| View previous topic :: View next topic |
| Author |
Message |
fbcyborg
Advocate
Joined: 16 Oct 2005
Posts: 3056
Location: ROMA
|
 Posted: Tue May 05, 2009 8:30 pm Post subject: [Diciamo risolto] Problemi con regole iptables |
 |
|
Salve,
non conoscendo bene iptables mi sono trovato in una situazione un po' spiacevole.
Ho dovuto impostare alcune regole di iptables per via del fatto che sto utilizzando squid, che mi fa da proxy sull'interfaccia eth0 (10.0.0.0).
Quando sto navigando grazie all'interfaccia eth1 (192.168.1.0) che ha come gateway 192.168.1.254, se iptables è in funzione non riesco a navigare in alcun sito.
Quindi dovrei creare una regola che mi dice che se ho una richiesta in uscita che parte da eth1, me la deve far passare.. come posso fare?
Le regole che ho impostato attualmente sono le seguenti (prese dal file rules-save)
| Code: | [207:12420] -A PREROUTING -i eth0 -p tcp -m tcp --dport 80 -j REDIRECT --to-ports 3128
[0:0] -A OUTPUT -p tcp -m tcp --dport 80 -m owner --uid-owner squid -j ACCEPT
[0:0] -A OUTPUT -p tcp -m tcp --dport 3128 -m owner --uid-owner squid -j ACCEPT
[2:120] -A OUTPUT -p tcp -m tcp --dport 80 -j REDIRECT --to-ports 8080
[0:0] -A OUTPUT -p tcp -m tcp --dport 3128 -j REDIRECT --to-ports 8080
|
Grazie
_________________
[HOWTO] Come criptare la /home usando cryptsetup e luks
[HOWTO] Abilitare il supporto al dom0 XEN su kernel 3.X
Help answer the unanswered
Last edited by fbcyborg on Fri May 15, 2009 8:58 am; edited 1 time in total |
|
| Back to top |
|
 |
devilheart
l33t
Joined: 17 Mar 2005
Posts: 848
Location: Villach, Austria
|
| Posted: Wed May 06, 2009 10:52 am Post subject: |
|
|
| Code: | | iptables -A OUTPUT -o eth1 -j ACCEPT |
?
anche se ho la sensazione che non sia quello che vuoi. descrivi meglio ciò che vuoi ottenere
(e tutta la configurazione attuale di iptables, specialmente le regole di default) |
|
| Back to top |
|
|
fbcyborg
Advocate
Joined: 16 Oct 2005
Posts: 3056
Location: ROMA
|
| Posted: Wed May 06, 2009 11:01 am Post subject: |
|
|
Grazie mille devilheart.
Quello che voglio ottenere è concettualmente semplice e di uso comune.
Ho un server con due interfacce di rete, eth0 ed eth1.
L'interfaccia eth1 è connessa ad un router adsl e prende da esso un IP, dinamicamente (che poi alla fine è come se fosse fisso, visto che non cambierà mai, essendo il server sempre acceso).
Quindi il mio mezzo per andare su internet è appunto eth1.
eth0 la uso, invece, per creare una nuova sottorete del tipo 10.0.0.0/8. Ho installato DHCP e l'ho impostato per rilasciare IP su quell'interfaccia.
Ora, il mio scopo finale è quello di impostare squid+dansguardian+iptables in modo che gli utenti della LAN 10.0.0.0/8 colleghino i loro pc allo switch e navighino. Devono navigare però "filtrati" da dansguardian.
Ecco per l'appunto cosa c'entra iptables. Leggendo i vari howto e guide in giro ho letto un sacco di regole di iptables, e alla fine non c'ho capito gran che (infatti sto cercando di studiarlo per capire un po' meglio). Quindi il risultato è che ho inserito una serie di regole di iptables ma quanto a risultati zero.
Squid dovrebbe funzionarmi in modalità trasparente, in modo da non dover impostare ciascun browser per navigare in Internet.
