Squid- maily

Sekcia: Konfigurácia 29.10.2008 | 10:13
Avatar Peter Mint  Používateľ
Ahojte, Squid nam na sieti bezi bez problenmov az na jeden. Nedaju sa rozbehat maily v klientovi (Thunderbird). Klient vypisuje, ze hlada hostitela, hoci cez terminal na ping reaguje. Porty 25, 139, 110, 143 su v Squide zaradene medzi Safe_ports. Je mozne ze nejak nepozna DNS? Dakujem za napady a nasmerovanie.
Žijem v krajine, kde aj zajtra znamená predvčerom :-)
    • Re: Squid- maily 29.10.2008 | 11:43
      Avatar Lukáš Staňa Arch, CentOS, Debian  Používateľ
      Preboha a prečo tlačíš porty pre maily cez squida?
      • Re: Squid- maily 29.10.2008 | 12:15
        Avatar Peter Mint  Používateľ
        Router je nastaveny tak, aby ignoroval vsetky poziadavky okrem proxy servera. Proxac nema dve sietovky ale len jednu na ktorej je obojsmerny "provoz". Kazdy kto chce ist do netu je v Squide nahodeny ako mac adresa. Zda sa ti to na hlavu postavene? Toto je moj prvy proxac, takze je to mozno vsetko zle....
        Žijem v krajine, kde aj zajtra znamená predvčerom :-)
        • Re: Squid- maily 29.10.2008 | 15:40
          Avatar Samuel BWPOW Kupka Almalinux, OpenWRT  Používateľ
          Je to zial vsetko zle. Ved to daj len normalne routovat, kde je problem?
          Strach dát najevo své pocity a zjednat si u druhých respekt je jedním z problémů civilizovaného člověka, který se naučil zpochybňovat svou vlastní pravdu pro zdání objektivity
          • Re: Squid- maily 29.10.2008 | 18:03
            Avatar Peter Mint  Používateľ
            Docasne som aj dal, asi som paranoidny a nechcem nechavat pootvarane porty.
            Žijem v krajine, kde aj zajtra znamená predvčerom :-)
            • Re: Squid- maily 29.10.2008 | 18:08
              Avatar Samuel BWPOW Kupka Almalinux, OpenWRT  Používateľ
              Hmm, ako to myslis pootvarane? Ved ten squid asi do tej komunikacie vobec nepozera, tak aky je rozdiel medzi tym, ked sa vytvara spojenie priamo alebo cez prostrednika, ktory tomu nerozumie? Zvonku tie porty predsa otvorene nie su.
              Strach dát najevo své pocity a zjednat si u druhých respekt je jedním z problémů civilizovaného člověka, který se naučil zpochybňovat svou vlastní pravdu pro zdání objektivity
              • Re: Squid- maily 29.10.2008 | 21:43
                Avatar Peter Mint  Používateľ
                Problem je v porte 53. Pokial ho na routri otvorim, nedonutim uzivatelov pouzivat proxy na ktorom su specificke obmedzenia www.
                Žijem v krajine, kde aj zajtra znamená predvčerom :-)
                • Re: Squid- maily 29.10.2008 | 23:20
                  Avatar Samuel BWPOW Kupka Almalinux, OpenWRT  Používateľ
                  Stale nechapem, kde je problem. Skus lepsie nacrtnut celu konfiguraciu, ciel a mozno ti tu niekto poradi lepsi sposob (a hlavne menej problematicky) ako to dosiahnut.
                  Strach dát najevo své pocity a zjednat si u druhých respekt je jedním z problémů civilizovaného člověka, který se naučil zpochybňovat svou vlastní pravdu pro zdání objektivity
    • Re: Squid- maily 30.10.2008 | 09:00
      Avatar Peter Mint  Používateľ
      Takze este raz....
      Panelakova siet, cca 15 PC v sieti. Spolocny router a proxy server. Router je nastaveny aby odpovedal na poziadavku pridelenia dyn.IP adresy, ostatne poziadavky len proxy masine- toto je kvoli notorickym preinstalovavacom okien a stahovacom.
      Klienti maju v sietovych nastaveniach DHCP. Brana je nastavena na IP proxy.
      Problem je, ze pri takomto nastaveni nefunguje u klientov RDP (napr. do prace), nedaju sa nahodit maily do Thunderbirdu a pod...
      Žijem v krajine, kde aj zajtra znamená predvčerom :-)
      • Re: Squid- maily 30.10.2008 | 10:45
        Avatar Samuel BWPOW Kupka Almalinux, OpenWRT  Používateľ
        Predpokladam, ze router vies tiez administrovat a ze je daleko od toho servera, takze sa medzi nimi neda natiahnut samostatny kabel. Existuju sice riesenia cez vlany a ine, ale asi do toho nechces investovat ani korunu. Takze:

