* [Comm] Iptables и https
@ 2004-09-29 10:28 Slava Dubrovskiy
2004-09-29 10:37 ` Alexey Morsov
2004-09-29 13:03 ` [Comm] Iptables É https Peter Teslenko
0 siblings, 2 replies; 26+ messages in thread
From: Slava Dubrovskiy @ 2004-09-29 10:28 UTC (permalink / raw)
To: Community
Здравствуйте!
Вот настроил iptables на сервере по Iptables Tutorial. Но никак немогу
настроить протокол https. Не пускает пользователей. Добавляю вот такую
строчку.
$IPTABLES -A FORWARD -p tcp --dport 443 -i $LAN_IFACE -j ACCEPT
Броузер в командной строке пишет соединено с ...... и ничего не
показывает. Что еще ему надо?
#!/bin/sh
LAN_IFACE="eth0"
LAN_IP="192.168.1.1"
LAN_IP_RANGE="192.168.1.0/24"
LAN_BROADCAST_ADDRESS="192.168.1.255/24"
INET_IFACE="ppp0"
INET_IP="ххх.ххх.ххх.ххх"
INET_IP_RANGE="ххх.ххх.ххх.ххх/24"
INET_BROADCAST_ADDRESS="ххх.ххх.ххх.255/24"
TUNEL_IFACE="eth1"
TUNEL_IP="ууу.ууу.ууу.ууу"
TUNEL_IP2="192.168.10.1"
TUNEL_IP_RANGE="yyy.yyy.yyy.yyy/24"
TUNEL_IP_RANGE2="192.168.10.0/24"
TUNEL_BROADCAST_ADDRESS="yyy.yyy.yyy.255/24"
TUNEL_BROADCAST_ADDRESS2="192.168.10.255/24"
LO_IFACE="lo"
LO_IP="127.0.0.1"
IPTABLES="/sbin/iptables"
$IPTABLES -F
$IPTABLES -F -t nat
# Remove any existing user-defined chains.
$IPTABLES -X
$IPTABLES -P INPUT DROP
$IPTABLES -P OUTPUT DROP
$IPTABLES -P FORWARD DROP
$IPTABLES -N bad_tcp_packets
$IPTABLES -N allowed
$IPTABLES -N tcp_packets
$IPTABLES -N udp_packets
$IPTABLES -N icmp_packets
$IPTABLES -A bad_tcp_packets -p tcp ! --syn -m state --state NEW -j LOG \
--log-prefix "New not syn:"
$IPTABLES -A bad_tcp_packets -p tcp ! --syn -m state --state NEW -j DROP
$IPTABLES -A allowed -p TCP --syn -j ACCEPT
$IPTABLES -A allowed -p TCP -m state --state ESTABLISHED,RELATED -j ACCEPT
$IPTABLES -A allowed -p TCP -j DROP
$IPTABLES -A tcp_packets -p TCP -s 0/0 --dport 20 -j allowed
$IPTABLES -A tcp_packets -p TCP -s 0/0 --dport 21 -j allowed
$IPTABLES -A tcp_packets -p TCP -s 0/0 --dport 22 -j allowed
$IPTABLES -A tcp_packets -p TCP -s 0/0 --dport 25 -j allowed
$IPTABLES -A udp_packets -p UDP -s 0/0 --source-port 53 -j ACCEPT
$IPTABLES -A udp_packets -p UDP -s 0/0 --source-port 123 -j ACCEPT
$IPTABLES -A udp_packets -p UDP -i $INET_IFACE --destination-port
135:139 -j DROP
$IPTABLES -A udp_packets -p UDP -i $INET_IFACE -d 255.255.255.255
--destination-port 67:68 -j DROP
$IPTABLES -A icmp_packets -p ICMP -s 0/0 --icmp-type 8 -j ACCEPT
$IPTABLES -A icmp_packets -p ICMP -s 0/0 --icmp-type 11 -j ACCEPT
$IPTABLES -A INPUT -p tcp -j bad_tcp_packets
$IPTABLES -A INPUT -p ALL -i $LAN_IFACE -s $LAN_IP_RANGE -j ACCEPT
$IPTABLES -A INPUT -p ALL -i $LO_IFACE -j ACCEPT
$IPTABLES -A INPUT -p ALL -i $LAN_IFACE -d $LAN_BROADCAST_ADDRESS -j ACCEPT
# pptp
$IPTABLES -A INPUT -p 47 -i $TUNEL_IFACE -j ACCEPT
$IPTABLES -A INPUT -p tcp -i $TUNEL_IFACE --sport 1723 -j ACCEPT
$IPTABLES -A INPUT -p ALL -i $INET_IFACE -m state --state
ESTABLISHED,RELATED -j ACCEPT
$IPTABLES -A INPUT -p TCP -i $INET_IFACE -j tcp_packets
$IPTABLES -A INPUT -p UDP -i $INET_IFACE -j udp_packets
$IPTABLES -A INPUT -p ICMP -i $INET_IFACE -j icmp_packets
$IPTABLES -A INPUT -m limit --limit 3/minute --limit-burst 3 -j LOG \
--log-level DEBUG --log-prefix "IPT INPUT packet died: "
$IPTABLES -A FORWARD -p tcp -j bad_tcp_packets
$IPTABLES -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT
$IPTABLES -A FORWARD -m limit --limit 3/minute --limit-burst 3 -j LOG \
--log-level DEBUG --log-prefix "IPT FORWARD packet died: "
$IPTABLES -A OUTPUT -p tcp -j bad_tcp_packets
$IPTABLES -A OUTPUT -p ALL -s $LO_IP -j ACCEPT
$IPTABLES -A OUTPUT -p ALL -s $LAN_IP -j ACCEPT
