_sehr_ spezielle Firewall Frage zu squid / shorewall
Hallo, (leider etwas länger) ich lese nun schon tagelang Doku und probiere rum; aber ich komme irgendwie nicht weiter: folgende Konstellation: a) lokaler squid mit u.a. folgenden Einstellungen: http_port 3128 transparent cache_peer <proxy> parent 8080 0 default no-query no-digest\ no-netdb-exchange acl local-servers dst-domain <local_domain> always_direct allow local-servers never_direct deny local-servers never_direct deny all Damit habe ich es anscheinend geschafft, den squid über einen verbindlichen parent-proxy laufen zu lassen. (ohne den geht hier gar nichts!) b) wenn ich in meinem Browser den proxy eintrage, geht das auch wunderbar; die Request werden vom squid auf port 3128 empfangen und an <parent> port 8080 weitergeleitet. soweit, so gut. c) Nun wollte nicht immer den proxy angeben müssen und den tranparent proxy nutzen. Also habe ich in shorewall (meine Firewall) neben den beiden folgenden Einträgen (u.a.) SQUID(ACCEPT) fw net:<proxy> HTTPS(ACCEPT) fw net (Das bewirkt: 1. Zugriff auf die squid-ports von dem lokalen Rechner (fw) auf den parent zulassen 2. HTTPS Zugriff direkt gestatten) noch diesen hier hinzugefügt: REDIRECT fw 3128 tcp www Laut Beschreigung: 3. Zugriffe von lokal (fw) auf port 80 tcp (www) umleiten auf Port 3128 Das funktioniert aber leider nicht! Weder ein "wget --no-proxy" noch ein Browser erreichen ihr Ziel. Im log finde ich: Shorewall:fw2net:REJECT:IN= OUT=eth0 SRC=<ip_von_eth0> DST=127.0.0.1\ ... PROTO=TCP SPT=59271 DPT=3128... Wieso? Wie kann etwas an localhost=fw in der chain FW2NET landen, wo doch nur _outgoing_ traffic zum Netz landen sollte? Ich hätte erwartet, das der client requests an z.b. heise.de, port 80 schickt. Über die redirect regel wird das umgeleitet auf den lokalen squid, der an port 3128 lauscht. Dieser wiederum muss alles an <parent> port 8080 geben. Warum geht das hier nicht? Hab' ich 'ne Denkblockade? Andreas -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: opensuse-de+help@opensuse.org
participants (1)
-
Kyek, Andreas, VF-DE