Re: [Riminilug-general] Squid e iptables su server proxy e apertura porte

["Omar Schiaratura" <schiarat@xxxxxxxxxxxx>]

In data Wed, 22 Mar 2006 23:47:03 +0100, livan74 <ivan.lops@xxxxxxxx> ha  
scritto:

> Ciao a tutti,
> Volevo un piccolo aiutino per configurare un server proxy ad hoc.
> Dunque, il proxy in se stesso (e' una fedora core 4)gia' funziona  
> benissimo, il primo problema che si e' presentato e' stato quello della  
> impossibilità da parte dei client, di scaricare la posta elettronica. Ho  
> subito risolto questo problema aprendo con iptables le relative porte 25  
> e 110 ed in piu' la 53 sia tcp che udp per la risoluzione dei nomi e  
> quindi abilitando l'inoltro ip (ip_forward).

>
> Spero di essere stato chiaro, aspetto vostre risposte!
> Grazie a tutti quelli che mi risponderanno.

no, per niente.
Parli di proxy, ma poi mischi firewall e proxy, andiamo per ordine:
1) cosa vuoi fare?
Se vuoi fare un trasparent proxy, devi configurare iptables sul firewall  
in modo che rediriga TUTTO il traffico della tua rete (tipicamente http ed  
ftp), alla porta su cui il proxy è attivo (es squid su porta 8080).
2) Poi consideriamo 3 attori:
il firewall, il proxy, i client (questi sono + attori ma non li  
distinguiamo)
3) mi pare di capire che a te non serva un proxy ma un firewall

> Il secondo problema e' che tutti i client non riescono  a connettersi nè  
> con il messenger di windows nè tantomeno con programmi p2p tipo emule o  
> bitlord ed infine skype sembra funzionare si connette ma mi da tutti i  
> contatti offline (test di chiamata compreso!), quindi c'e' qualcosa che  
> non va....

devi aprire anche le porte di questi servizi, se vuoi che tutti i servizi  
in uscita dalla rete debbano funzionare devi abilitare le connessioni in  
uscita e quelle correlate, in questo modo quelle in ingresso nella rete  
vengono bloccate solo se non sono state richiete da un client della tua  
rete

>
> In giro per la rete ho trovato diverso materiale ma sono molto confuso  
> anche perche' nessuno ha esattamente il mio problema, si parla di  
> configurazione dei client di emule ad esempio ma poi mi sa che nella  
> configurazione per quanto rigurada la parte server e quindi l'inoltro  
> alle macchine in rete, manca sicuramente il nat.

devi fare port forward, ma funziona solo per una macchina. Se fai nat come  
indicato sopra il mulo funziona, ma ricevi un id basso xchè sotto nat,  
altrimenti devi aprire una porta diversa per ogni client con il mulo e  
fare port forward sul client interessato, poi configurare il relativo  
client con le porte corrette, infine, non essendo le porte predefinite non  
è sempre sicuro che tu abbia id alto

> Altro punto interrogativo, ma per il natting c'e' bisogno di specificare  
> i singoli ip della lan che potranno collegarsi con emule (o con  
> messenger o altro)oppure c'e' qualche opzione che abilita un range di  
> indirizzi o interfacce?

la risposta è si in tutti i punti, puoi indicare un range di indirizzi  
abilitati al nat; per le interfaccie no, non ha senso; vedi risposta  
sopra; confondi il nat con port forward e mischi le cose

Chiarisciti le idee e fai uno schema preciso di quello che vuoi fare prima  
di procedere.
In una mail precedente del forum ho mandato le regole per il mulo, mentre  
in una mail a mickdelbian ho spiegato alcune delle opzioni di iptables, se  
vuoi chiedi a lui, magari la può pubblicare sulla mailing o sul forum
-- 
Creato con il rivoluzionario client e-mail di Opera:  
http://www.opera.com/m2/
_______________________________________________
Riminilug-general mailing list
Riminilug-general@xxxxxxxxxxxx
http://riminilug.it/mailman/listinfo/riminilug-general