iptables squid i serwer www

[raf575]

Witam.

Na serwerze mam zainstalowanego squida, apache i narzędzie do generowania raportów SARG. Nie mogę się dostać do serwera WWW z zewnątrz. Z sieci lokalnej bez problemu mogę uruchomić na stronie www raporty z SARG:

Kod: Zaznacz cały

moja-domena.no-ip.org/sarg

Z zewnątrz już nie mogę się niestety dostać, chyba, że wyłączę całkowicie iptables:

Kod: Zaznacz cały

iptables -P INPUT ACCEPT

albo wyłączę transparent z hasłem reklamowym proxy:

Kod: Zaznacz cały

iptables -t nat -A PREROUTING -p tcp --dport 80 -j REDIRECT --to-ports 3128

Jedno i drugie jest bez sensu.

eth0 interfejs lokalny LAN,
eth1 - WAN

Plik ustawień iptables:

Kod: Zaznacz cały

#!/bin/sh
# /etc/init.d/firewall
#

### BEGIN INIT INFO
# Provides:          firewall
# Required-Start:    $local_fs $remote_fs
# Required-Stop:     $local_fs $remote_fs
# Default-Start:     2 3 4 5
# Default-Stop:      0 1 6
# Short-Description: firewall
# Description:      fireawall
### END INIT INFO

echo 1 > /proc/sys/net/ipv4/ip_forward

modprobe ip_conntrack_ftp
modprobe ip_nat_ftp

iptables -F
iptables -F -t nat
iptables -F -t filter
iptables -X 
iptables -X -t nat
iptables -X -t filter

# ustawienie polityki dzialania
iptables -P INPUT DROP
iptables -P FORWARD ACCEPT
iptables -P OUTPUT ACCEPT

#wpuszczamy wszystko na interfejsie lokalnym
iptables -A INPUT -i lo -j ACCEPT
iptables -A OUTPUT -o lo -j ACCEPT
iptables -A FORWARD -o lo -j ACCEPT

# polaczenia nawiazane
iptables -A INPUT -j ACCEPT -m state --state ESTABLISHED,RELATED
iptables -A FORWARD -j ACCEPT -m state --state ESTABLISHED,RELATED
iptables -A OUTPUT -j ACCEPT -m state --state ESTABLISHED,RELATED

#dopuszczony ruch z sieci wewnętrznej
iptables -I INPUT -i eth0 -j ACCEPT

#dopuszczony ruch z sieci zewnętrznej
iptables -A INPUT -i eth1 -p TCP --dport 22 -j ACCEPT #ssh
iptables -A INPUT -i eth1 -p TCP --dport 21 -j ACCEPT #ftp
iptables -A INPUT -i eth1 -p TCP --dport 80 -j ACCEPT #www
iptables -A INPUT -i eth1 -p tcp --dport 80 -m state --state NEW -j ACCEPT
iptables -A INPUT -p ICMP  -j ACCEPT #ping

# udostepniaie internetu w sieci lokalnej
iptables -t nat -A POSTROUTING -s 192.168.19.0/24 -j MASQUERADE
iptables -A FORWARD -s 192.168.19.0/24 -j ACCEPT

#blokada nk.pl
iptables -t nat -A PREROUTING -s 0/0 -p tcp -d 195.93.178.5 -j DNAT --to-destination 74.125.230.81
iptables -t nat -A PREROUTING -s 0/0 -p tcp -d 195.93.178.6 -j DNAT --to-destination 74.125.230.81

#przekierowanie portów
iptables -t nat -A PREROUTING -p tcp -i eth1 --destination-port 5900 -j DNAT --to-destination 192.168.19.43:5900 #malgorzata
iptables -t nat -A PREROUTING -p tcp -i eth1 --destination-port 4662 -j DNAT --to-destination 192.168.19.42:4662 #p2p
iptables -t nat -A PREROUTING -p udp -i eth1 --destination-port 4672 -j DNAT --to-destination 192.168.19.42:4672 #p2p


#squid - transparentne proxy
#8080 dansguardian
#3128 squid
iptables -t nat -A PREROUTING -p tcp --dport 80 -j REDIRECT --to-ports 3128

[Cyphermen]

Na początek spróbuj odblokować na iptables port 3128 w tabeli INPUT.

Kod: Zaznacz cały

iptables -A INPUT -i eth1 -p TCP --dport 3128 -j ACCEP

[Rad]

Kod: Zaznacz cały

$ipt -t nat -A PREROUTING -i $wew_if -p tcp ! -d $zew_ip --dport 80 -j REDIRECT --to-port 8080

Mam tak gdzieś i to działa dobrze. Zmienne są chyba jednoznaczne.