Co - Strona 2

patrzkr · Post autor: **patrzkr** » 13 kwietnia 2011, 12:22

Prawdę mówiąc nie próbowałem tego zrobić. Zamieszczam skrypt firewalla. Skorzystałem z jakiejś strony, która generuje skrypt, nie miałem czasu samemu tworzyć.

Edycja:
Napisałem na szybko na nowo, ale nadal to samo. Zamieszczam nowy skrypt:

Kod: Zaznacz cały

iptables -F
iptables -t nat -F

iptables -P INPUT ACCEPT
iptables -P OUTPUT ACCEPT
iptables -P FORWARD DROP

iptables -I INPUT 1 -i eth1 -j ACCEPT
iptables -I INPUT 1 -i lo -j ACCEPT
iptables -A INPUT -p UDP --dport bootps ! -i eth1 -j REJECT
iptables -A INPUT -p UDP --dport domain ! -i eth1 -j REJECT

iptables -A INPUT -p TCP --dport 5014 -i eth0 -j ACCEPT
iptables -A INPUT -p TCP --dport 10000 -i eth0 -j ACCEPT

iptables -A INPUT -p TCP ! -i eth0 -d 0/0 --dport 0:1023 -j DROP
iptables -A INPUT -p UDP ! -i eth0 -d 0/0 --dport 0:1023 -j DROP

iptables -I FORWARD -i eth1 -d 10.0.0.0/255.255.255.0 -j DROP
iptables -A FORWARD -i eth1 -s 10.0.0.0/255.255.255.0 -j ACCEPT
iptables -A FORWARD -i eth0 -d 10.0.0.0/255.255.255.0 -j ACCEPT
iptables -t nat -A PREROUTING -i eth1 -p tcp --dport 80 -j REDIRECT --to-port 3128
iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE


echo 1 > /proc/sys/net/ipv4/ip_forward
for f in /proc/sys/net/ipv4/conf/*/rp_filter ; do echo 1 > $f ; done

adasiek_j · Post autor: **adasiek_j** » 13 kwietnia 2011, 15:15

Dwa testy do wykonania:

1. Spróbuj wywołania w przeglądarce np.

Kod: Zaznacz cały

http://cs.abix.info.pl:81/login.php

Zobaczymy, czy to też nagle będzie wolno... zapewne powinno być powolne

2. Potem spróbuj wywołania w przeglądarce, np.

Kod: Zaznacz cały

http://vps.abix.info.pl

I porównaj czasu obu - serwer jest ten sam fizycznie, więc zobaczymy, czy pkt. 1 będzie wolniejszy od pkt. 2

3. Potem zmień sobie ten skrypt firewall'a i dodaj:

Kod: Zaznacz cały

iptables -t nat -A PREROUTING -i eth1 -p tcp --dport 443 -j REDIRECT --to-port 3128
iptables -t nat -A PREROUTING -i eth1 -p tcp --dport 81 -j REDIRECT --to-port 3128

Oczywiście sprawdź w ustawieniach SQUID'a, czy pozwalasz na ruch do portu 81 przez niego.
Opisz tu wyniki.

Adam

patrzkr · Post autor: **patrzkr** » 18 maja 2011, 08:16

Czas jest mniej wiecej ten sam.
Pod dodaniu

Kod: Zaznacz cały

iptables -t nat -A PREROUTING -i eth1 -p tcp --dport 443 -j REDIRECT --to-port 3128 
iptables -t nat -A PREROUTING -i eth1 -p tcp --dport 81 -j REDIRECT --to-port 3128

Strona otwiera się, ale nie do końca. Przeglądarka wyświetla:

Kod: Zaznacz cały

Podczas łączenia z serwerem securesite.com:443 wystąpił błąd.

SSL otrzymał rekord przekraczający największą dozwoloną długość.

(Kod błędu: ssl_error_rx_record_too_long)

Edycja:
Jak przekiruje port 443 na squida i ustawie w przegldarce proxy na SSL to wszystko działa. Tylko jak zrobić żeby to ominać, żeby https działało bez proxy?