bonjour,

je suis actuellement en train de configurer un proxy internet avec dessus la mandriva 2006, squid, squidGuard,IWSS et j'ai des problemes avec mon parefeu

quand j'active mon parefeu, Internet fonctionne autant sur mon proxy que sur mes postes clients, par contre la messagerie par outlook express ou thunderbird ne fonctionne pas sur les clients mais fonctionne sur le proxy
(Sans le parefeu, la messagerie fonctionne sur les clients...)
mais j'ai beau chercher ce qui ne va pas ce qui manque comme regle dans mon parefeu je ne vois pas

je vous explique brievement ma config rzo :
sur mon proxy j'ai 2 cartes rzo, une pour mon reseau local (ipfixe : 192.168.0.60)et l'autre (10.0.0.2)reliée a mon modem speedtouch 510 qui lui est directement relie en ADSL vers l'exterieur et qui a comme adresse ip 10.0.0.138

voici le detail de mon fichier iptables :

#!/bin/bash
#Version 1.4
#Ce script doit etre utilise pour la configuration du Firewall Netfilter dans le
#cas : Firewall et proxy installes sur la meme machine
#Initialisation des variables
IPTABLES=`which iptables`

#ATTENTION : S assurer que les interfaces reseaux correspondent bien.

ETHEXT="eth0" #*** carte réseau côté accès Internet ***
ETHLAN="eth1" #*** carte réseau côté réseau local ***
ETHLO="lo"

# Parametres à modifier : Ces trois lignes devront être decommentees a l issue (suppression du # devant chaque ligne)

IPEXT="10.0.0.2" #*** adresse ip de ma carte côté extérieur
IPMOD="10.0.0.138" #*** adresse ip du modem
IPLAN="192.168.0.60" #*** adressage ip de mon proxy
IPDNS="80.10.246.130" #*** adresse ip du DNS du FAI
CLIENT_NET="192.168.0.0/24" #*** réseau client

#on autorise l'icmp
echo "0" > /proc/sys/net/ipv4/icmp_echo_ignore_all
echo "0" > /proc/sys/net/ipv4/icmp_echo_ignore_broadcasts

#on active le forwarding
echo "1" > /proc/sys/net/ipv4/ip_forward

#on empeche l'usurpation d'adresse ip
echo "1" > /proc/sys/net/ipv4/conf/all/rp_filter

#Activation du module ip_tables
modprobe ip_tables

#Activation du module ip_conntrack_ftp pour le flux FTP
modprobe iptable_filter
modprobe iptable_nat
modprobe ip_nat_ftp

# module verifiant l'etat des paquets pour tcp
modprobe ip_conntrack
modprobe ip_conntrack_ftp

#vidage des iptables
$IPTABLES -F
$IPTABLES -X
$IPTABLES -t nat -F
$IPTABLES -t nat -X

#politique de filtrage par défaut
$IPTABLES -P INPUT DROP
$IPTABLES -P OUTPUT DROP
$IPTABLES -P FORWARD ACCEPT

#on accepte tout sur la boucle locale
$IPTABLES -A INPUT -i lo -j ACCEPT
$IPTABLES -A OUTPUT -o lo -j ACCEPT

#les clients passant par le proxy n'ont pas besoin d'etre nattés.
#On natte l'adresse ip coté LAN vers l'adresse ip cote WAN et on autorise les flux a sortir de la carte cote WAN et a revenir#aussi
$IPTABLES -t nat -A POSTROUTING -s $IPLAN -j SNAT --to-source $IPEXT
$IPTABLES -t nat -A POSTROUTING -o $ETHEXT -j SNAT --to-source $IPEXT

#Autorisation des reponses a partir du proxy
#Flux Proxy
$IPTABLES -A INPUT -p tcp -i $ETHLAN -s $CLIENT_NET -d $IPLAN --dport 3128 -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT
$IPTABLES -A OUTPUT -p tcp -o $ETHLAN -d $CLIENT_NET -s $IPLAN --sport 3128 -m state --state ESTABLISHED,RELATED -j ACCEPT

#Flux console IWSS sécurisé
$IPTABLES -A INPUT -p tcp -i $ETHLAN -d $IPLAN --dport 8443 -s $CLIENT_NET -m state --state NEW,ESTABLISHED -j ACCEPT
$IPTABLES -A OUTPUT -p tcp -o $ETHLAN -s $IPLAN --sport 8443 -d $CLIENT_NET -m state --state ESTABLISHED -j ACCEPT

# Autorisation des flux d'administration SSH sur le proxy. Le SFTP est compris dedans
$IPTABLES -A INPUT -p tcp -i $ETHLAN -d $IPLAN --dport 22 -s $CLIENT_NET -m state --state NEW,ESTABLISHED -j ACCEPT
$IPTABLES -A OUTPUT -p tcp -o $ETHLAN -s $IPLAN --sport 22 -d $CLIENT_NET -m state --state ESTABLISHED -j ACCEPT

#Flux HTTP
$IPTABLES -A OUTPUT -p tcp -o $ETHEXT --dport 80 -m state --state NEW,ESTABLISHED -j ACCEPT
$IPTABLES -A INPUT -p tcp -i $ETHEXT --sport 80 -m state --state ESTABLISHED -j ACCEPT

#Flux HTTPS
$IPTABLES -A OUTPUT -p tcp -o $ETHEXT --dport 443 -m state --state NEW,ESTABLISHED -j ACCEPT
$IPTABLES -A INPUT -p tcp -i $ETHEXT --sport 443 -m state --state ESTABLISHED -j ACCEPT

#Flux SMTP
$IPTABLES -A OUTPUT -p tcp -o $ETHEXT --dport 25 -m state --state NEW,ESTABLISHED -j ACCEPT
$IPTABLES -A INPUT -p tcp -i $ETHEXT --sport 25 -m state --state ESTABLISHED -j ACCEPT

#Flux POP3
$IPTABLES -A OUTPUT -p tcp -o $ETHEXT --dport 110 -m state --state NEW,ESTABLISHED -j ACCEPT
$IPTABLES -A INPUT -p tcp -i $ETHEXT --sport 110 -m state --state ESTABLISHED -j ACCEPT

#$IPTABLES -A OUTPUT -p tcp -o $ETHEXT --dport 110 -m state --state NEW,ESTABLISHED -j ACCEPT
#$IPTABLES -A INPUT -p tcp -i $ETHEXT --sport 110 -m state --state ESTABLISHED -j ACCEPT
#$IPTABLES -A OUTPUT -p tcp -s $CLIENT_NET -o $ETHLAN -d $IPLAN --dport 110 -j ACCEPT
#$IPTABLES -A FORWARD -p tcp --dport 110 -s $CLIENT_NET -i $ETHLAN -o $ETHEXT -d $IPMXAA --syn -j ACCEPT

#Flux IMAP
$IPTABLES -A OUTPUT -p tcp -o $ETHEXT --dport 143 -m state --state NEW,ESTABLISHED -j ACCEPT
$IPTABLES -A INPUT -p tcp -i $ETHEXT --sport 143 -m state --state ESTABLISHED -j ACCEPT

#Flux DNS on autorise le proxy a acceder directement aux serveurs DNS du FAI
$IPTABLES -A OUTPUT -p udp -s $IPEXT -o $ETHEXT -d $IPDNS --dport 53 -j ACCEPT
$IPTABLES -A INPUT -p udp -d $IPEXT -i $ETHEXT -s $IPDNS --sport 53 -j ACCEPT
$IPTABLES -A OUTPUT -p udp -s $IPEXT -o $ETHEXT -d $IPMOD --dport 53 -j ACCEPT
$IPTABLES -A INPUT -p udp -d $IPEXT -i $ETHEXT -s $IPMOD --sport 53 -j ACCEPT

#gestion de la journalisation
#Creation d'une chaine pour les logs(par defaut, dans le fichier /var/log/messages)
#Lorsqu'un refus de flux sera emis,une chaine de log apparaitra dans le fichier de log avec l'entete [iptables drop]
#puis sera jete
$IPTABLES -N LOG_DROP
$IPTABLES -A LOG_DROP -j LOG --log-prefix "[iptables drop] : " --log-level info
$IPTABLES -A LOG_DROP -j DROP

