Forum

squid ve iptables y...
 
Bildirimler
Hepsini Temizle

squid ve iptables yönlendşrme problemi

Yigit Belevi
(@yigitbelevi)
Üye

Selamlar,

 

Linux makinamda 2 ethernet var.Bir tanesi iç (eth1)bir tanesi dış bacak(eth0).Aynı makina üzerinde squid kurulu ve transparent olarak hizmet veriyor.Muhasebe (windows server) bu makinanın arkasına saklamak istiyorum(su an bir reel ip üzerinde çalışıyor).lakin bu windows makinada kurulu GIB efatura işleri yüzünden  443 portunu yönlendirdiğim zaman squid üzerinden çıkan makinalar sertifika hatası veriyor(mesela https://www.google.com.tr  adresinde).Yazıdığım kuralı aşağıda belirtiyorum.İnceleyip fikir bildirirseniz sevinirim.

echo 1 > /proc/sys/net/ipv4/ip_forward
iptables -t nat -A POSTROUTING -j MASQUERADE
iptables -t nat -A PREROUTING -m tcp -p tcp -s 192.168.1.0/24 --dport 80 -j DNAT --to 192.168.1.251:3128

#443 Forward
iptables -t nat -A PREROUTING -p tcp -i eth0 --dport 443 -j LOG --log-prefix HTTPS_443-PortForward:
iptables -t nat -A PREROUTING -p tcp --dport 443 -j DNAT --to-destination 192.168.1.199:443
iptables -A FORWARD -p tcp --dport 443 -j ACCEPT

Alıntı
Konu başlatıcı Gönderildi : 12/10/2015 15:28

Omer Faruk SEN
(@omerfaruksen)
Üye

[quote user="Yigit Belevi"]

Selamlar,

 

Linux makinamda 2 ethernet var.Bir tanesi iç (eth1)bir tanesi dış bacak(eth0).Aynı makina üzerinde squid kurulu ve transparent olarak hizmet veriyor.Muhasebe (windows server) bu makinanın arkasına saklamak istiyorum(su an bir reel ip üzerinde çalışıyor).lakin bu windows makinada kurulu GIB efatura işleri yüzünden  443 portunu yönlendirdiğim zaman squid üzerinden çıkan makinalar sertifika hatası veriyor(mesela https://www.google.com.tr  adresinde).Yazıdığım kuralı aşağıda belirtiyorum.İnceleyip fikir bildirirseniz sevinirim.

echo 1 > /proc/sys/net/ipv4/ip_forward
iptables -t nat -A POSTROUTING -j MASQUERADE
iptables -t nat -A PREROUTING -m tcp -p tcp -s 192.168.1.0/24 --dport 80 -j DNAT --to 192.168.1.251:3128

#443 Forward
iptables -t nat -A PREROUTING -p tcp -i eth0 --dport 443 -j LOG --log-prefix HTTPS_443-PortForward:
iptables -t nat -A PREROUTING -p tcp --dport 443 -j DNAT --to-destination 192.168.1.199:443
iptables -A FORWARD -p tcp --dport 443 -j ACCEPT

[/quote]

 

 

Sertifika hatasi vermesi gayet normal ve bunu cozebileceginiz bir yontem aslina bakarsaniz pek yok. Buradaki durum su Squid atiyorum sizin https://www.banka.com gibi adrese girmek istediginizi anlayip sanki kendisi www.banka.com sunucusu gibi davraniyor ama https:// nin kullandigi resmi CA (Certification Authority) otoriterleri tarafindan imzanalnmis www.banka.com sertifikasini degil de kendi sertifikasini sundugu icin browser size bu sertifika (genelde squid self signed sertifika kullanir bunun icin) www.banka.com un sertifikasi degil ama diye hata doner.

 

Bu dedigim gibi gayet normal bir durum. O uyariyi kaldiramazsiniz zaten oyle olsa SSL mekanizmasinin guveni kalmazdi. Bazi buyuk kurumlar ama yine SSL'i izlemek icin kendi kurumlarindaki CA sertifikasini client makinalara basiyor. Boylece buna trust verildigi icin uyari almiyor.

CevapAlıntı
Gönderildi : 13/10/2015 13:25

Yigit Belevi
(@yigitbelevi)
Üye

Öncelikle cevaplar için teşekkür ederim.

Peki senaryoyu söyle değiştirebilirmiyiz?

dışarıdan sadece https://efatura.domain.com/  dan gelen 443 isteğini içerideki 192.168.1.199:443 'e yönelt.diger https isteklerini trnasparent üzerinden geçir tarzında.çünkü sadece GIB tarafından gelen istekleri arkadaki bir makinaya yöneltme ihtiyacım var aslında.Bunu kural olarak yazmakta yarımcı olabilirmisiniz.

 

Teşekkürler,iyi çalışmlar

CevapAlıntı
Konu başlatıcı Gönderildi : 13/10/2015 17:48

Yigit Belevi
(@yigitbelevi)
Üye

Selamlar,

 

Aşağıdaki kuralı yazdım bilgim çerçevesinde, şimdilik çalışıyor.ihtiyacı olan çıkabilir düşüncesiyle paylaşmak istedim.

 

#GIB Yonlendirme
iptables -A FORWARD -p tcp -s 212.133.164.0/24 --dport 443 -j ACCEPT
iptables -t nat -A PREROUTING -p tcp -i eth0 -s 212.133.164.0/24 --dport 443 -j LOG --log-prefix GIB-PortForward:
iptables -t nat -A PREROUTING -p tcp -s 212.133.164.0/24 --dport 443 -j DNAT --to-destination 192.168.31.142:443

CevapAlıntı
Konu başlatıcı Gönderildi : 15/10/2015 13:49

Paylaş: