Co

[patrzkr]

Witam.
Mam serwer na Debianie Squeeze, na serwerze dodatkowo jest samba, squid, squidguard i sarg. Gdy z sieci LAN próbuję wejść na jakąś stronę https, czekam w nieskończoność.

Kod: Zaznacz cały

iptables -L

Kod: Zaznacz cały

Chain INPUT (policy DROP)
target     prot opt source               destination
ACCEPT     all  --  anywhere             anywhere
bledne_pakiety  all  --  anywhere             anywhere
DROP       all  --  anywhere             ALL-SYSTEMS.MCAST.NET
ACCEPT     all  --  10.0.0.0/24          anywhere
ACCEPT     all  --  anywhere             10.0.0.255
ACCEPT     udp  --  anywhere             anywhere            udp spt:bootpc dpt:bootps
ACCEPT     all  --  anywhere             anywhere            state RELATED,ESTABLISHED
pakiety_icmp  icmp --  anywhere             anywhere
tcp_wchodzace  tcp  --  anywhere             anywhere
udp_wchodzace  udp  --  anywhere             anywhere
DROP       all  --  anywhere             255.255.255.255
LOG        all  --  anywhere             anywhere            LOG level warning prefix `ipt# INPUT:99 '

Chain FORWARD (policy DROP)
target     prot opt source               destination
bledne_pakiety  all  --  anywhere             anywhere
tcp_wychodzace  tcp  --  anywhere             anywhere
udp_wychodzace  udp  --  anywhere             anywhere
ACCEPT     all  --  anywhere             anywhere
ACCEPT     all  --  anywhere             anywhere            state RELATED,ESTABLISHED
LOG        all  --  anywhere             anywhere            LOG level warning prefix `ipt# FORWARD:99 '

Chain OUTPUT (policy DROP)
target     prot opt source               destination
DROP       icmp --  anywhere             anywhere            state INVALID
ACCEPT     all  --  localhost            anywhere
ACCEPT     all  --  anywhere             anywhere
ACCEPT     all  --  10.0.0.1             anywhere
ACCEPT     all  --  anywhere             anywhere
ACCEPT     all  --  anywhere             anywhere
LOG        all  --  anywhere             anywhere            LOG level warning prefix `ipt# OUTPUT:99 '

Chain bledne_pakiety (2 references)
target     prot opt source               destination
LOG        all  --  anywhere             anywhere            state INVALID LOG level warning prefix `ipt# bledne_pakiety '
DROP       all  --  anywhere             anywhere            state INVALID
bledne_pakiety_tcp  tcp  --  anywhere             anywhere
RETURN     all  --  anywhere             anywhere

Chain bledne_pakiety_tcp (1 references)
target     prot opt source               destination
RETURN     tcp  --  anywhere             anywhere
LOG        tcp  --  anywhere             anywhere            tcp flags:!FIN,SYN,RST,ACK/SYN state NEW LOG level warning prefix `ipt# bledne_pakiety_tcp '
DROP       tcp  --  anywhere             anywhere            tcp flags:!FIN,SYN,RST,ACK/SYN state NEW
LOG        tcp  --  anywhere             anywhere            tcp flags:FIN,SYN,RST,PSH,ACK,URG/NONE LOG level warning prefix `ipt# bledne_pakiety_tcp '
DROP       tcp  --  anywhere             anywhere            tcp flags:FIN,SYN,RST,PSH,ACK,URG/NONE
LOG        tcp  --  anywhere             anywhere            tcp flags:FIN,SYN,RST,PSH,ACK,URG/FIN,SYN,RST,PSH,ACK,URG LOG level warning prefix `ipt# bledne_pakiety_tcp '
DROP       tcp  --  anywhere             anywhere            tcp flags:FIN,SYN,RST,PSH,ACK,URG/FIN,SYN,RST,PSH,ACK,URG
LOG        tcp  --  anywhere             anywhere            tcp flags:FIN,SYN,RST,PSH,ACK,URG/FIN,PSH,URG LOG level warning prefix `ipt# bledne_pakiety_tcp '
DROP       tcp  --  anywhere             anywhere            tcp flags:FIN,SYN,RST,PSH,ACK,URG/FIN,PSH,URG
LOG        tcp  --  anywhere             anywhere            tcp flags:FIN,SYN,RST,PSH,ACK,URG/FIN,SYN,RST,ACK,URG LOG level warning prefix `ipt# bledne_pakiety_tcp '
DROP       tcp  --  anywhere             anywhere            tcp flags:FIN,SYN,RST,PSH,ACK,URG/FIN,SYN,RST,ACK,URG
LOG        tcp  --  anywhere             anywhere            tcp flags:SYN,RST/SYN,RST LOG level warning prefix `ipt# bledne_pakiety_tcp '
DROP       tcp  --  anywhere             anywhere            tcp flags:SYN,RST/SYN,RST
LOG        tcp  --  anywhere             anywhere            tcp flags:FIN,SYN/FIN,SYN LOG level warning prefix `ipt# bledne_pakiety_tcp '
DROP       tcp  --  anywhere             anywhere            tcp flags:FIN,SYN/FIN,SYN
RETURN     tcp  --  anywhere             anywhere

