habbom
18.10.02, 19:21
Hi,
ich bastel hier gerade mal wieder an meinem iptables-script rum
Ich hatte irgendwann mal "Rusties schnelle Anleitung"
abgetipselt, mit logging und transparentem Squid erweitert, funzt auch..
..nur jetzt möchte ich das script erweitern , bzw. neu aufbauen, u.a. mit ipsec
auf meinem ISDN-Router läuft nur noch Squid und ssh (für Wartung von innen)
auf meinem zweiten Server läuft samba, sendmail(mit fetch und proc), ein forwardonly named, apache als doc-host und ftp, außerdem nutz ich ihn als loghost
meine clients holen teilweise mail per pop direkt im I-Net ab
#für den tranparenten proxy
iptables -A PREROUTING -t nat -i $IF_LOC -p tcp --dport 80 -j REDIRECT --to-port 3128
hier ist momentan das Prob, mir ist nicht ganz klar, was ich erlauben muß (mein default ist auf drop gesetzt)
iptables -P INPUT DROP
iptables -P FORWARD DROP
iptables -P OUTPUT DROP
das heißt doch ich muß den Zugriff auf mein internes Interface (IF_LOC) port 80 erlauben oder ?
...und wie ist das mit den nameserver, einmal holt sich doch der router die nameserver-addy bei der einwahl, aber es gibt doch auch anfragen vom internen named nach außen und somit auch antworten, wie ich in einem anderem thread gelesen habe
das mit dem Mailen funzte, leider ist mein script noch ziemlich konfus, deshalb erspar ich mir mal das posten:)
..also mein Hauptproblem ist squid und die Namensauflösung
hat jemand eine Idee ?
Gruß
Michael
ich bastel hier gerade mal wieder an meinem iptables-script rum
Ich hatte irgendwann mal "Rusties schnelle Anleitung"
abgetipselt, mit logging und transparentem Squid erweitert, funzt auch..
..nur jetzt möchte ich das script erweitern , bzw. neu aufbauen, u.a. mit ipsec
auf meinem ISDN-Router läuft nur noch Squid und ssh (für Wartung von innen)
auf meinem zweiten Server läuft samba, sendmail(mit fetch und proc), ein forwardonly named, apache als doc-host und ftp, außerdem nutz ich ihn als loghost
meine clients holen teilweise mail per pop direkt im I-Net ab
#für den tranparenten proxy
iptables -A PREROUTING -t nat -i $IF_LOC -p tcp --dport 80 -j REDIRECT --to-port 3128
hier ist momentan das Prob, mir ist nicht ganz klar, was ich erlauben muß (mein default ist auf drop gesetzt)
iptables -P INPUT DROP
iptables -P FORWARD DROP
iptables -P OUTPUT DROP
das heißt doch ich muß den Zugriff auf mein internes Interface (IF_LOC) port 80 erlauben oder ?
...und wie ist das mit den nameserver, einmal holt sich doch der router die nameserver-addy bei der einwahl, aber es gibt doch auch anfragen vom internen named nach außen und somit auch antworten, wie ich in einem anderem thread gelesen habe
das mit dem Mailen funzte, leider ist mein script noch ziemlich konfus, deshalb erspar ich mir mal das posten:)
..also mein Hauptproblem ist squid und die Namensauflösung
hat jemand eine Idee ?
Gruß
Michael