Sanjy Posté(e) le 10 avril 2006 Partager Posté(e) le 10 avril 2006 Bonjour, j'aurais besoin d'aide concernant iptables. Pour l'instant j'ai installé Squid sur la passerelle. Ma config est la suivante : eth0 : vers internet eth1 : 192.168.1.1/24 vers le LAN 192.168.1.0/24 Lorsque je configure un navigateur du Lan en connexion proxy tout marche très bien mais lorsque je le paramètre en connexion directe à internet ca ne fonctionne plus pourtant j'ai bien une règle de prerouting pour rediger les requetés http. Voici mon script : #!/bin/sh # script /etc/firewall.sh echo 1 > /proc/sys/net/ipv4/ip_forward if [ -e /proc/sys/net/ipv4/conf/all/rp_filter ] then for filtre in /proc/sys/net/ipv4/conf/*/rp_filter do echo 1 > $filtre done fi echo 1 > /proc/sys/net/ipv4/icmp_echo_ignore_all echo 1 > /proc/sys/net/ipv4/icmp_echo_ignore_broadcasts iptables -F iptables -X iptables -P INPUT DROP iptables -P OUTPUT DROP iptables -P FORWARD DROP iptables -A INPUT -i lo -j ACCEPT iptables -A OUTPUT -o lo -j ACCEPT iptables -A OUTPUT -o eth0 -m state --state NEW,ESTABLISHED -p tcp --dport 80 -j ACCEPT iptables -A INPUT -i eth0 -m state --state ESTABLISHED -p tcp --sport 80 -j ACCEPT iptables -t nat -A PREROUTING -i eth1 -p tcp --dport 80 -j DNAT --to-destination 192.168.1.1:3128 iptables -A FORWARD -i eth1 -o eth0 -j ACCEPT iptables -A FORWARD -o eth1 -i eth0 -j ACCEPT iptables -t nat -A POSTROUTING -s 192.168.1.0/24 -j MASQUERADE echo " [Termine]" Voila si qqun a une idée Lien vers le commentaire Partager sur d’autres sites More sharing options...
gauret Posté(e) le 11 avril 2006 Partager Posté(e) le 11 avril 2006 Il faut modifier une option dans la conf de squid pour le faire tourner en proxy transparent. Lien vers le commentaire Partager sur d’autres sites More sharing options...
ggbce Posté(e) le 11 avril 2006 Partager Posté(e) le 11 avril 2006 Pour que SQUID redirige les requêtes vers le port 80 standard au-lieu du port proxy afin de travailler en mode transparent avec la NAT, il faut que SQUID.CONF contienne: httpd_accel_host virtual httpd_accel_port 80 httpd_accel_with_proxy on httpd_accel_uses_host_header on pour éviter des erreurs avec les clients IE, le paramètre: ie_refresh on peut être activé également. voici ma config que j'ai ajouté au rc.local pour activer le routage NAT également: echo 1 > /proc/sys/net/ipv4/ip_forward /sbin/iptables --flush /sbin/iptables -t nat --flush /sbin/iptables --delete-chain /sbin/iptables -t nat --delete-chain /sbin/iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE /sbin/iptables -A FORWARD -i eth1 -j ACCEPT /sbin/iptables -t nat -A PREROUTING -i eth1 -p tcp --dport 80 -j REDIRECT --to-port 3128 /sbin/insmod ip_nat_ftp Lien vers le commentaire Partager sur d’autres sites More sharing options...
Messages recommandés
Archivé
Ce sujet est désormais archivé et ne peut plus recevoir de nouvelles réponses.