$IPTABLES -A OUTPUT -p ALL -o $INET_IFACE -j ACCEPT
# pptp
$IPTABLES -A OUTPUT -p tcp -o $TUNEL_IFACE --dport 1723 -j ACCEPT
$IPTABLES -A OUTPUT -p 47 -o $TUNEL_IFACE -j ACCEPT
$IPTABLES -A OUTPUT -m limit --limit 3/minute --limit-burst 3 -j LOG \
--log-level DEBUG --log-prefix "IPT OUTPUT packet died: "
$IPTABLES -t nat -A POSTROUTING -o $INET_IFACE -j SNAT --to-source $INET_IP
$IPTABLES -t nat -A PREROUTING -s $LAN_IP_RANGE -d ! $LAN_IP -p tcp
--dport 80 -j REDIRECT --to-port 3128
$IPTABLES -t nat -A PREROUTING -s $LAN_IP_RANGE -p tcp --dport 8080 -j
REDIRECT --to-port 3128
$IPTABLES -t nat -A PREROUTING -s $LAN_IP_RANGE -p tcp --dport 8081 -j
REDIRECT --to-port 3128
$IPTABLES -t nat -A PREROUTING -s $LAN_IP_RANGE -p tcp --dport 1080 -j
REDIRECT --to-port 3128
$IPTABLES -t nat -A PREROUTING -s $LAN_IP_RANGE -p tcp --dport 3128 -j
REDIRECT --to-port 3128
С уважением,
Дубровский Вячеслав.
^ permalink raw reply [flat|nested] 26+ messages in thread
* Re: [Comm] Iptables и https
2004-09-29 10:28 [Comm] Iptables и https Slava Dubrovskiy
@ 2004-09-29 10:37 ` Alexey Morsov
2004-09-29 10:40 ` Slava Dubrovskiy
2004-09-29 13:03 ` [Comm] Iptables É https Peter Teslenko
1 sibling, 1 reply; 26+ messages in thread
From: Alexey Morsov @ 2004-09-29 10:37 UTC (permalink / raw)
To: community
Slava Dubrovskiy wrote:
> Здравствуйте!
>
> Вот настроил iptables на сервере по Iptables Tutorial. Но никак немогу
> настроить протокол https. Не пускает пользователей. Добавляю вот такую
> строчку.
> $IPTABLES -A FORWARD -p tcp --dport 443 -i $LAN_IFACE -j ACCEPT
А где сам http стоит? И раз у вас прозрачный прокси не хотите 443
порт на него завернуть тоже
--
Всего наилучшего,
Системный Администратор ЗАО "ИК "РИКОМ-ТРАСТ"
Алексей Морсов
ICQ: 196766290
Jabber: Samurai@jabber.ru
http://www.ricom.ru
http://www.fondmarket.ru
^ permalink raw reply [flat|nested] 26+ messages in thread
* Re: [Comm] Iptables и https
2004-09-29 10:37 ` Alexey Morsov
@ 2004-09-29 10:40 ` Slava Dubrovskiy
2004-09-29 10:43 ` Alexey Morsov
0 siblings, 1 reply; 26+ messages in thread
From: Slava Dubrovskiy @ 2004-09-29 10:40 UTC (permalink / raw)
To: community
Alexey Morsov пишет:
>
> Slava Dubrovskiy wrote:
>
>> Здравствуйте!
>>
>> Вот настроил iptables на сервере по Iptables Tutorial. Но никак
>> немогу настроить протокол https. Не пускает пользователей. Добавляю
>> вот такую строчку.
>> $IPTABLES -A FORWARD -p tcp --dport 443 -i $LAN_IFACE -j ACCEPT
>
> А где сам http стоит? И раз у вас прозрачный прокси не хотите 443 порт
> на него завернуть тоже
>
Заворачивал. И ... ничего. Настройки squid'a стандартные из коробки.
Только режик прикручен.
^ permalink raw reply [flat|nested] 26+ messages in thread
* Re: [Comm] Iptables и https
2004-09-29 10:40 ` Slava Dubrovskiy
@ 2004-09-29 10:43 ` Alexey Morsov
2004-09-29 10:47 ` Slava Dubrovskiy
0 siblings, 1 reply; 26+ messages in thread
From: Alexey Morsov @ 2004-09-29 10:43 UTC (permalink / raw)
To: community
Slava Dubrovskiy wrote:
> Alexey Morsov пишет:
>
>>
>> Slava Dubrovskiy wrote:
>>
>>> Здравствуйте!
>>>
>>> Вот настроил iptables на сервере по Iptables Tutorial. Но никак
>>> немогу настроить протокол https. Не пускает пользователей. Добавляю
>>> вот такую строчку.
>>> $IPTABLES -A FORWARD -p tcp --dport 443 -i $LAN_IFACE -j ACCEPT
>>
>>
>> А где сам http стоит? И раз у вас прозрачный прокси не хотите 443 порт
>> на него завернуть тоже
>>
> Заворачивал. И ... ничего. Настройки squid'a стандартные из коробки.
> Только режик прикручен.
А стандартные разве уже прозрачные?
httpd_accel и все такое прикручено?
