Polskie Forum Użytkowników Debiana

Witam.
Mam serwer na Debianie Squeeze, na serwerze dodatkowo jest samba, squid, squidguard i sarg. Gdy z sieci LAN próbuję wejść na jakąś stronę https, czekam w nieskończoność.

Kod: Zaznacz cały

iptables -L

Kod: Zaznacz cały

Chain INPUT (policy DROP)
target     prot opt source               destination
ACCEPT     all  --  anywhere             anywhere
bledne_pakiety  all  --  anywhere             anywhere
DROP       all  --  anywhere             ALL-SYSTEMS.MCAST.NET
ACCEPT     all  --  10.0.0.0/24          anywhere
ACCEPT     all  --  anywhere             10.0.0.255
ACCEPT     udp  --  anywhere             anywhere            udp spt:bootpc dpt:bootps
ACCEPT     all  --  anywhere             anywhere            state RELATED,ESTABLISHED
pakiety_icmp  icmp --  anywhere             anywhere
tcp_wchodzace  tcp  --  anywhere             anywhere
udp_wchodzace  udp  --  anywhere             anywhere
DROP       all  --  anywhere             255.255.255.255
LOG        all  --  anywhere             anywhere            LOG level warning prefix `ipt# INPUT:99 '

Chain FORWARD (policy DROP)
target     prot opt source               destination
bledne_pakiety  all  --  anywhere             anywhere
tcp_wychodzace  tcp  --  anywhere             anywhere
udp_wychodzace  udp  --  anywhere             anywhere
ACCEPT     all  --  anywhere             anywhere
ACCEPT     all  --  anywhere             anywhere            state RELATED,ESTABLISHED
LOG        all  --  anywhere             anywhere            LOG level warning prefix `ipt# FORWARD:99 '

Chain OUTPUT (policy DROP)
target     prot opt source               destination
DROP       icmp --  anywhere             anywhere            state INVALID
ACCEPT     all  --  localhost            anywhere
ACCEPT     all  --  anywhere             anywhere
ACCEPT     all  --  10.0.0.1             anywhere
ACCEPT     all  --  anywhere             anywhere
ACCEPT     all  --  anywhere             anywhere
LOG        all  --  anywhere             anywhere            LOG level warning prefix `ipt# OUTPUT:99 '

Chain bledne_pakiety (2 references)
target     prot opt source               destination
LOG        all  --  anywhere             anywhere            state INVALID LOG level warning prefix `ipt# bledne_pakiety '
DROP       all  --  anywhere             anywhere            state INVALID
bledne_pakiety_tcp  tcp  --  anywhere             anywhere
RETURN     all  --  anywhere             anywhere

Chain bledne_pakiety_tcp (1 references)
target     prot opt source               destination
RETURN     tcp  --  anywhere             anywhere
LOG        tcp  --  anywhere             anywhere            tcp flags:!FIN,SYN,RST,ACK/SYN state NEW LOG level warning prefix `ipt# bledne_pakiety_tcp '
DROP       tcp  --  anywhere             anywhere            tcp flags:!FIN,SYN,RST,ACK/SYN state NEW
LOG        tcp  --  anywhere             anywhere            tcp flags:FIN,SYN,RST,PSH,ACK,URG/NONE LOG level warning prefix `ipt# bledne_pakiety_tcp '
DROP       tcp  --  anywhere             anywhere            tcp flags:FIN,SYN,RST,PSH,ACK,URG/NONE
LOG        tcp  --  anywhere             anywhere            tcp flags:FIN,SYN,RST,PSH,ACK,URG/FIN,SYN,RST,PSH,ACK,URG LOG level warning prefix `ipt# bledne_pakiety_tcp '
DROP       tcp  --  anywhere             anywhere            tcp flags:FIN,SYN,RST,PSH,ACK,URG/FIN,SYN,RST,PSH,ACK,URG
LOG        tcp  --  anywhere             anywhere            tcp flags:FIN,SYN,RST,PSH,ACK,URG/FIN,PSH,URG LOG level warning prefix `ipt# bledne_pakiety_tcp '
DROP       tcp  --  anywhere             anywhere            tcp flags:FIN,SYN,RST,PSH,ACK,URG/FIN,PSH,URG
LOG        tcp  --  anywhere             anywhere            tcp flags:FIN,SYN,RST,PSH,ACK,URG/FIN,SYN,RST,ACK,URG LOG level warning prefix `ipt# bledne_pakiety_tcp '
DROP       tcp  --  anywhere             anywhere            tcp flags:FIN,SYN,RST,PSH,ACK,URG/FIN,SYN,RST,ACK,URG
LOG        tcp  --  anywhere             anywhere            tcp flags:SYN,RST/SYN,RST LOG level warning prefix `ipt# bledne_pakiety_tcp '
DROP       tcp  --  anywhere             anywhere            tcp flags:SYN,RST/SYN,RST
LOG        tcp  --  anywhere             anywhere            tcp flags:FIN,SYN/FIN,SYN LOG level warning prefix `ipt# bledne_pakiety_tcp '
DROP       tcp  --  anywhere             anywhere            tcp flags:FIN,SYN/FIN,SYN
RETURN     tcp  --  anywhere             anywhere

