Re: [linux-admin] Webserver + Squid + Nat 1interface Was: Re: Log pada transparent squid
On Tue, Jul 01, 2003 at 01:41:45PM +0700, Mpu Gondrong wrote: > ARP broadcast memang unroutable. Spt yg saya bicarakan di email > sebelumnya, sebenarnya subnetnya sendiri spt apa ? switch bisa (minimal diconfigure) untuk mendrop/memfilter/whatever paket arp yang ditujukan diluar subnet yang sudah ditentukan. dengan hanya memiliki 2 akses di dua subnet, kita tidak serta- merta bisa mengirimkan/merelay paket arp dari satu subnet ke subnet lain (via tunnel/whatever). kecuali 'bocor' seperti yang ditunjukan oleh dheche. itu maksud saya dengan unrouteable. Salam, P.Y. Adi Prasaja - To unsubscribe, e-mail: [EMAIL PROTECTED] For additional commands, e-mail: [EMAIL PROTECTED]
Re: [linux-admin] Webserver + Squid + Nat 1interface Was: Re: Log pada transparent squid
On Tue, Jul 01, 2003 at 05:27:41PM +0700, dheche wrote: > default route komputer 172.17.3.135 (PC1) --> 172.17.3.1 (GW2) > default route GW1 --> GW2 > > konfigurasi jaringan ujicobanya seperti ini ... > > 172.17.4.0/24 | GW1 |---172.17.3.0/24---GW2-PC1 > > GW1 ada 2 interface (172.17.4.1 & 172.17.3.2) > GW2 ada 1 interface (172.17.3.1) > > ujicobanya pake hub bukan switch Ok. terima kasih. benar-benar memberi pencerahan :-)) Salam, P.Y. Adi Prasaja - To unsubscribe, e-mail: [EMAIL PROTECTED] For additional commands, e-mail: [EMAIL PROTECTED]
Re[2]: [linux-admin] Webserver + Squid + Nat 1interface Was: Re: Log pada transparent squid
01/07/2003 5:35:46, adi menulis: a> saya ingin melihat contoh 'kebocoran' paket ini pada situasi a> internet dengan TV kabel dan/atau WLAN. Spt yg sudah saya katakan sebelumnya, ini tidak bisa karena diblok dari ISP. Ini akan bisa bila ISP ikut bekerja sama. :-) a> tidak semua, hanya yang memiliki subnet yang sama dengan komputer a> lokal (tes di switched lan). ARP broadcast itu unrouteable, kalau ARP broadcast memang unroutable. Spt yg saya bicarakan di email sebelumnya, sebenarnya subnetnya sendiri spt apa ? Bila yg anda maksud subnet itu terpisah secara fisik (dlm artian unroutable di level ethernet) maka jelas sekali tidak mungkin bocor. Bagaimana packet ethernet itu bisa menyebrang ke lain subnet bila alamatnya tidak bisa dituju secara langsung ? Namun subnet dlm level tcp/ip tidak identik dgn subnet dlm level ethernet. Jadi 2 subnet dlm tcp/ip (yg dibagi menurut netmask) bisa berada dlm 1 subnet di level ethernet, shg bocor itu mungkin. Apakah kita harus membahas tetek-bengek spt 7 layer ISO ? :-) Tertanda, Oguds [36856104] - To unsubscribe, e-mail: [EMAIL PROTECTED] For additional commands, e-mail: [EMAIL PROTECTED]
Re: [linux-admin] Webserver + Squid + Nat 1interface Was: Re: Log pada transparent squid
> > Tentu bukan sekedar security jaringan perlu banyak interface, tapi > memang kalo selayaknya scr fisik pisah, ya lakukan. Bandwidth itu > mahal, jadi ketimbang ngantri di 1 interface, khan lebih baik > dipecah2. Belum lagi protokol2 sejenis SMB yg broadcast mania. :) > betul sekali btw: harga 1 ethernet kan lebih murah dibanding b/w nya Salam Harijanto - To unsubscribe, e-mail: [EMAIL PROTECTED] For additional commands, e-mail: [EMAIL PROTECTED]
Re: [linux-admin] Webserver + Squid + Nat 1interface Was: Re: Log pada transparent squid
> sori thread ini kayaknya dah dijawab ma rekan Agung (ACL di squid) & mpu > gondrong (IPTABLES redirect), saya malah pingin nanya balik, masa sih dgn > IP Public yg /26, kok ngga pake `kebijakan' yg menggunakan 2 > (atau lbh) interface ?? > he he he betul tuh kan dapet blok IP Publik nya lumayan banyak tuh Salam harijanto - To unsubscribe, e-mail: [EMAIL PROTECTED] For additional commands, e-mail: [EMAIL PROTECTED]
