[Clo] Iptables+squid+la cerise

Mer 26 Avr 00:09:19 EDT 2006

Salut Vincent,

Pour la question du proxy, je ne peux pas te répondre, je ne connais
pas.

Pour ce qui est d'iptables, je me pose des questions sur la validité de
cette règle pour POP. Premièrement, pourquoi cette ligne puisqu'il y a
déjà une règle (iptables -A FORWARD -s 192.168.0.0/255.255.0.0 -j
ACCEPT) qui le fait déjà sans préciser aucun protocle ni port, ce qui en
principe, devrait accepter de "forwarder" n'importe quoi? Pourquoi le
port source 3128? Est-ce que les requêtes POP partent toujours de ce
port chez le client?

J-M

Le mardi 25 avril 2006 à 18:14 +0200, Vincent Loubeyre a écrit :
> Bonjour a tous
> Et oui encore un frenchie en detresse... Bon je vous explique :
> J ai du installer et parametrer comme j ai pu un routeur proxy pour le
> partage internet sur mes vlan la ou j'officie (un bahut), et donc je m
> en suis pas si mal tiré que ca vu que j ai un pare feu qui fonctionne
> (est-il sur ????), qui me permet de prendre la main en ssh, apache,
> webmin. Avec partage masquerade et tout le tralala pour que les gens
> aient internet.
> Donc jusque la c est tout bon, MAIS impossible de se connecter aux
> differents serveur pop des messageries dans les bureau lorsqu elles
> sont installés en dur (pop, smtp)
> 
> Ci dessous mon iptables (que je lance manuellement parceque je ne suis
> pas encore un pro des scripts de demarrage) :
> ------------------------
> #!/bin/zsh
> #etc/network/if-pre-up.d/iptables-perso
> 
> iptables -F
> iptables -t nat -F
> 
> iptables -P INPUT DROP
> iptables -P OUTPUT ACCEPT
> iptables -P FORWARD ACCEPT
> 
> iptables -A INPUT -i lo -j ACCEPT
> iptables -A OUTPUT -o lo -j ACCEPT
> 
> iptables -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
> 
> iptables -A INPUT -s 192.168.0.0/255.255.0.0 -j ACCEPT
> iptables -A OUTPUT -d 192.168.0.0/255.255.0.0 -j ACCEPT
> iptables -A FORWARD -s 192.168.0.0/255.255.0.0 -j ACCEPT
> 
> iptables -A INPUT -p tcp --dport 80 -j ACCEPT
> 
> iptables -A INPUT -p tcp --dport 22 -j ACCEPT
> 
> iptables -A INPUT -p tcp --dport 21 -j ACCEPT
> 
> iptables -A INPUT -p tcp --dport 10000 -j ACCEPT
> 
> (c est la que je pensais ouvrir le protocole pop à tout le monde, or
> rien y fait, eth2 est le LAN et eth0 Internet)
> iptables -A FORWARD -p tcp -i eth2 -s 192.168.0.0/16 --sport 3128: -o
> eth0 --dport 110 -j ACCEPT
> (faut dire que j ai pompe ca sur le net et franchement j ai pas tout
> compris)
> 
> iptables -t nat -A POSTROUTING -o eth0 -s 192.168.0.0/16 -j MASQUERADE
> iptables -A FORWARD -p tcp --tcp-flags SYN,RST SYN -j TCPMSS -o eth0
> --clamp-mss-to-pmtu
> ------------------------------------
> Bref, si on pouvait me donner un truc se serait tres gentil...
> 
> En plus y a un autre truc bizarre, le proxy fonctionne bien, mais
> internet est lent j ai pourtant essaye de parametrer le cache (encore
> que la je demande a voir j ai repris des man, des howto, des sites qui
> expliquent mais bon) et je me disais si le fait d etre un peu lent ne
> pouvait pas empecher la connection au compte pop (qui coupe la
> connection passe un certain delai)????
> Surtout que le proxy devant accelerer les requetes moi se serait
> plutot le contraire...
> 
> La cerise sur le gateau, j ai voulu mettre un squidguard (ben vu que
> je suis dans un etablissement scolaire, c est mieux si je ne veux pas
> me retrouver à manger des oranges quelques annees à l ombre), et la
> RIEN, j ai tout fait comme on m a dit mais rien si je tape sex, la
> totale.... Enfin, la catastrophe...
> 
> Un petit coup de main serait le bienvenu.
> _______________________________________________
> Clo mailing list
> Clo at linux-gatineau.org
> http://www.linux-gatineau.org/mailman/listinfo/clo