        Preco to nenastavis tak, ze bude samostatna siet (v ponimani IP adries) pre Router+Server a samostatna pre Server+Klienti? Napriklad Router+Server by mali siet 10.0.1.0/24 a Router+Klienti by mali siet 10.0.0.0/24, pricom Server by sluzil ako gateway pre Klientov a Router by odpovedal len na poziadavky, ktore by prisli zo Servera. Potom by uz stacilo spustit DHCP na Serveri, vypnut na Routri, dalej na Serveri nastavit forwardovanie packetov a hotovo. Mas z toho skoro plnohodnotny router, mozes santit s iptables, so squidom (napriklad ako transparent proxy) a s cim chces. A nebude uz ziadny problem s emailami ani nicim inym.

        Samozrejme, stale je tu moznost, ze nejaky zlomyselny pouzivatel si nastavi IP a MAC adresu rovnaku, ako ma vonkajsie rozhranie Servera a bude pristupovat priamo na Router, ale to moze urobit aj teraz.

        Nieco, ako na tomto obrazku.
        Strach dát najevo své pocity a zjednat si u druhých respekt je jedním z problémů civilizovaného člověka, který se naučil zpochybňovat svou vlastní pravdu pro zdání objektivity
        • Re: Squid- maily 30.10.2008 | 10:46
          Avatar Samuel BWPOW Kupka Almalinux, OpenWRT  Používateľ
          Hmm, mam tam chybu v texte, ale snad z obrazku to bude jasne.
          Strach dát najevo své pocity a zjednat si u druhých respekt je jedním z problémů civilizovaného člověka, který se naučil zpochybňovat svou vlastní pravdu pro zdání objektivity
          • Re: Squid- maily 30.10.2008 | 11:23
            Avatar Peter Mint  Používateľ
            Dakujem, som prekvapeny ako si to perfektne odhadol....ano router je v inom vchode ako server :-D. Server s dvoma sietovkami....to je nad moje sily, hlavne nejak nezvladam pravidla iptables. Ale len si mi potvrdil, ze bez toho bolestiveho ucenia sa dalej nepohnem...
            Žijem v krajine, kde aj zajtra znamená predvčerom :-)
            • Re: Squid- maily 30.10.2008 | 11:24
              Avatar Samuel BWPOW Kupka Almalinux, OpenWRT  Používateľ
              Ten server staci, ked bude mat jednu sietovku. Tej vies pridelit aj viac adries.
              Strach dát najevo své pocity a zjednat si u druhých respekt je jedním z problémů civilizovaného člověka, který se naučil zpochybňovat svou vlastní pravdu pro zdání objektivity
              • Re: Squid- maily 30.10.2008 | 11:31
                Avatar Peter Mint  Používateľ
                podla obrazka je to to ako to mam zapojene. Takze uz len zvladnut pravidla iptables? Adresu sietovky menim v /etc/network/interfaces. Tam sa da dat aj viac adries?
                Žijem v krajine, kde aj zajtra znamená predvčerom :-)
                • Re: Squid- maily 30.10.2008 | 11:37
                  Avatar Samuel BWPOW Kupka Almalinux, OpenWRT  Používateľ
                  Ano, da sa. Kukni dokumentaciu k debianu.
                  Strach dát najevo své pocity a zjednat si u druhých respekt je jedním z problémů civilizovaného člověka, který se naučil zpochybňovat svou vlastní pravdu pro zdání objektivity
                  • Re: Squid- maily 30.10.2008 | 11:37
                    Avatar Peter Mint  Používateľ
                    ok, dakujem
                    Žijem v krajine, kde aj zajtra znamená predvčerom :-)
                    • Re: Squid- maily 30.10.2008 | 13:00
                      Avatar partizan Arch  Používateľ
                      Myslim ze robit dalsi NAT na servery je zbytocne, je lepsie pristupu zabranit cez iptables ale je to uz trosku narocnejsie hlavne na to ucenie :)
                      Ale je to v celku jednoduche:
                      Povolime forvardovanie packetov: echo 1 > /proc/sys/net/ipv4/ip_forward
                      Vymazeme vsetky predosle nastavenia: (iptables -F FORWARD)
                      Nastavis si default politiku pre forwardovane packety na DROP (iptables -P FORWARD DROP).
                      Povolime vsetky uz nadviazane spojenia (iptables -A FORWARD -m state --state RELATED,ESTABLISHED -j ACCEPT)
                      a nasledne uz len nastavujes porty ktore maju byt povolene a ktorym smerom:
                      (iptables -A FORWARD -s 192.168.0.0/24 -d ! 192.168.0.0/24 -p tcp --dport 1234 -j ACCEPT) akceptuje pripojenia z LAN na port 1234
                      (iptables -A FORWARD -s ! 192.168.0.0/24 -d 192.168.0.0/24 -p tcp --dport 4321 -j ACCEPT) akceptuje pripojenia z inetu na port 4321

                      Nasledne to uz iba vlozis do scriptu a das ho spustat pri starte systemu:
                      #!/bin/bash
                      echo 1 > /proc/sys/net/ipv4/ip_forward
                      iptables -F FORWARD
                      iptables -P FORWARD DROP
                      iptables -A FORWARD -m state --state RELATED,ESTABLISHED -j ACCEPT
                      iptables -A FORWARD -s 192.168.0.0/24 -d ! 192.168.0.0/24 -p tcp --dport 1234 -j ACCEPT
                      iptables -A FORWARD -s ! 192.168.0.0/24 -d 192.168.0.0/24 -p tcp --dport 4321 -j ACCEPT

                      Toto je taky maly jednoduchy priklad z ktoreho mozes vychadzat. Dufam ze ti to pomoze
                      Arch & Metal
                      • Re: Squid- maily 30.10.2008 | 14:01
                        Avatar Samuel BWPOW Kupka Almalinux, OpenWRT  Používateľ
                        Ved o NATe nikto nic nehovoril.
                        Strach dát najevo své pocity a zjednat si u druhých respekt je jedním z problémů civilizovaného člověka, který se naučil zpochybňovat svou vlastní pravdu pro zdání objektivity
                        • Re: Squid- maily 30.10.2008 | 16:07
                          Avatar partizan Arch  Používateľ
                          Pisal si o tom ze by router bol na lan 10.0.1.0 a klienti boli na 10.0.0.0 a neviem ako chces preposielat napr mail bez natu. Mozno sa to da - v tom pripade dufam ze nam to vyjasnis :)
                          Arch & Metal
                          • Re: Squid- maily 30.10.2008 | 18:59
                            Avatar Samuel BWPOW Kupka Almalinux, OpenWRT  Používateľ
                            Samozrejme, ze sa to da. Vola sa to "routovanie".

                            Na Routri by vyzerala routovacia tabulka nejako takto (pseudoformat):
                            10.0.1.0/24 -> local interface LAN
                            10.0.0.0/24 -> 10.0.1.2
                            X.Y.Z.A/B -> local interface WAN
                            0.0.0.0/0 -> X.Y.Z.C
                            Na Serveri by vyzerala routovacia tabulka nejako takto:
                            10.0.0.0/24 -> local eth0
                            10.0.1.0/24 -> local eth0
                            0.0.0.0/0 -> 10.0.1.1
                            A na klientoch by vyzerala nejako takto:
                            10.0.1.0/24 -> local eth0
                            0.0.0.0/0 -> 10.0.1.254

                            Routovacie tabulky na serveri a na klientoch by sa teda nastavili automaticky. Rucne by bolo treba pridat len jedno pravidlo do Routra (hrubo vyznacene).
                            Strach dát najevo své pocity a zjednat si u druhých respekt je jedním z problémů civilizovaného člověka, který se naučil zpochybňovat svou vlastní pravdu pro zdání objektivity
    • Re: Squid- maily 30.10.2008 | 14:33
      Avatar Peter Mint  Používateľ
      Momentalne som to docasne poriesil tak, ze do Thunderbirdu som namiesto mail.xxxxxx.sk prepisal ip adresu a ide to. Takisto aj RDP takto ide.
      Žijem v krajine, kde aj zajtra znamená predvčerom :-)