On Tue, 18 Sep 2001, Markus Rothenbusch wrote:
Am Tuesday, September 18, 2001 schrieb Peter Blancke:
On Mon, 17 Sep 2001, Markus Rothenbusch wrote:
2. Überlegung: [...]
Die zweite Ueberlegung ist bei weitem besser, setzt aber voraus, dass Du - trotz richtiger Regeln - auch den Verkehr innerhalb Deines Netzwerks korrekt zugelassen hast. Deine Clients muessen mit unpriviligierten Ports auf den Port Deines Squid (3128) zugreifen duerfen. Wenn das nicht klappt, kannst Du es vergessen.
Das kannst Du aber wie folgt testen: Rufe den Befehl
telnet ip-meines-servers 3128
auf und Du siehst, ob das geht.
Das geht, alles, innerhalb des Netzwerkes kann auf alle Dienste zugegriffen werden(httpd, samba, squid gibt eine rückmeldung, dns, ...)
Ok, dann ist das Netzwerk im "Inneren" richtig konfiguriert.
Ausserdem musst Du beruecksichtigen, dass der Squid die Namen der aufgerufenen Seiten aufloesen moechte. Du musst Dich also auch um DNS "nach draussen" kuemmern.
Vestehe ich es richtig, wenn ich jetzt davon ausgehe, dass ich eingehende Packete vom bzw. ausgehende Packete an den T-Online DNS erlauben muss?
Ja, denn Dein Squid moechte bei der Eingabe eines URL als Name ja gerne wissen, welche IP sich dahinter verbirgt. Falls T-Online Deine DNS-Anfragen erlaubt, muss also auch der DNS-Port nach draussen duerfen. In die Output-Regel gehoert daher auch ein freier Abgang des Ports 53. Im Uebrigen ist die Bezeichnung "DNS-Port" nicht besonders gluecklich gewaehlt. In /etc/services findet sich dafuer der Portname "domain". Beruecksichtige das, falls Du Deine Regeln mit Namen aufbaust. Gruss Peter Blancke -- Nachtwaechter ist der Wahnsinn, weil er wacht...