squid&iptables

[nelgondar]

Добрый день!
У меня такая ситуация: в iptables по умолчанию стоит политика drop на INPUT, OUTPUT И  FORWARD. установлен и настроен squid на 3128 порту не прозрачный. и, как водится, без iptables прокси раздает интернет. привожу отрывок   конфиги фаэрвола

Код: [Выделить]

iptables -A INPUT  -i eth1 -p tcp --dport 3128 -j ACCEPT
iptables -A OUTPUT  -p tcp --sport 3128 -j ACCEPT
у клиента после некоторого промежутка времени в браузере squid пишет что нет соединения. Что же мне надо дописать в скрипт?

[uid0]

юзайте пожалуйста поиск по форуму ! 100000000 раз уже поднималась данная тема !

[nelgondar]

Это первое что я сделал. К сожалению ни на какие мысли меня это на натолкнуло. В основном все спрашивают про прозрачный прокси, либо про обход squid.
 У меня же ситуация несколько другая. Вот подробный текст ошибки:

(Нажмите, чтобы показать/скрыть)

ERROR

The requested URL could not be retrieved

The following error was encountered while trying to retrieve the URL: http://www.google.ru/search?

Unable to determine IP address from host name www.google.ru

The DNS server returned:

Timeout
This means that the cache was not able to resolve the hostname presented in the URL. Check if the address is correct.

По IP адресу страница тоже не открывается

[atem32]

может прокси просто падает?
2раз начинаю ответ с вопроса..

[nelgondar]

с ним все норм. iptables -a input/output -j accept интернет снова заводят.

[podkovyrsty]

The DNS server returned:

Timeout
This means that the cache was not able to resolve the hostname presented in the URL. Check if the address is correct.

Вы читать умеете, Сударь?

[nelgondar]

>>По IP адресу страница тоже не открывается

[mr.Den]

Покажи правила iptables когда перестает работать.

[nelgondar]

Код: [Выделить]

iptables -P INPUT  DROP
    iptables -P OUTPUT  DROP
    iptables -P FORWARD DROP
iptables -A INPUT -p tcp --dport 22 -j ACCEPT
iptables -A OUTPUT -p tcp --sport 22 -j ACCEPT

iptables -A INPUT  -p tcp --dport 3128 -j ACCEPT
iptables -A OUTPUT  -p tcp --sport 3128 -j ACCEPT
ну а дальше разрешение gre, 1735 т.к интернет через впн и форвардинг самбы

[fisher74]

Боюсь показаться попугаем, но всё-таки^
Покажите, пожалуйста, правила iptables. ВСЕ правила.

Код: [Выделить]

sudo iptables-save

[podkovyrsty]

>>По IP адресу страница тоже не открывается

Дык вы меня не поняли. У вас днс недоступен, сквид то тут причем?
Может у них обоих одна причина?

И да, правила надо целиком показывать.

[nelgondar]

Вот вывод iptables-save

(Нажмите, чтобы показать/скрыть)