Re: [linux-admin] Webserver + Squid + Nat 1interface Was: Re: Log pada transparent squid
On Tue, Jul 01, 2003 at 01:15:26AM +0700, Mpu Gondrong wrote: > Yg belum jelas adl, subnet tsb bagaimana susunannya ? Apakah bocor di > sini artinya paket LAN internal bisa nyelonong ke Internet ? > Tentu yg saya bicarakan adl network model ethernet (spt > cablemodem), bukan yg Point-to-Point. nah itu dia :-) sekarang berarti sepakat. saya ingin melihat contoh 'kebocoran' paket ini pada situasi internet dengan TV kabel dan/atau WLAN. > Bila subnet yg dimaksud adl 2 subnet dlm 1 hub, jelas paket akan bocor > antar subnet. Sudah coba sniffer ettercap ? Ketika mulai ettercap akan > menghujani seluruh network dgn ARP broadcast yg me-redirect semua IP > ke alamatnya. tidak semua, hanya yang memiliki subnet yang sama dengan komputer lokal (tes di switched lan). ARP broadcast itu unrouteable, kalau sampai bisa memberikan arp request dan mendapat jawaban dari luar subnet, itu merupakan kesalahan. threat model yang diterapkan dalam interkoneksi menggunakan HUB, caranya dengan menggunakan/ mengubah ke ip subnet yang sama (cari yang kosong kalau belum dapat, atau takut ketahuan ip asli), baru menjalankan sniffer biasa (tidak harus arp based sniffer macam ettercap) atau melakukan yang lain. > Yah, nasib ini gak jauh beda. Soalnya kasus 2 subnet dlm 1 hub (yg > beranak-pinak) dulu juga pernah saya alami. :-) bisa saja saya totally lost di sini, karena sudah lama tidak pakai hub :-) hitung-hitung buat penyegaran lah hi..hi.. Salam, P.Y. Adi Prasaja - To unsubscribe, e-mail: [EMAIL PROTECTED] For additional commands, e-mail: [EMAIL PROTECTED]
Re: [linux-admin] Webserver + Squid + Nat 1interface Was: Re: Log pada transparent squid
On Tue, Jul 01, 2003 at 01:14:40AM +0700, dheche wrote: > [EMAIL PROTECTED] root]# arping 172.17.4.1 > ARPING 172.17.4.1 from 172.17.3.135 eth0 > Unicast reply from 172.17.4.1 [00:30:84:0B:BD:35] 0.708ms > Unicast reply from 172.17.4.1 [00:30:84:0B:BD:35] 0.607ms > Unicast reply from 172.17.4.1 [00:30:84:0B:BD:35] 0.623ms coba cek dengan arping router (default gw, atau whatever gateway ke 172.17.4.1, dari 172.17.3.135) dan bandingkan hasilnya. mestinya akan sama, maksudnya router/gw dari 172.17.3.135 memiliki mac 00:30:84:0b:bd:35. > saya coba juga unt komputer yg terpisah secara jaringannya fisik, > tapi tdk ada respon .. harusnya router (default gw) yang menjawab .. > wah kalo pake leased-line point-to-point artinya kan ada 2 > interface dong .. (1 interface point to point, 1 lagi ethernet unt > koneksi lokal) benar juga ya :-) habis gimana dong, kebanyakan kan gitu kecuali colo di data center. makanya, saya bilang, tidak selalu menggabungkan 2 subnet (private/public) itu memiliki risiko security. bahkan, seringkali, point-to-point antara client - isp menggunakan ip subnet tersendiri. Salam, P.Y. Adi Prasaja - To unsubscribe, e-mail: [EMAIL PROTECTED] For additional commands, e-mail: [EMAIL PROTECTED]
Re[2]: [linux-admin] Webserver + Squid + Nat 1interface Was: Re: Log pada transparent squid
