The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

форумы  помощь  поиск  регистрация  майллист  ВХОД  слежка  RSS
"iptables + squid непонятное поведение"
Вариант для распечатки  
Пред. тема | След. тема 
Форумы Информационная безопасность (Public)
Изначальное сообщение [Проследить за развитием треда]

"iptables + squid непонятное поведение"  
Сообщение от anchovy (ok) on 04-Июл-06, 12:39 
Стоит линукс FedoraCore4, фильтр пакетов - iptables, проксик - squid 2.5(stable9)(все из дистрибутива системы). Логи iptables смотрю ulogd. Периодически у какого-нибудь юзера тормозит интернет, в ulogd.syslogemu вижу подобное:

Jul  3 15:57:53 localhost IN=eth1 OUT= MAC=00:20:ed:43:d2:e5:00:0c:6e:35:e9:66:08:00
SRC=192.168.0.50 DST=192.168.0.254 LEN=48 TOS=00 PREC=0x00 TTL=128 ID=50069 CE DF PR
OTO=TCP SPT=2196 DPT=3128 SEQ=617831450 ACK=0 WINDOW=65535 SYN URGP=0
Jul  3 15:59:01 localhost IN=eth1 OUT= MAC=00:20:ed:43:d2:e5:00:0c:6e:35:e9:66:08:00
SRC=192.168.0.50 DST=192.168.0.254 LEN=48 TOS=00 PREC=0x00 TTL=128 ID=50143 CE DF PR
OTO=TCP SPT=2209 DPT=3128 SEQ=486666041 ACK=0 WINDOW=65535 SYN URGP=0

пробовал упростить по максимуму правила iptables, но не помогло, мои правила:

$ipt -A INPUT -i lo -s 0.0.0.0/0 -d 0.0.0.0/0 -j ACCEPT
$ipt -A INPUT -m state --state NEW -p ICMP -i $LAN_IFACE -s $LAN_IP_RANGE -j ACCEPT
$ipt -A INPUT -m state --state NEW -m tcp -p TCP --dport 1723 --syn -j ACCEPT #VPN
$ipt -A INPUT -m state --state NEW -m tcp -p TCP --dport 1 --syn -j ACCEPT #Portsentry
$ipt -A INPUT -m state --state NEW -m udp -p UDP --dport 53 -j ACCEPT #DNS
$ipt -A INPUT -m state --state NEW -m tcp -p TCP --dport 110 --syn -j ACCEPT
$ipt -A INPUT -m state --state NEW -m tcp -p TCP --dport 22 --syn -j ACCEPT #Portsentry
$ipt -A INPUT -m state --state NEW -m tcp -p TCP --dport 20:21 -j ACCEPT #FTP
$ipt -A INPUT -m state --state NEW -m tcp -p TCP --dport 80   -i $LAN_IFACE --syn -j ACCEPT #http
$ipt -A INPUT -m tcp -p TCP --dport 3128 -i $LAN_IFACE -s 192.168.0.50 -d $LAN_IP --syn -j ACCEPT #SQUID
$ipt -A INPUT -m tcp -p TCP --dport 3128 -i $LAN_IFACE -s $LAN_IP_RANGE -d $LAN_IP -j ACCEPT #SQUID
#$ipt -A INPUT -m tcp -p TCP -i $LAN_IFACE -s $LAN_IP_RANGE -d $LAN_IP --tcp-flags RST RST -j ACCEPT #RESET-packets
$ipt -A INPUT -m state --state NEW -m tcp -p TCP --dport 65022 --syn -j ACCEPT #SSH
$ipt -A INPUT -m state --state NEW -m udp -p UDP --dport 135:445 -j REJECT  --reject-with icmp-host-prohibited
$ipt -A INPUT -m state --state NEW -m tcp -p TCP --dport 135:445 -j REJECT  --reject-with icmp-host-prohibited
$ipt -A INPUT -p TCP -m state --state ESTABLISHED,RELATED -j ACCEPT
$ipt -A INPUT -p UDP -m state --state ESTABLISHED,RELATED -j ACCEPT
$ipt -A INPUT -j ULOG --ulog-prefix "INPUT-"
$ipt -A INPUT -m state --state NEW -j REJECT --reject-with icmp-host-prohibited

$ipt -t nat -A POSTROUTING -o eth0 -s $LAN_IP_RANGE -j SNAT --to-source $INET_IP

$ipt -A FORWARD -p GRE -j ACCEPT #PPTP
$ipt -A FORWARD -i eth1 -m state --state NEW -m udp -p UDP --dport 53 -j ACCEPT #DNS
$ipt -A FORWARD -i eth1 -m state --state NEW -m tcp -p TCP --dport 20:21 --syn -j ACCEPT #FTP
$ipt -A FORWARD -i ppp0 -m state --state NEW -m tcp -p TCP --dport 20:21 --syn -j ACCEPT #FTP
$ipt -A FORWARD -i eth1 -m state --state NEW -m tcp -p TCP --dport 25 -s $LAN_IP_RANGE --syn -j ACCEPT #SMTP
$ipt -A FORWARD -i eth1 -m state --state NEW -m tcp -p TCP --dport 80 -s 192.168.0.53 --syn -j ACCEPT #HTTP
$ipt -A FORWARD -i eth1 -p UDP --dport 123 -j ACCEPT #NTP
$ipt -A FORWARD -i eth1 -m state --state NEW -m tcp -p TCP --dport 443 -s $LAN_IP_RANGE --syn -j ACCEPT #HTTPS
$ipt -A FORWARD -i eth1 -m state --state NEW -m tcp -p TCP --dport 110 -s $LAN_IP_RANGE --syn -j  ACCEPT #POP3
$ipt -A FORWARD -i eth1 -m state --state NEW -m tcp -p TCP --dport 1024:1500 -j  ACCEPT #Bank-client
#$ipt -A FORWARD -m state --state NEW -m tcp -p TCP --dport 3389 -j ACCEPT
$ipt -A FORWARD -p ICMP --icmp-type 8 -j  ACCEPT
$ipt -A FORWARD -p ICMP --icmp-type 11 -j  ACCEPT
$ipt -A FORWARD -p TCP -m state --state ESTABLISHED,RELATED ! --syn -j ACCEPT
$ipt -A FORWARD -p UDP -m state --state ESTABLISHED,RELATED -j ACCEPT
$ipt -A FORWARD -m state --state NEW -m udp -p UDP --dport 135:445 -j REJECT  --reject-with icmp-host-prohibited
$ipt -A FORWARD -m state --state NEW -m tcp -p TCP --dport 135:445 -j REJECT  --reject-with icmp-host-prohibited
$ipt -A FORWARD -j ULOG --ulog-prefix "FRWD-"
$ipt -A FORWARD -i eth1 -m state --state NEW -m tcp -p TCP -j REJECT --reject-with icmp-host-unreachable #Deny

что для меня непонятно, так это то, что правила с действием ULOG стоят с префиксом --ulog-prefix "XXXX- ", а в логе ulogd нет никакого префикса. Хотя при обычной проверке пингом логи пишутся правильно, с префиксом:

Jul  4 12:23:23 localhost INPUT- IN=eth1 OUT= MAC=00:20:ed:43:d2:e5:00:01:03:2b:0e:22
:08:00  SRC=192.168.0.53 DST=192.168.0.254 LEN=60 TOS=00 PREC=0x00 TTL=128 ID=26489 P
ROTO=ICMP TYPE=8 CODE=0 ID=1024 SEQ=11265

что происходит, может кто-нибудь подсказать???

Правка | Высказать мнение | Ответить | Cообщить модератору | Наверх

 Оглавление

Сообщения по теме [Сортировка по времени, UBB]


1. "iptables + squid непонятное поведение"  
Сообщение от chocholl email(??) on 07-Июл-06, 22:46 
не совсем понял тему вопроса, постарайся поконкретнее сформулировать.
но...
для того чтобы отрабатывал ulog, необходимо чтобы его правила стояли перед всеми остальными.

Правка | Высказать мнение | Ответить | Cообщить модератору | Наверх

Архив | Удалить

Индекс форумов | Темы | Пред. тема | След. тема
Оцените тред (1=ужас, 5=супер)? [ 1 | 2 | 3 | 4 | 5 ] [Рекомендовать для помещения в FAQ]




Партнёры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру