Pagina 3 di 4 primaprima 1 2 3 4 ultimoultimo
Visualizzazione dei risultati da 21 a 30 su 36
  1. #21
    prova a vedere che pacchetti manda al proxy loggano la chain di prerouting sul firewall !
    I have tried all ... but the preferred remains SLACKWARE !
    RHCE (Linux Red Hat Certified Engineer)
    CNAC (Cisco Networking Academy Certified)
    "Non auro, sed ferro, recuperanda est patria"

  2. #22
    Nel log del firewall, e appere quasi contemporaneamente al msg di errore di IE (Impossibile visualizzare la pagina).

    Se in IE imposto i parametri del proxy tutto funziona correttamente, non riesco a capire
    Linux User #332385

  3. #23
    Originariamente inviato da Boromir
    prova a vedere che pacchetti manda al proxy loggano la chain di prerouting sul firewall !
    Questo e' quello che viene loggato sul firewall nella catena PREROUTING prima del DNAT:
    codice:
    IN=eth1 OUT= MAC=00:50:04:2d:78:66:00:50:da:e4:0b:19:08:00 SRC=192.168.0.152 DST=62.211.65.12 LEN=48 TOS=0x00 PREC=0x00 TTL=128 ID=2496 DF PROTO=TCP SPT=1417 DPT=80 WINDOW=64512 RES=0x00 SYN URGP=0
    Linux User #332385

  4. #24
    sul firewall alla regola del DNAT hai messo anche la porta eth1 ? giusto per sicurezza mettila.
    Se tu metti l'impostazione del proxy sul browser è normale che funzioni ... perchè tutto il processo di route per accedere al proxy lo fa IE. Noi stiamo cercando di fare un trasparent proxy come passaggio obbligato in modo che cmq nessuno lo possa bypassare .
    Allora altra prova.
    Rimetti la regola di REDIRECT sul proxy e prova a impostartelo come default gateway.
    Vedi cosa succede e se si riempie la catena REDIRECT
    I have tried all ... but the preferred remains SLACKWARE !
    RHCE (Linux Red Hat Certified Engineer)
    CNAC (Cisco Networking Academy Certified)
    "Non auro, sed ferro, recuperanda est patria"

  5. #25
    Originariamente inviato da Boromir
    sul firewall alla regola del DNAT hai messo anche la porta eth1 ? giusto per sicurezza mettila.
    Se tu metti l'impostazione del proxy sul browser è normale che funzioni ... perchè tutto il processo di route per accedere al proxy lo fa IE. Noi stiamo cercando di fare un trasparent proxy come passaggio obbligato in modo che cmq nessuno lo possa bypassare .
    Allora altra prova.
    Rimetti la regola di REDIRECT sul proxy e prova a impostartelo come default gateway.
    Vedi cosa succede e se si riempie la catena REDIRECT
    Si, infatti e' quello che volevo fare, impostare il trasparent proxy.

    Ho provato a mettere come default gw il proxy e funziona, la regola REDIRECT si riempie.

    Cosa diavolo puo' essere :-?
    Linux User #332385

  6. #26
    presumo che a questo punto sia la regola sul firewall ... asp faccio delle prove anche io sui miei server ... speriamo che non si incavoli qualcuno !
    I have tried all ... but the preferred remains SLACKWARE !
    RHCE (Linux Red Hat Certified Engineer)
    CNAC (Cisco Networking Academy Certified)
    "Non auro, sed ferro, recuperanda est patria"

  7. #27
    Originariamente inviato da Boromir
    presumo che a questo punto sia la regola sul firewall ... asp faccio delle prove anche io sui miei server ... speriamo che non si incavoli qualcuno !
    Se non ti rompe ti invierei il file di conf del firewall...
    Linux User #332385

  8. #28
    no figurati ... considera che adesso ho impostato tutto come te e mi funziona tutto tranquillamente !
    I have tried all ... but the preferred remains SLACKWARE !
    RHCE (Linux Red Hat Certified Engineer)
    CNAC (Cisco Networking Academy Certified)
    "Non auro, sed ferro, recuperanda est patria"

  9. #29
    Originariamente inviato da Boromir
    no figurati ... considera che adesso ho impostato tutto come te e mi funziona tutto tranquillamente !
    Allora c'e' qualcosa che non va' nella conf del firewall.
    Ecco la Configurazione:

    #!/bin/bash

    #Variabili
    IP_FW_EXT=xxx.xxx.xxx.xxx
    IP_FW_INT=192.168.0.250
    IP_NET_LOC=192.168.0.0/24
    ETH_EXT=eth0
    ETH_LOC=eth1

    #Resetto le tabelle di Firewall
    for table in nat mangle filter;do
    iptables -t $table -F
    iptables -t $table -X
    iptables -t $table -Z
    done

