Squid ve IPFIREWALL ile Transparan Proxy Kurulumu yazısına yapılan yorumlar http://www.syslogs.org/squid-ve-ipfirewall-ile-transparan-proxy-kurulumu/ Linux/Unix ve Acık Kod uygulamalar uzerine dokumanlar, ipuclari, gelistirmeler ve fazlasi... Tue, 27 Jul 2010 18:37:20 +0000 hourly 1 http://wordpress.org/?v=abc Cagri Ersen tarafından http://www.syslogs.org/squid-ve-ipfirewall-ile-transparan-proxy-kurulumu/comment-page-1/#comment-13838 Cagri Ersen Tue, 20 Apr 2010 14:59:51 +0000 http://www.syslogs.org/?p=902#comment-13838 Merhaba, Remote dekstop baglantisini engelleyen sey squid degil, firewall'dur. Transparan proxy uygulamasinda sadece 80. portu squid'e yonlendirilir (yazıda da bu sekilde bir yonlendirme soz konusu) dolayisi ile remote desktop ya da herhangi diğer bir uygulamanın squid'den etkilenmemesi gerekir. Bu nedenle IPFW kurallarinizi yeniden gozden gecirmenizi oneririm. Merhaba,

Remote dekstop baglantisini engelleyen sey squid degil, firewall’dur. Transparan proxy uygulamasinda sadece 80. portu squid’e yonlendirilir (yazıda da bu sekilde bir yonlendirme soz konusu) dolayisi ile remote desktop ya da herhangi diğer bir uygulamanın squid’den etkilenmemesi gerekir. Bu nedenle IPFW kurallarinizi yeniden gozden gecirmenizi oneririm.

]]> murat arslan tarafından http://www.syslogs.org/squid-ve-ipfirewall-ile-transparan-proxy-kurulumu/comment-page-1/#comment-13836 murat arslan Tue, 20 Apr 2010 07:55:47 +0000 http://www.syslogs.org/?p=902#comment-13836 çok faydalı bir kaynak olmuş. öncelikle teşekkürler.bi sorum olucaktı Client makinam squid proxy üzerinden dışardaki bir makinaya remote desktop bağlantı yapması için squide nası bi kural eklemem gerekiyor. proxy devedeyken remote bağlantı yapılamıyor. çok faydalı bir kaynak olmuş. öncelikle teşekkürler.bi sorum olucaktı Client makinam squid proxy üzerinden dışardaki bir makinaya remote desktop bağlantı yapması için squide nası bi kural eklemem gerekiyor. proxy devedeyken remote bağlantı yapılamıyor.

]]> Cagri Ersen tarafından http://www.syslogs.org/squid-ve-ipfirewall-ile-transparan-proxy-kurulumu/comment-page-1/#comment-5340 Cagri Ersen Thu, 20 Aug 2009 14:33:31 +0000 http://www.syslogs.org/?p=902#comment-5340 Selamlar, Şunu bir dener misiniz ? Yeni bir acl ekleyin: <pre class="kodyorum"> acl dl_izinli_siteler dstdomain "/usr/local/etc/squid/dl_izinli_siteler.acl" </pre> /usr/local/etc/squid/dl_izinli_siteler.acl isimli dosyasının içerisine exclude etmek istediğiniz siteleri her bir satıra bir domain şeklinde yazın. Sonra da, conf dosyanızdaki şu satırı: <pre class="outputyorum"> http_access deny yasakli_dosyaturleri </pre> şu şekilde değiştirin: <pre class="kodyorum"> http_access deny !dl_izinli_siteler yasakli_dosyaturleri </pre> Ben deneyemedim ama çalışması gerekir. Selamlar,

Şunu bir dener misiniz ?

Yeni bir acl ekleyin:

acl dl_izinli_siteler dstdomain "/usr/local/etc/squid/dl_izinli_siteler.acl"

/usr/local/etc/squid/dl_izinli_siteler.acl isimli dosyasının içerisine exclude etmek istediğiniz siteleri her bir satıra bir domain şeklinde yazın.

