форумы  помощь  поиск  регистрация  майллист  вход/выход  слежка

Вариант для распечатки		Пред. тема | След. тема
Форумы Информационная безопасность (Public)
Изначальное сообщение		[ Отслеживать ]

"Apache за Squid"

Сообщение от pups666 (ok) on 26-Мрт-09, 13:11

Есть банка FreeBSD 4.7 с тремя сетевыми картами: ed0 - локалка, ed1 - инет, ed2 - апач. На банке стоит непрозрачный squid+ipfw. Появилась необходимость в вэб-сервере. На ed1 запустил над: redireсt_port tcp APACHE_SERV:80 80 redirect_address APACHE_SERV INET fw: # squid add deny tcp from any to 192.168.200.1 8080 in via ed1 add allow all from 192.168.200.1 to any out via ed1 add allow tcp from INET to any 80 out via ed1 add allow tcp from any 80 to INET in via ed1 established add allow tcp from INET 1024-65535 to any 1024-65535 out via ed1 add allow tcp from any 1024-65535 to 192.168.200.1 1024-65535 in via ed1 established add allow tcp from 192.168.200.0/18 to 192.168.200.1 8080 in via ed0 add allow tcp from 192.168.200.1 8080 to 192.168.200.0/18 out via ed0 established # web add divert natd all from 192.168.221.2 to any out via ed1 add divert natd all from any to INET in via ed1 add allow all from 85.202.1.34 to any out via ed1 add allow all from any to 192.168.221.2 in via ed1 add allow tcp from any to 192.168.221.2 via ed2 add allow tcp from 192.168.221.2 to any via ed2 Внутри сетки по адресу 192.168.221.2 сайт доступен, а с внешней нет. Проблема думаю в том, что данные из внешки приходят на сквид и нат на 80 порт и нат их не ловит. У кого-н есть советы?

Высказать мнение | Ответить | Правка | Cообщить модератору

Сообщения по теме

[Сортировка по времени | RSS]

1. "Apache за Squid"

Сообщение от Pahanivo (ok) on 26-Мрт-09, 13:47

>Есть банка FreeBSD 4.7 с тремя сетевыми картами: >ed0 - локалка, >ed1 - инет, >ed2 - апач. >На банке стоит непрозрачный squid+ipfw. Появилась необходимость в вэб-сервере. > >На ed1 запустил над: >redireсt_port tcp APACHE_SERV:80 80 redirect_port tcp apache_privat_ip:80 gateway_public_ip:80 >redirect_address APACHE_SERV INET второе правило не надо - обратно все уйдет нормально через нат > > >fw: ># squid >add deny tcp from any to 192.168.200.1 8080 in via ed1 это правило имеет смысл только после дайверта >add allow all from 192.168.200.1 to any out via ed1 это парвило вообще не имеет смысла >[оверквотинг удален] > >add allow tcp from any 1024-65535 to 192.168.200.1 1024-65535 in via ed1 >established >add allow tcp from 192.168.200.0/18 to 192.168.200.1 8080 in via ed0 >add allow tcp from 192.168.200.1 8080 to 192.168.200.0/18 out via ed0 established > ># web >add divert natd all from 192.168.221.2 to any out via ed1 >add divert natd all from any to INET in via ed1 >add allow all from 85.202.1.34 to any out via ed1 как я понял INET это внешний айпи - логи фильтрации мне слабо понятна >add allow all from any to 192.168.221.2 in via ed1 >add allow tcp from any to 192.168.221.2 via ed2 >add allow tcp from 192.168.221.2 to any via ed2 > > >Внутри сетки по адресу 192.168.221.2 сайт доступен, а с внешней нет. >Проблема думаю в том, что данные из внешки приходят на сквид и бред - как вообще данные из внешки (вход коннекты) могут приходить на сквид? >нат на 80 порт и нат их не ловит. вы помоему серъезно путаете направления соединений 80 порта >У кого-н есть советы? бери в руки tcpdump и вперед

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	2. "Apache за Squid"
	Сообщение от Pahanivo (ok) on 26-Мрт-09, 13:48
	>redireсt_port tcp APACHE_SERV:80 80 redirect_port tcp apache_privat_ip:80 gateway_public_ip:80 >redirect_address APACHE_SERV INET второе правило не надо - обратно все уйдет нормально через нат >
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить	Индекс форумов | Темы | Пред. тема | След. тема
Оцените тред (1=ужас, 5=супер)? [ 1 | 2 | 3 | 4 | 5 ] [Рекомендовать для помещения в FAQ]