--
Всего наилучшего,
Системный Администратор ЗАО "ИК "РИКОМ-ТРАСТ"
Алексей Морсов
ICQ: 196766290
Jabber: Samurai@jabber.ru
http://www.ricom.ru
http://www.fondmarket.ru
^ permalink raw reply [flat|nested] 26+ messages in thread
* Re: [Comm] Iptables и https
2004-09-29 10:43 ` Alexey Morsov
@ 2004-09-29 10:47 ` Slava Dubrovskiy
2004-09-29 10:51 ` Slava Dubrovskiy
2004-09-29 10:52 ` Alexey Morsov
0 siblings, 2 replies; 26+ messages in thread
From: Slava Dubrovskiy @ 2004-09-29 10:47 UTC (permalink / raw)
To: community
Alexey Morsov пишет:
>
> Slava Dubrovskiy wrote:
>
>> Alexey Morsov пишет:
>>
>>>
>>> Slava Dubrovskiy wrote:
>>>
>>>> Здравствуйте!
>>>>
>>>> Вот настроил iptables на сервере по Iptables Tutorial. Но никак
>>>> немогу настроить протокол https. Не пускает пользователей. Добавляю
>>>> вот такую строчку.
>>>> $IPTABLES -A FORWARD -p tcp --dport 443 -i $LAN_IFACE -j ACCEPT
>>>
>>>
>>>
>>> А где сам http стоит? И раз у вас прозрачный прокси не хотите 443
>>> порт на него завернуть тоже
>>>
>> Заворачивал. И ... ничего. Настройки squid'a стандартные из коробки.
>> Только режик прикручен.
>
> А стандартные разве уже прозрачные?
> httpd_accel и все такое прикручено?
>
Ну вот часть squid.conf, вроде должно пускать.
#Recommended minimum configuration:
acl all src 0.0.0.0/0.0.0.0
acl manager proto cache_object
acl localhost src 127.0.0.1/255.255.255.255
acl to_localhost dst 127.0.0.0/8
acl SSL_ports port 443 563
acl Jabber_ports port 5222
acl Safe_ports port 80 # http
acl Safe_ports port 21 # ftp
acl Safe_ports port 443 563 # https, snews
acl Safe_ports port 70 # gopher
acl Safe_ports port 210 # wais
acl Safe_ports port 1025-65535 # unregistered ports
acl Safe_ports port 280 # http-mgmt
acl Safe_ports port 488 # gss-http
acl Safe_ports port 591 # filemaker
acl Safe_ports port 777 # multiling http
acl CONNECT method CONNECT
#Recommended minimum configuration:
# Only allow cachemgr access from localhost
http_access allow manager localhost
http_access deny manager
# Deny requests to unknown ports
http_access deny !Safe_ports
# Deny CONNECT to other than SSL ports
http_access deny CONNECT !SSL_ports !Jabber_ports
http_access deny to_localhost
acl our_networks src 192.168.1.0/24
http_access allow our_networks
http_access allow localhost
http_access deny all
^ permalink raw reply [flat|nested] 26+ messages in thread
* Re: [Comm] Iptables и https
2004-09-29 10:47 ` Slava Dubrovskiy
@ 2004-09-29 10:51 ` Slava Dubrovskiy
2004-09-29 10:57 ` Alexey Morsov
2004-09-29 10:52 ` Alexey Morsov
1 sibling, 1 reply; 26+ messages in thread
From: Slava Dubrovskiy @ 2004-09-29 10:51 UTC (permalink / raw)
To: community
Slava Dubrovskiy пишет:
> Alexey Morsov пишет:
>
>>
>> Slava Dubrovskiy wrote:
>>
>>> Alexey Morsov пишет:
>>>
>>>>
>>>> Slava Dubrovskiy wrote:
>>>>
>>>>> Здравствуйте!
>>>>>
>>>>> Вот настроил iptables на сервере по Iptables Tutorial. Но никак
>>>>> немогу настроить протокол https. Не пускает пользователей.
>>>>> Добавляю вот такую строчку.
>>>>> $IPTABLES -A FORWARD -p tcp --dport 443 -i $LAN_IFACE -j ACCEPT
>>>>
>>>>
>>>>
>>>>
>>>> А где сам http стоит? И раз у вас прозрачный прокси не хотите 443
>>>> порт на него завернуть тоже
>>>>
>>> Заворачивал. И ... ничего. Настройки squid'a стандартные из коробки.
>>> Только режик прикручен.
>>
>>
>> А стандартные разве уже прозрачные?
>> httpd_accel и все такое прикручено?
>>
> Ну вот часть squid.conf, вроде должно пускать.
>
> #Recommended minimum configuration:
> acl all src 0.0.0.0/0.0.0.0
> acl manager proto cache_object
> acl localhost src 127.0.0.1/255.255.255.255
> acl to_localhost dst 127.0.0.0/8
> acl SSL_ports port 443 563
> acl Jabber_ports port 5222
> acl Safe_ports port 80 # http
> acl Safe_ports port 21 # ftp
> acl Safe_ports port 443 563 # https, snews
> acl Safe_ports port 70 # gopher
> acl Safe_ports port 210 # wais
> acl Safe_ports port 1025-65535 # unregistered ports
> acl Safe_ports port 280 # http-mgmt
> acl Safe_ports port 488 # gss-http
> acl Safe_ports port 591 # filemaker
> acl Safe_ports port 777 # multiling http
> acl CONNECT method CONNECT
> #Recommended minimum configuration:
> # Only allow cachemgr access from localhost
> http_access allow manager localhost
> http_access deny manager
> # Deny requests to unknown ports
> http_access deny !Safe_ports
> # Deny CONNECT to other than SSL ports
> http_access deny CONNECT !SSL_ports !Jabber_ports
> http_access deny to_localhost
> acl our_networks src 192.168.1.0/24
> http_access allow our_networks
> http_access allow localhost
> http_access deny all
httpd_accel_host virtual
httpd_accel_port 80
httpd_accel_with_proxy on
httpd_accel_uses_host_header on
И вот еще.