La sequenza è appunto la seguente:
| Code: | * browser -> port 80 ->
* firewall redirects to 8080 ->
* dansguardian listens on 8080 and outputs on 3128 ->
* squid listening on 3128
* ->www |
_________________
[HOWTO] Come criptare la /home usando cryptsetup e luks
[HOWTO] Abilitare il supporto al dom0 XEN su kernel 3.X
Help answer the unanswered |
|
| Back to top |
|
|
devilheart
l33t
Joined: 17 Mar 2005
Posts: 848
Location: Villach, Austria
|
| Posted: Wed May 06, 2009 5:34 pm Post subject: |
|
|
prova con
| Code: | | iptables -t nat -A PREROUTING -i eth0 --destination-port 80 -j REDIRECT --to-ports 8080 |
|
|
| Back to top |
|
|
fbcyborg
Advocate
Joined: 16 Oct 2005
Posts: 3056
Location: ROMA
|
|
| Back to top |
|
|
devilheart
l33t
Joined: 17 Mar 2005
Posts: 848
Location: Villach, Austria
|
| Posted: Wed May 06, 2009 6:15 pm Post subject: |
|
|
errore mio | Code: | | iptables -t nat -A PREROUTING -i eth0 -p tcp --destination-port 80 -j REDIRECT --to-ports 8080 |
ricorda che devi avere il supporto a REDIRECT abilitato nel kernel |
|
| Back to top |
|
|
fbcyborg
Advocate
Joined: 16 Oct 2005
Posts: 3056
Location: ROMA
|
| Posted: Wed May 06, 2009 6:26 pm Post subject: |
|
|
mmh...
la mia situazione ora è la seguente:
| Code: | # iptables -t nat -L
Chain PREROUTING (policy ACCEPT)
target prot opt source destination
REDIRECT tcp -- anywhere anywhere tcp dpt:http redir ports 8080
Chain POSTROUTING (policy ACCEPT)
target prot opt source destination
Chain OUTPUT (policy ACCEPT)
target prot opt source destination
ACCEPT tcp -- anywhere anywhere tcp dpt:http owner UID match squid
ACCEPT tcp -- anywhere anywhere tcp dpt:3128 owner UID match squid
REDIRECT tcp -- anywhere anywhere tcp dpt:http redir ports 8080
|
Ma come prima, se non imposto sul browser un proxy non navigo. 
_________________
[HOWTO] Come criptare la /home usando cryptsetup e luks
[HOWTO] Abilitare il supporto al dom0 XEN su kernel 3.X
Help answer the unanswered |
|
| Back to top |
|
|
devilheart
l33t
Joined: 17 Mar 2005
Posts: 848
Location: Villach, Austria
|
| Posted: Wed May 06, 2009 6:52 pm Post subject: |
|
|
| imposta i browser per non usare il proxy e poi vedi cosa arriva al server (con tcpdump) e se arriva qualcosa a DansGuardian e squid |
|
| Back to top |
|
|
fbcyborg
Advocate
Joined: 16 Oct 2005
Posts: 3056
Location: ROMA
|
| Posted: Wed May 06, 2009 7:10 pm Post subject: |
|
|
Ecco cosa accade quando ad esempio cerco di accedere a www.google.it:
| Code: | 21:08:14.817423 IP 10.0.0.2.38842 > ML310-G5.myworkgroup.domain: 47807+ A? www.google.it. (31)
21:08:15.058569 IP ML310-G5.myworkgroup > 10.0.0.2: ICMP ML310-G5.myworkgroup udp port domain unreachable, length 67
21:08:14.817868 IP 10.0.0.2.44911 > ML310-G5.myworkgroup.domain: 47807+ A? www.google.it. (31)
21:08:14.817883 IP ML310-G5.myworkgroup > 10.0.0.2: ICMP ML310-G5.myworkgroup udp port domain unreachable, length 67
21:08:14.818117 IP 10.0.0.2.39881 > ML310-G5.myworkgroup.domain: 7868+ A? www.google.it.myworkgroup.lan. (45)
21:08:14.818129 IP ML310-G5.myworkgroup > 10.0.0.2: ICMP ML310-G5.myworkgroup udp port domain unreachable, length 81
21:08:14.818368 IP 10.0.0.2.33247 > ML310-G5.myworkgroup.domain: 7868+ A? www.google.it.myworkgroup.lan. (45)
21:08:14.818385 IP ML310-G5.myworkgroup > 10.0.0.2: ICMP ML310-G5.myworkgroup udp port domain unreachable, length 81
21:08:14.830360 IP 10.0.0.2.45620 > ML310-G5.myworkgroup.domain: 33298+ A? toolbarqueries.google.it. (42)
21:08:14.830372 IP ML310-G5.myworkgroup > 10.0.0.2: ICMP ML310-G5.myworkgroup udp port domain unreachable, length 78
21:08:14.830610 IP 10.0.0.2.38885 > ML310-G5.myworkgroup.domain: 33298+ A? toolbarqueries.google.it. (42)
21:08:14.830622 IP ML310-G5.myworkgroup > 10.0.0.2: ICMP ML310-G5.myworkgroup udp port domain unreachable, length 78
21:08:14.830861 IP 10.0.0.2.46051 > ML310-G5.myworkgroup.domain: 11988+[|domain]
21:08:19.816939 arp who-has ML310-G5.myworkgroup tell 10.0.0.2
21:08:19.816949 arp reply ML310-G5.myworkgroup is-at 00:23:7d:fc:dd:dd (oui Unknown)
21:08:19.836925 IP 10.0.0.2.46051 > ML310-G5.myworkgroup.domain: 11988+[|domain]
21:08:19.836943 IP ML310-G5.myworkgroup > 10.0.0.2: ICMP ML310-G5.myworkgroup udp port domain unreachable, length 92
21:08:19.837424 IP 10.0.0.2.38064 > ML310-G5.myworkgroup.domain: 47674+ A? toolbarqueries.google.it. (42)
21:08:19.837441 IP ML310-G5.myworkgroup > 10.0.0.2: ICMP ML310-G5.myworkgroup udp port domain unreachable, length 78
21:08:19.837675 IP 10.0.0.2.42589 > ML310-G5.myworkgroup.domain: 47674+ A? toolbarqueries.google.it. (42)
21:08:19.837690 IP ML310-G5.myworkgroup > 10.0.0.2: ICMP ML310-G5.myworkgroup udp port domain unreachable, length 78
21:08:19.837924 IP 10.0.0.2.54788 > ML310-G5.myworkgroup.domain: 61063+[|domain]
21:08:19.837939 IP ML310-G5.myworkgroup > 10.0.0.2: ICMP ML310-G5.myworkgroup udp port domain unreachable, length 92
21:08:19.838174 IP 10.0.0.2.51910 > ML310-G5.myworkgroup.domain: 61063+[|domain]
21:08:19.838187 IP ML310-G5.myworkgroup > 10.0.0.2: ICMP ML310-G5.myworkgroup udp port domain unreachable, length 92
21:08:24.836053 arp who-has 10.0.0.2 tell ML310-G5.myworkgroup
21:08:24.836244 arp reply 10.0.0.2 is-at 00:13:a9:8b:89:e0 (oui Unknown) |
_________________
[HOWTO] Come criptare la /home usando cryptsetup e luks
[HOWTO] Abilitare il supporto al dom0 XEN su kernel 3.X
Help answer the unanswered |
|
| Back to top |
|
|
devilheart
l33t
Joined: 17 Mar 2005
Posts: 848
Location: Villach, Austria
|
| Posted: Thu May 07, 2009 9:03 am Post subject: |
|
|
| a me sembra che non riesca a risolvere gli indirizzi. prova ad aprire 216.239.59.104 e vedi cosa ti dice. nei log del proxy c'è qualcosa? c'è un motivo particolare che ti impedisce di configurare l'uso del proxy su tutti i browser |
|
| Back to top |
|
|
fbcyborg
Advocate
Joined: 16 Oct 2005
Posts: 3056
Location: ROMA
|
| Posted: Thu May 07, 2009 12:47 pm Post subject: |
|
|
Allora, dunque.
A prescindere da iptables, nel mio caso dovrebbe essere possibile far funzionare il proxy anche senza fare il redirect delle porte.
Correggimi se sbaglio, ma se io metto squid in ascolto sulla porta 80 (senza specificare l'interfaccia), e se imposto i browser su modalità "No Proxy", dovrei poter navigare giusto?
