Squid activé => règles iptables inopérantes !!

par nl » 22 Jan 2004 17:33

Lorsque j'active le serveur proxy (en mode transparent), mes règles iptables ne sont plus actives. Je m'explique : J'ai un ipcop 1.3 v7. Mon rc.firewall contient la règle #Bloquage de tout le green /sbin/iptables -I FORWARD -s 10.0.0.0/24 -j DROP #Debloquage de xxx /sbin/iptables -I FORWARD -s 10.0.0.1/32 -j ACCEPT Lorsque j'active squid, les autres postes du réseau ne peuvent pas pinguer Internet, mais y accèdent par le proxy, même si la page n'est pas en cache. Je ne comprend plus rien .... <IMG SRC="images/smiles/icon_bawling.gif">

par **olivier_morin** » 22 Jan 2004 17:38

J'ai fait le même erreur... Quand Squid est actif, tout http et https passe... normal ! Ou alors il faut modifier les règles (acl) dans squid.conf...

par **tomtom** » 22 Jan 2004 17:40

ca parait assez logique... si un user va sur internet, que se passe-t-il ? 1- envoi d'un requete http : dest=@destination finale, port dest=80 2- interception par le prerouting de netfilter (regle de passage de squid en transparent) -> transformation de la requete @destination=@ipcop port destination=port squid (3128 surement) 3- traitement du paquet. Comme il est destiné à un process local, c'est la table INPUT qui est en jeu et non la table FORWARD. Le paquet n'est donc pas filtré et remis à squid. 4- Squid recupere la page sur internet (il a le droit, chaine OUTPUT) puis la renvoie au client. La table FORWARD n'est jamas consultée, donc c'ets sur que tu risques pas de bloquer... solution : iptables -I INPUT -s 10.xx.xx.xx -j DROP tu peux eventuellement bloquer uniquement les paquets à destination de squid (-p tcp --dport 3128 en plus dans la règle ci-dessus !) t.

par **olivier_morin** » 22 Jan 2004 17:43

Oui mais alors rien ne va non plus vers l'orange...

par nl » 22 Jan 2004 17:49

Un grand merci. Tu m'enlève une épine du pieds. Je crois que je vais commencer à me former sérieux sur iptables. Je vois que j'ai de graves lacunes. Si quelqu'un a de la doc bien foutu .... Merci à tous. <IMG SRC="images/smiles/icon_bise.gif">

par **tomtom** » 22 Jan 2004 18:09

<TABLE BORDER=0 ALIGN=CENTER WIDTH=85%><TR><TD>En réponse à:<HR></TD></TR><TR><TD><BLOCKQUOTE> Le 2004-01-22 16:43, olivier_morin a écrit: Oui mais alors rien ne va non plus vers l'orange... </BLOCKQUOTE></TD></TR><TR><TD><HR></TD></TR></TABLE> Quelle drole d'idée ?? Pourquoi donc ? t.

par **tomtom** » 22 Jan 2004 18:11

<TABLE BORDER=0 ALIGN=CENTER WIDTH=85%><TR><TD>En réponse à:<HR></TD></TR><TR><TD><BLOCKQUOTE> Si quelqu'un a de la doc bien foutu .... </BLOCKQUOTE></TD></TR><TR><TD><HR></TD></TR></TABLE> <a href="http://christian.caleca.free.fr/netfilter" target="_blank">http://christian.caleca.free.fr/netfilter</a> ... en francais et tres simple. sinon, <a href="http://www.netfilter.org" target="_blank">www.netfilter.org</a> t.

par **tomtom** » 22 Jan 2004 18:12

ceci dit, gerer des acces-list dans squid est une excellente idée, surtout si tu veux pouvoir configurer ton ipcop depuis tous les postes du green... t.

par nl » 22 Jan 2004 18:18

D'autant plus que mon but final est de créer un VPN. Il ne serait pas judicieux de couper l'accès à mon lan sur l'extérieur (/sbin/iptables -I INPUT -s 10.0.0.0/24 -j DROP). Je vais chercher une solution avec squid. Merci à tous et bonne soirée. NL <IMG SRC="images/smiles/icon_rolleyes.gif">

par **tomtom** » 22 Jan 2004 18:23

<TABLE BORDER=0 ALIGN=CENTER WIDTH=85%><TR><TD>En réponse à:<HR></TD></TR><TR><TD><BLOCKQUOTE> Le 2004-01-22 17:18, nl a écrit: D'autant plus que mon but final est de créer un VPN. Il ne serait pas judicieux de couper l'accès à mon lan sur l'extérieur (/sbin/iptables -I INPUT -s 10.0.0.0/24 -j DROP). </BLOCKQUOTE></TD></TR><TR><TD><HR></TD></TR></TABLE> Attention, cette regle ne coupe aucun acces sur l'exterieur ! Elle coupe l'acces depuis le lan vers IPCop ! Par contre, tout internet continue d'etre accessible ! t.

Squid activé => règles iptables inopérantes !!

Qui est en ligne ?