^ permalink raw reply [flat|nested] 26+ messages in thread
* Re: [Comm] Iptables и https
2004-09-29 10:47 ` Slava Dubrovskiy
2004-09-29 10:51 ` Slava Dubrovskiy
@ 2004-09-29 10:52 ` Alexey Morsov
2004-09-29 10:56 ` Slava Dubrovskiy
1 sibling, 1 reply; 26+ messages in thread
From: Alexey Morsov @ 2004-09-29 10:52 UTC (permalink / raw)
To: community
Slava Dubrovskiy wrote:
>> А стандартные разве уже прозрачные?
>> httpd_accel и все такое прикручено?
>>
> Ну вот часть squid.conf, вроде должно пускать.
>
<skiped>
не - раз ты заворачиваешь на него запросы - будь любезен сделать
его прозрачным (transparent) - соответствующие настройки для
этого смотри в squid.conf
--
Всего наилучшего,
Системный Администратор ЗАО "ИК "РИКОМ-ТРАСТ"
Алексей Морсов
ICQ: 196766290
Jabber: Samurai@jabber.ru
http://www.ricom.ru
http://www.fondmarket.ru
^ permalink raw reply [flat|nested] 26+ messages in thread
* Re: [Comm] Iptables и https
2004-09-29 10:52 ` Alexey Morsov
@ 2004-09-29 10:56 ` Slava Dubrovskiy
2004-09-29 11:04 ` Alexey Morsov
0 siblings, 1 reply; 26+ messages in thread
From: Slava Dubrovskiy @ 2004-09-29 10:56 UTC (permalink / raw)
To: community
Alexey Morsov пишет:
>
> Slava Dubrovskiy wrote:
>
>>> А стандартные разве уже прозрачные?
>>> httpd_accel и все такое прикручено?
>>>
>> Ну вот часть squid.conf, вроде должно пускать.
>>
> <skiped>
>
> не - раз ты заворачиваешь на него запросы - будь любезен сделать его
> прозрачным (transparent) - соответствующие настройки для этого смотри
> в squid.conf
>
Так ведь для http все работает, не работает https. И ли для этого разные
настройки?
И еще, т.к. я небыл уверен, будет ли сквид пропускать https, то я хотел
сначала открыть средствами iptables. а ни так, ни так не получается. :-(
^ permalink raw reply [flat|nested] 26+ messages in thread
* Re: [Comm] Iptables и https
2004-09-29 10:51 ` Slava Dubrovskiy
@ 2004-09-29 10:57 ` Alexey Morsov
0 siblings, 0 replies; 26+ messages in thread
From: Alexey Morsov @ 2004-09-29 10:57 UTC (permalink / raw)
To: community
Slava Dubrovskiy wrote:
> httpd_accel_host virtual
> httpd_accel_port 80
> httpd_accel_with_proxy on
> httpd_accel_uses_host_header on
Ну так может на 80 и заворачивать :)
Я вообще с прозрачным не работал - лишний гемор и никакой пользы
(в моем случае точно)
--
Всего наилучшего,
Системный Администратор ЗАО "ИК "РИКОМ-ТРАСТ"
Алексей Морсов
ICQ: 196766290
Jabber: Samurai@jabber.ru
http://www.ricom.ru
http://www.fondmarket.ru
^ permalink raw reply [flat|nested] 26+ messages in thread
* Re: [Comm] Iptables и https
2004-09-29 10:56 ` Slava Dubrovskiy
@ 2004-09-29 11:04 ` Alexey Morsov
2004-09-29 11:14 ` Slava Dubrovskiy
0 siblings, 1 reply; 26+ messages in thread
From: Alexey Morsov @ 2004-09-29 11:04 UTC (permalink / raw)
To: community
Slava Dubrovskiy wrote:
> Так ведь для http все работает, не работает https. И ли для этого разные
> настройки?
у http и https используется разные методы - GET и CONNECT
соответственно... по виду конфига сквида вроде он должен их
принимать (раз вы говорите что http успешно заворачивается) -
видимо где-то косяк в iptables... тут уж я бессилен - я ничего не
заворачиваю (точнее все в DROP)... у меня прокси не прозрачный.
> И еще, т.к. я небыл уверен, будет ли сквид пропускать https, то я хотел
> сначала открыть средствами iptables. а ни так, ни так не получается. :-(
ну а в PREROUTING то 443 добавлен?
--
Всего наилучшего,
Системный Администратор ЗАО "ИК "РИКОМ-ТРАСТ"
Алексей Морсов
ICQ: 196766290
Jabber: Samurai@jabber.ru
http://www.ricom.ru
http://www.fondmarket.ru
^ permalink raw reply [flat|nested] 26+ messages in thread
* Re: [Comm] Iptables и https
2004-09-29 11:04 ` Alexey Morsov
@ 2004-09-29 11:14 ` Slava Dubrovskiy
2004-09-29 11:30 ` Alexey Morsov
0 siblings, 1 reply; 26+ messages in thread
From: Slava Dubrovskiy @ 2004-09-29 11:14 UTC (permalink / raw)
To: community
Alexey Morsov пишет:
>> Так ведь для http все работает, не работает https. И ли для этого
>> разные настройки?
>
> у http и https используется разные методы - GET и CONNECT
> соответственно... по виду конфига сквида вроде он должен их принимать
> (раз вы говорите что http успешно заворачивается) - видимо где-то
> косяк в iptables... тут уж я бессилен - я ничего не заворачиваю
> (точнее все в DROP)... у меня прокси не прозрачный.
>
>> И еще, т.к. я небыл уверен, будет ли сквид пропускать https, то я
>> хотел сначала открыть средствами iptables. а ни так, ни так не
>> получается. :-(
>
> ну а в PREROUTING то 443 добавлен?
>
Если я хочу его завернуть на сквид, то вот так:
$IPTABLES -t nat -A PREROUTING -s $LAN_IP_RANGE -p tcp --dport 443 -j
REDIRECT --to-port 3128
Но для начала я хочу без сквида заставить его работать.
А может это из-за того, что тот сайт на который мне надо зайти начинает
обращаться к каким-то другим портам? Т.к. если я открываю все, то
работает. Подскажите другие общедоступные сайты, на которых можно
проверить https?
С уважением,
Дубровский Вячеслав.
^ permalink raw reply [flat|nested] 26+ messages in thread
* Re: [Comm] Iptables и https
2004-09-29 11:14 ` Slava Dubrovskiy
@ 2004-09-29 11:30 ` Alexey Morsov
2004-09-29 12:36 ` Slava Dubrovskiy
2004-09-29 12:49 ` Slava Dubrovskiy
0 siblings, 2 replies; 26+ messages in thread
From: Alexey Morsov @ 2004-09-29 11:30 UTC (permalink / raw)
To: community
Slava Dubrovskiy wrote:
>> ну а в PREROUTING то 443 добавлен?
>>
> Если я хочу его завернуть на сквид, то вот так:
> $IPTABLES -t nat -A PREROUTING -s $LAN_IP_RANGE -p tcp --dport 443 -j
> REDIRECT --to-port 3128
> Но для начала я хочу без сквида заставить его работать.
А ты его открыл в FORWARD чтобы оно работало? И зачем кстати
OUTPUT в DROP?
Попробуй на нашем https://www.ricom.ru
--
Всего наилучшего,
Системный Администратор ЗАО "ИК "РИКОМ-ТРАСТ"
Алексей Морсов
ICQ: 196766290
Jabber: Samurai@jabber.ru
http://www.ricom.ru
http://www.fondmarket.ru
^ permalink raw reply [flat|nested] 26+ messages in thread
* Re: [Comm] Iptables и https
2004-09-29 11:30 ` Alexey Morsov
@ 2004-09-29 12:36 ` Slava Dubrovskiy
2004-09-29 12:48 ` Nizamov Shavkat
2004-09-29 12:49 ` Slava Dubrovskiy
1 sibling, 1 reply; 26+ messages in thread
From: Slava Dubrovskiy @ 2004-09-29 12:36 UTC (permalink / raw)
To: community
Alexey Morsov пишет:
>
> Slava Dubrovskiy wrote:
>
>>> ну а в PREROUTING то 443 добавлен?
>>>
>> Если я хочу его завернуть на сквид, то вот так:
>> $IPTABLES -t nat -A PREROUTING -s $LAN_IP_RANGE -p tcp --dport 443 -j
>> REDIRECT --to-port 3128
>> Но для начала я хочу без сквида заставить его работать.
>
> А ты его открыл в FORWARD чтобы оно работало? И зачем кстати OUTPUT в
> DROP?
>
> Попробуй на нашем https://www.ricom.ru
Вот открыл вот так
$IPTABLES -A FORWARD -p tcp --dport 443 -s $LAN_IP_RANGE -j ACCEPT
$IPTABLES -A FORWARD -p tcp --sport 443 -s $LAN_IP_RANGE -j ACCEPT
и вроде заработало. :-)
Ошибка была в том, что я открывал или --sport или --dport. Объясните это
правильно указывать их оба?
с уважением,
Дубровский Вячеслав.
^ permalink raw reply [flat|nested] 26+ messages in thread
* Re: [Comm] Iptables и https
2004-09-29 12:36 ` Slava Dubrovskiy
@ 2004-09-29 12:48 ` Nizamov Shavkat
2004-09-29 13:04 ` Slava Dubrovskiy
0 siblings, 1 reply; 26+ messages in thread
From: Nizamov Shavkat @ 2004-09-29 12:48 UTC (permalink / raw)
To: community
> Alexey Morsov пишет:
>
>>
>> Slava Dubrovskiy wrote:
>>
>>>> ну а в PREROUTING то 443 добавлен?
>>>>
>>> Если я хочу его завернуть на сквид, то вот так:
>>> $IPTABLES -t nat -A PREROUTING -s $LAN_IP_RANGE -p tcp --dport 443 -j
>>> REDIRECT --to-port 3128
>>> Но для начала я хочу без сквида заставить его работать.
>>
>> А ты его открыл в FORWARD чтобы оно работало? И зачем кстати OUTPUT в
>> DROP?