30/06/2003 22:48:11, adi menulis: >> 10.497553 3com_67:9a:69 -> BroadcastARP Who has 192.168.0.6? a> arp (teoritis) tidak bisa melintas antar subnet (unrouteable a> packet). Sori, contoh di atas hanya menunjukkan ARP yg menggunakan broadcast shg bisa ditangkap oleh semua host. Dlm switched-LAN, sekedar memasang eth dlm mode promiscuous tetap tidak bisa mendengar packet2 yg bukan ditujukan padanya, kecuali broadcast. a> oleh sebab itu, saya benar-benar ingin tahu bagaimana a> paket bisa bocor antar subnet. setidaknya, dengan pengetahuan a> ini, kita bisa memperhitungkan risiko. khususnya kasus a> 1 NIC dipasang 2 interface (IP). Yg belum jelas adl, subnet tsb bagaimana susunannya ? Apakah bocor di sini artinya paket LAN internal bisa nyelonong ke Internet ? Dlm banyak kasus memang ini tidak terjadi, karena filtering dari ISP. ISP akan memblok paket dari/ke client dgn tujuan (ethernet address) selain gateway yg sudah ditentukan. Praktis client hanya melihat 1 entry ARP, yaitu gateway. Tentu yg saya bicarakan adl network model ethernet (spt cablemodem), bukan yg Point-to-Point. Bila subnet yg dimaksud adl 2 subnet dlm 1 hub, jelas paket akan bocor antar subnet. Sudah coba sniffer ettercap ? Ketika mulai ettercap akan menghujani seluruh network dgn ARP broadcast yg me-redirect semua IP ke alamatnya. Hasilnya semua traffic jaringan mampir ke host tsb shg memungkinkan untuk melakukan sniffing meski dlm switched-LAN. a> kebetulan, nasib membawa saya untuk mengelola mesin-mesin dengan a> subnet kecil :-) Yah, nasib ini gak jauh beda. Soalnya kasus 2 subnet dlm 1 hub (yg beranak-pinak) dulu juga pernah saya alami. :-) Tertanda, Oguds [36856104] - To unsubscribe, e-mail: [EMAIL PROTECTED] For additional commands, e-mail: [EMAIL PROTECTED]
Re: [linux-admin] Webserver + Squid + Nat 1interface Was: Re: Log pada transparent squid
On Mon, Jun 30, 2003 at 11:35:02PM +0700, dheche wrote: > walaupun tergolong unroutable, tapi kan tetep aja secara fisik paket tsb exist > di jaringan, sehingga device yg disetting promiscuous mode tentunya bisa > mendengarkan paket tsb walaupun dia secara logical berbeda jaringan. > (ini yg salah satunya kemungkinan bisa menjadi hole) nah! itu yang saya mau tahu. coba pakai arping dan tcpdump. benar tidak arp bisa lompat ke lain subnet, setidaknya paket bisa ditangkap. kalau bisa, saya benar-benar ingin lihat (karena belum pernah lihat). masalahnya, dengan hub biasa, orang bisa ganti ip. dengan switch juga, cuman kan switch bisa dikonfigure untuk mencegah hal ini dst..dst.. untuk mengetatkan security. > sbg ilustrasinya mungkin ini bisa membantu .. > (diasumsikan ISP pun mempergunakan 1 interface unt menghubungkan Gateway anda > dengan Client ISP yg lain) > > Lan A --- GW ISP Client ISP > > Gateway (GW) mempergunakan 1 interface dg memanfaatkan ip aliasing. > > walaupun Lan A mempergunakan ip private, akan tetapi 'Client ISP' tetap dapat > menghubungi komputer2 di Lan A, bisa dilakukan dg cara si Client ISP ini > membuat ip aliasing juga di komputernya (mempergunakan ip private dg nomor > jaringan yg sama) nope. saya belum pernah melihat threat model di atas bisa diterapkan untuk koneksi leased-line point-to-point. kecuali mungkin internet via kabel atau yang dikemukakan dalam thread ini, yaitu pakai WLAN (dalam hal ini Client ISP adalah pelanggan WLAN yang lain). ini pun tergantung usaha security yang diterapkan oleh security. sukur-sukur kalau ada yang mau sharing pengalamannya yang berkaitan dengan ini. Salam, P.Y. Adi Prasaja - To unsubscribe, e-mail: [EMAIL PROTECTED] For additional commands, e-mail: [EMAIL PROTECTED]
Re: [linux-admin] Webserver + Squid + Nat 1interface Was: Re: Log pada transparent squid
On Mon, Jun 30, 2003 at 06:56:38PM +0700, Mpu Gondrong wrote: > Bila memakai switch-hub (bukan 'smart-hub' yg bisa dikonfigurasi > lagi), tentu packet broadcast bisa bocor ke mana2. Misalnya di LAN > saya, pada host ber-IP 192.168.0.1 (bukan gateway): > > [EMAIL PROTECTED] tgz]# tethereal arp > Capturing on eth0 > 0.000555 Dell_Com_21:49:23 -> BroadcastARP Who has 192.168.0.3? Tell > 192.168.0.227 > 1.226585 3Com_f1:67:4b -> BroadcastARP Who has 192.168.0.3? Tell 192.168.11.93 > 10.497553 3com_67:9a:69 -> BroadcastARP Who has 192.168.0.6? Tell 192.168.0.3 kalau anda pakai netmask 192.168.0.255, itu bukan bocor ... arp (teoritis) tidak bisa melintas antar subnet (unrouteable packet). oleh sebab itu, saya benar-benar ingin tahu bagaimana paket bisa bocor antar subnet. setidaknya, dengan pengetahuan ini, kita bisa memperhitungkan risiko. khususnya kasus 1 NIC dipasang 2 interface (IP). > Tentu bukan sekedar security jaringan perlu banyak interface, tapi > memang kalo selayaknya scr fisik pisah, ya lakukan. Bandwidth itu > mahal, jadi ketimbang ngantri di 1 interface, khan lebih baik > dipecah2. Belum lagi protokol2 sejenis SMB yg broadcast mania. :) kebetulan, nasib membawa saya untuk mengelola mesin-mesin dengan subnet kecil :-) Salam, P.Y. Adi Prasaja - To unsubscribe, e-mail: [EMAIL PROTECTED] For additional commands, e-mail: [EMAIL PROTECTED]
Re[2]: [linux-admin] Webserver + Squid + Nat 1interface Was: Re: Log pada transparent squid
Senin, 30/06/03 15:39:51, adi menulis: a> Berhubung saya penasaran, karena sejak 'sadar network' :-) selalu a> di dalam switched LAN, yang tidak (belum pernah melihat ada yang) a> bocor. Bila memakai switch-hub (bukan 'smart-hub' yg bisa dikonfigurasi lagi), tentu packet broadcast bisa bocor ke mana2. Misalnya di LAN saya, pada host ber-IP 192.168.0.1 (bukan gateway): [EMAIL PROTECTED] tgz]# tethereal arp Capturing on eth0 0.000555 Dell_Com_21:49:23 -> BroadcastARP Who has 192.168.0.3? Tell 192.168.0.227 1.226585 3Com_f1:67:4b -> BroadcastARP Who has 192.168.0.3? Tell 192.168.11.93 10.497553 3com_67:9a:69 -> BroadcastARP Who has 192.168.0.6? Tell 192.168.0.3 Kalo sniffer, coba gunakan ettercap: "Ettercap is a multipurpose sniffer/interceptor/logger for switched LAN", http://ettercap.sourceforge.net/. Tentu bukan sekedar security jaringan perlu banyak interface, tapi memang kalo selayaknya scr fisik pisah, ya lakukan. Bandwidth itu mahal, jadi ketimbang ngantri di 1 interface, khan lebih baik dipecah2. Belum lagi protokol2 sejenis SMB yg broadcast mania. :) Tertanda, Oguds [36856104] - To unsubscribe, e-mail: [EMAIL PROTECTED] For additional commands, e-mail: [EMAIL PROTECTED]
Re: [linux-admin] Webserver + Squid + Nat 1interface Was: Re: Log pada transparent squid
On Monday 30 June 2003 16:05, adi wrote: > On Mon, Jun 30, 2003 at 03:49:04PM +0700, Harijanto Pribadi wrote: > > switch bisa membantu untuk paket data yang tidak ditujukan untuk ip > > private tsb. tetapi kalau paket data ditujukan atau dari ethernet tsb > > maka logikanya tetap saja pada network ip public akan menerima > > paket-paket tersebut. > > benar. maksud saya, dengan switch, saya tidak lagi bisa > assign ip alias beda subnet di 1 interface :-) > > OK deh. nanti kalau sempat dapat situasi yang begini nanti > saya lihat. asumsi saya, kalau ip public itu masih 'local', > misal dapat route dari koneksi leased-line, kadang masih > bisa ditoleransi. mungkin juga, karena pengalaman saya di w-lan yang cara kerjanya masih seperti ethernet. sedangkan kalau leased-line mungkin menggunakan point to point jadi mungkin masih aman-aman saja ya. btw: thx utk discus-nya Salam Harijanto - To unsubscribe, e-mail: [EMAIL PROTECTED] For additional commands, e-mail: [EMAIL PROTECTED]