# Generated by iptables-save v1.4.10 on Sun Apr 10 14:58:20 2011
*nat
:PREROUTING ACCEPT [3456:258051]
:POSTROUTING ACCEPT [3:180]
:OUTPUT ACCEPT [54:14469]
-A PREROUTING -i eth1 -p tcp -m tcp --dport 3389 -j DNAT --to-destination 172.15.170.190:3389
-A PREROUTING -i eth1 -p tcp -m multiport --dports 139,445 -j DNAT --to-destination 172.15.170.190
-A PREROUTING -i eth1 -p udp -m multiport --dports 137,138 -j DNAT --to-destination 172.15.170.190
-A POSTROUTING -o ppp0 -j MASQUERADE
-A POSTROUTING -o eth1 -j MASQUERADE
COMMIT
# Completed on Sun Apr 10 14:58:20 2011
# Generated by iptables-save v1.4.10 on Sun Apr 10 14:58:20 2011
*filter
:INPUT DROP [1648:143773]
:FORWARD DROP [0:0]
:OUTPUT DROP [79:53272]
-A INPUT -p tcp -m tcp --dport 22 -j ACCEPT
-A INPUT -s 172.16.0.6/32 -i eth1 -p tcp -m tcp --sport 1723 -j ACCEPT
-A INPUT -s 172.16.0.6/32 -i eth1 -p gre -j ACCEPT
-A INPUT -s 93.158.134.3/32 -p icmp -j ACCEPT
-A FORWARD -d 172.15.170.190/32 -i eth1 -p tcp -m tcp --dport 3389 -j ACCEPT
-A FORWARD -d 172.15.170.190/32 -i eth1 -p tcp -m multiport --dports 139,445 -j ACCEPT
-A FORWARD -d 172.15.170.190/32 -i eth1 -p udp -m multiport --dports 137,138 -j ACCEPT
-A FORWARD -i ppp0 -o eth0 -m state --state RELATED,ESTABLISHED -j ACCEPT
-A FORWARD -i eth0 -o ppp0 -j ACCEPT
-A FORWARD -i ppp0 -o eth2 -m state --state RELATED,ESTABLISHED -j ACCEPT
-A FORWARD -i eth2 -o ppp0 -j ACCEPT
-A FORWARD -i eth1 -o eth0 -m state --state RELATED,ESTABLISHED -j ACCEPT
-A FORWARD -i eth0 -o eth1 -j ACCEPT
-A FORWARD -i eth1 -o eth2 -m state --state RELATED,ESTABLISHED -j ACCEPT
-A FORWARD -i eth2 -o eth1 -j ACCEPT
-A FORWARD -i eth0 -o eth2 -m state --state RELATED,ESTABLISHED -j ACCEPT
-A FORWARD -i eth2 -o eth0 -j ACCEPT
-A OUTPUT -p tcp -m tcp --sport 22 -j ACCEPT
-A OUTPUT -s 172.16.0.6/32 -p gre -j ACCEPT
-A OUTPUT -d 172.16.0.6/32 -j ACCEPT
-A OUTPUT -d 93.158.134.3/32 -p icmp -j ACCEPT
COMMIT
# Completed on Sun Apr 10 14:58:20 2011

Надеюсь вы мне поможете, а то без нормально настенного фаэрвола засыпается на лекции с трудом)

[fisher74]

Гхмммм
Что-то я не вижу правил разрешающих работу прокси с клиентами (кстати, Вы с них и начинали описание своей проблемы)

Код: [Выделить]

sudo iptables -A INPUT  -i eth1 -p tcp --dport 3128 -j ACCEPT
sudo iptables -A OUTPUT  -o eth1 -p tcp --sport 3128 -j ACCEPT
Ну и я не вижу, как squid сможет работать с внешним миром, учитывая, что дефолтное правило цепочки OUTPUT является DROP, а больше ничего и не разрешено для него.
Добавьте хотя бы правила

Код: [Выделить]

sudo iptables -A OUTPUT -o ppp+ -p tcp --dport 80,8080 -j ACCEPT
sudo iptables -A INPUT -i ppp+ -p tcp --dport 80,8080 -j ACCEPT

[nelgondar]

Ничего к сожалению не изменилось. И я еще в начале не уточнил, что пользователи управляются sams-ом.

добавил

Код: [Выделить]

-A INPUT -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT по айпишке страницы начали открываться
Пользователь решил продолжить мысль 10 Апреля 2011, 16:42:47:Всем спасибо!

Код: [Выделить]

iptables -A OUTPUT -o ppp+ -p tcp -m multiport --dport 80,8080 -j ACCEPT
iptables -A INPUT -i ppp+ -p tcp -m multiport --dport 80,8080 -j ACCEPT
iptables -A INPUT  -i eth1 -p tcp --dport 3128 -j ACCEPT
iptables -A OUTPUT  -o eth1 -p tcp --sport 3128 -j ACCEPT
iptables -t filter -A INPUT -p tcp --sport 53 -j ACCEPT
iptables -t filter -A OUTPUT -p tcp --dport 53 -j ACCEPT
iptables -t filter -A INPUT -p udp --sport 53 -j ACCEPT
iptables -t filter -A OUTPUT -p udp --dport 53 -j ACCEPT
iptables -A INPUT -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
Работает