prova a vedere che pacchetti manda al proxy loggano la chain di prerouting sul firewall !
prova a vedere che pacchetti manda al proxy loggano la chain di prerouting sul firewall !
I have tried all ... but the preferred remains SLACKWARE !
RHCE (Linux Red Hat Certified Engineer)
CNAC (Cisco Networking Academy Certified)
"Non auro, sed ferro, recuperanda est patria"
Nel log del firewall, e appere quasi contemporaneamente al msg di errore di IE (Impossibile visualizzare la pagina).
Se in IE imposto i parametri del proxy tutto funziona correttamente, non riesco a capire![]()
Linux User #332385
Questo e' quello che viene loggato sul firewall nella catena PREROUTING prima del DNAT:Originariamente inviato da Boromir
prova a vedere che pacchetti manda al proxy loggano la chain di prerouting sul firewall !
codice:IN=eth1 OUT= MAC=00:50:04:2d:78:66:00:50:da:e4:0b:19:08:00 SRC=192.168.0.152 DST=62.211.65.12 LEN=48 TOS=0x00 PREC=0x00 TTL=128 ID=2496 DF PROTO=TCP SPT=1417 DPT=80 WINDOW=64512 RES=0x00 SYN URGP=0
Linux User #332385
sul firewall alla regola del DNAT hai messo anche la porta eth1 ? giusto per sicurezza mettila.
Se tu metti l'impostazione del proxy sul browser è normale che funzioni ... perchè tutto il processo di route per accedere al proxy lo fa IE. Noi stiamo cercando di fare un trasparent proxy come passaggio obbligato in modo che cmq nessuno lo possa bypassare .
Allora altra prova.
Rimetti la regola di REDIRECT sul proxy e prova a impostartelo come default gateway.
Vedi cosa succede e se si riempie la catena REDIRECT
I have tried all ... but the preferred remains SLACKWARE !
RHCE (Linux Red Hat Certified Engineer)
CNAC (Cisco Networking Academy Certified)
"Non auro, sed ferro, recuperanda est patria"
Si, infatti e' quello che volevo fare, impostare il trasparent proxy.Originariamente inviato da Boromir
sul firewall alla regola del DNAT hai messo anche la porta eth1 ? giusto per sicurezza mettila.
Se tu metti l'impostazione del proxy sul browser è normale che funzioni ... perchè tutto il processo di route per accedere al proxy lo fa IE. Noi stiamo cercando di fare un trasparent proxy come passaggio obbligato in modo che cmq nessuno lo possa bypassare .
Allora altra prova.
Rimetti la regola di REDIRECT sul proxy e prova a impostartelo come default gateway.
Vedi cosa succede e se si riempie la catena REDIRECT
Ho provato a mettere come default gw il proxy e funziona, la regola REDIRECT si riempie.
Cosa diavolo puo' essere :-?
Linux User #332385
presumo che a questo punto sia la regola sul firewall ... asp faccio delle prove anche io sui miei server ... speriamo che non si incavoli qualcuno!
I have tried all ... but the preferred remains SLACKWARE !
RHCE (Linux Red Hat Certified Engineer)
CNAC (Cisco Networking Academy Certified)
"Non auro, sed ferro, recuperanda est patria"
Se non ti rompe ti invierei il file di conf del firewall...Originariamente inviato da Boromir
presumo che a questo punto sia la regola sul firewall ... asp faccio delle prove anche io sui miei server ... speriamo che non si incavoli qualcuno!
Linux User #332385
no figurati ... considera che adesso ho impostato tutto come te e mi funziona tutto tranquillamente !
I have tried all ... but the preferred remains SLACKWARE !
RHCE (Linux Red Hat Certified Engineer)
CNAC (Cisco Networking Academy Certified)
"Non auro, sed ferro, recuperanda est patria"
Allora c'e' qualcosa che non va' nella conf del firewall.Originariamente inviato da Boromir
no figurati ... considera che adesso ho impostato tutto come te e mi funziona tutto tranquillamente !
