Pagina 1 di 1
[Internet] Help su squid & iptables
Inviato: mercoledì 11 giugno 2008, 11:03
da nelchael81
Ciao a tutti, sto configurando un server squid, per la precisone sto usando squid3 in modalità transparent.
Vorrei una mano nel creare le regole di iptables per far funzionare il tutto.
Piu precisamente vorrei reindirizzare le richieste smtp e pop3 direttamente al router, quindi bypassando squid che ovviamente non gestisce i due protocolli... sempre che sia possibile :-\
Dopo aver studiato un po di documentazione su squid ho ottenuto una cosa del genere:
Codice: Seleziona tutto
iptables -t nat -A PREROUTING -p tcp -i eth0 --dport SMTP -j DNAT --to indirizzo_router
iptables -t nat -A PREROUTING -p tcp -i eth0 --dport POP3 -j DNAT --to indirizzo_router
Tenete presente che il server ha solo una scheda di rete e serve semplicemente per avere un po di log e una blacklist di siti
Re: [Internet] Help su squid & iptables
Inviato: mercoledì 11 giugno 2008, 11:06
da nelchael81
...dimenticavo: potrei configurare squid per funzionare sulla porta 80 cosi da non dover reindirizzare le richieste dei client sulla porta di squid ? o ho detto una cavolata ?
Re: [Internet] Help su squid & iptables
Inviato: mercoledì 11 giugno 2008, 11:18
da webpatella
squid non processa le richieste smtp e pop perchè viaggiano sulle porte 25 e 110 e non la 3128 dove ascolta squid.
per renderlo trasparente ti basta inserire questa riga:
iptables -t nat -A PREROUTING -p tcp -i (interfaccia_interna) --dport 80 -j REDIRECT --to-port 3128
e abilitare il forwarding su sysctl.conf (mettere 1 al posto di zero su ipv4 ip_forward e togliendo la # ad inizio riga)
Re: [Internet] Help su squid & iptables
Inviato: mercoledì 11 giugno 2008, 11:42
da nelchael81
squid non processa le richieste smtp e pop perchè viaggiano sulle porte 25 e 110 e non la 3128 dove ascolta squid.
si, proprio per questo volevo fare in modo, tramite iptables, che le richieste su quelle porte fossero reindirizzate direttamente al router.
Altrimenti come faccio a far andare outlook ?
Re: [Internet] Help su squid & iptables
Inviato: mercoledì 11 giugno 2008, 12:30
da webpatella
iptables -t nat -A PREROUTING -p tcp -i eth0 --dport 25 -j DNAT --to indirizzo_router:25
Re: [Internet] Help su squid & iptables
Inviato: mercoledì 11 giugno 2008, 13:00
da ivan_73
Ciao!
....quanto sono "sgamati" i tuoi utenti???? Se la loro cultura informatica é minima, la soluzione più semplice sarebbe quella di impostare l'indirizzo del router come gateway nella configurazione di rete sulle macchine, in modo da impostare l'indirizzo dei server di posta in outlook. Per la navigazione poi é sufficiente impostare i browser per utilizzare squid come proxy.....ma se gli utenti sono un pochino smaneggioni se ne accorgerebbero e disattivarebbero il proxy.....devi vedere tu....
Ivan
Re: [Internet] Help su squid & iptables
Inviato: mercoledì 11 giugno 2008, 13:17
da webpatella
secondo me la cosa migliore sarebbe mettere una seconda scheda di rete...così lo interponi LAN --> PROXY --> ROUTER aumentando anche di parecchio la sicurezza della rete con un firewall di base che opera un masquerade
Re: [Internet] Help su squid & iptables
Inviato: mercoledì 11 giugno 2008, 14:33
da nelchael81
Tenete conto che sono su un dominio e tutti gli utenti sono user, non administrator, di conseguenza non possono modificare senza permesso la config della rete.