Sonra da,

conf dosyanızdaki şu satırı:

http_access deny yasakli_dosyaturleri

şu şekilde değiştirin:

http_access deny !dl_izinli_siteler yasakli_dosyaturleri

Ben deneyemedim ama çalışması gerekir.

]]> ahmet tarafından http://www.syslogs.org/squid-ve-ipfirewall-ile-transparan-proxy-kurulumu/comment-page-1/#comment-5337 ahmet Thu, 20 Aug 2009 13:43:42 +0000 http://www.syslogs.org/?p=902#comment-5337 yazınız için çok teşşekürler. buradan faydalanarak squid kurma imkanım oldu. burada bulamadığım ve sormak istediğim, engellediğimiz dosya tiplerinin bazı domainler için serbest olmasını nasıl sağlarız? selamlar. yazınız için çok teşşekürler.
buradan faydalanarak squid kurma imkanım oldu.
burada bulamadığım ve sormak istediğim, engellediğimiz dosya tiplerinin bazı domainler için serbest olmasını nasıl sağlarız?

selamlar.

]]> haydar tarafından http://www.syslogs.org/squid-ve-ipfirewall-ile-transparan-proxy-kurulumu/comment-page-1/#comment-1078 haydar Thu, 02 Apr 2009 09:34:36 +0000 http://www.syslogs.org/?p=902#comment-1078 çok teşekkürler. çok teşekkürler.

]]> Cagri Ersen tarafından http://www.syslogs.org/squid-ve-ipfirewall-ile-transparan-proxy-kurulumu/comment-page-1/#comment-1067 Cagri Ersen Wed, 01 Apr 2009 16:07:52 +0000 http://www.syslogs.org/?p=902#comment-1067 Merhaba, Zaten bir firewall'da en az iki adet ethernet olmalıdır ve makalede bahsedilen senaryo da iki ethernet'e uygulanmıştır. Sizin verdiğiniz örnekten yola çıkarak yardımcı olmaya çalışayım: Firewall'unuzun iki etherneti var ve bunlardan birisi modem'in bulunduğu ip networküne, diğeri ise, iç networkünüze bakıyor. Mesela, adsl modem'in ipsi 10.0.0.1/24 ise, firewall'unuzun bu networke bağlı ethernetine 10.0.0.2/24 ip'sini verdiniz ve firewall'un iç networkte bağlı ethernetini ise 192.168.5.1/24 olarak tanımladınız. Bu durumda, iç networkteki kullanıcı bilgisayarlarının default gateway'leri 192.168.5.1 olurken, firewall'un default gateway'i ise 10.0.0.1 olacaktır. Bu senaryoda, içerideki bir kullanıcı örneğin internet üzerinde yayın yapan bir web sitesi görüntülemek istediği zaman, bu web sitesine ait görüntüleme isteği, bilgisayarın default gateway'i olan 192.168.5.1'e iletilecektir. Firewall'a ulaşan bu istek de, firewall'un default gateway'i olan 10.0.0.1'e (adsl modem'e) yönlendirilecektir ve böylece kullanıcınız web sitesini görüntüleyebilecektir. Firewall'unuzda squid kurulu olduğunu düşünürsek, firewall'a gelen http isteklerini yazacağınız bir fwd kuralı ile squid'e yönlendirirseniz, ilgili web sitesine yapılan istekler squid tarafından gerçekleştirilecek ve alınan cevaplar squid tarafından kullanıcıya yönlendirilecektir. Böylece kullanıcı web sitesini görüntüleyebildiği gibi, ilgili web sitesine ait içerik squid tarafından cache'lenecektir. Böylece, içerideki ikinci bir şahıs aynı siteyi görüntülemek istediği zaman, sitenin bir kopyası, squid'de bulunduğundan dolayı bu sitenin yayın yaptığı sunucuya gitmesine gerek kalmayacaktır. Sonuç olarak, yapmanız gereken şey, tüm http isteklerini squid'e yönlendirmenizdir. Sizin senaryonuza göre bu işlemi yapabilmek için gerekli olan IPFW kuralı şöyle: ipfw -q add 00500 fwd 127.0.0.1,3128 tcp from any to any 80 in via fxp1 keep-state Bu kuralın açıklaması da şu; kaynağı herhangi bir yer olan ve hedefi herhangi bir yer olup, hedef portu 80 olan tcp paketlerinin hepsini 127.0.0.1'in 3128. portuna yolla. Kuralda gördüğünüz fxp1 ibaresi, firewall'un iç networkte bakan ethernetinin adı olmalıdır. in via fxp1 diyoruz ve "fxp1 ethrnetine giriş yapan paketler" anlamına geliyor. Bu da içeriden gelen paketler demek oluyor. Squid firewall'un kendi üzerinde çalıştığını düşündüğümüz için istekleri 127.0.0.1 (localhost'a) gönderiyoruz. 3128. port ise squid tarafından dinlenmekte olan port numarasıdır. Bu porta gelen istekler squid tarafından alınarak işlenir. Yani kullanıcılarınız web görüntülemek için istekte bulundukları zaman, çıkış kapıları firewall olduğundan dolayı buraya gelen paketler, squid'e yönlendirilir, squid de kullanıcılarınız adına istekte bulunur. Proxy (vekil sunucu) mantığı bundan ibaretttir zaten. Daha fazla uzatmadan, son bir hatırlatma: anlattığınız senrayonun çalışabilmesi için adsl modeminize 0.0.0.0 0.0.0.0 192.168.5.1 şeklinde bir static route tanımlaması da yapmanız icap ediyor. Bunun nedeni ise, firewall'unuzdan (adsl modem vasıtası ile) dışarı gönderilen paketlere ait cevaplar için dönüş yolunu tanımlamaktır. Zira adsl modeminizn (genel) netrowkünüzde 192.168.5.0/24 ip networkünün varligindan haberdar olamayacagi icin cevap paketlerini nereye gonderecegini bilemez. Biz de bu static route ile donus paketlerinin hepsini firewall'a (iç interface'e) gondermesi gerektigini soyluyoruz. Aklınızda kalan soruları, çekinmeden iletebilirsiniz. Selamlar. Merhaba,