#Mise en place des logs : tout ce qui arrive ici est du traffic non autorise: il sera logge puis jete
$IPTABLES -A FORWARD -j LOG_DROP
$IPTABLES -A INPUT -j LOG_DROP
$IPTABLES -A OUTPUT -j LOG_DROP


et voici le contenu de mon fichier squid.conf :

http_port 3128
visible_hostname srv-proxy
cache_dir ufs /cache 2048 16 256
cache_effective_user squid
cache_effective_group squid
cache_mem 100 MB
coredump_dir /var/spool/squid

auth_param basic program /usr/lib/squid/ncsa_auth /etc/squid/users
auth_param basic children 5
auth_param basic realm Squid proxy-caching web server
auth_param basic credentialsttl 60 minute
auth_param basic casesensitive off
authenticate_ttl 30 minute
authenticate_ip_ttl 30 minute

acl password proxy_auth REQUIRED
acl CONNECT method CONNECT
acl all src 0.0.0.0/0.0.0.0
acl localhost src 127.0.0.1/255.255.255.255
acl network src 192.168.0.1 192.168.0.3 192.168.0.100
acl Safe_ports port 21 25 80 110 143 443 563
acl SSL_ports port 443 563 # https,snews

emulate_httpd_log on
http_access allow network
http_access allow localhost
http_access allow password
http_access allow Safe_ports
http_access deny CONNECT !SSL_ports
http_access deny all

httpd_accel_host virtual
httpd_accel_port 80
httpd_accel_with_proxy on
httpd_accel_uses_host_header on

#redirect_program /usr/bin/squidGuard -c /etc/squid/squidGuard.conf


Si quelqu'un maitrise bien les iptables et qui peut m'aider a rajouter la ou les bonnes regles pour que je puisse avoir de la messagerie sur les stations clientes, cela me rendrait un grand service

Ajouter un lien

Ajouter des emoticones

 

Nom du lien :

URL :

Sujet :

