このスレッドは解決済です(未解決に戻す場合はこちら)
<<戻る

透過プロキシ+CalmAntiVirus このメッセージに返信する
日時: 2013/10/20(Sun) 00:58
名前: トト
URL:
皆さん、こんばんは。

この度、CentOS5.9を用いてサーバー運用を始めました。
CentOSをルーターとして使用し、さらにプロキシサーバーを導入しました。
そして安全性高めるためにSquidClamAVを当サイトを参考にし、導入しました。

ルーターとSquidClamAVは共に問題なく稼働はしているのですが、プロキシ(Squid)を透過プロキシとして使用したいと思い、色々なサイトを参考にしながら設定しました。
しかし、透過プロキシの設定をしたのですが、どうにも上手くいかないところがあり只今お手上げ状態になっています。


困っているところというのは、透過させる為に、ローカルネット側から外側に対するHTTPパケットは全てsquid経由にさせるということで、iptablesのフィルタリングポリシーに追加しないといけないとものがあるということで
以下のものを入力しました。

[root@hogehoge]# iptables -t nat -A PREROUTING -p tcp -s 192.168.11.0/255.255.255.0 --dport 80 -j REDIRECT --to-port 3128
[root@hogehoge]# service iptables save
ファイアーウォールのルールを /etc/sysconfig/iptables に保存中[ OK ]

これで一時的に、透過プロキシとはなりますが、午前4時過ぎになるとこの設定が消されて(?)しまいます。
cronによって、/etc/cron.dailyディレクトリにあるスクリプトが実行されることが分かりましたが、これが影響してリセットされているのでしょうか?
当サイトにあるiptables.sh と iptables-router.sh の設定を同じようにしましたが このどちらかを別途設定しないといけないのでしょうか?

透過プロキシにされている方いましたら、どうかお力添えのほどよろしくお願いいたします。
記事編集 編集
Re: 透過プロキシ+CalmAntiVirus このメッセージに返信する
日時: 2013/10/20(Sun) 07:02
名前: stranger
URL: http://ja.528p.com/
iptables-router.shで最初にすべての設定を解除しているでしょ
その後、設定が組み込まれて、最後にセーブされると思う
だからiptables-router.shのどこかに設定を書いておかないと、組み込まれない

/etc/sysconfig/iptablesは
/etc/rc.d/init.d/iptablesスクリプトの起動で読み込まれるもので
フィルターリングはメモリ常駐
記事編集 編集
Re: 透過プロキシ+CalmAntiVirus このメッセージに返信する
日時: 2013/10/20(Sun) 15:43
名前: トト
URL:
>iptables-router.shで最初にすべての設定を解除しているでしょ
>その後、設定が組み込まれて、最後にセーブされると思う
>だからiptables-router.shのどこかに設定を書いておかないと、組み込まれない
>
>/etc/sysconfig/iptablesは
>/etc/rc.d/init.d/iptablesスクリプトの起動で読み込まれるもので
>フィルターリングはメモリ常駐


stranger様、さっそくの返信ありがとうございます!!
やはりiptables_router.shのほうを透過させるように設定しないといけないのですね!
本当に我儘で申し訳ないのですが、iptabeles_router.shのどこに設定すればいいのでしょうか・・・

前回にも書いておきました

iptables -t nat -A PREROUTING -p tcp -s 192.168.11.0/255.255.255.0 --dport 80 -j REDIRECT --to-port 3128

これをどこかに追加すればいいのでしょうが、まだcentosに関しては初心者なもので・・・
もう少しだけお力のほどよろしくおねがしますm(_ _)m
記事編集 編集
Re: 透過プロキシ+CalmAntiVirus このメッセージに返信する
日時: 2013/10/20(Sun) 18:05
名前: stranger
URL: http://ja.528p.com/
ローカルを外部にPOSTROUTINGしてるところがあるのでは?
その近辺に書いておけば?
組み込みの確認の仕方は
iptables -t nat -L -n -v
とコマンドを打つ

-A, --append チェイン
選択されたチェインの最後に 1 つ以上のルールを追加する
-I, --insert チェイン [ルール番号]
ルール番号が 1 の場合、ルールはチェインの先頭に挿入される
これはルール番号が指定されない場合のデフォルトでもある

組み込まれたルールは先頭から解釈されるので
自分の組み込みたい位置が違っていたら
スクリプト内で記述する位置を変えたり
オプションで指定したりして調整します
記事編集 編集
Re: 透過プロキシ+CalmAntiVirus このメッセージに返信する
日時: 2013/10/22(Tue) 08:14
名前: トト
URL:
>ローカルを外部にPOSTROUTINGしてるところがあるのでは?
>その近辺に書いておけば?
>組み込みの確認の仕方は
>iptables -t nat -L -n -v
>とコマンドを打つ
>
>-A, --append チェイン
>選択されたチェインの最後に 1 つ以上のルールを追加する
>-I, --insert チェイン [ルール番号]
>ルール番号が 1 の場合、ルールはチェインの先頭に挿入される
>これはルール番号が指定されない場合のデフォルトでもある
>
>組み込まれたルールは先頭から解釈されるので
>自分の組み込みたい位置が違っていたら
>スクリプト内で記述する位置を変えたり
>オプションで指定したりして調整します


stranger様のiptablesの設定方法を参考に、色々調べてみました!
当サイトのiptables-router.shの
"自ホストが各種サービスを公開する場合の設定(ここから)"
という場所の一番最後に以下の2行を追加して、動作確認を行いました。

iptables -A INPUT -p tcp -m state --state NEW,ESTABLISHED,RELATED -s 192.168.11.0/8 --dport 3128 -j ACCEPT
iptables -t nat -A PREROUTING -i $LAN -p tcp --dport 80 -j REDIRECT --to-port 3128

結果、無事透過されることを確認しました。
午前4時過ぎに初期化されて困っていた問題が、これで無事解決できました!
透過プロキシでお困りの方は、少しでも参考にしていただけたらなと思います。


色々お騒がせいたしました。 そして、ありがとうございました!!
問題解決いたしましたので、解決済みとさせていただきます!
記事編集 編集
Re: 透過プロキシ+CalmAntiVirus このメッセージに返信する
日時: 2013/10/22(Tue) 08:26
名前: stranger
URL: http://ja.528p.com/
192.168.11.0/8
はサブネットマスクが255.0.0.0になるので
192.0.0.0から192.255.255.255までを指定したことになります
192.168.11.0から192.168.11.255までをつかうなら
192.168.11.0/24

簡単に計算してくれるサイト
http://www.infraexpert.com/study/tea3.htm
記事編集 編集
件名※必須
名前※必須
URL
任意のパスワード (投稿後のコメント修正・削除時に使用)
画像認証※必須 投稿キー(画像で表示されている数字を入力)
コメント※必須

※質問を投稿後に自己解決された場合は、原因と行った対処を具体的に書き込み下さるよう、よろしくお願いします。

- WEB PATIO -