hallo zusammen,

ich mal wieder
nun hab ich ein kleine problem mit iptables und meinem squid proxy.
ich möchte/ versuche mir eine firewall mit iptables zu erstellen, da mir jemand erzählt hat dass bei einem proxy er die ports willkürlich aussucht (alle >1024) frag ich mich jetzt

1. wie kann ich eine sichere firewall bauen wenn ich nicht weiss welche ports squid zum surfen etc. hernimmt?

2. wer wäre so lieb und würde mir bei meiner einrichtung mit iptables für fragen zur seite stehen (vorzugsweise icq)?


ich bedanke mich schonmal im vorraus

cu
snoopy64

Also ich würde Dir ja gern helfen, weil ich im Moment gerade am gleichen Problem sitze. Mir ist Deine Frage nur noch nicht so ganz klar, weil ich nicht weiß, was Du mit den Ports meinst, die sich Squid angeblich willkürlich sucht. Naja, wir kriegen das Ding schon zum Laufen, so oder so. Unter den Blinden ist der Einäugige bekanntlich König! ;-))
Bis später denn
Naleau

Hallo,

der Squid läuft im Auslieferungszustand auf Port 3128. Das wird in der squid.conf eingestellt. Mit irgendwelchen Paketfiltern hat der erst mal gar nichts zu tun.

Mit IP-Tables solltet Ihr Euch ein wenig selber beschäftigen...

Dazu empfehle ich Euch auch mal die Suchfunktion hier im Forum.
Dort findet Ihr mehrfach schon fertige Scripte.

Viele Grüsse und viel Erfolg

Eicke

danke für eure schnellen antworten
1. zu naleau
was ich damit gemeint habe; das der squid keinen festen port zum senden er nimmt irgendwelche ports her die über 1024 liegen
(das habe ich gehört; keine ahnung ob es stimmt

2. zu netzmeister
ist das denn der port auf dem der squid auf die Anfragen der Clients hört aber auf welchem port schickt er diese anfragen weiter?
an diesem punkt bin ich. da habe ich gehört das er irgendwelche ports über 1024 hernimmt

danke
cu snoopy64

Snoopy,
schön der Reihe nach. Wie Netzmeister ganz richtig geschrieben hat, läuft der Squid normalerweise auf Port 3128 (per default). Das kannst Du aber jederzeit ändern, bei uns läuft er beispielsweise auf 8080. Wenn Du aber meinst, daß Du aktives ftp freigeben willst, dann hast Du in der Tat das von Dir beschriebene Problem, denn dort kannst Du nicht bestimmen, welchen Port die "Sendung" jeweils belegt. Da kannst Du Dich nur überraschen lassen. Die wenigsten brauchen aber ftp, deshalb würde ich das grundsätzlich deaktivieren.
Unabhängig von allem: überlege mal in aller Ruhe, was Du mit dem Proxy möchtest, also was soll erlaubt und was verboten sein. Weiterhin solltest Du die Regel beachten, daß alles verboten sein sollte, was nicht ausdrücklich erlaubt ist. Das gilt auch für das iptables -Skript. Nur wenn Du 'ne ordentliche Planung hast, kann daraus was werden. Schreib mal, wie es weiter geht.
Tschüs bis dann
Naleau