Chain pakiety_icmp (1 references)
target     prot opt source               destination
LOG        icmp -f  anywhere             anywhere            LOG level warning prefix `ipt# pakiety_icmp fragmenty '
DROP       icmp -f  anywhere             anywhere
DROP       icmp --  anywhere             anywhere            icmp echo-request
ACCEPT     icmp --  anywhere             anywhere            icmp time-exceeded
RETURN     icmp --  anywhere             anywhere

Chain tcp_wchodzace (1 references)
target     prot opt source               destination
REJECT     tcp  --  anywhere             anywhere            tcp dpt:auth reject-with icmp-port-unreachable
ACCEPT     tcp  --  anywhere             anywhere            tcp spt:ftp-data
ACCEPT     tcp  --  anywhere             anywhere            tcp dpt:ftp
ACCEPT     tcp  --  anywhere             anywhere            tcp dpt:ssh
ACCEPT     tcp  --  anywhere             anywhere            tcp dpt:www
ACCEPT     tcp  --  anywhere             anywhere            tcp dpt:https
ACCEPT     tcp  --  anywhere             anywhere            tcp dpt:smtp
ACCEPT     tcp  --  anywhere             anywhere            tcp dpt :p op3
ACCEPT     tcp  --  anywhere             anywhere            tcp dpt :p op3s
ACCEPT     tcp  --  anywhere             anywhere            tcp dpt:imap2
ACCEPT     tcp  --  anywhere             anywhere            tcp dpt:imaps
ACCEPT     tcp  --  anywhere             anywhere            tcp dpts:webmin:10001
RETURN     tcp  --  anywhere             anywhere

Chain tcp_wychodzace (1 references)
target     prot opt source               destination
ACCEPT     tcp  --  anywhere             anywhere

Chain udp_wchodzace (1 references)
target     prot opt source               destination
DROP       udp  --  anywhere             anywhere            udp dpt:netbios-ns
DROP       udp  --  anywhere             anywhere            udp dpt:netbios-dgm
REJECT     udp  --  anywhere             anywhere            udp dpt:113 reject-with icmp-port-unreachable
ACCEPT     udp  --  anywhere             anywhere            udp dpt:ntp
ACCEPT     udp  --  anywhere             anywhere            udp dpt:domain
ACCEPT     udp  --  anywhere             anywhere            udp spt:bootpc dpt:bootps
ACCEPT     udp  --  anywhere             anywhere            udp dpts:10000:10001
RETURN     udp  --  anywhere             anywhere

Chain udp_wychodzace (1 references)
target     prot opt source               destination
ACCEPT     udp  --  anywhere             anywhere

Jakieś pomysły?

Otwórz port 443.

Bez zmian

A masz w ogóle dodane wirtualki obsługujące https (443) i certyfikaty?

Chłopaki, co mają wirtualki (zakładam, że Apache) do squida? A co mają iptables do squida? A czy kolega patrzkr używa tego squida jako proxy? A może w ogóle nie ustawia proxy? A czy ten serwer Debiana to jest ruter?

Może troszkę więcej informacji, bo wróżki to w czasach inkwizycji poznikały.
Adam

Chyba coś przeoczyłem - myślałem, że nie może wejść na swoją stronę www działającą na serwerze apache.
Dodaj:

Kod: Zaznacz cały

acl SSL_ports port 443

A co mają iptables do squida?

Przecież to regułki iptables przekierowują ruch na squida.

Squid działa jako transparentne proxy, ale przed instalacją squida był ten sam problem. Z tego tez powodu obstawiłem na iptables. A poza tym przez squida puszczony jest tylko ruch z portu 80. Nie mam już pomysłów co może być przyczyną.

A jak zrobisz:

Kod: Zaznacz cały

ping www.wp.pl

z komputera z sieci LAN, to rozwiązuje nazwę szybko, czy też musisz czekać?

Po uruchomieniu polecenia, pingi idą praktycznie od razu. Zapomniałem jeszcze napisać ze na serwerze jest bind, skonfigurowany jest poprawnie wiec wątpię że to jego wina. Napisze tak: na czystym systemie po skonfigurowaniu routingu i regułek iptables strony https nie działały

Czyli rozumiem, że jak wyczyścisz regułki iptables teraz i zostawisz tylko ACCEPT, to ruch do https będzie działał?

Adam

Polskie Forum Użytkowników Debiana

Co

Coś blokuje mi ruch na https