Ecco la Configurazione:
#!/bin/bash
#Variabili
IP_FW_EXT=xxx.xxx.xxx.xxx
IP_FW_INT=192.168.0.250
IP_NET_LOC=192.168.0.0/24
ETH_EXT=eth0
ETH_LOC=eth1
#Resetto le tabelle di Firewall
for table in nat mangle filter;do
iptables -t $table -F
iptables -t $table -X
iptables -t $table -Z
done
#Ignoro i ping di broadcast
echo 1 > /proc/sys/net/ipv4/icmp_echo_ignore_broadcasts
#Disabilito lo spoofing
for i in /proc/sys/net/ipv4/conf/*/rp_filter; do
echo 1 > $i
done
#Abilito il forwarding
echo 1 > /proc/sys/net/ipv4/ip_forward
#Abilito i syn cookies
echo 1 > /proc/sys/net/ipv4/tcp_syncookies
#Disabilito l' ecn
echo 0 > /proc/sys/net/ipv4/tcp_ecn
#Ignora finti messaggi di errore ICMP
echo 1 > /proc/sys/net/ipv4/icmp_ignore_bogus_error_responses
#Non accetta pacchetti ICMP di route redirection
echo 0 > /proc/sys/net/ipv4/conf/all/accept_redirects
#Non risponde ai ping di broadcast
echo 1 > /proc/sys/net/ipv4/conf/all/log_martians
#Imposto le regole di default
iptables -P INPUT DROP
iptables -P FORWARD DROP
iptables -P OUTPUT DROP
iptables -A INPUT -i lo -j ACCEPT
#Creo due nuove catene
iptables -N net2loc # Tutto quello che entra in eth0 ed esce in eth1
iptables -N loc2net # Tutto quello che entra in eth1 ed esce in eth0
iptables -A FORWARD -i $ETH_EXT -o $ETH_LOC -j net2loc
iptables -A FORWARD -i $ETH_LOC -o $ETH_EXT -j loc2net
iptables -A net2loc -m state --state RELATED,ESTABLISHED -j ACCEPT
iptables -A net2loc -j LOG --log-prefix "Net2Loc:" --log-level=DEBUG
iptables -A net2loc -p tcp -j REJECT --reject-with tcp-reset
iptables -A loc2net -p udp -s $IP_NET_LOC --dport 53 -j ACCEPT
iptables -A loc2net -p udp -s $IP_NET_LOC --dport 123 -j ACCEPT
iptables -A loc2net -p udp -s $IP_NET_LOC --dport 370 -j ACCEPT
iptables -A loc2net -p tcp -s $IP_NET_LOC --dport 53 -j ACCEPT
iptables -A loc2net -p tcp -s $IP_NET_LOC --dport 25 -j ACCEPT
iptables -A loc2net -p tcp -s $IP_NET_LOC --dport 80 -j ACCEPT
iptables -A loc2net -m state --state RELATED,ESTABLISHED -j ACCEPT
iptables -A loc2net -m pkttype --pkt-type ! broadcast -j LOG --log-prefix "Loc2Net:" --log-level=DEBUG
iptables -A loc2net -p tcp -j REJECT --reject-with tcp-reset
iptables -A INPUT -i eth0 -p tcp --syn --dport 1212 -j ACCEPT
iptables -A INPUT -i eth1 -m limit --limit 10/min -p tcp --syn --dport 1212 -j ACCEPT
iptables -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
iptables -A INPUT -m pkttype --pkt-type ! broadcast -j LOG --log-prefix "Input:" --log-level=DEBUG
iptables -A INPUT -p tcp -j REJECT --reject-with tcp-reset
iptables -A OUTPUT -o eth1 -p icmp --icmp-type 5 -j ACCEPT
iptables -A OUTPUT -o eth0 -p udp --dport 53 -j ACCEPT
iptables -A OUTPUT -o eth0 -p udp --dport 123 -j ACCEPT
iptables -A OUTPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
iptables -A OUTPUT -m pkttype --pkt-type ! broadcast -j LOG --log-prefix "Output:" --log-level=DEBUG
iptables -A OUTPUT -p tcp -j REJECT --reject-with tcp-reset
iptables -t nat -A PREROUTING -i eth1 -p tcp -m tcp -s ! 192.168.0.252 --dport 80 -j DNAT --to-destination 192.168.0.252
iptables -t nat -A POSTROUTING -o eth0 -j SNAT --to $IP_FW_EXT
Linux User #332385
niente ... ho detto una cavolata.
Quando gli fai il DNAT , lui ti passa ip sorgente 192.168.0.x e la destinazione www.google.it diventa 192.168.0.252.
Quindi al proxy gli arriverà una richiesta di connessione per 192.168.0.252 e ti va in time-out !
I have tried all ... but the preferred remains SLACKWARE !
RHCE (Linux Red Hat Certified Engineer)
CNAC (Cisco Networking Academy Certified)
"Non auro, sed ferro, recuperanda est patria"