>>
>> Попробуй на нашем https://www.ricom.ru
>
> Вот открыл вот так
> $IPTABLES -A FORWARD -p tcp --dport 443 -s $LAN_IP_RANGE -j ACCEPT
> $IPTABLES -A FORWARD -p tcp --sport 443 -s $LAN_IP_RANGE -j ACCEPT
> и вроде заработало. :-)
>
> Ошибка была в том, что я открывал или --sport или --dport. Объясните это
> правильно указывать их оба?
правильно открывать dport - это порт назначения. sport - исходящий порт на
клиенте, он обычно произвольно выбирается самим клиентским ПО.
и кстати не надо заворачивать 443 порт на сквид.
^ permalink raw reply [flat|nested] 26+ messages in thread
* Re: [Comm] Iptables и https
2004-09-29 11:30 ` Alexey Morsov
2004-09-29 12:36 ` Slava Dubrovskiy
@ 2004-09-29 12:49 ` Slava Dubrovskiy
2004-09-29 12:51 ` Nizamov Shavkat
2004-09-29 13:29 ` Alexey Morsov
1 sibling, 2 replies; 26+ messages in thread
From: Slava Dubrovskiy @ 2004-09-29 12:49 UTC (permalink / raw)
To: community
Alexey Morsov пишет:
>
> Slava Dubrovskiy wrote:
>
>>> ну а в PREROUTING то 443 добавлен?
>>>
>> Если я хочу его завернуть на сквид, то вот так:
>> $IPTABLES -t nat -A PREROUTING -s $LAN_IP_RANGE -p tcp --dport 443 -j
>> REDIRECT --to-port 3128
>> Но для начала я хочу без сквида заставить его работать.
>
> А ты его открыл в FORWARD чтобы оно работало? И зачем кстати OUTPUT в
> DROP?
OUTPUT в DROP - так в примере стояло. Я думаю хуже не будет :-)
>
> Попробуй на нашем https://www.ricom.ru
>
А теперь вопрос: стоит ли это все заворачивать на сквид и если да, то
что для этого надо подкрутить в сквиде?
С уважением,
Дубровский Вячеслав.
^ permalink raw reply [flat|nested] 26+ messages in thread
* Re: [Comm] Iptables и https
2004-09-29 12:49 ` Slava Dubrovskiy
@ 2004-09-29 12:51 ` Nizamov Shavkat
2004-09-29 13:29 ` Alexey Morsov
1 sibling, 0 replies; 26+ messages in thread
From: Nizamov Shavkat @ 2004-09-29 12:51 UTC (permalink / raw)
To: community
> А теперь вопрос: стоит ли это все заворачивать на сквид и если да, то
> что для этого надо подкрутить в сквиде?
>
нет, не стоит.
^ permalink raw reply [flat|nested] 26+ messages in thread
* Re: [Comm] Iptables É https
2004-09-29 10:28 [Comm] Iptables и https Slava Dubrovskiy
2004-09-29 10:37 ` Alexey Morsov
@ 2004-09-29 13:03 ` Peter Teslenko
2004-09-29 13:06 ` [Comm] Iptables и https Slava Dubrovskiy
1 sibling, 1 reply; 26+ messages in thread
From: Peter Teslenko @ 2004-09-29 13:03 UTC (permalink / raw)
To: Slava Dubrovskiy
Hello Slava,
Wednesday, September 29, 2004, 2:28:37 PM, you wrote:
SD> $IPTABLES -X
SD> $IPTABLES -P INPUT DROP
SD> $IPTABLES -P OUTPUT DROP
SD> $IPTABLES -P FORWARD DROP
Было бы не криво открыть все непривилегированные порты.
--
Peter Teslenko
+7-812-9404035
^ permalink raw reply [flat|nested] 26+ messages in thread
* Re: [Comm] Iptables и https
2004-09-29 12:48 ` Nizamov Shavkat
@ 2004-09-29 13:04 ` Slava Dubrovskiy
0 siblings, 0 replies; 26+ messages in thread
From: Slava Dubrovskiy @ 2004-09-29 13:04 UTC (permalink / raw)
To: community
Nizamov Shavkat пишет:
>>>Попробуй на нашем https://www.ricom.ru
>>>
>>>
>>Вот открыл вот так
>> $IPTABLES -A FORWARD -p tcp --dport 443 -s $LAN_IP_RANGE -j ACCEPT
>> $IPTABLES -A FORWARD -p tcp --sport 443 -s $LAN_IP_RANGE -j ACCEPT
>>и вроде заработало. :-)
>>
>>Ошибка была в том, что я открывал или --sport или --dport. Объясните это
>>правильно указывать их оба?
>>
>>
>
>правильно открывать dport - это порт назначения. sport - исходящий порт на
>клиенте, он обычно произвольно выбирается самим клиентским ПО.
>
>и кстати не надо заворачивать 443 порт на сквид.
>
>
С пасибо большое, все работает.
С уважением,
Дубровский Вячеслав.
^ permalink raw reply [flat|nested] 26+ messages in thread
* Re: [Comm] Iptables и https
2004-09-29 13:03 ` [Comm] Iptables É https Peter Teslenko
@ 2004-09-29 13:06 ` Slava Dubrovskiy
2004-09-29 13:30 ` Alexey Morsov
0 siblings, 1 reply; 26+ messages in thread
From: Slava Dubrovskiy @ 2004-09-29 13:06 UTC (permalink / raw)
To: community
Peter Teslenko пишет:
>Hello Slava,
>
>Wednesday, September 29, 2004, 2:28:37 PM, you wrote:
>
>SD> $IPTABLES -X
>SD> $IPTABLES -P INPUT DROP
>SD> $IPTABLES -P OUTPUT DROP
>SD> $IPTABLES -P FORWARD DROP
>
>Было бы не криво открыть все непривилегированные порты.
