[Internet] Help su squid & iptables

[nelchael81]

Ciao a tutti, sto configurando un server squid, per la precisone sto usando squid3 in modalità transparent.

Vorrei una mano nel creare le regole di iptables per far funzionare il tutto.

Piu precisamente vorrei reindirizzare le richieste smtp e pop3 direttamente al router, quindi bypassando squid che ovviamente non gestisce i due protocolli... sempre che sia possibile  :-\

Dopo aver studiato un po di documentazione su squid ho ottenuto una cosa del genere:

Codice: Seleziona tutto

iptables -t nat -A PREROUTING -p tcp -i eth0 --dport SMTP -j DNAT --to indirizzo_router
iptables -t nat -A PREROUTING -p tcp -i eth0 --dport POP3 -j DNAT --to indirizzo_router

Tenete presente che il server ha solo una scheda di rete e serve semplicemente per avere un po di log e una blacklist di siti

[nelchael81]

...dimenticavo: potrei configurare squid per funzionare sulla porta 80 cosi da non dover reindirizzare le richieste dei client sulla porta di squid ? o ho detto una cavolata ?

[webpatella]

squid non processa le richieste smtp e pop perchè viaggiano sulle porte 25 e 110 e non la 3128 dove ascolta squid.

per renderlo trasparente ti basta inserire questa riga:

iptables -t nat -A PREROUTING -p tcp -i (interfaccia_interna) --dport 80 -j REDIRECT --to-port 3128

e abilitare il forwarding su sysctl.conf (mettere 1 al posto di zero su ipv4 ip_forward e togliendo la # ad inizio riga)

[nelchael81]

squid non processa le richieste smtp e pop perchè viaggiano sulle porte 25 e 110 e non la 3128 dove ascolta squid.

si, proprio per questo volevo fare in modo, tramite iptables, che le richieste su quelle porte fossero reindirizzate direttamente al router.
Altrimenti come faccio a far andare outlook ?

[webpatella]

iptables -t nat -A PREROUTING -p tcp -i eth0 --dport 25 -j DNAT --to indirizzo_router:25

[ivan_73]

Ciao!
....quanto sono "sgamati" i tuoi utenti???? Se la loro cultura informatica é minima, la soluzione più semplice sarebbe quella di impostare l'indirizzo del router come gateway nella configurazione di rete sulle macchine, in modo da impostare l'indirizzo dei server di posta in outlook. Per la navigazione poi é sufficiente impostare i browser per utilizzare squid come proxy.....ma se gli utenti sono un pochino smaneggioni se ne accorgerebbero e disattivarebbero il proxy.....devi vedere tu....

Ivan

[webpatella]

secondo me la cosa migliore sarebbe mettere una seconda scheda di rete...così lo interponi LAN --> PROXY --> ROUTER aumentando anche di parecchio la sicurezza della rete con un firewall di base che opera un masquerade

[nelchael81]

Tenete  conto che sono su un dominio e tutti gli utenti sono user, non administrator, di conseguenza non possono modificare senza permesso la config della rete.

Per le due schede di rete non sarà facile convincerli ad addiungerne una, anche perchè c'è un problema logistico: il router è al 1 piano, mentre il server proxy al 2, quindi è complicato interporre il serverproxy tra il router e la lan.


Sto facendo delle prove, vi faccio sapere.

[ivan_73]

....la configurazione di rete non si può toccare, ma le impostazioni di IE si, basta che disabilitano le impostazioni proxy ed "escono" liberi.....no puoi far tirare un cavo di rete dal router al proxy???? Come sono fisicamente connesse le macchine??? Lo switch/hub é solo uno o più di uno e dove si trovano?

La soluzione ottimale é montare due schede di rete, come ti hanno suggerito in precedenza.

Ivan

[nelchael81]

Codice: Seleziona tutto

....la configurazione di rete non si può toccare, ma le impostazioni di IE si, basta che disabilitano le impostazioni proxy ed "escono" liberi.....no puoi far tirare un cavo di rete dal router al proxy?Huh? Come sono fisicamente connesse le macchine??? Lo switch/hub é solo uno o più di uno e dove si trovano?

La soluzione ottimale é montare due schede di rete, come ti hanno suggerito in precedenza.

Ivan

Si infatti insistero' per le due schede di rete, a costo di far cambiare stanza.

Le cose ora stanno così:
Il gateway sui client è quello del proxy, quindi in teoria, visto che non possono cambiarlo non possono utilizzare il router come gateway. Mentre il proxy è configurato in modalità transparent, quindi non c'è bisogno di impostare nulla sui browser.
Che ne dite ?

[webpatella]

è ua configurazione un pochino sporca ma va...spingi per le 2 eth...

[nelchael81]

Insistero' anche se dovro' essere io a trovare la soluzione per le 2 schede  >:(
Comunque ora, così com'è impostato sembra andare anche outlook.

...per altro ai piani alti mi hanno gia chiesto di "modificare" qualche macchina per non farla passare dai log  (rotfl)

[webpatella]

ti consiglio le zixel gigabit se sui 25+iva e funzionano bene con linux altrimenti prendi una broadcom dalla del per 50 euro che ha anche il disipatore sul chip (ma è pci-express 1X) che è supportata anche quella... (good)

per i log è capitato anche a me, anche se la mia configurazione prevede anche dansguardian...quindi è più semplice la gestione...

[nelchael81]

Se aggiungono una scheda ne prenderanno una fighissima direttamente dall'armadio dei "FERRI VECCHI"  (rotfl) e poi, altro che pci-express, devo ringraziare che il server non abbia le ISA  >:(

[nelchael81]

Si sa come vanno queste cose:
Il dirigente che si gratta la pancia e gioca al solitario sul QUAD CORE con 4Gb di ram e il povero server che gestisce tutta la rete con un Pentium Impolverato e un banchetto di ram da 128mb, magari a 100MHz  (good)

[webpatella]

eheh...beh dai...spero non si lamenti che poi il SUO "PC" va lento in internet... (b2b)

[nelchael81]

ahahah vero :P