slacky.eu

Sto sbattendo la testa da un po' di tempo su alcune cose che non capisco.

INSTALLAZIONE:
- ho installato squid da pacchetto precompilato da Slacky;
- mi sono accorto che non c'è uno script di installazione e/o avvio, quindi ho seguito la guida
http://psychopenguin.net/linuxtutorials-squid.html
(però usando le directory che usa il pacchetto di slacky, quindi non /usr/local/squid, ma ad esempio per la cache e i log /var/log/squid/cache e /var/log/squid/logs);
- l'altra differenza è che per avviare automaticamente squid all'avvio ho utilizzato il metodo e gli script illustrati qui
http://linuxdidattica.org/docs/gcdss/squid/page13.html;
- in squid.conf ho modificato "effective_cache_user" e ho messo "squid" e tra le acl ho messo allow alla mia rete interna (192.168.5.0/24).

ORA:
- secondo l'ultimo url che ho pubblicato, in rc.M prima di rc.local faccio eseguire rc.squid;
- in rc.local poi parte /usr/sbin/pppoe-start che mi connette a internet.

ps aux | grep squid ps aux|grep ppp COSA ACCADE:
- i pc della rete (non il server) navigano passando dal proxy... perfetto;
- il server naviga anche senza passare dal proxy. Perché?

Subito ho pensato che bastava togliere i DNS dal resolv.conf, ma lo script pppoe-start lo riscrive inserendoli e ogni altro tentativo di agire su pppoe.conf che ho provato, hanno portato al risultato che o non navigava niente o il server navigava sia con che senza proxy.

Cosa mi manca?!?

dimmi se ho capito giusto:
Il server squid è montato sul pc che fa da gateway della tua rete lan.
Vorresti che anche quel pc passasse per forza dal proxy che ha installato dentro se stesso.
Hai bloccato con il firewall tutto quello che esce senza passare dal proxy?
Ad ogni modo penso che sia impossibile fare quello che dici tu. perchè il servizio è dentro se stesso....
Bisognerebbe trovare il modo con iptables di fare uscire solo il proxy, ma questo è pressochè improbabile!

Proprio come dici tu.
iptables per ora non l'ho configurato, poiché volevo riuscire a far sì che la cosa funzionasse indipendentemente. Per questo mi era venuto in mente il discorso dei DNS in resolv.conf. Togliendoli ovviamente non si naviga, solo che lo script pppoe-start quando lo avvio li riscrive in resolv.conf anche se prima li avevo tolti e non sono riuscito a capire dove e perché fa così.
Poteva essere un sistema per risolvere il mio problema, ma non sono riuscito .

Spero che a qualcuno venga in mente un modo

Intanto grazie.

Scusa, non so se ho capito bene, e comunque non ho mai avuto esperienze con dei proxy,
ma il browser del server l'hai configurato per usare il proxy ?

se fosse firefox

modifica->preferenze->avanzate->rete->connessione->impostazioni

marghe ha scritto:Scusa, non so se ho capito bene, e comunque non ho mai avuto esperienze con dei proxy,
ma il browser del server l'hai configurato per usare il proxy ?

se fosse firefox

modifica->preferenze->avanzate->rete->connessione->impostazioni

Il problema non è proprio questo. Se configuro il browser per usare il proxy lui lo usa (sto parlando ora del pc che fa sia da proxy che da gateway), ma se non setto il proxy naviga comunque e questo è quello che vorrei evitare.

Ora sto smanettando con iptables, vediamo se risolvo qualcosa!

1) Dal gateway non *dovrebbe* navigare nessuno.
2) iptables lo hai configurato anche se non lo hai fatto (scusa il gioco di parole), ed immagino che sia tutto ad ACCEPT in quanto prenderà una "non configurazione", ma in qualche modo c'è e funziona.
Se hai usato l'opzione che da Slackware per fare un gateway qualcosa invece hai già configurato.
Prova a vedere con 3) Quallo di resolv.conf non è un sistema per risolvere il tuo problema perché puoi sempre navigare tramite IP. Comunque c'è l'opzione userpeerdns per gestire la creazione del file /etc/ppp/resolv.conf
man pppd per maggiori dettagli
4) Configura iptables il prima possibile

Ho smanettato con iptables per avere un firewall funzionante con anche funzioni di routing (quindi snaturando il problema di cui al topic poiché non uso più il proxy... per ora), ma per dire che questo mi ha permesso di capire che regole potrei applicare per risolvere il problema.
Appena torno sulla questione provo, anche se prima dovrei risolvere quest'altra:
viewtopic.php?f=5&t=22993

Intanto grazie per le dritte.

