[Primipassi] iptables+firestarter+squid+log delle richieste

[Aldo Podavini]

Ciao Manuel.

Manuel Toniato wrote:

>- SQUID
>Nel frattempo ho spulciato anche il manuale di squid e l'ho configurato qui a casa senza tanti problemi. Non ho ancora letto tutto ma con il tempo...
>Tra l'altro poi il firewall devo impostarlo con il filtro sulla porta 80 o sulla 3128?
>Cioè...
>iptables -A INPUT -p tcp --dport 80 -j ACCEPT
>oppure
>iptables -A INPUT -p tcp --dport 3128 -j ACCEPT
>
Nella configurazione tipica (ossia NON in modalità transparent proxy) 
devi aprire la porta su cui è in ascolto squid, ossia di default la 
3128, quindi buona la seconda.

>E altra domanda da chi non ha ben capito il sistema del proxy: quando imposto il proxy nel browser, tutto il traffico sulle varie porte (quindi anche il dns per esempio) viene dirottato sulla 3128 oppure solo il traffico http?
>  
>
Solo il traffico che tu chiedi al browser di passare al proxy; 
tipicamente http, https e ftp.
Per quel che riguarda il dns, i tuoi clients continueranno a rivolgere 
le loro richieste al dns impostato nelle proprietà di rete.
Però tieni presente che le richieste dns relative all'http non le 
faranno i clients, ma direttamente squid. Il browser - in altre parole - 
rivolge al proxy la richiesta senza risolvere l'indirizzo, ci pensa poi 
il proxy a risolverlo.

>- LOG DI IPTABLES
>Ma veniamo alla domanda del subject. Se domani dovessero esserci ancora problemi, non è che c'è un modo per dire a iptables di registrare le richieste di connessione che rifiuta? Insomma capire su che caspita di porte avvengono le richieste di connessione? Nel mio firewall sotto windows (outpost) registra le varie richieste e così so che porte devo aprire.
>  
>
Sì, c'è: è il target LOG.
Esempio:
iptables -t filter -A INPUT -p tcp --dport 80 -j LOG --log-prefix 
"Richiesta HTTP droppata ! "
iptables -t filter -A INPUT -p tcp --dport 80 -j DROP

prima lo logghi (su /var/log/messages , di default) poi lo droppi.

Ciao
Aldo