Zaten bir firewall’da en az iki adet ethernet olmalıdır ve makalede bahsedilen senaryo da iki ethernet’e uygulanmıştır.

Sizin verdiğiniz örnekten yola çıkarak yardımcı olmaya çalışayım:

Firewall’unuzun iki etherneti var ve bunlardan birisi modem’in bulunduğu ip networküne, diğeri ise, iç networkünüze bakıyor. Mesela, adsl modem’in ipsi 10.0.0.1/24 ise, firewall’unuzun bu networke bağlı ethernetine 10.0.0.2/24 ip’sini verdiniz ve firewall’un iç networkte bağlı ethernetini ise 192.168.5.1/24 olarak tanımladınız.

Bu durumda, iç networkteki kullanıcı bilgisayarlarının default gateway’leri 192.168.5.1 olurken, firewall’un default gateway’i ise 10.0.0.1 olacaktır.

Bu senaryoda, içerideki bir kullanıcı örneğin internet üzerinde yayın yapan bir web sitesi görüntülemek istediği zaman, bu web sitesine ait görüntüleme isteği, bilgisayarın default gateway’i olan 192.168.5.1′e iletilecektir. Firewall’a ulaşan bu istek de, firewall’un default gateway’i olan 10.0.0.1′e (adsl modem’e) yönlendirilecektir ve böylece kullanıcınız web sitesini görüntüleyebilecektir.