A quanto ho sempre visto (e in base a come funzionano i classici router/modem adsl, io prendo come gateway l'indirizzo IP interno del router, e ovviamente non devo impostare sui browser che l'IP del router è il mio proxy server. Perché è così complicato fare una cosa simile con Gentoo?
Inoltre con questo set di regole prese dal file /var/lib/iptables/rules-save :
| Code: | [43:2580] -A OUTPUT -p tcp -m tcp --dport 80 -m owner --uid-owner squid -j ACCEPT
[0:0] -A OUTPUT -p tcp -m tcp --dport 3128 -m owner --uid-owner squid -j ACCEPT
[0:0] -A OUTPUT -p tcp -m tcp --dport 80 -j REDIRECT --to-ports 8080
|
ho un altro problema.
Quando iptables è attivo, se provo ad emergere qualcosa, non riesco a fare il fetch dei files.
E questo perché anche i pacchetti in uscita dal'interfaccia eth1 vengono redirezionati, allora mi chiedo se facendo così, posso risolvere:
| Code: | | iptables -t nat -P OUTPUT -i eth1 -j ACCEPT |
Chiedo perché non sono sicuro.. la prima cosa che mi viene in mente è quella di abilitare tutto il traffico in uscita da eth1.. ma mi sa che non basta.
_________________
[HOWTO] Come criptare la /home usando cryptsetup e luks
[HOWTO] Abilitare il supporto al dom0 XEN su kernel 3.X
Help answer the unanswered |
|
| Back to top |
|
|
devilheart
l33t
Joined: 17 Mar 2005
Posts: 848
Location: Villach, Austria
|
| Posted: Fri May 08, 2009 8:13 am Post subject: |
|
|
| fbcyborg wrote: | Allora, dunque.
A prescindere da iptables, nel mio caso dovrebbe essere possibile far funzionare il proxy anche senza fare il redirect delle porte.
Correggimi se sbaglio, ma se io metto squid in ascolto sulla porta 80 (senza specificare l'interfaccia), e se imposto i browser su modalità "No Proxy", dovrei poter navigare giusto?
A quanto ho sempre visto (e in base a come funzionano i classici router/modem adsl, io prendo come gateway l'indirizzo IP interno del router, e ovviamente non devo impostare sui browser che l'IP del router è il mio proxy server. Perché è così complicato fare una cosa simile con Gentoo? |
normalmente sui browser devi mettere esplicitamente l'indirizzo del proxy. il transparent proxy mi sembra più uno scamuffo che una vera soluzione
vedi questo se ti aiuta http://openskill.info/infobox.php?ID=1032
comunque il linea generale dovresti fare un po' di analisi di traffico e log per vedere dove si bloccano i pacchetti. non hai ancora detto però perché non configuri l'uso del proxy su ogni browser
| Quote: |
Inoltre con questo set di regole prese dal file /var/lib/iptables/rules-save :
| Code: | [43:2580] -A OUTPUT -p tcp -m tcp --dport 80 -m owner --uid-owner squid -j ACCEPT
[0:0] -A OUTPUT -p tcp -m tcp --dport 3128 -m owner --uid-owner squid -j ACCEPT
[0:0] -A OUTPUT -p tcp -m tcp --dport 80 -j REDIRECT --to-ports 8080
|
ho un altro problema.
Quando iptables è attivo, se provo ad emergere qualcosa, non riesco a fare il fetch dei files.
