| 1 |
Robert Welz wrote: |
| 2 |
> Jürgen Hähnel wrote: |
| 3 |
> |
| 4 |
>> Am Samstag, 25. März 2006 12:26 schrieb Robert Welz: |
| 5 |
>> |
| 6 |
>> |
| 7 |
>>> Ich habs gefunden: |
| 8 |
>>> http_port Interne_IP1:8008 |
| 9 |
>>> http_port Weitere_IP2:8008 |
| 10 |
>>> http_port Weitere_IP3:8008 |
| 11 |
>>> usw, |
| 12 |
>>> |
| 13 |
>>> und Du nimmst die externe IP raus. |
| 14 |
>>> |
| 15 |
>>> Eventuell steht in Deiner squid.conf nur |
| 16 |
>>> http_port 8008, damit lauscht squid auf allen IPs, auch auf der |
| 17 |
>>> dynamischen fürs Internet. Du hast doch eine dynamische IP? |
| 18 |
>>> |
| 19 |
>>> |
| 20 |
>>> Robert |
| 21 |
>> |
| 22 |
>> |
| 23 |
>> |
| 24 |
>> Genau so war es. Sagte schon zu mir: Wer lesen kann ist klar im |
| 25 |
>> Vorteil :-) Steht bei genauem Hinsehen ja in der conf drin. |
| 26 |
>> Also schnell geändert: |
| 27 |
>> |
| 28 |
>> http_port hostname:3128 |
| 29 |
>> http_port localhost:3128 #ohne dem gehts local nicht |
| 30 |
>> |
| 31 |
>> und alle Cache's geleert und squid neu gestartet; Ergebnis: |
| 32 |
>> Alles beim Alten :-| |
| 33 |
>> |
| 34 |
>> neu mit |
| 35 |
>> |
| 36 |
>> http_port 192.168.0.1:3128 |
| 37 |
>> http_port 127.0.0.1:3128 |
| 38 |
>> |
| 39 |
>> Kein Erfolg |
| 40 |
>> |
| 41 |
>> Gruss |
| 42 |
>> Jürgen |
| 43 |
>> |
| 44 |
> Ich habe |
| 45 |
> http_port 192.168.1.10:3128 |
| 46 |
> http_port 192.168.2.10:3128 |
| 47 |
> http_port 192.168.3.10:3128 |
| 48 |
> |
| 49 |
> und habe mal |
| 50 |
> #http_port 192.168.2.10:3128 |
| 51 |
> #http_port 192.168.3.10:3128 |
| 52 |
> auskommentiert. |
| 53 |
> |
| 54 |
> mit dem Ergebniss, dass die 2er und 3er Zone, die Squid als Proxy |
| 55 |
> verwendet mit folgender Fehlermeldung daherkommt: |
| 56 |
> Beim Laden von http://www.xyz.com/de/hotnews/ ist folgender Fehler |
| 57 |
> aufgetreten: |
| 58 |
> Keine Verbindung zu Rechner Proxy 192.168.2.10 auf Port 3128. |
| 59 |
> |
| 60 |
> Also muss das gehen. Ich restarte allerdings squid mit |
| 61 |
> /etc/init.d/squid restart |
| 62 |
> und das Script (wie der ganze Rest auf der Maschine) ist noch ein SuSE10. |
| 63 |
> |
| 64 |
> Aber es ist der richtige Weg. |
| 65 |
> |
| 66 |
> Du kannst auch die Firewall auf Port 3128 für --syn zumachen (DROP). Ist |
| 67 |
> iptables Programmieren eine Option? |
| 68 |
> |
| 69 |
> Robert |
| 70 |
Ich bin ab morgen für ne Woche weg, also verrate ich Dir mal die |
| 71 |
Firewallregel für den Spass. |
| 72 |
|
| 73 |
Wenn Dein Squid kein FTP bedient: |
| 74 |
|
| 75 |
iptables -A INPUT -p tcp -m state --state NEW,INVALID,RELATED --dport |
| 76 |
3128 -j LOG |
| 77 |
iptables -A INPUT -p tcp -m state --state NEW,INVALID,RELATED --dport |
| 78 |
3128 -j DROP |
| 79 |
iptables -A INPUT -p udp -m state --state NEW,INVALID,RELATED --dport |
| 80 |
3128 -j LOG |
| 81 |
iptables -A INPUT -p udp -m state --state NEW,INVALID,RELATED --dport |
| 82 |
3128 -j DROP |
| 83 |
|
| 84 |
|
| 85 |
Wenn doch: dann lösche das RELATED |
| 86 |
snip... --state NEW,INVALID -j LOG |
| 87 |
snip... --state NEW,INVALID -j DROP |
| 88 |
jetzt sollte aktives ftp auch funktionieren. |
| 89 |
|
| 90 |
Der Knackpunkt ist, dass tcp und udp einzeln angegeben werden müssen. |
| 91 |
|
| 92 |
Leider ist iptables ein ziemlich komlexes Thema, aber wenn Du aber gar |
| 93 |
keinen Server im Internet betreibst, kannst Du alles zumachen: |
| 94 |
|
| 95 |
iptables -A INPUT -m state --state NEW,INVALID -j LOG |
| 96 |
iptables -A INPUT -m state --state NEW,INVALID -j DROP |
| 97 |
|
| 98 |
wird aber beim aktiven ftp problematischalso vorher |
| 99 |
iptables -A INPUT -m state --state RELATED -j ACCEPT |
| 100 |
|
| 101 |
viellecht besser noch den -p tcp --sport (was ist ftp?) einfügen. |
| 102 |
Und wenn Du UDP magst -p udp --sport (was ist ftp). |
| 103 |
|
| 104 |
Passives FTP müsste aber gehen. |
| 105 |
|
| 106 |
|
| 107 |
Die Regeln sollten auch gleich am Anfang stehen, nicht das irgendwo |
| 108 |
schon ACCEPT'ed wird was hier verboten sein soll. |
| 109 |
|
| 110 |
Schönes Wochenende, |
| 111 |
Robert |
| 112 |
|
| 113 |
|
| 114 |
-- |
| 115 |
gentoo-user-de@g.o mailing list |
Archives