Hallo zusammen.....

.... folgendes Problem muss unter Linux Mandrake folgendes erreichen....

.... der Server muss so viel wie möglich über die access.log mitschrieben, muss aber zusätzlich sachen wie pop Port 110, smtp Port 25,.... durchlassen aber der web Access darf nur über den squid kommen und der Rest soll direkt durchgelassen werden......

so das ich den Rechner im netz als Standartgateway die Firewall bekommt und als Proxy den proxy ( beides ein rechner ) es darf aber nicht geschehen das irgend ein Traffic am squid vorbei geht.....

..... dachte nun das ich nur den squid aufs netz zugreifen lasse und die ports die der squid nicht verarbeiten kann in der firewall freigebe

meine frage zum einen haut das so hin wie ich mir das dachte???

Zum anderen:

Die firewall macht iptables habe damit aber noch nie gearbeitet wie schreibe ich das nun das er das mach und wo????

Hoffe auf baldige Hilfe

Grüße Merlin

Das machst du meines Wissens mit einer DNAT Umleitung per iptables, einfach für http und https

iptables -t nat -A PREROUTING -i eth0 -p tcp --dport http -j REDIRECT --to-port 3128

Nun brauchst du bei deinen Clients nur den Standardgateway drin haben, eintreffende http requests werden dann auf der firewall auf den proxy umgeleitet.

bei diesem aufruf kommt die fehlermeldung das er 'REDIRECT' nicht kennt!?!?!?!?!

iptables -t nat -A PREROUTING -i eth0 -p tcp --dport http -j REDIRECT --to-port 3128

Hmm,

hast du auch in der squid.conf die nötigen Einträge vorgenommen?

httpd_accel_host virtual

httpd_accel_port 80

httpd_accel_single_host off

httpd_accel_with_proxy on

httpd_accel_uses_host_header on

schon aber der kennt diese anweisung nicht ?!?!?!?!?

Morgen,

kannst du dein Firewallscript posten?

öööhm in welcher datei finde ich das???

habe mit dem teil noch nichts zu tun gehabt

Verzeichnis /etc/init.d

das script is nicht das problem sondern wie ich die sachen da reinschreibe also wie ich die regeln erstelle.....

Nabend,

du hast ja geschrieben, das ihr mit iptables arbeitet - also musst du nur die Scriptdatei suchen, wo ihr die Regeln definiert habt, und den o. g. Satz

iptables -t nat -A PREROUTING -i eth0 -p tcp --dport http -j REDIRECT --to-port 3128

bzw. noch

iptables -t nat -A PREROUTING -i eth0 -p tcp --dport https -j REDIRECT --to-port 3128

möglichst vor allen anderen Regeln einfügen. Dann nochmal die Datei neu ausführen.

hmmm also wenn ich diesen aufruf mache dann sagt er

'iptables v1.2.7a: Unknown arg '--to-port'

bla bla --help

Original geschrieben von merlin3011

hmmm also wenn ich diesen aufruf mache dann sagt er

'iptables v1.2.7a: Unknown arg '--to-port'

bla bla --help

Hm da fällt mir jetzt auch nicht mehr allzu viel ein, also 1.2.7 sollte das ja normal beherrschen. Könnte natürlich auch ein bug sein, evtl. hilft es upzugraden :confused: . Ansonsten poste mal bitte ein paar mehr Informationen über dein System (Distribution, Kernelversion usw.) und das komplette Script.

also am laufen ist ein mandrake 9.1

das ding ist komplatt neu aufgesetzt deswegen auch kein firewallscript sonst könnte ich mich da auch selber durchbeisen aber ich habe wie gesagt mit iptables noch nie was gemacht und naja.....

[ ] Du brauchst ganz dringend das iptables Howto, allein weil du bereits einen zweiten Thread geöffnet hast...

die Sache mit dem Redirect funktioniert nicht, da du wahrcheinlich das entsprechende Modul nicht geladen hast, bzw es nicht vorhanden ist.

probiere ein modprobe ipt_REDIRECT

und anschliessend erneut die Zeile von oben.

desweiteren ist es zu empfehlen, die Squid Doku zu lesen http://www.squid-handbuch.de/ bzw. http://www.squid-cache.org

nett wäre für dich auch die Netfilter-Doku und das Transparent Proxy Howto http://www.ibiblio.org/pub/Linux/docs/HOWTO/other-formats/pdf/TransparentProxy.pdf

hast du denn über haupt dem kernel gesagt, dass er als Paketfilter fungieren soll?

/usr/src/linux make menuconfig

submenu Netfilter Configuration und dann Network packet filtering

Der Thread ist knapp 2 Jahre alt

...für manche Dinge ist man eben nie zu alt