E questo perché anche i pacchetti in uscita dal'interfaccia eth1 vengono redirezionati, allora mi chiedo se facendo così, posso risolvere:
| Code: | | iptables -t nat -P OUTPUT -i eth1 -j ACCEPT |
Chiedo perché non sono sicuro.. la prima cosa che mi viene in mente è quella di abilitare tutto il traffico in uscita da eth1.. ma mi sa che non basta. |
così non risolvi perché la terza regola viene applicata e non serve usare la politica di default. tu vuoi che le connessioni che si originano dal server passino dal proxy che gira sul server stesso? non mi sembra utile come cosa |
|
| Back to top |
|
|
fbcyborg
Advocate
Joined: 16 Oct 2005
Posts: 3056
Location: ROMA
|
| Posted: Fri May 08, 2009 9:18 am Post subject: |
|
|
| devilheart wrote: | normalmente sui browser devi mettere esplicitamente l'indirizzo del proxy. il transparent proxy mi sembra più uno scamuffo che una vera soluzione
vedi questo se ti aiuta http://openskill.info/infobox.php?ID=1032
comunque il linea generale dovresti fare un po' di analisi di traffico e log per vedere dove si bloccano i pacchetti. non hai ancora detto però perché non configuri l'uso del proxy su ogni browser
|
Il link che mi hai dato mi sa che è riferito alle versioni di squid precedenti alla 3, infatti cambiano alcune cosette per il transparent mode.
Perché non voglio impostare l'uso del proxy nei browser? Semplice: gli utenti della lan devono fare il meno possibile. Devono potersi connettere con il cavetto, e andare su internet ma con delle limitazioni (imposte poi da dansguardian, che però voglio considerare in un passo successivo).
Mi pare che per questo ci sia appunto il transparent mode.
Mi chiedo come mai sia così assurdo realizzare con gentoo quello che tipicamente si realizza con i router adsl. In più io devo solo mettere un filtro alla navigazione. Devo per forza farlo con Gentoo Linux.
_________________
[HOWTO] Come criptare la /home usando cryptsetup e luks
[HOWTO] Abilitare il supporto al dom0 XEN su kernel 3.X
Help answer the unanswered |
|
| Back to top |
|
|
fbcyborg
Advocate
Joined: 16 Oct 2005
Posts: 3056
Location: ROMA
|
| Posted: Fri May 08, 2009 10:26 am Post subject: |
|
|
Non capisco per quale ragione, se iptables è disattivato, quando provo a digitare un URL nel browser, sul lato server non arrivano richieste sulla porta 80 (con impostazione "No proxy" nel browser).
Infatti con tcpdump port 80 non catturo alcun pacchetto!!! Mentre se faccio semplicemente tcpdump, qualcosa viene visualizzato.
Ovvero quanto ho riportato in precedenza: | Code: | | ML310-G5.myworkgroup.domain |
. Ma il ".domain" cosa indica?
Ho notato che se provo a telnettare sulla porta 80, arrivano richieste identificate come ".http". Quindi qualcosa mi dice che quando digito qualsiasi URL nel browser le richieste non vanno sulla porta 80 (?). Possibile??? 
Qualcosa non mi torna.
_________________
[HOWTO] Come criptare la /home usando cryptsetup e luks
[HOWTO] Abilitare il supporto al dom0 XEN su kernel 3.X
Help answer the unanswered |
|
| Back to top |
|
|
devilheart
l33t
Joined: 17 Mar 2005
Posts: 848
Location: Villach, Austria
|
| Posted: Mon May 11, 2009 8:56 am Post subject: |
|
|
| forse hai ancora qualche regola nat attiva. comunque io proverei prima a far funzionare le cose impostando manualmente l'uso del proxy, poi puoi passare al transparent. ma squid e dansguardian non hanno qualche file di log per vedere cosa gli è arrivato? |
|
| Back to top |
|
|
fbcyborg
Advocate
Joined: 16 Oct 2005
Posts: 3056
Location: ROMA
|
| Posted: Mon May 11, 2009 3:38 pm Post subject: |
|
|
Dunque,
Ho smanettato parecchio nel frattempo ed ho fatto un po' di cambiamenti.
Sto utilizzando squid+squidguard (ho visto che quest'ultimo sembra più facile da configurare/usare). Ho scoperto perché non arrivavano richieste sulla 80 su quell'interfaccia. Il problema era appunto iptables.
Quindi ricapitolando, ecco quello che ho fatto:
Ho attivato il nat:
| Code: | | iptables -t nat -A POSTROUTING -o eth1 -j MASQUERADE |
E qui mi sono impicciato parecchio prima di capire che fosse questa ad essere sbagliata. Prima mettevo eth0 invece di eth1 perché, facevo riferimento all'interfaccia alla quale sono attaccati tutti i client (eth0) e non eth1. Ancora ho qualche dubbio, però ora funziona.