Re: [linux-admin] Webserver + Squid + Nat 1interface Was: Re: Log pada transparent squid
On Mon, Jun 30, 2003 at 03:49:04PM +0700, Harijanto Pribadi wrote: > switch bisa membantu untuk paket data yang tidak ditujukan untuk ip private > tsb. tetapi kalau paket data ditujukan atau dari ethernet tsb maka logikanya > tetap saja pada network ip public akan menerima paket-paket tersebut. benar. maksud saya, dengan switch, saya tidak lagi bisa assign ip alias beda subnet di 1 interface :-) OK deh. nanti kalau sempat dapat situasi yang begini nanti saya lihat. asumsi saya, kalau ip public itu masih 'local', misal dapat route dari koneksi leased-line, kadang masih bisa ditoleransi. Salam, P.Y. Adi Prasaja - To unsubscribe, e-mail: [EMAIL PROTECTED] For additional commands, e-mail: [EMAIL PROTECTED]
Re: [linux-admin] Webserver + Squid + Nat 1interface Was: Re: Log pada transparent squid
On Monday 30 June 2003 15:39, adi wrote: > On Mon, Jun 30, 2003 at 03:18:49PM +0700, Harijanto Pribadi wrote: > > saya juga pernah pake virtual ip pada ethernet yang terkoneksi dengan ip > > public, waktu uji coba koneksi w-lan di kampus. > > ternyata paket-paket data pada jaringan yang terhubung ke virtual ip > > tersebut juga tembus sampai ke jaringan ip public pada ISP. > > OK. thanks. BTW, punya contoh paket bocor (tcpdump) output tidak? > ini maksudnya paket ARP kan? dalam hal ini switch tidak membantu > ya? switch bisa membantu untuk paket data yang tidak ditujukan untuk ip private tsb. tetapi kalau paket data ditujukan atau dari ethernet tsb maka logikanya tetap saja pada network ip public akan menerima paket-paket tersebut. untuk contohnya saya saat ini tidak memilikinya. > > Berhubung saya penasaran, karena sejak 'sadar network' :-) selalu > di dalam switched LAN, yang tidak (belum pernah melihat ada yang) > bocor. kalau penasaran mungkin dapat di sniffing pada network ip public tersebut ada atau tidak paket data dari ip private yang juga terdeteksi,misalnya paket arp atau informasi lainnya yang harusnya hanya didengar oleh dan dari ip private. Salam Harijanto - To unsubscribe, e-mail: [EMAIL PROTECTED] For additional commands, e-mail: [EMAIL PROTECTED]
Re: [linux-admin] Webserver + Squid + Nat 1interface Was: Re: Log pada transparent squid
On Mon, Jun 30, 2003 at 03:18:49PM +0700, Harijanto Pribadi wrote: > saya juga pernah pake virtual ip pada ethernet yang terkoneksi dengan ip > public, waktu uji coba koneksi w-lan di kampus. > ternyata paket-paket data pada jaringan yang terhubung ke virtual ip tersebut > juga tembus sampai ke jaringan ip public pada ISP. OK. thanks. BTW, punya contoh paket bocor (tcpdump) output tidak? ini maksudnya paket ARP kan? dalam hal ini switch tidak membantu ya? Berhubung saya penasaran, karena sejak 'sadar network' :-) selalu di dalam switched LAN, yang tidak (belum pernah melihat ada yang) bocor. Salam, P.Y. Adi Prasaja - To unsubscribe, e-mail: [EMAIL PROTECTED] For additional commands, e-mail: [EMAIL PROTECTED]
Re: [linux-admin] Webserver + Squid + Nat 1interface Was: Re: Log pada transparent squid
