iptables + squid auf 8080

[_STONE_COLD_]

So Hallo,
hab mal folgendes Problem: Ich habe einen Server mit 2 Netzwerkkarten eth0 und eth1

eth0 hat Verbindung zum Internet und Routet diese durch zu eth1 was auch wunderbar funktioniert.

Als nächstes habe ich squid 2.6STABLE5 laufen und Route den Traffic von port 80 auf 8080 um und das gleiche will ich mit port 5190 (ICQ/AIM) machen, dazu habe ich ein einfaches Shellscript laufen:

Code:

#!/bin/sh

echo 1 > /proc/sys/net/ipv4/ip_forward
iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE

#to SQUID
iptables -t nat -A PREROUTING -i eth1 -p tcp --dport 80 -j REDIRECT --to-port 8080
iptables -t nat -A PREROUTING -i eth1 -p tcp --dport 5190 -j REDIRECT --to-port 8080

die Sache mit Squid funktioniert aber nicht mit dem icq Zeug. Ich kann mich nicht bei Icq einloggen, hier die squid.conf:

Code:

# Squid normally listens to port 3128
http_port 192.168.1.1:8080 transparent
http_port 127.0.0.1:8080 transparent

refresh_pattern ^ftp:           1440    20%     10080
refresh_pattern ^gopher:        1440    0%      1440
refresh_pattern .               0       20%     4320

#Recommended minimum configuration:
acl all src 0.0.0.0/0.0.0.0
acl manager proto cache_object
acl localhost src 127.0.0.1/255.255.255.255
acl to_localhost dst 127.0.0.0/8
acl to_apache dst 192.168.1.1
acl SSL_ports port 443          # https
acl SSL_ports port 563          # snews
acl SSL_ports port 873          # rsync
acl Safe_ports port 80          # http
acl Safe_ports port 21          # ftp
acl Safe_ports port 443         # https
acl Safe_ports port 70          # gopher
acl Safe_ports port 210         # wais
acl Safe_ports port 5190        # icq
acl Safe_ports port 1025-65535  # unregistered ports
acl Safe_ports port 280         # http-mgmt
acl Safe_ports port 488         # gss-http
acl Safe_ports port 591         # filemaker
acl Safe_ports port 777         # multiling http
acl Safe_ports port 443         # https
acl Safe_ports port 70          # gopher
acl Safe_ports port 210         # wais
acl Safe_ports port 5190        # icq
acl Safe_ports port 1025-65535  # unregistered ports
acl Safe_ports port 280         # http-mgmt
acl Safe_ports port 488         # gss-http
acl Safe_ports port 591         # filemaker
acl Safe_ports port 777         # multiling http
acl Safe_ports port 631         # cups
acl Safe_ports port 873         # rsync
acl Safe_ports port 901         # SWAT
acl purge method PURGE
acl CONNECT method CONNECT

#Default:
acl ICQ dstdomain login.icq.com
http_access allow ICQ
acl test arp XX:XX:XX:XX:XX:XX
http_access allow test

http_access allow to_apache
http_access deny all

# Only allow cachemgr access from localhost
http_access allow manager localhost
http_access deny manager
# Only allow purge requests from localhost
http_access allow purge localhost
http_access deny purge

# Deny requests to unknown ports
http_access deny !Safe_ports

# Deny CONNECT to other than SSL ports
http_access deny CONNECT !SSL_ports

http_access allow localhost
# And finally deny all other access to this proxy
http_access deny all

# and finally allow by default
http_reply_access allow all

#Allow ICP queries from everyone
icp_access deny all

#Default setting:
#miss_access deny all

cache_effective_group proxy

# none
deny_info ERR_ACCESS_DENIED !test

acl our_networks src 192.168.1.0/24

man sieht ich habe eine User test angelegt und der bekommt auch Zugang zum Netz wenn die Mac adresse korrekt angegeben ist, ich möchte das dieser User auch nach meiner acl Zuweisung Zugang zu ICQ erhält, momentan geht das überhaupt nicht!!

Was muss ich ändern das dies nun geht???

Danke im vorraus!!

[drcux]

Squid kann AFAIK kein ICQ-Protokoll

[_STONE_COLD_]

es geht aber beispielsweise auch kein IRC!

Hab aber gelesen das es irgendie geht nur das war bei squid < 2.6 und da hat sich syntaktisch viel geändert es hieß man soll den port weiterleiten was ich ja mache und dann in der squid.conf als Safeport eintragen was ich auch gemacht habe!

[asi_dkn]

Also, während ICQ oder dein IRC Server versuchen Kontakt zu einem Server aufzubauen, leitest du die Pakete an den HTTP Proxy um, was eigentlich keinen Sinn macht, da dieser nur HTTP-Proxy-Anfragen (und HTTPS / FTP / Socks) verarbeiten kann.

Das ist wie wenn dein Webbrowser ne Anfrage an einen SSH Daemon schickt. Was soll der damit?

Wenn du den Proxy benutzen willst kannst du vielleicht den ICQ Client so konfigurieren das er über den Proxy geht, aber einfach die Pakete umleiten klappt nicht. Du kannst beispielsweise auch nicht einfach HTTP Anfragen einfach an einen Proxy forwarden, da der Proxy spezielle HTTP Anfragen erwartet.

[_STONE_COLD_]

Ok, aber ich will das Netz über die acl listen freigeben und sperren und wenn ich das mach muss das doch auch gehen das gleichzeitig alle ports so gesperrt und freigegeben werden!?

[drcux]

Ok, aber ich will das Netz über die acl listen freigeben und sperren und wenn ich das mach muss das doch auch gehen das gleichzeitig alle ports so gesperrt und freigegeben werden!?

Squid ist ein Proxy, keine Firewall mit der du Ports sperren kannst!

[_STONE_COLD_]

Ok das glaube ich auch aber was wäre dann das beste um dann verschiedenen User Ports nach Bedarf dynamisch freizugeben und zu sperren ???

ein Howto wäre nett

[eBoy]

Ich bin mir nicht sicher, aber doch ziemlich nah dran, dass ich ICQ und xmpp bereits über Squid im Einsatz gesehen habe... Müsste es mal nachschauen.
Ich glaube die entsprechenden Ports waren als "SSL_ports" (?) eingetragen?
Ich selbst mache recht wenig mit Squid...

[drcux]

Man kann im ICQ einen HTTP-Proxy eintragen...