Poi ho messo un 1 fisso in /proc/sys/net/ipv4/ip_forward grazie a sysctl.conf.
Ora i client della sottorete vanno su Internet benissimo, senza limiti.
Passo successivo è stato quello di redirigere tutte le richieste in arrivo sulla porta 80 verso la 3128 (dove c'è Squid in ascolto).
| Code: | | iptables -t nat -A PREROUTING -d ! 10.0.0.0/24 -i eth0 -p tcp -m tcp --dport 80 -j REDIRECT --to-ports 3128 |
Ora i client non lo sanno neanche di essere dietro proxy.
Ora gli ultimi problemi sono i seguenti:
poter controllare/bloccare gli URL in https. Attenzione, più che altro bloccare, e non voglio/posso ovviamente fare caching di siti https.
bloccare porte di irc/amule/msn, e cose simili.
Intanto, per quanto riguarda le porte standard di emule ho fatto così:
| Code: | iptables -t filter -A FORWARD -p tcp -m tcp --dport 4661:4711 -j REJECT --reject-with icmp-port-unreachable
iptables -t filter -A FORWARD -p udp -m udp --dport 4661:4711 -j REJECT --reject-with icmp-port-unreachable |
Qualche altro suggerimento?
Grazie ancora.
_________________
[HOWTO] Come criptare la /home usando cryptsetup e luks
[HOWTO] Abilitare il supporto al dom0 XEN su kernel 3.X
Help answer the unanswered |
|
| Back to top |
|
|
devilheart
l33t
Joined: 17 Mar 2005
Posts: 848
Location: Villach, Austria
|
| Posted: Tue May 12, 2009 10:54 am Post subject: |
|
|
| così però non va bene. se attivi il forwarding i client possono bypassare il proxy. in una soluzione con proxy routing, forwarding e masquerading devono essere disattivati. ora, non ricordo cosa implichi il redirect ma mi pare che così cambi solo la porta di destinazione. l'indirizzo della destinazione non è mutato e non è il server dove gira il proxy |
|
| Back to top |
|
|
fbcyborg
Advocate
Joined: 16 Oct 2005
Posts: 3056
Location: ROMA
|
|
| Back to top |
|
|
devilheart
l33t
Joined: 17 Mar 2005
Posts: 848
Location: Villach, Austria
|
| Posted: Wed May 13, 2009 10:17 am Post subject: |
|
|
| se il nat e forward sono attivi allora i pc interni possono sbattersene del proxy per tutte quelle connessioni che non sono esplicitamente dirottate sul proxy. potrebbe avere senso se vuoi che solo http sia inviato al proxy |
|
| Back to top |
|
|
fbcyborg
Advocate
Joined: 16 Oct 2005
Posts: 3056
Location: ROMA
|
|
| Back to top |
|
|
oRDeX
Veteran
Joined: 19 Oct 2003
Posts: 1325
Location: Italy
|
| Posted: Wed May 13, 2009 3:40 pm Post subject: |
|
|
| Quindi, non vuoi bloccare *TUTTO* e permettere solo la navigazione attraverso il proxy? |
|
| Back to top |
|
|
fbcyborg
Advocate
Joined: 16 Oct 2005
Posts: 3056
Location: ROMA
|
| Posted: Wed May 13, 2009 5:00 pm Post subject: |
|
|
Ho scelto di non bloccare tutto perché poi avevo paura di avere problemi con iptables. Onestamente non lo conosco benissimo e vorrei impararlo (cerco anche libro buono).
Però posso sempre prendere in considerazione di bloccare tutto, così evito di dover bloccare esplicitamente programmi come amule, IRC e via dicendo... Ovvio che per programmi come skype che usano la porta 80 come alternativa, il discorso cambia.
Ora così come stanno le cose passa tutto, ma la navigazione è dietro proxy in transparent mode. Redirigo tutto ciò che arriva sulla 80, verso la 3128. Il problema è anche che non riesco ad applicare i filtri sui siti https, e quindi sono costretto a non farli passare per squid.
_________________
[HOWTO] Come criptare la /home usando cryptsetup e luks
[HOWTO] Abilitare il supporto al dom0 XEN su kernel 3.X
Help answer the unanswered |
|
| Back to top |
|
|
oRDeX
Veteran
Joined: 19 Oct 2003
Posts: 1325
Location: Italy
|
| Posted: Wed May 13, 2009 5:58 pm Post subject: |
|
|
Bhè, per https il discorso non è semplice. Hai provato a cercare qualche howto a riguardo (https + squid)? Non ne so tantissimo in campo pratico, però posso dirti che un proxy che funge da itermediario in una comunicazione basata su ssl di norma non dovrebbe permettere il corretto funzionamento della stessa.
Per quanto riguarda skype, lui è capace di tutto  Anche con un proxy (basta inserirlo nelle opzioni) lui riesce a connettersi  Forse con l'aiuto di l7filter potresti tentare di bloccarlo, ma attualmente non so a che punto siano con questo problema.
Comunque, al tuo posto, proverei a sbattere ancora un pò contro iptbales  |
|
| Back to top |
|
|
fbcyborg
Advocate
Joined: 16 Oct 2005
Posts: 3056
Location: ROMA
|
| Posted: Wed May 13, 2009 7:03 pm Post subject: |
|
|
| oRDeX wrote: | | Bhè, per https il discorso non è semplice. Hai provato a cercare qualche howto a riguardo (https + squid)? |
uuuuh! mamma mia! Sono in ricerca continua, ma non è molto chiaro come funzioni. Sembra che si possa fare, ma non funziona come dicono di fare. | oRDeX wrote: | | Non ne so tantissimo in campo pratico, però posso dirti che un proxy che funge da itermediario in una comunicazione basata su ssl di norma non dovrebbe permettere il corretto funzionamento della stessa. |
E infatti... Io ovviamente non voglio cachare le pagine https, ma quantomeno poterle filtrare e bloccare qualche URL. | oRDeX wrote: |
Per quanto riguarda skype, lui è capace di tutto Anche con un proxy (basta inserirlo nelle opzioni) lui riesce a connettersi Forse con l'aiuto di l7filter potresti tentare di bloccarlo, ma attualmente non so a che punto siano con questo problema. |
Eh, infatti skype su questo punto di vista è proprio tosto! Comunque, questo l7filter, è interessante, se mi fa bloccare msn e quant'altro sarebbe il massimo | oRDeX wrote: |
Comunque, al tuo posto, proverei a sbattere ancora un pò contro iptbales |
Eh sì... c'è qualche manuale che mi consigli?
Grazie
_________________
[HOWTO] Come criptare la /home usando cryptsetup e luks
[HOWTO] Abilitare il supporto al dom0 XEN su kernel 3.X
Help answer the unanswered |
|
| Back to top |
|
|
oRDeX
Veteran
Joined: 19 Oct 2003
Posts: 1325
Location: Italy
|
| Posted: Wed May 13, 2009 7:32 pm Post subject: |
|
|
Una cosa che ho letto a suo tempo è http://lartc.org/ ma ormai pare essere molto vecchio come documento...ed inoltre non parla di iptables nello specifico ma parla tanto anche di routing avanzato.
l7filter è una sorta di *modulo di pattern matching* che viene inserito in iptables. Ovviamente non da certezza al 100% di ottenere i risultati sperati, però su molti protocolli dicono che funzioni bene.
http://l7-filter.sourceforge.net/, per altro esiste la USE flag apposita per iptables.
Il discorso di https è particolare perchè, detta in modo semplice, si stabilisce una sorta di "fiducia" fra i due endpoint della connessione, di conseguenza, un proxy nel mezzo non fa funzionare le cose come dovrebbero. Se non sbaglio dovrebbero esistere due strategie diverse per raggirare la cosa. Se trovo qualche riferimento ti faccio sapere.
Ma visto che vuoi filtrare "alcuni siti https" perchè non parti da un ACCEPT sulla 443 e poi fai DROP sulla base degli ip che vuoi bloccare? |
|
| Back to top |
|
|
|
Forum italiano (Italian) 