Chain pakiety_icmp (1 references)
target     prot opt source               destination
LOG        icmp -f  anywhere             anywhere            LOG level warning prefix `ipt# pakiety_icmp fragmenty '
DROP       icmp -f  anywhere             anywhere
DROP       icmp --  anywhere             anywhere            icmp echo-request
ACCEPT     icmp --  anywhere             anywhere            icmp time-exceeded
RETURN     icmp --  anywhere             anywhere

Chain tcp_wchodzace (1 references)
target     prot opt source               destination
REJECT     tcp  --  anywhere             anywhere            tcp dpt:auth reject-with icmp-port-unreachable
ACCEPT     tcp  --  anywhere             anywhere            tcp spt:ftp-data
ACCEPT     tcp  --  anywhere             anywhere            tcp dpt:ftp
ACCEPT     tcp  --  anywhere             anywhere            tcp dpt:ssh
ACCEPT     tcp  --  anywhere             anywhere            tcp dpt:www
ACCEPT     tcp  --  anywhere             anywhere            tcp dpt:https
ACCEPT     tcp  --  anywhere             anywhere            tcp dpt:smtp
ACCEPT     tcp  --  anywhere             anywhere            tcp dpt :p op3
ACCEPT     tcp  --  anywhere             anywhere            tcp dpt :p op3s
ACCEPT     tcp  --  anywhere             anywhere            tcp dpt:imap2
ACCEPT     tcp  --  anywhere             anywhere            tcp dpt:imaps
ACCEPT     tcp  --  anywhere             anywhere            tcp dpts:webmin:10001
RETURN     tcp  --  anywhere             anywhere

Chain tcp_wychodzace (1 references)
target     prot opt source               destination
ACCEPT     tcp  --  anywhere             anywhere

Chain udp_wchodzace (1 references)
target     prot opt source               destination
DROP       udp  --  anywhere             anywhere            udp dpt:netbios-ns
DROP       udp  --  anywhere             anywhere            udp dpt:netbios-dgm
REJECT     udp  --  anywhere             anywhere            udp dpt:113 reject-with icmp-port-unreachable
ACCEPT     udp  --  anywhere             anywhere            udp dpt:ntp
ACCEPT     udp  --  anywhere             anywhere            udp dpt:domain
ACCEPT     udp  --  anywhere             anywhere            udp spt:bootpc dpt:bootps
ACCEPT     udp  --  anywhere             anywhere            udp dpts:10000:10001
RETURN     udp  --  anywhere             anywhere

Chain udp_wychodzace (1 references)
target     prot opt source               destination
ACCEPT     udp  --  anywhere             anywhere

Jakieś pomysły?

[VMLine]

Otwórz port 443.

[patrzkr]

Bez zmian

[VMLine]

A masz w ogóle dodane wirtualki obsługujące https (443) i certyfikaty?

[adasiek_j]

Chłopaki, co mają wirtualki (zakładam, że Apache) do squida? A co mają iptables do squida? A czy kolega patrzkr używa tego squida jako proxy? A może w ogóle nie ustawia proxy? A czy ten serwer Debiana to jest ruter?

Może troszkę więcej informacji, bo wróżki to w czasach inkwizycji poznikały.
Adam

[VMLine]

Chyba coś przeoczyłem - myślałem, że nie może wejść na swoją stronę www działającą na serwerze apache.
Dodaj:

Kod: Zaznacz cały

acl SSL_ports port 443

[patrzkr]

A co mają iptables do squida?

Przecież to regułki iptables przekierowują ruch na squida.

Squid działa jako transparentne proxy, ale przed instalacją squida był ten sam problem. Z tego tez powodu obstawiłem na iptables. A poza tym przez squida puszczony jest tylko ruch z portu 80. Nie mam już pomysłów co może być przyczyną.

[adasiek_j]

A jak zrobisz:

Kod: Zaznacz cały

ping www.wp.pl

z komputera z sieci LAN, to rozwiązuje nazwę szybko, czy też musisz czekać?

[patrzkr]

Po uruchomieniu polecenia, pingi idą praktycznie od razu. Zapomniałem jeszcze napisać ze na serwerze jest bind, skonfigurowany jest poprawnie wiec wątpię że to jego wina. Napisze tak: na czystym systemie po skonfigurowaniu routingu i regułek iptables strony https nie działały

[adasiek_j]

Czyli rozumiem, że jak wyczyścisz regułki iptables teraz i zostawisz tylko ACCEPT, to ruch do https będzie działał?

Adam