Firewall’unuzda squid kurulu olduğunu düşünürsek, firewall’a gelen http isteklerini yazacağınız bir fwd kuralı ile squid’e yönlendirirseniz, ilgili web sitesine yapılan istekler squid tarafından gerçekleştirilecek ve alınan cevaplar squid tarafından kullanıcıya yönlendirilecektir. Böylece kullanıcı web sitesini görüntüleyebildiği gibi, ilgili web sitesine ait içerik squid tarafından cache’lenecektir. Böylece, içerideki ikinci bir şahıs aynı siteyi görüntülemek istediği zaman, sitenin bir kopyası, squid’de bulunduğundan dolayı bu sitenin yayın yaptığı sunucuya gitmesine gerek kalmayacaktır.

Sonuç olarak, yapmanız gereken şey, tüm http isteklerini squid’e yönlendirmenizdir. Sizin senaryonuza göre bu işlemi yapabilmek için gerekli olan IPFW kuralı şöyle:

ipfw -q add 00500 fwd 127.0.0.1,3128 tcp from any to any 80 in via fxp1 keep-state

Bu kuralın açıklaması da şu;

kaynağı herhangi bir yer olan ve hedefi herhangi bir yer olup, hedef portu 80 olan tcp paketlerinin hepsini 127.0.0.1′in 3128. portuna yolla.

Kuralda gördüğünüz fxp1 ibaresi, firewall’un iç networkte bakan ethernetinin adı olmalıdır. in via fxp1 diyoruz ve “fxp1 ethrnetine giriş yapan paketler” anlamına geliyor. Bu da içeriden gelen paketler demek oluyor.

Squid firewall’un kendi üzerinde çalıştığını düşündüğümüz için istekleri 127.0.0.1 (localhost’a) gönderiyoruz. 3128. port ise squid tarafından dinlenmekte olan port numarasıdır. Bu porta gelen istekler squid tarafından alınarak işlenir. Yani kullanıcılarınız web görüntülemek için istekte bulundukları zaman, çıkış kapıları firewall olduğundan dolayı buraya gelen paketler, squid’e yönlendirilir, squid de kullanıcılarınız adına istekte bulunur. Proxy (vekil sunucu) mantığı bundan ibaretttir zaten.

Daha fazla uzatmadan, son bir hatırlatma: anlattığınız senrayonun çalışabilmesi için adsl modeminize 0.0.0.0 0.0.0.0 192.168.5.1 şeklinde bir static route tanımlaması da yapmanız icap ediyor. Bunun nedeni ise, firewall’unuzdan (adsl modem vasıtası ile) dışarı gönderilen paketlere ait cevaplar için dönüş yolunu tanımlamaktır. Zira adsl modeminizn (genel) netrowkünüzde 192.168.5.0/24 ip networkünün varligindan haberdar olamayacagi icin cevap paketlerini nereye gonderecegini bilemez. Biz de bu static route ile donus paketlerinin hepsini firewall’a (iç interface’e) gondermesi gerektigini soyluyoruz.

Aklınızda kalan soruları, çekinmeden iletebilirsiniz.
Selamlar.

]]> haydar tarafından http://www.syslogs.org/squid-ve-ipfirewall-ile-transparan-proxy-kurulumu/comment-page-1/#comment-1065 haydar Wed, 01 Apr 2009 12:44:46 +0000 http://www.syslogs.org/?p=902#comment-1065 Çok faydalı bir çalışma olmuş elinize sağlık, fakat kafama takılan birşey var bu konfigurasyonu iki ethernet kartlı makineye uyarladığımızda ne yapmamız gerek. örneğin adsl modemin ip 10.0.0.1 iç network 192.168.5.0/24 bu durumda nasıl olacak? Çok faydalı bir çalışma olmuş elinize sağlık, fakat kafama takılan birşey var bu konfigurasyonu iki ethernet kartlı makineye uyarladığımızda ne yapmamız gerek. örneğin adsl modemin ip 10.0.0.1 iç network 192.168.5.0/24 bu durumda nasıl olacak?

]]>