Forum
Bildirimler
Hepsini Temizle
Linux & Unix
15
Yazılar
4
Üyeler
0
Reactions
1,122
Görüntüleme
Konu başlatıcı
Selamlar..
* Ubuntu 8.04 LTS Server Edition - Supported to 2013
* squid/2.6.STABLE18 (depodan)
* iptables v1.3.8 (depodan)
P4 2.8 + 512 Ram + 80 Gb Hdd + Realtek 100 mb Eth. (1 adet)
Sistem browser proxy si olarak tıkır tıkır çalışıyor . (kurallar vs.). Squid.conf
dosyasında sadece "http_port 3128 transparent" yaparak ve iptables da "iptables -t
nat -A PREROUTING -p tcp --dport 80 -j REDIRECT --to-port 3128" yaparak vede
gatewaye ipsini squid ipsine çekerek çıkış yapabiliyorum.
Ancak ne SSL ne FTP kısacası 80 dışında bir yere çıkış yapamıyorum.
Yardımcı olursanız sevinirim. Teşekkürler.
Gönderildi : 02/10/2008 22:55
merhaba.
ilk olarak iptables kuralınızda --to-port ifadesinde --to-ports olmalı.
ikinci olarak yukarıdaki kuraldan önce aşağıdaki kuralı yazıp tekrar denermisiniz..
iptables -A OUTPUT -m multiport -p tcp --dport www,ssh,ftp -j ACCEPT
Gönderildi : 03/10/2008 03:47
Konu başlatıcı
merhaba.
ilk olarak iptables kuralınızda --to-port ifadesinde --to-ports olmalı.
ikinci olarak yukarıdaki kuraldan önce aşağıdaki kuralı yazıp tekrar denermisiniz..
iptables -A OUTPUT -m multiport -p tcp --dport www,ssh,ftp -j ACCEPT
Merhaba,
denedim herhangi bir şey değişmedi. "to ports" ifadesi eğer ssl "https" sayfalar için gerekli değilse bir sonuç çıkaramadım.Zira "http" lerde bir sıkıntı yok zaten. Teşekkürler.
Ayrıca şunu belirtiyim;
iptables da "iptables -t nat -F ,iptables -t nat -X ,iptables -F ,iptables -X yaptıktan sonra" 80 i yonlendirip (www.garanti.com.tr) dan https://sube.garanti.com.tr/isube/login 'e GİRİŞ tıkladıktan sonra sayfa açılmıya çalışıyor. Yani hemen sayfaya ulaşılamadı demiyor. 443 ü yonlendirdikten sonra ise anında "ulaşılamadı" diyor.
Teşekkürler.
Gönderildi : 03/10/2008 04:23
Konu başlatıcı
Saygıdeğer üstad ve hoca arkadaşlar. Yokmudur bu problemin çözümü?
Gönderildi : 03/10/2008 19:42
tekrar merhaba.
aklımda birde şöyle bir kural var ama sizin kural yerine bir denerseniz sevinirim.
iptables -t nat -A PREROUTING -p tcp -s 200.200.200.0/24 --dport 80 -j DNAT --to 127.0.0.1:3128
ben bu kodla squid proxy kurduğum bir bilgisayarda iptables ile transparent proxy ayarı yapmıştım.
Gönderildi : 03/10/2008 20:33
Konu başlatıcı
Merhaba,
Hocam denedim herhangi bir geelişme yok. 127.0.0.1 ile çözüm yok. Squid srv ipsi yazınca 80 de çözüm var. Ama 443 te her iki yontemde de çözüm yok.
Ben tek ethernet kartı kullanıyorum , oyle kullanmamda gerekiyor sorun ondan olabilirmi?? Gerçi saçma sonuçta 443 sayfalı 3128 yonlendirip çıkacak bunun eth ile alakası olmaması lazım. teşekkürler.
Gönderildi : 03/10/2008 20:49
siz proxy servera istekleri nereden yönlendiriyorsunuz ?
peki istek adreslerini proxyle ulaştırmadan direk çekmeyi denedinizmi ?
tam network şemasını anlatırsanız sorunun çözümü daha kolay olur.
Gönderildi : 03/10/2008 21:13
Konu başlatıcı
siz proxy servera istekleri nereden yönlendiriyorsunuz ?
peki istek adreslerini proxyle ulaştırmadan direk çekmeyi denedinizmi ?
tam network şemasını anlatırsanız sorunun çözümü daha kolay olur.
Hocam merhaba;
Squdi + iptables srv: 192.168.1.100/24 gw : 192.168.1.1 dns : 192.168.1.1
client : 192.168.1.x /24 gw: 192.168.1.100 dns : 192.168.1.1
Bu kapsamda;
1) Squid, transparent proxy olmadan vede iptables kuralı uygulanmadan (doğal olarak) her türlü çalışıyor. (ie proxy bölümüne squid ip ve 3128 yazınca)
2) Squid "http_port 3128 transparent" moda geçip iptablesda "iptables -t nat -A PREROUTING -p tcp --dport 80 -j REDIRECT --to-port 3128" tarzı bişey yazınca 80 'ede çıkıyor.
3)Https sitelere girebilmesi için gerekli olan 443 portu yada 21 .25 vs.. her türlü çıkışı yapamıyorum.
Başka merak edilen birşey??
Teşekkürler..
Gönderildi : 03/10/2008 21:21
sizin ikinci bir ethernet kartına ihtiyacınız var çünkü linuxde yönlendiremiyorsunuz yönlendirmek için ikinci ethernete ihtiyaç var.
diğer türlü test sistemi kurup deniyecem. kısa zamanda dönerim
Gönderildi : 03/10/2008 23:47
Konu başlatıcı
Hmm.Mantığı anlayamadım 80 de sorun yok diğerlerinde var ilginç. Aslına bakarsanız benim tek ethernet yapmam gerekiyor bu prox işini.Çünkü hali hazırda çalışan bir sistem var ikinci eth olursa başka ip gurubu olacak buda benim işimi bozacak. ASlında bir çok firmaya ipcop , smoothwall gibi sistemlerle işimi görüuorum ama bu firmada bunu yapamam, yaparsam başım ağrır gibi geliyo. Size şöyle birşey soriyim .
Linux :eth0 (iç)= 192.168.1.1 /24 eth1 (dis) 192.168.1.2 /24 gw : 192.168.1.3 dns 192.168.1.3
bu şekilde olabiliyorsa squiide işlem buda işime yarar. Ipcop ve Smoothwall da bu şekilde izin vermiyor. Oneriniz?
Gönderildi : 03/10/2008 23:52
iki ethernet olduğunu düşünün linux yerine pfsensede kullabilirsiniz
benim networküm şöyle
88.255.144.18/28 dış
192.168.1.0/24 iç
192.168.1.1 iç bacak
www.pfsense.org dan 1.2 versiyonunu indirebilirsiniz şirket içinde içerik filtreleme dahil hepsini yapabilirsiniz. hatta msn konuşmalarını bile loglayabilirsiniz.
http://rapidshare.com/files/145456606/tarik.avi.html kurulum videosu mevcut
iç dış bacağı adsl modem yönetir gibi webden halledebiliyorsunuz. istediğiniz ip adresinide verebilirsiniz. dnsleri masq ediceğinden 192.168.1.1 192.168.1.2 diye dns tanımlarsınız ondada sorun olmaz
ikinci bacak için adsl modemin iç ip adresini değişceksiniz
birinci bacak 192.168.1.X
ikinci bacak 192.168.2.X olacak bunlar farklı bloklarda olmak zorunda
clientların ip adresleri 192.168.1.x olabilir.
isterseniz uzaktan kurulum desteği verebilirim ücretsiz olarak iyi çalışmalar.♦
Gönderildi : 04/10/2008 00:01
Konu başlatıcı
Hocam çok teşekkür ederim. Sen benim gibi bir çok kişiye destek verdiğin için tanımıyor olabilirsin ama ben seni sd den beri tanırım. Hatta PFsense videonu sabah indirdim. Güzel bir çalışma bu arada eline sağlık. Ms virtual pc de kurmaya çalıştım hata verdi. Disk bölümlerinde Vmware kurmaya da üşendim. 2 nci makinamda kurar denerim oda sorun değil. Ancak Linux az bucuk çat pat anlıyorum ama FreeBSD çok farklı ve bunun altından kalkamam . Kalmak içinde sizin sürekli bana destek vermeniz lazım ( takıldığım yerlerde) buna sizin fırsatınız olurmu ??
Ama yukarıdada dediğim gibi ikinci eth benim işimi bozuyor.
[email protected] bu benim msn adresim.Eklersen ve vaktin varsa daha detaylı yazabilirm.
Gönderildi : 04/10/2008 00:08
acl SSL_ports port 443 563 # https, snews
acl SSL_ports port 873 # rsync
acl Safe_ports port 80 # http
acl Safe_ports port 21 # ftp
acl Safe_ports port 443 563 # https, snews
acl Safe_ports port 70 # gopher
acl Safe_ports port 210 # wais
acl Safe_ports port 1025-65535 # unregistered ports
acl Safe_ports port 280 # http-mgmt
acl Safe_ports port 488 # gss-http
acl Safe_ports port 591 # filemaker
acl Safe_ports port 777 # multiling http
acl Safe_ports port 631 # cups
acl Safe_ports port 873 # rsync
acl Safe_ports port 901 # SWAT
squid.conf içersinde benzer satırlar sendede olmalı.Bak bakalım 443 ve 21 nolu port sendede ekli mi?
Daha sonra aşağıdaki 2 kuralın senin listende olup olmadığını kontrol et..
# Deny requests to unknown ports
http_access deny CONNECT !Safe_ports
# Deny CONNECT to other than SSL ports
http_access allow CONNECT !SSL_ports
Gönderildi : 04/10/2008 01:21
sistemde mevcut firewall üzerinden proxye yönlendirme yaparsan iş çözülücek gibi. iyi çalışmalar.
Gönderildi : 04/10/2008 01:22
Konu başlatıcı
Merhaba,
Onur bey onlarda maales doğru. Valla çözüm zannedersem Tarık beyin dediği gibi 80 i yonlednrimekle olacak .Teşekkürler.
Gönderildi : 04/10/2008 01:31
