Iptables --> squid

[dedecop2]

salut,

j'essaie en vain de configurer iptables avec squid. Toutes les requêtes venant de mon réseau sur le port 80 doivent être routées sur le port 8080. Voilà la ligne de config que j'utilise dans iptables :

-A PREROUTING -p tcp -m tcp -i eth0 --dport 80 -j DNAT --to-destination 10.250.100.100:8080

y'a-t-il une erreur ? depuis un poste de travail impossible d'aller sur le web.

merci d'avance de votre post

[jdh]

Y a comme un manque de recherche !

Les lignes à utiliser seraient plutôt :

iptables -t nat -A PREROUTING -i eth0 -d 192.168.0.0/255.255.255.0 ACCEPT
iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 80 -j REDIRECT --to-port 3128

(Cf FAQ de SQUID /Interception proxy)


Je suis sur que cela a été évoqué sur le site -> passer par "rechercher".

Par exemple http://forums.fr.ixus.net/viewtopic.php ... bles+squid qui date seulement du 10 avril ... avec la même erreur de compréhension DNAT <> REDIRECT.

J'ai nettement l'impression de me répeter ...

[dedecop2]

tout d'abord merci de ta réponse...

Comme je l'ai fait depuis webmin la config va s'inscrire dans le fichier /etc/sysconfig/iptables sous cette forme : -A PREROUTING -p tcp -m tcp -i eth0 --dport 80 -j DNAT --to-destination 10.250.100.100:8080

ça devrait donc être bon.

j'ai également tjs dans webmin configuré le PREROUTING sur Accept ce qui donne dans le script :
REROUTING ACCEPT [0:0]

[jdh]

Comment faut-il l'écrire : REDIRECT et non DNAT !!!!!!!!!!!!!!

Je te donne les bonnes règles, un fil où j'en parlais plus complètement, le lien vers la doc SQUID. J'ai vraiment l'impression de ne pas être simplement lu ....

Décidément le clickodrome ne résoud rien ...

[antolien]

ce n'est pas la peine de s'ennerver, il fait assez chaud comme ça.
la règle iptables est bonne.

c'est la configuration de squid qui pose principalement pb, comme cité :

httpd_accel_host virtual
httpd_accel_port 80
httpd_accel_with_proxy on
httpd_accel_uses_host_header on

[micjack]

Il est evident (comme déja discuté) que l'on peut utiliser iptables et ses régles comme bon le semble, pour aboutir au mêmes resultats.

Avec un proxy, ce serait du genre (8080 dans ce cas precis)
iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 80 -j REDIRECT --to-port 8080

Le probleme me semble être : Quelle interface désigne l'eth0 ?

Ici, eth0 est une interface Lan, alors que dans la plus part des connexions, c'est une interface Wan

Chtit erreur dans les interfaces ?

[jdh]

Je ne suis pas énervé, je suis un peu lassé de l'absence de "recherche" !

Je décrivais de façon complete ce problème dans le fil en question (que je cite) :

- règle iptables
- config SQUID en mode transparent

Pour la règle iptables, il faut noter que "eth0" est l'interface du réseau internet (le Green d'IPCOP), et que 3128 est le port d'écoute de SQUID (la ligne http_port dont la valeur par défault est 3128). (Valeurs à adapter selon le cas).

A noter que cette solution, si elle est intéressante, ne fonctionne que pour le port 80 (http) et qu'il faut laisser passer directement le traffic 443 (https), de même pour 21 (ftp). Alors que, préciser l'utilisation d'un proxy dans chaque poste permet de l'utiliser pour tous ces protocoles. Et d'autant plus qu'il est possible de cocher "configuration automatique" avec l'utilisation de "wpad".


Objectivement, en cherchant sur google on trouvait aussi bien (en anglais). Rechercher est quelque chose qu'il faut apprendre sur Internet : pourquoi reposer toujours les mêmes questions et pourquoi faudrait-il répondre à toutes les mêmes questions ? Même pour le bac, on donne les formules importantes et ce qui compte c'est l'élève qui écrit le raisonnement. De même, avec Internet, ce qui est important c'est d'apprendre à rechercher : quand on a 1 million de pages correspondantes dans google, c'est que l'on peut affiner ses mots clés de recherche ... parce qu'on ne parcourra que les 10 premières pages de liens soit 100 liens au plus généralement.

Cela dit, s'inscrire sur un forum, poser sa première question et obtenir si vite une réponse, c'est à la fois magique et ... inutile.

J'ai toujours considéré Webmin comme "possible", "utilisable" mais je préfère comprendre vraiment le fichier de conf des applications et le modifier avec vi (d'autant que souvent le fichier de conf comporte les explicatiosn de chaque paramètres, par exemple le fichier de conf est assez interessant).

[tomtom]

Comment faut-il l'écrire : REDIRECT et non DNAT !!!!!!!!!!!!!!

?? Dans mes souvenirs, REDIRECT ets un simple cas particulier de DNAT sur la loopback

Pas de quoi fouetter un chat, perso je préffère toujours le DNAT car on sait ce qu'on fait

a+

t.

[dedecop2]

Bonjour,

Tout d'abord merci pour vos réponses.

JDH c'est vrai hier je t'ai lu en vitesse, excuse-moi. J'étais pressé de résoudre ce problème Quant aux docs, j'en ai lues une série trouvées sous Google. Si j'écris sur un forum, c'est que j'espère m'appuyer sur des personnes plus compétentes sur Linux. Je réponds également volontier à des personnes qui ont des soucis.

Antolien : j'avais déjà configuré mon squid comme cela
httpd_accel_host virtual
httpd_accel_port 80
httpd_accel_with_proxy on
httpd_accel_uses_host_header on

J'utilise aussi squidguard. Tout à l'air de fonctionner quand dans un navigateur je mets l'adresse du proxy, mais iptables n'a pas l'air de fonctionner pour la redirection.

la config de iptables :

-A PREROUTING -d 10.250.0.0/255.255.0.0 -i eth0 -j ACCEPT
-A PREROUTING -p tcp -i eth0 --dport 80 -j REDIRECT --to-port 8080

Je n'ai peut-être pas compris qqch

Merci de votre aide

[jdh]

8080 est bien le port d'écoute de SQUID ? (parametre http_port par défaut à 3128)

[dedecop2]

oui tout à fait, je ne l'ai pas laissé par défaut dans la config de squid . Si je configure un navigateur avec le proxy et qu'internet fonctionne c'est que squid fonctionne donc que j'ai mis le bon port.

[Methos_Hi]

Est-ce que le client à la bonne passerelle au moins ?

Que dis Iptables dans /var/log/messages au moment du test ?