bonjour, je suis actuellement en train de configurer un proxy internet avec dessus la mandriva 2006, squid, squidGuard,IWSS et j'ai des problemes avec mon parefeu quand j'active mon parefeu, Internet fonctionne autant sur mon proxy que sur mes postes clients, par contre la messagerie par outlook express ou thunderbird ne fonctionne pas sur les clients mais fonctionne sur le proxy (Sans le parefeu, la messagerie fonctionne sur les clients...) mais j'ai beau chercher ce qui ne va pas ce qui manque comme regle dans mon parefeu je ne vois pas je vous explique brievement ma config rzo : sur mon proxy j'ai 2 cartes rzo, une pour mon reseau local (ipfixe : 192.168.0.60)et l'autre (10.0.0.2)reliée a mon modem speedtouch 510 qui lui est directement relie en ADSL vers l'exterieur et qui a comme adresse ip 10.0.0.138 voici le detail de mon fichier iptables : #!/bin/bash #Version 1.4 #Ce script doit etre utilise pour la configuration du Firewall Netfilter dans le #cas : Firewall et proxy installes sur la meme machine #Initialisation des variables IPTABLES=`which iptables` #ATTENTION : S assurer que les interfaces reseaux correspondent bien. ETHEXT="eth0" #*** carte réseau côté accès Internet *** ETHLAN="eth1" #*** carte réseau côté réseau local *** ETHLO="lo" # Parametres à modifier : Ces trois lignes devront être decommentees a l issue (suppression du # devant chaque ligne) IPEXT="10.0.0.2" #*** adresse ip de ma carte côté extérieur IPMOD="10.0.0.138" #*** adresse ip du modem IPLAN="192.168.0.60" #*** adressage ip de mon proxy IPDNS="80.10.246.130" #*** adresse ip du DNS du FAI CLIENT_NET="192.168.0.0/24" #*** réseau client #on autorise l'icmp echo "0" > /proc/sys/net/ipv4/icmp_echo_ignore_all echo "0" > /proc/sys/net/ipv4/icmp_echo_ignore_broadcasts #on active le forwarding echo "1" > /proc/sys/net/ipv4/ip_forward #on empeche l'usurpation d'adresse ip echo "1" > /proc/sys/net/ipv4/conf/all/rp_filter #Activation du module ip_tables modprobe ip_tables #Activation du module ip_conntrack_ftp pour le flux FTP modprobe iptable_filter modprobe iptable_nat modprobe ip_nat_ftp # module verifiant l'etat des paquets pour tcp modprobe ip_conntrack modprobe ip_conntrack_ftp #vidage des iptables $IPTABLES -F $IPTABLES -X $IPTABLES -t nat -F $IPTABLES -t nat -X #politique de filtrage par défaut $IPTABLES -P INPUT DROP $IPTABLES -P OUTPUT DROP $IPTABLES -P FORWARD ACCEPT #on accepte tout sur la boucle locale $IPTABLES -A INPUT -i lo -j ACCEPT $IPTABLES -A OUTPUT -o lo -j ACCEPT #les clients passant par le proxy n'ont pas besoin d'etre nattés. #On natte l'adresse ip coté LAN vers l'adresse ip cote WAN et on autorise les flux a sortir de la carte cote WAN et a revenir#aussi $IPTABLES -t nat -A POSTROUTING -s $IPLAN -j SNAT --to-source $IPEXT $IPTABLES -t nat -A POSTROUTING -o $ETHEXT -j SNAT --to-source $IPEXT #Autorisation des reponses a partir du proxy #Flux Proxy $IPTABLES -A INPUT -p tcp -i $ETHLAN -s $CLIENT_NET -d $IPLAN --dport 3128 -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT $IPTABLES -A OUTPUT -p tcp -o $ETHLAN -d $CLIENT_NET -s $IPLAN --sport 3128 -m state --state ESTABLISHED,RELATED -j ACCEPT #Flux console IWSS sécurisé $IPTABLES -A INPUT -p tcp -i $ETHLAN -d $IPLAN --dport 8443 -s $CLIENT_NET -m state --state NEW,ESTABLISHED -j ACCEPT $IPTABLES -A OUTPUT -p tcp -o $ETHLAN -s $IPLAN --sport 8443 -d $CLIENT_NET -m state --state ESTABLISHED -j ACCEPT # Autorisation des flux d'administration SSH sur le proxy. Le SFTP est compris dedans $IPTABLES -A INPUT -p tcp -i $ETHLAN -d $IPLAN --dport 22 -s $CLIENT_NET -m state --state NEW,ESTABLISHED -j ACCEPT $IPTABLES -A OUTPUT -p tcp -o $ETHLAN -s $IPLAN --sport 22 -d $CLIENT_NET -m state --state ESTABLISHED -j ACCEPT #Flux HTTP $IPTABLES -A OUTPUT -p tcp -o $ETHEXT --dport 80 -m state --state NEW,ESTABLISHED -j ACCEPT $IPTABLES -A INPUT -p tcp -i $ETHEXT --sport 80 -m state --state ESTABLISHED -j ACCEPT #Flux HTTPS $IPTABLES -A OUTPUT -p tcp -o $ETHEXT --dport 443 -m state --state NEW,ESTABLISHED -j ACCEPT $IPTABLES -A INPUT -p tcp -i $ETHEXT --sport 443 -m state --state ESTABLISHED -j ACCEPT #Flux SMTP $IPTABLES -A OUTPUT -p tcp -o $ETHEXT --dport 25 -m state --state NEW,ESTABLISHED -j ACCEPT $IPTABLES -A INPUT -p tcp -i $ETHEXT --sport 25 -m state --state ESTABLISHED -j ACCEPT #Flux POP3 $IPTABLES -A OUTPUT -p tcp -o $ETHEXT --dport 110 -m state --state NEW,ESTABLISHED -j ACCEPT $IPTABLES -A INPUT -p tcp -i $ETHEXT --sport 110 -m state --state ESTABLISHED -j ACCEPT #$IPTABLES -A OUTPUT -p tcp -o $ETHEXT --dport 110 -m state --state NEW,ESTABLISHED -j ACCEPT #$IPTABLES -A INPUT -p tcp -i $ETHEXT --sport 110 -m state --state ESTABLISHED -j ACCEPT #$IPTABLES -A OUTPUT -p tcp -s $CLIENT_NET -o $ETHLAN -d $IPLAN --dport 110 -j ACCEPT #$IPTABLES -A FORWARD -p tcp --dport 110 -s $CLIENT_NET -i $ETHLAN -o $ETHEXT -d $IPMXAA --syn -j ACCEPT #Flux IMAP $IPTABLES -A OUTPUT -p tcp -o $ETHEXT --dport 143 -m state --state NEW,ESTABLISHED -j ACCEPT $IPTABLES -A INPUT -p tcp -i $ETHEXT --sport 143 -m state --state ESTABLISHED -j ACCEPT #Flux DNS on autorise le proxy a acceder directement aux serveurs DNS du FAI $IPTABLES -A OUTPUT -p udp -s $IPEXT -o $ETHEXT -d $IPDNS --dport 53 -j ACCEPT $IPTABLES -A INPUT -p udp -d $IPEXT -i $ETHEXT -s $IPDNS --sport 53 -j ACCEPT $IPTABLES -A OUTPUT -p udp -s $IPEXT -o $ETHEXT -d $IPMOD --dport 53 -j ACCEPT $IPTABLES -A INPUT -p udp -d $IPEXT -i $ETHEXT -s $IPMOD --sport 53 -j ACCEPT #gestion de la journalisation #Creation d'une chaine pour les logs(par defaut, dans le fichier /var/log/messages) #Lorsqu'un refus de flux sera emis,une chaine de log apparaitra dans le fichier de log avec l'entete [iptables drop] #puis sera jete $IPTABLES -N LOG_DROP $IPTABLES -A LOG_DROP -j LOG --log-prefix "[iptables drop] : " --log-level info $IPTABLES -A LOG_DROP -j DROP #Mise en place des logs : tout ce qui arrive ici est du traffic non autorise: il sera logge puis jete $IPTABLES -A FORWARD -j LOG_DROP $IPTABLES -A INPUT -j LOG_DROP $IPTABLES -A OUTPUT -j LOG_DROP et voici le contenu de mon fichier squid.conf : http_port 3128 visible_hostname srv-proxy cache_dir ufs /cache 2048 16 256 cache_effective_user squid cache_effective_group squid cache_mem 100 MB coredump_dir /var/spool/squid auth_param basic program /usr/lib/squid/ncsa_auth /etc/squid/users auth_param basic children 5 auth_param basic realm Squid proxy-caching web server auth_param basic credentialsttl 60 minute auth_param basic casesensitive off authenticate_ttl 30 minute authenticate_ip_ttl 30 minute acl password proxy_auth REQUIRED acl CONNECT method CONNECT acl all src 0.0.0.0/0.0.0.0 acl localhost src 127.0.0.1/255.255.255.255 acl network src 192.168.0.1 192.168.0.3 192.168.0.100 acl Safe_ports port 21 25 80 110 143 443 563 acl SSL_ports port 443 563 # https,snews emulate_httpd_log on http_access allow network http_access allow localhost http_access allow password http_access allow Safe_ports http_access deny CONNECT !SSL_ports http_access deny all httpd_accel_host virtual httpd_accel_port 80 httpd_accel_with_proxy on httpd_accel_uses_host_header on #redirect_program /usr/bin/squidGuard -c /etc/squid/squidGuard.conf Si quelqu'un maitrise bien les iptables et qui peut m'aider a rajouter la ou les bonnes regles pour que je puisse avoir de la messagerie sur les stations clientes, cela me rendrait un grand service

 

oufti comme on dirait à Liège.
Ok ben je vais regarder tout ça et je te reviens

Ajouter un lien

Ajouter des emoticones

 

Nom du lien :

URL :

oufti comme on dirait à Liège. Ok ben je vais regarder tout ça et je te reviens

 

Admin SoSLinux

merci en tout cas d'essayer,

je viens d'apprendre quelque chose oufti je ne connaissais pas ;-)

Ajouter un lien

Ajouter des emoticones

 

Nom du lien :

URL :

merci en tout cas d'essayer, je viens d'apprendre quelque chose oufti je ne connaissais pas ;-)