Forum Linux.debian/ubuntu Probléme config iptables

Posté par  .
Étiquettes : aucune
0
10
avr.
2006
Bonjour,

j'aurais besoin d'aide concernant iptables. Pour l'instant j'ai installé Squid sur une passerelle debian. Ma config est la suivante :

eth0 : vers internet

eth1 : 192.168.1.1/24
vers le LAN 192.168.1.0/24

Lorsque je configure un navigateur du Lan en connexion proxy tout marche très bien mais lorsque je le paramètre en connexion directe à internet ca ne fonctionne plus pourtant j'ai bien une règle de prerouting pour rediger les requetés http.

Voici mon script :

#!/bin/sh

# script /etc/firewall.sh

echo 1 > /proc/sys/net/ipv4/ip_forward

if [ -e /proc/sys/net/ipv4/conf/all/rp_filter ]
then
for filtre in /proc/sys/net/ipv4/conf/*/rp_filter
do
echo 1 > $filtre
done
fi

echo 1 > /proc/sys/net/ipv4/icmp_echo_ignore_all
echo 1 > /proc/sys/net/ipv4/icmp_echo_ignore_broadcasts

iptables -F
iptables -X

iptables -P INPUT DROP
iptables -P OUTPUT DROP
iptables -P FORWARD DROP

iptables -A INPUT -i lo -j ACCEPT
iptables -A OUTPUT -o lo -j ACCEPT

iptables -A OUTPUT -o eth0 -m state --state NEW,ESTABLISHED -p tcp --dport 80 -j ACCEPT
iptables -A INPUT -i eth0 -m state --state ESTABLISHED -p tcp --sport 80 -j ACCEPT

iptables -t nat -A PREROUTING -i eth1 -p tcp --dport 80 -j DNAT --to-destination 192.168.1.1:3128

iptables -A FORWARD -i eth1 -o eth0 -j ACCEPT
iptables -A FORWARD -o eth1 -i eth0 -j ACCEPT

iptables -t nat -A POSTROUTING -s 192.168.1.0/24 -j MASQUERADE

echo " [Termine]"

Voila si qqun a une idée

  • # Solution pas se faire chier...

    Posté par  (site web personnel) . Évalué à 2.

    Tu installe shorewall (c'est un service qui te configure ton iptable avec des fichiers simples)

    Tu a juste a installer le paquet et a ajouter les fichiers policy,zone,rules,interfaces dans /etc/shorewall a partir des exemples et ça va rouler ;)

    ma conf (édulcorée) et shorewall 3.0 (non compatible avec 2.x) dispo en unstable :
    /etc/shorewall/policy
    loc net ACCEPT
    loc fw ACCEPT
    fw loc ACCEPT
    fw net ACCEPT
    #vire le info a la fin si tu veux pas pourrir ton /var/log/message
    net all DROP info
    all all REJECT info

    /etc/shorewall/interfaces
    net ppp+ detect
    loc eth0 detect
    loc eth1 detect

    /etc/shorewall/zones
    net ipv4
    loc ipv4
    fw firewall

    /etc/shorewall/rules
    ACCEPT net fw udp 53,6881,8010 -
    ACCEPT net fw tcp 20,21,22,53,80,443,5901,6881:7000,8010 -
    ACCEPT net fw icmp 8 -

    /etc/shorewall/masq
    ppp+ 192.168.2.0/255.255.255.0

    Bon j'ai un adsl par pppoe sur ppp0, une carte eth1 a 192.168.2.0 qui partage l'adsl a tous ceux qui se connectent en 192.168.2.x sur le hub branché dessus.

    Donc avec ça tu devrais t'en sortir je pense ;)

    Pense a lire la doc sur le site http://www.shorewall.net/ elle y est partiellement en français.

    ps : sous mandriva y a drakfirewall qui te mâche le travail ;)

    ps2 : l'avantage de shorewall est que tu a pas de prise de tête et si ça merde, hop :
    invoke-rc.d shorewall stop

    Et tu regarde ce qui ne vas pas...

    Pour adapter ma conf a la tienne, remplace ppp+ par ton eth0 et ça devrais rouler trankil ;)

    Tu aura surement besoin de re-diriger le flux vers le net sur le port 80 vers ton squid pour économiser de la bp, là encore c'est marqué dans la doc comment le configurer ;)

    Bonne chance ;)

    Oublie pas le tit plus si ça t'aide ;)

  • # Squid est-il bien configuré ?

    Posté par  . Évalué à 2.

    Bonjour,

    Pour que SQUID fonctionne en mode transparent il faut que tu actives certaines options telles que :

    httpd_accel_host virtual
    httpd_accel_port 80
    httpd_accel_with_proxy on
    httpd_accel_uses_host_header on

    En effet, navigateur ne parle pas le meme langage si tu te connectes directement au net ou si tu lui indiques un proxy. Pour ton navigateur, il est connecté directement au net alors que toi tu rediriges tes requettes sur ton proxy. Il faut donc préciser à Squid que le navigateur ne parlera pas langage "proxy".

    Je suis pas expert en IPtables, mais ce que tu as a l'air correcte. Cherche proxy transparent sous google tu auras énormement d'infos...

    J'espere que ca t'aidera a avancer !

    • [^] # Re: Squid est-il bien configuré ?

      Posté par  . Évalué à 1.

      Pour la config de squid, les remarques de spaff sont plus que pertinentes !!

      Pour les iptables, ça semble bien.
      Histoire de chipoter :) tu peux rajouter un
      iptables -t nat -F
      iptables -t nat -X

      après
      iptables -F
      iptables -X

      si tu veux être complet. Sinon, la même règle nat va être ajoutée plusieurs fois (à chaque appel de ton script).


      rien d'autre à dire sinon :-D

Suivre le flux des commentaires

Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.