Per le due schede di rete non sarà facile convincerli ad addiungerne una, anche perchè c'è un problema logistico: il router è al 1 piano, mentre il server proxy al 2, quindi è complicato interporre il serverproxy tra il router e la lan.
Sto facendo delle prove, vi faccio sapere.
Re: [Internet] Help su squid & iptables
Inviato: mercoledì 11 giugno 2008, 18:27
da ivan_73
....la configurazione di rete non si può toccare, ma le impostazioni di IE si, basta che disabilitano le impostazioni proxy ed "escono" liberi.....no puoi far tirare un cavo di rete dal router al proxy???? Come sono fisicamente connesse le macchine??? Lo switch/hub é solo uno o più di uno e dove si trovano?
La soluzione ottimale é montare due schede di rete, come ti hanno suggerito in precedenza.
Ivan
Re: [Internet] Help su squid & iptables
Inviato: mercoledì 11 giugno 2008, 19:00
da nelchael81
Codice: Seleziona tutto
....la configurazione di rete non si può toccare, ma le impostazioni di IE si, basta che disabilitano le impostazioni proxy ed "escono" liberi.....no puoi far tirare un cavo di rete dal router al proxy?Huh? Come sono fisicamente connesse le macchine??? Lo switch/hub é solo uno o più di uno e dove si trovano?
La soluzione ottimale é montare due schede di rete, come ti hanno suggerito in precedenza.
Ivan
Si infatti insistero' per le due schede di rete, a costo di far cambiare stanza.
Le cose ora stanno così:
Il gateway sui client è quello del proxy, quindi in teoria, visto che non possono cambiarlo non possono utilizzare il router come gateway. Mentre il proxy è configurato in modalità transparent, quindi non c'è bisogno di impostare nulla sui browser.
Che ne dite ?
Re: [Internet] Help su squid & iptables
Inviato: giovedì 12 giugno 2008, 11:20
da webpatella
è ua configurazione un pochino sporca ma va...spingi per le 2 eth...
Re: [Internet] Help su squid & iptables
Inviato: giovedì 12 giugno 2008, 11:36
da nelchael81
Insistero' anche se dovro' essere io a trovare la soluzione per le 2 schede >:(
Comunque ora, così com'è impostato sembra andare anche outlook.
...per altro ai piani alti mi hanno gia chiesto di "modificare" qualche macchina per non farla passare dai log (rotfl)
Re: [Internet] Help su squid & iptables
Inviato: giovedì 12 giugno 2008, 11:49
da webpatella
ti consiglio le zixel gigabit se sui 25+iva e funzionano bene con linux altrimenti prendi una broadcom dalla del per 50 euro che ha anche il disipatore sul chip (ma è pci-express 1X) che è supportata anche quella... (good)
per i log è capitato anche a me, anche se la mia configurazione prevede anche dansguardian...quindi è più semplice la gestione...
Re: [Internet] Help su squid & iptables
Inviato: giovedì 12 giugno 2008, 11:57
da nelchael81
Se aggiungono una scheda ne prenderanno una fighissima direttamente dall'armadio dei "FERRI VECCHI" (rotfl) e poi, altro che pci-express, devo ringraziare che il server non abbia le ISA >:(
Re: [Internet] Help su squid & iptables
Inviato: giovedì 12 giugno 2008, 11:59
da nelchael81
Si sa come vanno queste cose:
Il dirigente che si gratta la pancia e gioca al solitario sul QUAD CORE con 4Gb di ram e il povero server che gestisce tutta la rete con un Pentium Impolverato e un banchetto di ram da 128mb, magari a 100MHz (good)
Re: [Internet] Help su squid & iptables
Inviato: giovedì 12 giugno 2008, 12:07
da webpatella
eheh...beh dai...spero non si lamenti che poi il SUO "PC" va lento in internet... (b2b)
Re: [Internet] Help su squid & iptables
Inviato: giovedì 12 giugno 2008, 12:49
da nelchael81
ahahah vero :P