1 |
Robert Welz wrote: |
2 |
> Jürgen Hähnel wrote: |
3 |
> |
4 |
>> Am Samstag, 25. März 2006 12:26 schrieb Robert Welz: |
5 |
>> |
6 |
>> |
7 |
>>> Ich habs gefunden: |
8 |
>>> http_port Interne_IP1:8008 |
9 |
>>> http_port Weitere_IP2:8008 |
10 |
>>> http_port Weitere_IP3:8008 |
11 |
>>> usw, |
12 |
>>> |
13 |
>>> und Du nimmst die externe IP raus. |
14 |
>>> |
15 |
>>> Eventuell steht in Deiner squid.conf nur |
16 |
>>> http_port 8008, damit lauscht squid auf allen IPs, auch auf der |
17 |
>>> dynamischen fürs Internet. Du hast doch eine dynamische IP? |
18 |
>>> |
19 |
>>> |
20 |
>>> Robert |
21 |
>> |
22 |
>> |
23 |
>> |
24 |
>> Genau so war es. Sagte schon zu mir: Wer lesen kann ist klar im |
25 |
>> Vorteil :-) Steht bei genauem Hinsehen ja in der conf drin. |
26 |
>> Also schnell geändert: |
27 |
>> |
28 |
>> http_port hostname:3128 |
29 |
>> http_port localhost:3128 #ohne dem gehts local nicht |
30 |
>> |
31 |
>> und alle Cache's geleert und squid neu gestartet; Ergebnis: |
32 |
>> Alles beim Alten :-| |
33 |
>> |
34 |
>> neu mit |
35 |
>> |
36 |
>> http_port 192.168.0.1:3128 |
37 |
>> http_port 127.0.0.1:3128 |
38 |
>> |
39 |
>> Kein Erfolg |
40 |
>> |
41 |
>> Gruss |
42 |
>> Jürgen |
43 |
>> |
44 |
> Ich habe |
45 |
> http_port 192.168.1.10:3128 |
46 |
> http_port 192.168.2.10:3128 |
47 |
> http_port 192.168.3.10:3128 |
48 |
> |
49 |
> und habe mal |
50 |
> #http_port 192.168.2.10:3128 |
51 |
> #http_port 192.168.3.10:3128 |
52 |
> auskommentiert. |
53 |
> |
54 |
> mit dem Ergebniss, dass die 2er und 3er Zone, die Squid als Proxy |
55 |
> verwendet mit folgender Fehlermeldung daherkommt: |
56 |
> Beim Laden von http://www.xyz.com/de/hotnews/ ist folgender Fehler |
57 |
> aufgetreten: |
58 |
> Keine Verbindung zu Rechner Proxy 192.168.2.10 auf Port 3128. |
59 |
> |
60 |
> Also muss das gehen. Ich restarte allerdings squid mit |
61 |
> /etc/init.d/squid restart |
62 |
> und das Script (wie der ganze Rest auf der Maschine) ist noch ein SuSE10. |
63 |
> |
64 |
> Aber es ist der richtige Weg. |
65 |
> |
66 |
> Du kannst auch die Firewall auf Port 3128 für --syn zumachen (DROP). Ist |
67 |
> iptables Programmieren eine Option? |
68 |
> |
69 |
> Robert |
70 |
Ich bin ab morgen für ne Woche weg, also verrate ich Dir mal die |
71 |
Firewallregel für den Spass. |
72 |
|
73 |
Wenn Dein Squid kein FTP bedient: |
74 |
|
75 |
iptables -A INPUT -p tcp -m state --state NEW,INVALID,RELATED --dport |
76 |
3128 -j LOG |
77 |
iptables -A INPUT -p tcp -m state --state NEW,INVALID,RELATED --dport |
78 |
3128 -j DROP |
79 |
iptables -A INPUT -p udp -m state --state NEW,INVALID,RELATED --dport |
80 |
3128 -j LOG |
81 |
iptables -A INPUT -p udp -m state --state NEW,INVALID,RELATED --dport |
82 |
3128 -j DROP |
83 |
|
84 |
|
85 |
Wenn doch: dann lösche das RELATED |
86 |
snip... --state NEW,INVALID -j LOG |
87 |
snip... --state NEW,INVALID -j DROP |
88 |
jetzt sollte aktives ftp auch funktionieren. |
89 |
|
90 |
Der Knackpunkt ist, dass tcp und udp einzeln angegeben werden müssen. |
91 |
|
92 |
Leider ist iptables ein ziemlich komlexes Thema, aber wenn Du aber gar |
93 |
keinen Server im Internet betreibst, kannst Du alles zumachen: |
94 |
|
95 |
iptables -A INPUT -m state --state NEW,INVALID -j LOG |
96 |
iptables -A INPUT -m state --state NEW,INVALID -j DROP |
97 |
|
98 |
wird aber beim aktiven ftp problematischalso vorher |
99 |
iptables -A INPUT -m state --state RELATED -j ACCEPT |
100 |
|
101 |
viellecht besser noch den -p tcp --sport (was ist ftp?) einfügen. |
102 |
Und wenn Du UDP magst -p udp --sport (was ist ftp). |
103 |
|
104 |
Passives FTP müsste aber gehen. |
105 |
|
106 |
|
107 |
Die Regeln sollten auch gleich am Anfang stehen, nicht das irgendwo |
108 |
schon ACCEPT'ed wird was hier verboten sein soll. |
109 |
|
110 |
Schönes Wochenende, |
111 |
Robert |
112 |
|
113 |
|
114 |
-- |
115 |
gentoo-user-de@g.o mailing list |