Makinayı firewall olarak kullanmıyorum zaten, deneme amacıyla kurduğum
bir makina. Bu arada squid ile apache aynı makina üzerinde (ve hatta
diğer tüm servisler; mysql, ssh, dhcp, smb) bu durumda linux_ip yerine
ne yazmam gerek?
Mesut Güler yazmış:
Merhaba,
Görebildiğim kadarı pek güvenlik duvarı olarak hareket etmiyor sizin
makina. Yani iptables ile ilgili herhangi bir filtreleme yok herşeye
izin veren bir yapı ve sadece squid protuna web isteklerini yönlendirme
var ki bu durumda squid transparan olarak çalışıyor anlaşılan.
Yaşadığınız apache ye belli bir networkten erişememe sorunu ise bu
yönlendirmelerden (REDIRECT DNAT) kaynaklanıyor gibi.
*** ile şaretlediğim kuralları aşağıdaki gibi değiştirirseniz muhtemelen
sorun çözülecektir:
iptables -t nat -A PREROUTING -d ! linux_ip -i $LAN_IN -p tcp --dport 80
-j DNAT --to $SQUID_SERVER:$SQUID_PORT
iptables -t nat -A PREROUTING -i $INTERNET -d ! linux_ip -p tcp --dport
80 -j REDIRECT --to-port $SQUID_PORT
linux_ip yerine tabii ki apache servisinin çalıştığı linuxun ip adresini
yazın.
saygılar
Abdullah Tülek yazmış:
Firewall ayarlarını webmin kullanarak resetledim. Makina yeniden
başlarken "couldnt read interfaces" gibi bir hata aldım ve interfaces
dosyasına "post-up iptables-restore < /etc/iptables.up.rules"
satırının eklenmiş olduğunu gördüm, bu satırı silip networkü yeniden
başlattığımda sorun düzeldi yani artık her iki ağdan da apache2 ye
ulaşabiliyorum fakat firewall resetlendiği için iç ağdaki makinalar
internete çıkamıyor. Daha önce kullandığım firewall betiği aşağıda.
Ayrıca "post-up iptables-restore < /etc/iptables.up.rules" satırı
nereden çıktı anlamadım.
SQUID_SERVER='10.0.0.1'
INTERNET='eth0'
LAN_IN='eth1'
SQUID_PORT='3128'
modprobe ip_conntrack
modprobe ip_conntrack_ftp
modprobe ip_nat_ftp
echo 1 > /proc/sys/net/ipv4/ip_forward
iptables -A INPUT -i lo -j ACCEPT
iptables -A OUTPUT -o lo -j ACCEPT
iptables -A INPUT -i $INTERNET -m state --state ESTABLISHED,RELATED -j
ACCEPT
iptables --table nat --append POSTROUTING --out-interface $INTERNET -j
MASQUERADE
iptables --append FORWARD --in-interface $LAN_IN -j ACCEPT
iptables -A INPUT -i $LAN_IN -j ACCEPT
iptables -A OUTPUT -o $LAN_IN -j ACCEPT
*** iptables -t nat -A PREROUTING -i $LAN_IN -p tcp --dport 80 -j DNAT
--to $SQUID_SERVER:$SQUID_PORT
*** iptables -t nat -A PREROUTING -i $INTERNET -p tcp --dport 80 -j
REDIRECT --to-port $SQUID_PORT
turgut kalfaoglu yazmış:
Hmm 192.168.x farklı bir ethernet kartına gidiyor, herhalde bu doğru
değil mi?
Acaba apache conf daki "Listen" sadece 10.x lu IP yi mi dinliyor?
Yada VirtualHost tanımlarında 10.x li tanımlar mı var?
İsterseniz apache conf u bir gozden geçirin, ve/veya virtualhost
tanımları ayrı dosyadaysa onlara da bakın..