    #Ignoro i ping di broadcast
    echo 1 > /proc/sys/net/ipv4/icmp_echo_ignore_broadcasts
    #Disabilito lo spoofing
    for i in /proc/sys/net/ipv4/conf/*/rp_filter; do
    echo 1 > $i
    done
    #Abilito il forwarding
    echo 1 > /proc/sys/net/ipv4/ip_forward
    #Abilito i syn cookies
    echo 1 > /proc/sys/net/ipv4/tcp_syncookies
    #Disabilito l' ecn
    echo 0 > /proc/sys/net/ipv4/tcp_ecn
    #Ignora finti messaggi di errore ICMP
    echo 1 > /proc/sys/net/ipv4/icmp_ignore_bogus_error_responses
    #Non accetta pacchetti ICMP di route redirection
    echo 0 > /proc/sys/net/ipv4/conf/all/accept_redirects
    #Non risponde ai ping di broadcast
    echo 1 > /proc/sys/net/ipv4/conf/all/log_martians
    #Imposto le regole di default
    iptables -P INPUT DROP
    iptables -P FORWARD DROP
    iptables -P OUTPUT DROP

    iptables -A INPUT -i lo -j ACCEPT

    #Creo due nuove catene
    iptables -N net2loc # Tutto quello che entra in eth0 ed esce in eth1
    iptables -N loc2net # Tutto quello che entra in eth1 ed esce in eth0

    iptables -A FORWARD -i $ETH_EXT -o $ETH_LOC -j net2loc
    iptables -A FORWARD -i $ETH_LOC -o $ETH_EXT -j loc2net

    iptables -A net2loc -m state --state RELATED,ESTABLISHED -j ACCEPT
    iptables -A net2loc -j LOG --log-prefix "Net2Loc:" --log-level=DEBUG
    iptables -A net2loc -p tcp -j REJECT --reject-with tcp-reset

    iptables -A loc2net -p udp -s $IP_NET_LOC --dport 53 -j ACCEPT
    iptables -A loc2net -p udp -s $IP_NET_LOC --dport 123 -j ACCEPT
    iptables -A loc2net -p udp -s $IP_NET_LOC --dport 370 -j ACCEPT
    iptables -A loc2net -p tcp -s $IP_NET_LOC --dport 53 -j ACCEPT
    iptables -A loc2net -p tcp -s $IP_NET_LOC --dport 25 -j ACCEPT
    iptables -A loc2net -p tcp -s $IP_NET_LOC --dport 80 -j ACCEPT
    iptables -A loc2net -m state --state RELATED,ESTABLISHED -j ACCEPT
    iptables -A loc2net -m pkttype --pkt-type ! broadcast -j LOG --log-prefix "Loc2Net:" --log-level=DEBUG
    iptables -A loc2net -p tcp -j REJECT --reject-with tcp-reset

    iptables -A INPUT -i eth0 -p tcp --syn --dport 1212 -j ACCEPT
    iptables -A INPUT -i eth1 -m limit --limit 10/min -p tcp --syn --dport 1212 -j ACCEPT
    iptables -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
    iptables -A INPUT -m pkttype --pkt-type ! broadcast -j LOG --log-prefix "Input:" --log-level=DEBUG
    iptables -A INPUT -p tcp -j REJECT --reject-with tcp-reset

    iptables -A OUTPUT -o eth1 -p icmp --icmp-type 5 -j ACCEPT
    iptables -A OUTPUT -o eth0 -p udp --dport 53 -j ACCEPT
    iptables -A OUTPUT -o eth0 -p udp --dport 123 -j ACCEPT
    iptables -A OUTPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
    iptables -A OUTPUT -m pkttype --pkt-type ! broadcast -j LOG --log-prefix "Output:" --log-level=DEBUG
    iptables -A OUTPUT -p tcp -j REJECT --reject-with tcp-reset

    iptables -t nat -A PREROUTING -i eth1 -p tcp -m tcp -s ! 192.168.0.252 --dport 80 -j DNAT --to-destination 192.168.0.252
    iptables -t nat -A POSTROUTING -o eth0 -j SNAT --to $IP_FW_EXT
    Linux User #332385

  10. #30
    niente ... ho detto una cavolata.
    Quando gli fai il DNAT , lui ti passa ip sorgente 192.168.0.x e la destinazione www.google.it diventa 192.168.0.252.
    Quindi al proxy gli arriverà una richiesta di connessione per 192.168.0.252 e ti va in time-out !
    I have tried all ... but the preferred remains SLACKWARE !
    RHCE (Linux Red Hat Certified Engineer)
    CNAC (Cisco Networking Academy Certified)
    "Non auro, sed ferro, recuperanda est patria"

Permessi di invio

  • Non puoi inserire discussioni
  • Non puoi inserire repliche
  • Non puoi inserire allegati
  • Non puoi modificare i tuoi messaggi
  •  
Powered by vBulletin® Version 4.2.1
Copyright © 2026 vBulletin Solutions, Inc. All rights reserved.