Sanjy Posted April 10, 2006 Share Posted April 10, 2006 Bonjour, j'aurais besoin d'aide concernant iptables. Pour l'instant j'ai installé Squid sur la passerelle. Ma config est la suivante : eth0 : vers internet eth1 : 192.168.1.1/24 vers le LAN 192.168.1.0/24 Lorsque je configure un navigateur du Lan en connexion proxy tout marche très bien mais lorsque je le paramètre en connexion directe à internet ca ne fonctionne plus pourtant j'ai bien une règle de prerouting pour rediger les requetés http. Voici mon script : #!/bin/sh # script /etc/firewall.sh echo 1 > /proc/sys/net/ipv4/ip_forward if [ -e /proc/sys/net/ipv4/conf/all/rp_filter ] then for filtre in /proc/sys/net/ipv4/conf/*/rp_filter do echo 1 > $filtre done fi echo 1 > /proc/sys/net/ipv4/icmp_echo_ignore_all echo 1 > /proc/sys/net/ipv4/icmp_echo_ignore_broadcasts iptables -F iptables -X iptables -P INPUT DROP iptables -P OUTPUT DROP iptables -P FORWARD DROP iptables -A INPUT -i lo -j ACCEPT iptables -A OUTPUT -o lo -j ACCEPT iptables -A OUTPUT -o eth0 -m state --state NEW,ESTABLISHED -p tcp --dport 80 -j ACCEPT iptables -A INPUT -i eth0 -m state --state ESTABLISHED -p tcp --sport 80 -j ACCEPT iptables -t nat -A PREROUTING -i eth1 -p tcp --dport 80 -j DNAT --to-destination 192.168.1.1:3128 iptables -A FORWARD -i eth1 -o eth0 -j ACCEPT iptables -A FORWARD -o eth1 -i eth0 -j ACCEPT iptables -t nat -A POSTROUTING -s 192.168.1.0/24 -j MASQUERADE echo " [Termine]" Voila si qqun a une idée Link to comment Share on other sites More sharing options...
gauret Posted April 11, 2006 Share Posted April 11, 2006 Il faut modifier une option dans la conf de squid pour le faire tourner en proxy transparent. Link to comment Share on other sites More sharing options...
ggbce Posted April 11, 2006 Share Posted April 11, 2006 Pour que SQUID redirige les requêtes vers le port 80 standard au-lieu du port proxy afin de travailler en mode transparent avec la NAT, il faut que SQUID.CONF contienne: httpd_accel_host virtual httpd_accel_port 80 httpd_accel_with_proxy on httpd_accel_uses_host_header on pour éviter des erreurs avec les clients IE, le paramètre: ie_refresh on peut être activé également. voici ma config que j'ai ajouté au rc.local pour activer le routage NAT également: echo 1 > /proc/sys/net/ipv4/ip_forward /sbin/iptables --flush /sbin/iptables -t nat --flush /sbin/iptables --delete-chain /sbin/iptables -t nat --delete-chain /sbin/iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE /sbin/iptables -A FORWARD -i eth1 -j ACCEPT /sbin/iptables -t nat -A PREROUTING -i eth1 -p tcp --dport 80 -j REDIRECT --to-port 3128 /sbin/insmod ip_nat_ftp Link to comment Share on other sites More sharing options...
Recommended Posts
Archived
This topic is now archived and is closed to further replies.