[Clo] Iptables+squid+la cerise

Jean-Pierre Denis jp at webglobe.ca
Mer 26 Avr 02:04:51 EDT 2006 

Bonjour,



C'est un peu dificile à résoudre avec cette info.

Pour commencer il te faut des règles pour faire le ménage avant le démarage.

iptables --flush
iptables -t nat --flush
iptables -t mangle --flush

et regarde ce qui ce passe avec

iptables -A INPUT -i eth2 -p tcp --dport 110 -j LOG


>> iptables -A FORWARD -p tcp -i eth2 -s 192.168.0.0/16 --sport 3128: -o
>> eth0 --dport 110 -j ACCEPT

Je me question sur les ":" dans --sport 3128: .
: est normalement utilisé pour créer une liste.
Au lieu de: 1, 2, 3, 4, 5  on dit 1:5 .

Tout même j'ai rarement vu des implémentation d'une cache pour POP.
Squid n'est pas vraiment fait pour ca. Un proxy SOCKS serait p-e mieux.

Pourquoi ne pas connecter directement sans intermédiaire?



Le meilleur truc pour résoudre ce problem est de faire

# tail -f /chemin/vers/log/iptables

et d'initier une connection

# telnet ser.veur.pop.ip 110


Trouve dans les logs pourquoi la connection est refusé et ajuste toi
en conséquences. Regarde tes règles avec # /sbin/iptables -L.


C'est script de iptables peuvent devenir très long et complexe.
Regarde shorewall. Une interface iptables très bien fait et facile a
utiliser. Quelque config et voila. De plus, par défaut tout log.



JP




Jean-Marc Vaillancourt wrote:
> Salut Vincent,
>
> Pour la question du proxy, je ne peux pas te répondre, je ne connais
> pas.
>
> Pour ce qui est d'iptables, je me pose des questions sur la validité de
> cette règle pour POP. Premièrement, pourquoi cette ligne puisqu'il y a
> déjà une règle (iptables -A FORWARD -s 192.168.0.0/255.255.0.0 -j
> ACCEPT) qui le fait déjà sans préciser aucun protocle ni port, ce qui en
> principe, devrait accepter de "forwarder" n'importe quoi? Pourquoi le
> port source 3128? Est-ce que les requêtes POP partent toujours de ce
> port chez le client?
>
> J-M
>
> Le mardi 25 avril 2006 à 18:14 +0200, Vincent Loubeyre a écrit :
>> Bonjour a tous
>> Et oui encore un frenchie en detresse... Bon je vous explique :
>> J ai du installer et parametrer comme j ai pu un routeur proxy pour le
>> partage internet sur mes vlan la ou j'officie (un bahut), et donc je m
>> en suis pas si mal tiré que ca vu que j ai un pare feu qui fonctionne
>> (est-il sur ????), qui me permet de prendre la main en ssh, apache,
>> webmin. Avec partage masquerade et tout le tralala pour que les gens
>> aient internet.
>> Donc jusque la c est tout bon, MAIS impossible de se connecter aux
>> differents serveur pop des messageries dans les bureau lorsqu elles
>> sont installés en dur (pop, smtp)
>>
>> Ci dessous mon iptables (que je lance manuellement parceque je ne suis
>> pas encore un pro des scripts de demarrage) :
>> ------------------------
>> #!/bin/zsh
>> #etc/network/if-pre-up.d/iptables-perso
>>
>> iptables -F
>> iptables -t nat -F
>>
>> iptables -P INPUT DROP
>> iptables -P OUTPUT ACCEPT
>> iptables -P FORWARD ACCEPT
>>
>> iptables -A INPUT -i lo -j ACCEPT
>> iptables -A OUTPUT -o lo -j ACCEPT
>>
>> iptables -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
>>
>> iptables -A INPUT -s 192.168.0.0/255.255.0.0 -j ACCEPT
>> iptables -A OUTPUT -d 192.168.0.0/255.255.0.0 -j ACCEPT
>> iptables -A FORWARD -s 192.168.0.0/255.255.0.0 -j ACCEPT
>>
>> iptables -A INPUT -p tcp --dport 80 -j ACCEPT
>>
>> iptables -A INPUT -p tcp --dport 22 -j ACCEPT
>>
>> iptables -A INPUT -p tcp --dport 21 -j ACCEPT
>>
>> iptables -A INPUT -p tcp --dport 10000 -j ACCEPT
>>
>> (c est la que je pensais ouvrir le protocole pop à tout le monde, or
>> rien y fait, eth2 est le LAN et eth0 Internet)
>> iptables -A FORWARD -p tcp -i eth2 -s 192.168.0.0/16 --sport 3128: -o
>> eth0 --dport 110 -j ACCEPT
>> (faut dire que j ai pompe ca sur le net et franchement j ai pas tout
>> compris)
>>
>> iptables -t nat -A POSTROUTING -o eth0 -s 192.168.0.0/16 -j MASQUERADE
>> iptables -A FORWARD -p tcp --tcp-flags SYN,RST SYN -j TCPMSS -o eth0
>> --clamp-mss-to-pmtu
>> ------------------------------------
>> Bref, si on pouvait me donner un truc se serait tres gentil...
>>
>> En plus y a un autre truc bizarre, le proxy fonctionne bien, mais
>> internet est lent j ai pourtant essaye de parametrer le cache (encore
>> que la je demande a voir j ai repris des man, des howto, des sites qui
>> expliquent mais bon) et je me disais si le fait d etre un peu lent ne
>> pouvait pas empecher la connection au compte pop (qui coupe la
>> connection passe un certain delai)????
>> Surtout que le proxy devant accelerer les requetes moi se serait
>> plutot le contraire...
>>
>> La cerise sur le gateau, j ai voulu mettre un squidguard (ben vu que
>> je suis dans un etablissement scolaire, c est mieux si je ne veux pas
>> me retrouver à manger des oranges quelques annees à l ombre), et la
>> RIEN, j ai tout fait comme on m a dit mais rien si je tape sex, la
>> totale.... Enfin, la catastrophe...
>>
>> Un petit coup de main serait le bienvenu.
>> _______________________________________________
>> Clo mailing list
>> Clo at linux-gatineau.org
>> http://www.linux-gatineau.org/mailman/listinfo/clo
>
> _______________________________________________
> Clo mailing list
> Clo at linux-gatineau.org
> http://www.linux-gatineau.org/mailman/listinfo/clo
>


Merci,
Jean-Pierre Denis
(LPIC1 - LPIC2 - ITIL-F)
WebGlobe Solutions TI
email: jp at webglobe.ca
www:   http://www.webglobe.ca

Plus d'informations sur la liste de diffusion Clo