>
>
>
Может глупый вопрос, но зачем?
^ permalink raw reply [flat|nested] 26+ messages in thread
* Re: [Comm] Iptables и https
2004-09-29 12:49 ` Slava Dubrovskiy
2004-09-29 12:51 ` Nizamov Shavkat
@ 2004-09-29 13:29 ` Alexey Morsov
2004-09-30 6:20 ` Slava Dubrovskiy
1 sibling, 1 reply; 26+ messages in thread
From: Alexey Morsov @ 2004-09-29 13:29 UTC (permalink / raw)
To: community
Slava Dubrovskiy wrote:
>> А ты его открыл в FORWARD чтобы оно работало? И зачем кстати OUTPUT в
>> DROP?
>
>
> OUTPUT в DROP - так в примере стояло. Я думаю хуже не будет :-)
Ну и кому на этом хосте (который файерволл) нужно запрещать выход
наружу?
мне кажется это уже параноя
--
Всего наилучшего,
Системный Администратор ЗАО "ИК "РИКОМ-ТРАСТ"
Алексей Морсов
ICQ: 196766290
Jabber: Samurai@jabber.ru
http://www.ricom.ru
http://www.fondmarket.ru
^ permalink raw reply [flat|nested] 26+ messages in thread
* Re: [Comm] Iptables и https
2004-09-29 13:06 ` [Comm] Iptables и https Slava Dubrovskiy
@ 2004-09-29 13:30 ` Alexey Morsov
0 siblings, 0 replies; 26+ messages in thread
From: Alexey Morsov @ 2004-09-29 13:30 UTC (permalink / raw)
To: community
Slava Dubrovskiy wrote:
>> Было бы не криво открыть все непривилегированные порты.
>>
>>
>>
> Может глупый вопрос, но зачем?
Не глупый... открыть только то что нужно тебе - остальное в
DROP... нефиг всяким...
> _______________________________________________
> Community mailing list
> Community@altlinux.ru
> https://lists.altlinux.ru/mailman/listinfo/community
>
--
Всего наилучшего,
Системный Администратор ЗАО "ИК "РИКОМ-ТРАСТ"
Алексей Морсов
ICQ: 196766290
Jabber: Samurai@jabber.ru
http://www.ricom.ru
http://www.fondmarket.ru
^ permalink raw reply [flat|nested] 26+ messages in thread
* Re: [Comm] Iptables и https
2004-09-29 13:29 ` Alexey Morsov
@ 2004-09-30 6:20 ` Slava Dubrovskiy
2004-09-30 6:34 ` Alexey Morsov
0 siblings, 1 reply; 26+ messages in thread
From: Slava Dubrovskiy @ 2004-09-30 6:20 UTC (permalink / raw)
To: community
Alexey Morsov пишет:
>>> А ты его открыл в FORWARD чтобы оно работало? И зачем кстати OUTPUT
>>> в DROP?
>>
>> OUTPUT в DROP - так в примере стояло. Я думаю хуже не будет :-)
>
> Ну и кому на этом хосте (который файерволл) нужно запрещать выход наружу?
> мне кажется это уже параноя
Наверно :-P
Но мне пока не мешает. И это не только файервол.
С уважением,
Дубровский Вячеслав.
^ permalink raw reply [flat|nested] 26+ messages in thread
* Re: [Comm] Iptables и https
2004-09-30 6:20 ` Slava Dubrovskiy
@ 2004-09-30 6:34 ` Alexey Morsov
2004-09-30 6:46 ` Slava Dubrovskiy
0 siblings, 1 reply; 26+ messages in thread
From: Alexey Morsov @ 2004-09-30 6:34 UTC (permalink / raw)
To: community
Slava Dubrovskiy wrote:
> Alexey Morsov пишет:
>
>>>> А ты его открыл в FORWARD чтобы оно работало? И зачем кстати OUTPUT
>>>> в DROP?
>>>
>>>
>>> OUTPUT в DROP - так в примере стояло. Я думаю хуже не будет :-)
>>
>>
>> Ну и кому на этом хосте (который файерволл) нужно запрещать выход наружу?
>> мне кажется это уже параноя
>
>
> Наверно :-P
> Но мне пока не мешает. И это не только файервол.
Ха - у меня на файерволе тоже кроме него squid, bind, apache,
mysql и разработкой я там занимаюсь... :)
--
Всего наилучшего,
Системный Администратор ЗАО "ИК "РИКОМ-ТРАСТ"
Алексей Морсов
ICQ: 196766290
Jabber: Samurai@jabber.ru
http://www.ricom.ru
http://www.fondmarket.ru
^ permalink raw reply [flat|nested] 26+ messages in thread
* Re: [Comm] Iptables и https
2004-09-30 6:34 ` Alexey Morsov
@ 2004-09-30 6:46 ` Slava Dubrovskiy
2004-09-30 6:50 ` Alexey Morsov
0 siblings, 1 reply; 26+ messages in thread
From: Slava Dubrovskiy @ 2004-09-30 6:46 UTC (permalink / raw)
To: community
Alexey Morsov пишет:
>>>>> А ты его открыл в FORWARD чтобы оно работало? И зачем кстати
>>>>> OUTPUT в DROP?