@conraid
Edit: in realtà la policy di default che uso è DROP.

navigando ho trovato questo link....
secondo me, potrebbe essere la soluzione al tuo problema...
http://openskills.info/infobox.php?ID=1032

Bakkio2 ha scritto:navigando ho trovato questo link....
secondo me, potrebbe essere la soluzione al tuo problema...
http://openskills.info/infobox.php?ID=1032

Grazie mille per il link, smanettando con la documentazione di iptables avevo trovato l'altro ieri questa soluzione, solo che quando l'ho implementata non ha funzionato (infatti ho risposto all'altro tuo post )... speriamo di andarne fuori.

Per il problema invece delle porte del gioco Lineage, non ho ancora provato ad usare LOG o ULOG di iptables per "registrare" quello che fanno i pc della rete perché mi devo ancora finire di documentare per capire come fare, però facendo delle prove col mio firewall e con altri programmi che richiedono porte particolari e quindi relativi forwarding ho visto che tutto funziona.
La soluzione più plausibile mi sembra quindi quella che il gioco in questione non usi le porte che in rete si dice che usi o quantomeno ne usi anche altre... che poi più che il gioco in sè sembra che sia questa me3d@ di software "gameguard" il vero problema.

Se avete altri suggerimenti su come capire di che porte va in cerca il software in questione vi faccio un riassunto della situazione:
- pc con il gioco ha ip 192.168.5.3, macchina winXP;
- per uscire su internet passa dal gateway (il mio server) 192.168.5.1 che tramite iptables fa masquerading e routing, ovviamente macchina Linux;
- devo capire di che porte necessita il gioco (o forse il software gameguard che parte col gioco) per connettersi al suo server.

Ciauz.

Ho trovato due problemi probabilmente correlati al mio. Poiché il primo errore che dà gameguard è che dice di non poter fare l'aggiornamento mi sono accorto che col mio firewall impostato:
1. non riesco ad usare wget;
2. non ho aperto l'ftp.

Se per il secondo penso basti aprire la relativa porta (e forse impostare anche lì un forwarding? Ve lo domando....), per il primo non saprei perché non va.

Idee?

Ho fatto progressi e poiché il post sta prendendo una piega vagamente OT penso di terminarlo qui e caso mai di aprirne uno apposito per il wget che non mi va, mentre per il discorso del transparent proxy che è quello di cui necessito per squid (questa volta come da topic), ne è stato aperto un altro ed è meglio proseguire là.

Giusto come aggiornamento:
sono riuscito a far giocare il pc di mio fratello. Tutto ciò che avevamo detto circa la configurazione del firewall andava bene e convintomi di questo mi sono concentrato sulla strada "sto cacchio di gioco sta usando altre porte".
Infatti ho riscontrato due anomalie:
- ho scoperto che il bastardo di gameguard va a copiarsi le impostazioni di connessione di explorer, quindi il problema era dato dal fatto che si connetteva sulla porta 3128 perché era settato il proxy;
- ho scoperto che il bastardo del gioco non apre sempre le stesse porte, ma dipende dal server cui ci si connette. Il sever (bastardo) a cui si connette il pc di mio fratello utilizza la porta 7778 che non è menzionata da nessuna parte.

Quindi modificate le impostazioni per adattarle alle due novità, il gioco viaggia.
Due giorni buttati, ma almeno una cosa va.

Come detto ora resta il discorso transparent proxy che è quello che mi serve per risolvere il problema principale per cui avevo aperto il topic, ma poiché Bakkio2 ne ha aperto un altro più specifico sull'argomento (viewtopic.php?f=1&t=23014)e meno divagante come questo meglio proseguire là.

Grazie a tutti per l'aiuto, mi avete messo voi sulla buona strada!