Merhaba, Görebildiğim kadarı pek güvenlik duvarı olarak hareket etmiyor sizin makina. Yani iptables ile ilgili herhangi bir filtreleme yok herşeye izin veren bir yapı ve sadece squid protuna web isteklerini yönlendirme var ki bu durumda squid transparan olarak çalışıyor anlaşılan. Yaşadığınız apache ye belli bir networkten erişememe sorunu ise bu yönlendirmelerden (REDIRECT DNAT) kaynaklanıyor gibi. *** ile şaretlediğim kuralları aşağıdaki gibi değiştirirseniz muhtemelen sorun çözülecektir: iptables -t nat -A PREROUTING -d ! linux_ip -i $LAN_IN -p tcp --dport 80 -j DNAT --to $SQUID_SERVER:$SQUID_PORT iptables -t nat -A PREROUTING -i $INTERNET -d ! linux_ip -p tcp --dport 80 -j REDIRECT --to-port $SQUID_PORT
linux_ip yerine tabii ki apache servisinin çalıştığı linuxun ip adresini yazın. saygılar Abdullah Tülek yazmış: > Firewall ayarlarını webmin kullanarak resetledim. Makina yeniden > başlarken "couldnt read interfaces" gibi bir hata aldım ve interfaces > dosyasına "post-up iptables-restore < /etc/iptables.up.rules" > satırının eklenmiş olduğunu gördüm, bu satırı silip networkü yeniden > başlattığımda sorun düzeldi yani artık her iki ağdan da apache2 ye > ulaşabiliyorum fakat firewall resetlendiği için iç ağdaki makinalar > internete çıkamıyor. Daha önce kullandığım firewall betiği aşağıda. > Ayrıca "post-up iptables-restore < /etc/iptables.up.rules" satırı > nereden çıktı anlamadım. > > > SQUID_SERVER='10.0.0.1' > INTERNET='eth0' > LAN_IN='eth1' > SQUID_PORT='3128' > modprobe ip_conntrack > modprobe ip_conntrack_ftp > modprobe ip_nat_ftp > echo 1 > /proc/sys/net/ipv4/ip_forward > iptables -A INPUT -i lo -j ACCEPT > iptables -A OUTPUT -o lo -j ACCEPT > iptables -A INPUT -i $INTERNET -m state --state ESTABLISHED,RELATED -j > ACCEPT > iptables --table nat --append POSTROUTING --out-interface $INTERNET -j > MASQUERADE > iptables --append FORWARD --in-interface $LAN_IN -j ACCEPT > iptables -A INPUT -i $LAN_IN -j ACCEPT > iptables -A OUTPUT -o $LAN_IN -j ACCEPT > *** iptables -t nat -A PREROUTING -i $LAN_IN -p tcp --dport 80 -j DNAT > --to $SQUID_SERVER:$SQUID_PORT > *** iptables -t nat -A PREROUTING -i $INTERNET -p tcp --dport 80 -j > REDIRECT --to-port $SQUID_PORT > > turgut kalfaoglu yazmış: >> Hmm 192.168.x farklı bir ethernet kartına gidiyor, herhalde bu doğru >> değil mi? >> >> Acaba apache conf daki "Listen" sadece 10.x lu IP yi mi dinliyor? >> Yada VirtualHost tanımlarında 10.x li tanımlar mı var? >> İsterseniz apache conf u bir gozden geçirin, ve/veya virtualhost >> tanımları ayrı dosyadaysa onlara da bakın.. >> >> -turgut >> >> >> Abdullah Tülek wrote: >>> netstat -rn >>> Kernel IP routing table >>> Destination Gateway Genmask Flags MSS Window >>> irtt Iface >>> 192.168.2.0 0.0.0.0 255.255.255.0 U 0 >>> 0 0 eth0 >>> 10.0.0.0 0.0.0.0 255.0.0.0 U 0 >>> 0 0 eth1 >>> 0.0.0.0 192.168.2.1 0.0.0.0 UG 0 >>> 0 0 eth0 >>> >>> >>> iptables -L -n >>> Chain INPUT (policy ACCEPT) >>> target prot opt source destination >>> ACCEPT 0 -- 0.0.0.0/0 0.0.0.0/0 >>> ACCEPT 0 -- 0.0.0.0/0 