Hola, Si es un proxy, la opcio
# Activo el forwarding echo "1" > /proc/sys/net/ipv4/ip_forward no cal, a mes a mes no te efecte perque amb iptables -P FORWARD DROP fas que no hi hagui forward de res. Jo no se com fer amb iptables que nomes es deixi sortir els paquets generats per un programa. Normalment es molt dificil perque les conexions sortints poden agafar qualsevol port i poden anar a qualsevol lloc. a mes a mes no se si es gaire biona idea, aixo t'impedira establir qualsevol conexio des del servidor amb el mon exterior i per execmple no podras actualitzar-lo etc.. Una cosa que pots fer es deixar sortir nomes alguns protocols : iptables -A OUTPUT -p udp --dport 53 -j ACCEPT Per a consultes DNS iptables -A OUTPUT -p tcp --dport 80 -j ACCEPT iptables -A OUTPUT -p tcp --dport 443 -j ACCEPT Per a trafic HTTP i HTTPS iptables -A OUTPUT -p tcp --dport 443 -j ACCEPT Per a trafic FTP Aixo es una solucio pero no et permetra accedir a altres coses ni impredeix que altres programes accedeix a internet. > Ara tinc el codi així: > > #!/bin/bash > > iptables -F > iptables -X > iptables -Z > iptables -t nat -F > > # Política per defecte > iptables -P INPUT DROP > iptables -P OUTPUT DROP > iptables -P FORWARD DROP > > # Deixo que funcioni el localhost > iptables -A INPUT -i lo -j ACCEPT > iptables -A OUTPUT -o lo -j ACCEPT > > # Activo el forwarding > echo "1" > /proc/sys/net/ipv4/ip_forward > > # Accepto les connexions que ja estant funcionat > iptables -A INPUT -mstate --state ESTABLISHED,RELATED -j ACCEPT > > # Obro el port 8080 que és el del proxy > iptables -A INPUT -p tcp --dport 8080 -j ACCEPT > > > I així el proxy no em funciona. > > En canvi posant la linia: > iptables -P OUTPUT ACCEPT > El proxy ja funciona, però m'agradaria saber com puc fer per que sols > passin els paquests de sortida que venen del proxy i no tots com ara. > > Salut! > > > > > > > > > > > 2007/5/17, Ferran Pegueroles <[EMAIL PROTECTED]>: >> >> Si vols rebre alguna resposta del servidor tambe hauries de obrir la >> sortida >> >> Normalment >> >> iptables -P OUTPUT ACCEPT >> >> no ha de ser un forat de seguretat, sino des del teu servidor no podras >> accedir a cap lloc. >> >> > -----BEGIN PGP SIGNED MESSAGE----- >> > Hash: SHA1 >> > >> > En/na Ramon Cuñé ha escrit: >> >> Tinc un servidor amb un Debian Sarge i proxy squid funcionant >> >> perfectament. Ara volia afegir regles iptables al servidor, perque >> >> sols és pogues accedir a aquest servei que dono pel port 8080. He fet >> >> el següent: >> >> >> >> he creat un fitxer a /etc/network/if.up.d/cfg_iptables amb el següent >> >> contingut: >> >> >> >> #Flush de les regles >> >> iptables -F >> >> iptables -X >> >> iptables -Z >> >> iptables -t nat -F >> >> >> >> # Política per defecte >> >> iptables -P INPUT DROP >> >> iptables -P OUTPUT DROP >> >> iptables -P FORWARD DROP >> >> >> >> #Obro el port del squid >> >> iptables -A INPUT -p tcp --dport 8080 -j ACCEPT >> >> >> >> >> >> I quan llanço aquest script ja no puc accedir al proxy, que tinc >> >> malament? Vaig ben encarat? >> > >> > ni al proxy ni a res, et falta com a mínim: >> > iptables -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT >> > >> > potser també t'anirà bé tenir: >> > - -A INPUT -i lo -j ACCEPT >> > >> > i si afegeixes aquesta linia veuràs els accessos rebutjats >> > al /var/log/messages: >> > >> > - -A INPUT -j LOG >> > -----BEGIN PGP SIGNATURE----- >> > Version: GnuPG v1.4.6 (GNU/Linux) >> > Comment: Using GnuPG with Mozilla - http://enigmail.mozdev.org >> > >> > iD8DBQFGTBO9VfvsWQAffzIRAs8NAJ43OivLz+fAcGF77ntSjdvHKmzuXgCeIjbj >> > g5LM3PjNe/V+yDd2LlWawis= >> > =vun8 >> > -----END PGP SIGNATURE----- >> > >> > >> > -- >> > To UNSUBSCRIBE, email to [EMAIL PROTECTED] >> > with a subject of "unsubscribe". Trouble? Contact >> > [EMAIL PROTECTED] >> > >> > >> >> >> -- >> Salutacions / Regards >> -------------------------------------------------------- >> Ferran Pegueroles Forcadell >> mailto:[EMAIL PROTECTED] >> http://www.pegueroles.cat >> Tels (+34)937252106 - (+34)667658535 >> >> >> > -- Salutacions / Regards -------------------------------------------------------- Ferran Pegueroles Forcadell mailto:[EMAIL PROTECTED] http://www.pegueroles.cat Tels (+34)937252106 - (+34)667658535 -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED]
