URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID10
Нить номер: 2790
[ Назад ]

Исходное сообщение
"iptables + squid непонятное поведение"

Отправлено anchovy , 04-Июл-06 12:39 
Стоит линукс FedoraCore4, фильтр пакетов - iptables, проксик - squid 2.5(stable9)(все из дистрибутива системы). Логи iptables смотрю ulogd. Периодически у какого-нибудь юзера тормозит интернет, в ulogd.syslogemu вижу подобное:

Jul  3 15:57:53 localhost IN=eth1 OUT= MAC=00:20:ed:43:d2:e5:00:0c:6e:35:e9:66:08:00
SRC=192.168.0.50 DST=192.168.0.254 LEN=48 TOS=00 PREC=0x00 TTL=128 ID=50069 CE DF PR
OTO=TCP SPT=2196 DPT=3128 SEQ=617831450 ACK=0 WINDOW=65535 SYN URGP=0
Jul  3 15:59:01 localhost IN=eth1 OUT= MAC=00:20:ed:43:d2:e5:00:0c:6e:35:e9:66:08:00
SRC=192.168.0.50 DST=192.168.0.254 LEN=48 TOS=00 PREC=0x00 TTL=128 ID=50143 CE DF PR
OTO=TCP SPT=2209 DPT=3128 SEQ=486666041 ACK=0 WINDOW=65535 SYN URGP=0

пробовал упростить по максимуму правила iptables, но не помогло, мои правила:

$ipt -A INPUT -i lo -s 0.0.0.0/0 -d 0.0.0.0/0 -j ACCEPT
$ipt -A INPUT -m state --state NEW -p ICMP -i $LAN_IFACE -s $LAN_IP_RANGE -j ACCEPT
$ipt -A INPUT -m state --state NEW -m tcp -p TCP --dport 1723 --syn -j ACCEPT #VPN
$ipt -A INPUT -m state --state NEW -m tcp -p TCP --dport 1 --syn -j ACCEPT #Portsentry
$ipt -A INPUT -m state --state NEW -m udp -p UDP --dport 53 -j ACCEPT #DNS
$ipt -A INPUT -m state --state NEW -m tcp -p TCP --dport 110 --syn -j ACCEPT
$ipt -A INPUT -m state --state NEW -m tcp -p TCP --dport 22 --syn -j ACCEPT #Portsentry
$ipt -A INPUT -m state --state NEW -m tcp -p TCP --dport 20:21 -j ACCEPT #FTP
$ipt -A INPUT -m state --state NEW -m tcp -p TCP --dport 80   -i $LAN_IFACE --syn -j ACCEPT #http
$ipt -A INPUT -m tcp -p TCP --dport 3128 -i $LAN_IFACE -s 192.168.0.50 -d $LAN_IP --syn -j ACCEPT #SQUID
$ipt -A INPUT -m tcp -p TCP --dport 3128 -i $LAN_IFACE -s $LAN_IP_RANGE -d $LAN_IP -j ACCEPT #SQUID
#$ipt -A INPUT -m tcp -p TCP -i $LAN_IFACE -s $LAN_IP_RANGE -d $LAN_IP --tcp-flags RST RST -j ACCEPT #RESET-packets
$ipt -A INPUT -m state --state NEW -m tcp -p TCP --dport 65022 --syn -j ACCEPT #SSH
$ipt -A INPUT -m state --state NEW -m udp -p UDP --dport 135:445 -j REJECT  --reject-with icmp-host-prohibited
$ipt -A INPUT -m state --state NEW -m tcp -p TCP --dport 135:445 -j REJECT  --reject-with icmp-host-prohibited
$ipt -A INPUT -p TCP -m state --state ESTABLISHED,RELATED -j ACCEPT
$ipt -A INPUT -p UDP -m state --state ESTABLISHED,RELATED -j ACCEPT
$ipt -A INPUT -j ULOG --ulog-prefix "INPUT-"
$ipt -A INPUT -m state --state NEW -j REJECT --reject-with icmp-host-prohibited

$ipt -t nat -A POSTROUTING -o eth0 -s $LAN_IP_RANGE -j SNAT --to-source $INET_IP

$ipt -A FORWARD -p GRE -j ACCEPT #PPTP
$ipt -A FORWARD -i eth1 -m state --state NEW -m udp -p UDP --dport 53 -j ACCEPT #DNS
$ipt -A FORWARD -i eth1 -m state --state NEW -m tcp -p TCP --dport 20:21 --syn -j ACCEPT #FTP
$ipt -A FORWARD -i ppp0 -m state --state NEW -m tcp -p TCP --dport 20:21 --syn -j ACCEPT #FTP
$ipt -A FORWARD -i eth1 -m state --state NEW -m tcp -p TCP --dport 25 -s $LAN_IP_RANGE --syn -j ACCEPT #SMTP
$ipt -A FORWARD -i eth1 -m state --state NEW -m tcp -p TCP --dport 80 -s 192.168.0.53 --syn -j ACCEPT #HTTP
$ipt -A FORWARD -i eth1 -p UDP --dport 123 -j ACCEPT #NTP
$ipt -A FORWARD -i eth1 -m state --state NEW -m tcp -p TCP --dport 443 -s $LAN_IP_RANGE --syn -j ACCEPT #HTTPS
$ipt -A FORWARD -i eth1 -m state --state NEW -m tcp -p TCP --dport 110 -s $LAN_IP_RANGE --syn -j  ACCEPT #POP3
$ipt -A FORWARD -i eth1 -m state --state NEW -m tcp -p TCP --dport 1024:1500 -j  ACCEPT #Bank-client
#$ipt -A FORWARD -m state --state NEW -m tcp -p TCP --dport 3389 -j ACCEPT
$ipt -A FORWARD -p ICMP --icmp-type 8 -j  ACCEPT
$ipt -A FORWARD -p ICMP --icmp-type 11 -j  ACCEPT
$ipt -A FORWARD -p TCP -m state --state ESTABLISHED,RELATED ! --syn -j ACCEPT
$ipt -A FORWARD -p UDP -m state --state ESTABLISHED,RELATED -j ACCEPT
$ipt -A FORWARD -m state --state NEW -m udp -p UDP --dport 135:445 -j REJECT  --reject-with icmp-host-prohibited
$ipt -A FORWARD -m state --state NEW -m tcp -p TCP --dport 135:445 -j REJECT  --reject-with icmp-host-prohibited
$ipt -A FORWARD -j ULOG --ulog-prefix "FRWD-"
$ipt -A FORWARD -i eth1 -m state --state NEW -m tcp -p TCP -j REJECT --reject-with icmp-host-unreachable #Deny

что для меня непонятно, так это то, что правила с действием ULOG стоят с префиксом --ulog-prefix "XXXX- ", а в логе ulogd нет никакого префикса. Хотя при обычной проверке пингом логи пишутся правильно, с префиксом:

Jul  4 12:23:23 localhost INPUT- IN=eth1 OUT= MAC=00:20:ed:43:d2:e5:00:01:03:2b:0e:22
:08:00  SRC=192.168.0.53 DST=192.168.0.254 LEN=60 TOS=00 PREC=0x00 TTL=128 ID=26489 P
ROTO=ICMP TYPE=8 CODE=0 ID=1024 SEQ=11265

что происходит, может кто-нибудь подсказать???


Содержание

Сообщения в этом обсуждении
"iptables + squid непонятное поведение"
Отправлено chocholl , 07-Июл-06 22:46 
не совсем понял тему вопроса, постарайся поконкретнее сформулировать.
но...
для того чтобы отрабатывал ulog, необходимо чтобы его правила стояли перед всеми остальными.