On Monday 30 June 2003 15:12, adi wrote: > On Mon, Jun 30, 2003 at 03:02:40PM +0700, Harijanto Pribadi wrote: > > running sih fine-fine aja tapi kalau di analisa dengan tcpdump > > misalnya... broadcast dari 192.168.1/24 akan nembus juga ke 202.154.42/26 > > Tanya: > Broadcast apa yang nembus ke 202.154.42/26? saya juga pernah pake virtual ip pada ethernet yang terkoneksi dengan ip public, waktu uji coba koneksi w-lan di kampus. ternyata paket-paket data pada jaringan yang terhubung ke virtual ip tersebut juga tembus sampai ke jaringan ip public pada ISP. > Security threat apa yang bisa digunakan untuk peta network > di atas? sebaiknya sih jangan gabungkan ip private dengan ip public pada satu ethernet jadi sebaiknya dipisah. dengan demikian maka dapat diset rule-rule packet filtering dengan iptables atau ipchains dengan lebih baik. salam Harijanto - To unsubscribe, e-mail: [EMAIL PROTECTED] For additional commands, e-mail: [EMAIL PROTECTED]
Re: [linux-admin] Webserver + Squid + Nat 1interface Was: Re: Log pada transparent squid
On Mon, Jun 30, 2003 at 03:02:40PM +0700, Harijanto Pribadi wrote: > running sih fine-fine aja tapi kalau di analisa dengan tcpdump misalnya... > broadcast dari 192.168.1/24 akan nembus juga ke 202.154.42/26 Tanya: Broadcast apa yang nembus ke 202.154.42/26? Security threat apa yang bisa digunakan untuk peta network di atas? Thx. Salam, P.Y. Adi Prasaja - To unsubscribe, e-mail: [EMAIL PROTECTED] For additional commands, e-mail: [EMAIL PROTECTED]
Re: [linux-admin] Webserver + Squid + Nat 1interface Was: Re: Log pada transparent squid
On Monday 30 June 2003 14:52, [EMAIL PROTECTED] wrote: > Original Message: > - > From: Mpu Gondrong [EMAIL PROTECTED] > 29/06/2003 14:29:03, rio menulis: > rmm> eth0 202.154.42.1 (255.255.255.192) > rmm> eth0:0 192.168.1.1 (255.255.255.0) > > >Ini jaringan yg aneh, 2 network dlm 1 interface ? Normalnya setiap > >network diwakili oleh 1 interface (mewakili pembagian scr fisik > >network tsb). IP-alias juga bukan untuk disalahgunakan spt itu. > > memang dampak buruknya dimana ? running fine sampe sekarang sudah bulan > ke-3. running sih fine-fine aja tapi kalau di analisa dengan tcpdump misalnya... broadcast dari 192.168.1/24 akan nembus juga ke 202.154.42/26 bagaimanan securitynya tuh Den Rio? > > rmm> iptables disana katanya tidak ngerti aliasing .. hmm jadi -i > rmm> eth0:0 si iptables gak ngerti tuh.. > > >Lho, khan ada network dan netmask? Misalnya bila setiap packet yg dari > >IP local tapi mengarah ke IP non-local di-redirect ke squid: > >iptables -t nat -A PREROUTING -s 192.168.1.0/24 -d ! 192.168.1.0/24 -p > >tcp --dport 80 -j REDIRECT --to-ports 8080 > > kalau yang ini memang yang betul (: bukan -i eth0:0 > jadi problemnya sudah solved, thank you.. > > Regards, > Rio Martin. > > > > > > > > > mail2web - Check your email from the web at > http://mail2web.com/ . > > > > > - > To unsubscribe, e-mail: [EMAIL PROTECTED] > For additional commands, e-mail: [EMAIL PROTECTED] - To unsubscribe, e-mail: [EMAIL PROTECTED] For additional commands, e-mail: [EMAIL PROTECTED]
Re: [linux-admin] Webserver + Squid + Nat 1interface Was: Re: Log pada transparent squid