0.0.0.0/0 state >>> RELATED,ESTABLISHED >>> ACCEPT 0 -- 0.0.0.0/0 0.0.0.0/0 >>> >>> Chain FORWARD (policy ACCEPT) >>> target prot opt source destination >>> ACCEPT 0 -- 0.0.0.0/0 0.0.0.0/0 >>> >>> Chain OUTPUT (policy ACCEPT) >>> target prot opt source destination >>> ACCEPT 0 -- 0.0.0.0/0 0.0.0.0/0 >>> ACCEPT 0 -- 0.0.0.0/0 0.0.0.0/0 >>> >>> >>> >>> turgut kalfaoglu yazmış: >>>> netstat -rn ve iptables -L -n komutlarının çıktılarını gönderir misiniz? >>>> -turgut >>>> >>>> >>>> Abdullah Tülek wrote: >>>> >>>>> İki LAN arasına deneme amacıyla kurduğum sunucunda eth0 : 192.168.2.0, >>>>> eth1 : 10.0.0.0 ağına bakıyor. 10.0.0.0 ağındaki makinalar apache web >>>>> sunucusuna erişebilirken 192.168.2.0 ağındaki makinalar erişemiyor. >>>>> Makinadaki diğer sunuculara (ftp, ssh) iki ağdan da ulaşabiliyorum. >>>>> Apache ile ilgili sorunun sebebi ne olabilir? (Ayrıca makinada Squid de >>>>> kurulu) >>>>> >>>> >>>> _______________________________________________ >>>> Linux-sunucu E-Posta Listesi >>>> [email protected] >>>> >>>> Bu Listede neden bulunduğunuzu bilmiyorsanız veya artık bu listeden gelen >>>> e-postaları almak istemiyorsanız aşağıdaki bağlantı adresini kullanarak 1 >>>> dakika içinde üyeliğinizi sonlandırabilirsiniz. >>>> http://liste.linux.org.tr/mailman/listinfo/linux-sunucu >>>> >>>> >>> >>> ------------------------------------------------------------------------ >>> >>> _______________________________________________ >>> Linux-sunucu E-Posta Listesi >>> [email protected] >>> >>> Bu Listede neden bulunduğunuzu bilmiyorsanız veya artık bu listeden gelen >>> e-postaları almak istemiyorsanız aşağıdaki bağlantı adresini kullanarak 1 >>> dakika içinde üyeliğinizi sonlandırabilirsiniz. >>> http://liste.linux.org.tr/mailman/listinfo/linux-sunucu >>> >> >> ------------------------------------------------------------------------ >> >> _______________________________________________ >> Linux-sunucu E-Posta Listesi >> [email protected] >> >> Bu Listede neden bulunduğunuzu bilmiyorsanız veya artık bu listeden gelen >> e-postaları almak istemiyorsanız aşağıdaki bağlantı adresini kullanarak 1 >> dakika içinde üyeliğinizi sonlandırabilirsiniz. >> http://liste.linux.org.tr/mailman/listinfo/linux-sunucu >> > > ------------------------------------------------------------------------ > > _______________________________________________ > Linux-sunucu E-Posta Listesi > [email protected] > > Bu Listede neden bulunduğunuzu bilmiyorsanız veya artık bu listeden gelen > e-postaları almak istemiyorsanız aşağıdaki bağlantı adresini kullanarak 1 > dakika içinde üyeliğinizi sonlandırabilirsiniz. > http://liste.linux.org.tr/mailman/listinfo/linux-sunucu > _______________________________________________ Linux-sunucu E-Posta Listesi [email protected] Bu Listede neden bulunduğunuzu bilmiyorsanız veya artık bu listeden gelen e-postaları almak istemiyorsanız aşağıdaki bağlantı adresini kullanarak 1 dakika içinde üyeliğinizi sonlandırabilirsiniz. http://liste.linux.org.tr/mailman/listinfo/linux-sunucu
