. # echo "-" echo "Local Network Device: $LANDEV" echo "Local IP: $LOCALIP" echo "Local Network Address: $LAN" echo "External Network Device: $INETDEV" echo "-" echo "" #Set default chain policy echo -n "Setting default chain policies..." iptables -P INPUT DROP iptables -P FORWARD DROP iptables -P OUTPUT ACCEPT echo " Done!" #Flush all chains echo -n "Flushing chains..." iptables -F iptables -X iptables -t nat -F PREROUTING iptables -t nat -F POSTROUTING echo " Done!" #Add custom chains echo -n "Adding custom chains..." iptables -N inet-in iptables -N inet-out echo " Done!" #Set INPUT rules echo -n "Setting rule