-turgut
Abdullah Tülek wrote:
netstat -rn
Kernel IP routing table
Destination Gateway Genmask Flags MSS Window
irtt Iface
192.168.2.0 0.0.0.0 255.255.255.0 U 0
0 0 eth0
10.0.0.0 0.0.0.0 255.0.0.0 U 0
0 0 eth1
0.0.0.0 192.168.2.1 0.0.0.0 UG 0
0 0 eth0
iptables -L -n
Chain INPUT (policy ACCEPT)
target prot opt source destination
ACCEPT 0 -- 0.0.0.0/0 0.0.0.0/0
ACCEPT 0 -- 0.0.0.0/0 0.0.0.0/0 state
RELATED,ESTABLISHED
ACCEPT 0 -- 0.0.0.0/0 0.0.0.0/0
Chain FORWARD (policy ACCEPT)
target prot opt source destination
ACCEPT 0 -- 0.0.0.0/0 0.0.0.0/0
Chain OUTPUT (policy ACCEPT)
target prot opt source destination
ACCEPT 0 -- 0.0.0.0/0 0.0.0.0/0
ACCEPT 0 -- 0.0.0.0/0 0.0.0.0/0
turgut kalfaoglu yazmış:
netstat -rn ve iptables -L -n komutlarının çıktılarını gönderir misiniz?
-turgut
Abdullah Tülek wrote:
İki LAN arasına deneme amacıyla kurduğum sunucunda eth0 : 192.168.2.0,
eth1 : 10.0.0.0 ağına bakıyor. 10.0.0.0 ağındaki makinalar apache web
sunucusuna erişebilirken 192.168.2.0 ağındaki makinalar erişemiyor.
Makinadaki diğer sunuculara (ftp, ssh) iki ağdan da ulaşabiliyorum.
Apache ile ilgili sorunun sebebi ne olabilir? (Ayrıca makinada Squid de
kurulu)
_______________________________________________
Linux-sunucu E-Posta Listesi
[email protected]
Bu Listede neden bulunduğunuzu bilmiyorsanız veya artık bu listeden gelen
e-postaları almak istemiyorsanız aşağıdaki bağlantı adresini kullanarak 1
dakika içinde üyeliğinizi sonlandırabilirsiniz.
http://liste.linux.org.tr/mailman/listinfo/linux-sunucu
------------------------------------------------------------------------
_______________________________________________
Linux-sunucu E-Posta Listesi
[email protected]
Bu Listede neden bulunduğunuzu bilmiyorsanız veya artık bu listeden gelen
e-postaları almak istemiyorsanız aşağıdaki bağlantı adresini kullanarak 1
dakika içinde üyeliğinizi sonlandırabilirsiniz.
http://liste.linux.org.tr/mailman/listinfo/linux-sunucu
------------------------------------------------------------------------
_______________________________________________
Linux-sunucu E-Posta Listesi
[email protected]
Bu Listede neden bulunduğunuzu bilmiyorsanız veya artık bu listeden gelen
e-postaları almak istemiyorsanız aşağıdaki bağlantı adresini kullanarak 1
dakika içinde üyeliğinizi sonlandırabilirsiniz.
http://liste.linux.org.tr/mailman/listinfo/linux-sunucu
------------------------------------------------------------------------
_______________________________________________
Linux-sunucu E-Posta Listesi
[email protected]
Bu Listede neden bulunduğunuzu bilmiyorsanız veya artık bu listeden gelen
e-postaları almak istemiyorsanız aşağıdaki bağlantı adresini kullanarak 1
dakika içinde üyeliğinizi sonlandırabilirsiniz.
http://liste.linux.org.tr/mailman/listinfo/linux-sunucu
_______________________________________________
Linux-sunucu E-Posta Listesi
[email protected]
Bu Listede neden bulunduğunuzu bilmiyorsanız veya artık bu listeden gelen
e-postaları almak istemiyorsanız aşağıdaki bağlantı adresini kullanarak 1
dakika içinde üyeliğinizi sonlandırabilirsiniz.
http://liste.linux.org.tr/mailman/listinfo/linux-sunucu
_______________________________________________
Linux-sunucu E-Posta Listesi
[email protected]
Bu Listede neden bulunduğunuzu bilmiyorsanız veya artık bu listeden gelen
e-postaları almak istemiyorsanız aşağıdaki bağlantı adresini kullanarak 1
dakika içinde üyeliğinizi sonlandırabilirsiniz.
http://liste.linux.org.tr/mailman/listinfo/linux-sunucu