Original Message: - From: Mpu Gondrong [EMAIL PROTECTED] 29/06/2003 14:29:03, rio menulis: rmm> eth0 202.154.42.1 (255.255.255.192) rmm> eth0:0 192.168.1.1 (255.255.255.0) >Ini jaringan yg aneh, 2 network dlm 1 interface ? Normalnya setiap >network diwakili oleh 1 interface (mewakili pembagian scr fisik >network tsb). IP-alias juga bukan untuk disalahgunakan spt itu. memang dampak buruknya dimana ? running fine sampe sekarang sudah bulan ke-3. rmm> iptables disana katanya tidak ngerti aliasing .. hmm jadi -i rmm> eth0:0 si iptables gak ngerti tuh.. >Lho, khan ada network dan netmask? Misalnya bila setiap packet yg dari >IP local tapi mengarah ke IP non-local di-redirect ke squid: >iptables -t nat -A PREROUTING -s 192.168.1.0/24 -d ! 192.168.1.0/24 -p >tcp --dport 80 -j REDIRECT --to-ports 8080 kalau yang ini memang yang betul (: bukan -i eth0:0 jadi problemnya sudah solved, thank you.. Regards, Rio Martin. mail2web - Check your email from the web at http://mail2web.com/ . - To unsubscribe, e-mail: [EMAIL PROTECTED] For additional commands, e-mail: [EMAIL PROTECTED]
Re: [linux-admin] Webserver + Squid + Nat 1interface Was: Re: Log pada transparent squid
29/06/2003 14:29:03, rio menulis: rmm> eth0 202.154.42.1 (255.255.255.192) rmm> eth0:0 192.168.1.1 (255.255.255.0) Ini jaringan yg aneh, 2 network dlm 1 interface ? Normalnya setiap network diwakili oleh 1 interface (mewakili pembagian scr fisik network tsb). IP-alias juga bukan untuk disalahgunakan spt itu. rmm> iptables disana katanya tidak ngerti aliasing .. hmm jadi -i rmm> eth0:0 si iptables gak ngerti tuh.. Lho, khan ada network dan netmask? Misalnya bila setiap packet yg dari IP local tapi mengarah ke IP non-local di-redirect ke squid: iptables -t nat -A PREROUTING -s 192.168.1.0/24 -d ! 192.168.1.0/24 -p tcp --dport 80 -j REDIRECT --to-ports 8080 Tertanda, Oguds [36856104] - To unsubscribe, e-mail: [EMAIL PROTECTED] For additional commands, e-mail: [EMAIL PROTECTED]
[linux-admin] Webserver + Squid + Nat 1interface Was: Re: Log pada transparent squid
Original Message: - From: [EMAIL PROTECTED] >> ya dicek saja .. netstat -an >> kalau proxynya ada yang akses terlihat disana ada koneksi ke port squid >> yang ESTABLISHED >> >bisa juga ... ;-) >tp pertanyaannya kan rekan kita itu ngga ngeliat ada yg ngakses & dia >liatnya di access_log, jadi knapa kita malah mengarahkan ke netstat (?), >bukan ke permasalahannya ?? access_log kosong, kita harus periksa apakah memang ada yg konek atau tidak dengan netstat -an. Kalau ada yg konek dan ESTABLISHED berarti di squid.conf nya opsi cache_log dimatikan. Kalau tidak ya berarti harus dicek transparent proxynya sudah betul atau belum. Begitu maksudnya .. >> Apakah kamu pernah mencoba untuk NAT Gateway 1 eth ? jadi ip public dan >> private dialiaskan ke 1 eth yang sama >dgn port yg berbeda (?) & pake IP alias, kenapa ngga bisa ?? dulu saya >pernah install dgn mesin slackware (2.2.19, IPCHAINS), satu lagi dgn mesin >FreeBSD (IPFW & redirect port) & berhasil,tp mesin itu skrg sdh pake 2 >interface skrg ini, maap saya lupa lagi rulenya...lagipula kalo saya baca >thread-nya,kayaknya rekan kita itu sdh berhasil,jadi kayaknya ngga terlalu threadnya diganti deh, sekarang saya yang bertanya .. saya pake sistem seperti ini: eth0 202.154.42.1 (255.255.255.192) eth0:0 192.168.1.1 (255.255.255.0) webserver running di 202.154.42.1 port 80 squid running di 192.168.1.1 port 8080 oke jadi bagaimana cara transparent proxy nya supaya access dari client intranet ditransparent-proxy ke squid dan dari luar tetap bisa akses ke webserver yang berada di ip public tersebut. saya pernah coba dan gagal. Request ke webserver cuma bisa dari dalam intranet saja, dari luar (internet) gak bisa dan ada muncul pesan Access Denied dari squid. Mohon solusinya kalau memang dengan sistem ini bisa .. (: Regards, Rio Martin. mail2web - Check your email from the web at http://mail2web.com/ . - To unsubscribe, e-mail: [EMAIL PROTECTED] For additional commands, e-mail: [EMAIL PROTECTED]