>>>>
>>>> OUTPUT в DROP - так в примере стояло. Я думаю хуже не будет :-)
>>>
>>> Ну и кому на этом хосте (который файерволл) нужно запрещать выход
>>> наружу?
>>> мне кажется это уже параноя
>>
>> Наверно :-P
>> Но мне пока не мешает. И это не только файервол.
>
> Ха - у меня на файерволе тоже кроме него squid, bind, apache, mysql и
> разработкой я там занимаюсь... :)
Да, и плюс ко всему вышеперечисленному LTSP, PostgreSQL, ftp, samba,
postfix и т.д и т.п. Вообщем все что в дистрибутиве есть и то чего нет. :-)
С уважением,
Дубровский Вячеслав.
^ permalink raw reply [flat|nested] 26+ messages in thread
* Re: [Comm] Iptables и https
2004-09-30 6:46 ` Slava Dubrovskiy
@ 2004-09-30 6:50 ` Alexey Morsov
2004-09-30 6:58 ` Slava Dubrovskiy
0 siblings, 1 reply; 26+ messages in thread
From: Alexey Morsov @ 2004-09-30 6:50 UTC (permalink / raw)
To: community
Slava Dubrovskiy wrote:
> Да, и плюс ко всему вышеперечисленному LTSP, PostgreSQL, ftp, samba,
> postfix и т.д и т.п. Вообщем все что в дистрибутиве есть и то чего нет. :-)
И все это будет работать реально или так - болтаться в памяти?
--
Всего наилучшего,
Системный Администратор ЗАО "ИК "РИКОМ-ТРАСТ"
Алексей Морсов
ICQ: 196766290
Jabber: Samurai@jabber.ru
http://www.ricom.ru
http://www.fondmarket.ru
^ permalink raw reply [flat|nested] 26+ messages in thread
* Re: [Comm] Iptables и https
2004-09-30 6:50 ` Alexey Morsov
@ 2004-09-30 6:58 ` Slava Dubrovskiy
0 siblings, 0 replies; 26+ messages in thread
From: Slava Dubrovskiy @ 2004-09-30 6:58 UTC (permalink / raw)
To: community
Alexey Morsov пишет:
>> Да, и плюс ко всему вышеперечисленному LTSP, PostgreSQL, ftp, samba,
>> postfix и т.д и т.п. Вообщем все что в дистрибутиве есть и то чего
>> нет. :-)
>
> И все это будет работать реально или так - болтаться в памяти?
>
Ну да. Я пытался удалить что-то ненужное, но тогда apt пытается удалить
что-то нужное. Сервер то в конторе один.
--
С уважением,
Дубровский Вячеслав.
^ permalink raw reply [flat|nested] 26+ messages in thread
end of thread, other threads:[~2004-09-30 6:58 UTC | newest]
Thread overview: 26+ messages (download: mbox.gz / follow: Atom feed)
-- links below jump to the message on this page --
2004-09-29 10:28 [Comm] Iptables и https Slava Dubrovskiy
2004-09-29 10:37 ` Alexey Morsov
2004-09-29 10:40 ` Slava Dubrovskiy
2004-09-29 10:43 ` Alexey Morsov
2004-09-29 10:47 ` Slava Dubrovskiy
2004-09-29 10:51 ` Slava Dubrovskiy
2004-09-29 10:57 ` Alexey Morsov
2004-09-29 10:52 ` Alexey Morsov
2004-09-29 10:56 ` Slava Dubrovskiy
2004-09-29 11:04 ` Alexey Morsov
2004-09-29 11:14 ` Slava Dubrovskiy
2004-09-29 11:30 ` Alexey Morsov
2004-09-29 12:36 ` Slava Dubrovskiy
2004-09-29 12:48 ` Nizamov Shavkat
2004-09-29 13:04 ` Slava Dubrovskiy
2004-09-29 12:49 ` Slava Dubrovskiy
2004-09-29 12:51 ` Nizamov Shavkat
2004-09-29 13:29 ` Alexey Morsov
2004-09-30 6:20 ` Slava Dubrovskiy
2004-09-30 6:34 ` Alexey Morsov
2004-09-30 6:46 ` Slava Dubrovskiy
2004-09-30 6:50 ` Alexey Morsov
2004-09-30 6:58 ` Slava Dubrovskiy
2004-09-29 13:03 ` [Comm] Iptables É https Peter Teslenko
2004-09-29 13:06 ` [Comm] Iptables и https Slava Dubrovskiy
2004-09-29 13:30 ` Alexey Morsov
ALT Linux Community general discussions
This inbox may be cloned and mirrored by anyone:
git clone --mirror http://lore.altlinux.org/community/0 community/git/0.git
# If you have public-inbox 1.1+ installed, you may
# initialize and index your mirror using the following commands:
public-inbox-init -V2 community community/ http://lore.altlinux.org/community \
mandrake-russian@linuxteam.iplabs.ru community@lists.altlinux.org community@lists.altlinux.ru community@lists.altlinux.com
public-inbox-index community
Example config snippet for mirrors.
Newsgroup available over NNTP:
nntp://lore.altlinux.org/org.altlinux.lists.community
AGPL code for this site: git clone https://public-inbox.org/public-inbox.git