---

Hej!

Jeg roder med at lægge sidste hånd på en stak filtre til en
linux-boks, men har problemer med Squid...
iptables og Squid kører på samme maskine. Der lavet NAT fra det
interne interface på udgående trafik. Squid lytter kun på det interne
interface, port 8008 - det eksterne interface har IP 192.168.1.2

Det ser altså sådan her ud:

Squid
ADSL--------- Router---------------- Firewall ---- internt net
x.x.x.x 192.168.1.1 192.168.1.2 192.168.226.x

Men jeg er i tvivl om hvordan jeg får åbnet for squid - for hvad
bruger den som source adresse/port (hvis man overhovet kan bruge det).

Slår jeg iptables fra er der ingen problemer med at få trafik
igennem..

/Brian

---

Brian Ipsen <Spammers@blow.me> wrote:

>Men jeg er i tvivl om hvordan jeg får åbnet for squid - for hvad
>bruger den som source adresse/port (hvis man overhovet kan bruge det).

Hvis du sætter dine filtre til at logge alt, hvad der bliver afvist,
kan du jo bare kigge i loggen efter de ønskede oplysninger.

Men hvordan ser din filtrering ud, siden du har behov for at kende
source port på tcp-trafik fra dit eget net?


--
Allan Olesen, Lunderskov

"UNIX er overflødigt." - Lars P. Fischer

---

On Sun, 14 Oct 2001 21:11:35 +0200, Allan Olesen
<aolesen@post3.tele.dk> wrote:

>>Men jeg er i tvivl om hvordan jeg får åbnet for squid - for hvad
>>bruger den som source adresse/port (hvis man overhovet kan bruge det).
>
>Hvis du sætter dine filtre til at logge alt, hvad der bliver afvist,
>kan du jo bare kigge i loggen efter de ønskede oplysninger.

Selv om jeg logger alt trafik (med allow på alt), så er der stadig
tin, jeg ikke fatter... Når min web-browser laver en request mod
prox'en burde der vel dukke noget op på INPUT på det interne interface
? Det første, jeg hat i loggen, er fra OUTPUT på den interne kort til
min klient - det burde ikke være problemet, da alt kommunikation på
det interne net er tilladt. Efter dette er der et DNS opslag på en
nameserver (også output på det interne net) - jeg undrer mig så også
over, at man ikke ser noget til svar fra DNS'en i INPUT på det interne
net - men det logges måske ikke ?
Efter dette laver Squid tilsyneladende en udgående request på det
eksterne interface mod den web-host, som siden skal hentes fra.
Source-porten ændrer sig her hver gang en ny request/session
etableres.
Hvis jeg så tolker ovenstående korrekt, så er jeg faktisk nødt til at
åbne for alt trafik fra mit eksterne interface ud mod verden (såfremt
det er etableret fra det eksterne interface, og sourceport > 1024) -
dette er jo at åbne en lade-dør, det bryder jeg mig ikke om... Hvis
squid nu i stedet for havde en fixed source-port eller lignende, så
kunne jeg jo skære voldsomt i hvor meget jeg behøver åbne...

>Men hvordan ser din filtrering ud, siden du har behov for at kende
>source port på tcp-trafik fra dit eget net?

Havde Squid nu været placeret på en seperat maskine i et DMZ netværk
havde problemet nok ikke været så stort, da man så kunne lave mere
seriøs filtrering på ip-adresser samt dest-port fra det interne net..
Men med Squid placeret på samme maskine synes jeg det begynder at
blive lidt tricky.... Jeg kunne selvfølgelig bare åbne for alt
udgående trafik på det eksterne interface med destionation-port 80 -
men hvad så med de skvadder-mikler som ind imellem sætter en webserver
op på port 81 ? Så kan man vel ikke bestille andet en at rette i
iptables hver anden dag....

/Brian

---

Den Sun, 14 Oct 2001 21:59:55 +0200 skrev Brian Ipsen:
>On Sun, 14 Oct 2001 21:11:35 +0200, Allan Olesen
><aolesen@post3.tele.dk> wrote:
>
> Hvis jeg så tolker ovenstående korrekt, så er jeg faktisk nødt til at
>åbne for alt trafik fra mit eksterne interface ud mod verden (såfremt
>det er etableret fra det eksterne interface, og sourceport > 1024) -
>dette er jo at åbne en lade-dør, det bryder jeg mig ikke om... Hvis
>squid nu i stedet for havde en fixed source-port eller lignende, så
>kunne jeg jo skære voldsomt i hvor meget jeg behøver åbne...

Har du også begrænsninger på hvem der får lov til at at forlade dit hus
i den virkelige verden?

Mvh
Kent
--
War does not determine who is right, only who is left.

---

On Sun, 14 Oct 2001 21:07:11 +0000 (UTC), kfr@fleggaard.dk (Kent
Friis) wrote:

>> Hvis jeg så tolker ovenstående korrekt, så er jeg faktisk nødt til at
>>åbne for alt trafik fra mit eksterne interface ud mod verden (såfremt
>>det er etableret fra det eksterne interface, og sourceport > 1024) -
>>dette er jo at åbne en lade-dør, det bryder jeg mig ikke om... Hvis
>>squid nu i stedet for havde en fixed source-port eller lignende, så
>>kunne jeg jo skære voldsomt i hvor meget jeg behøver åbne...
>
>Har du også begrænsninger på hvem der får lov til at at forlade dit hus
>i den virkelige verden?

Der er forskel på at have et vindue/en dør på klem og at have en
ladeport stående fuldt åben....

/Brian

---

Den Sun, 14 Oct 2001 23:22:14 +0200 skrev Brian Ipsen:
>On Sun, 14 Oct 2001 21:07:11 +0000 (UTC), kfr@fleggaard.dk (Kent
>Friis) wrote:
>
>>> Hvis jeg så tolker ovenstående korrekt, så er jeg faktisk nødt til at
>>>åbne for alt trafik fra mit eksterne interface ud mod verden (såfremt
>>>det er etableret fra det eksterne interface, og sourceport > 1024) -
>>>dette er jo at åbne en lade-dør, det bryder jeg mig ikke om... Hvis
>>>squid nu i stedet for havde en fixed source-port eller lignende, så
>>>kunne jeg jo skære voldsomt i hvor meget jeg behøver åbne...
>>
>>Har du også begrænsninger på hvem der får lov til at at forlade dit hus
>>i den virkelige verden?
>
>Der er forskel på at have et vindue/en dør på klem og at have en
>ladeport stående fuldt åben....

Når vi snakker udgående? Hvem er du bange for går UD af ladeporten?

Mvh
Kent
--
War does not determine who is right, only who is left.

---

Brian Ipsen <Spammers@blow.me> writes:

> On Sun, 14 Oct 2001 21:11:35 +0200, Allan Olesen
> <aolesen@post3.tele.dk> wrote:
>
> >>Men jeg er i tvivl om hvordan jeg får åbnet for squid - for hvad
> >>bruger den som source adresse/port (hvis man overhovet kan bruge det).
> >
> >Hvis du sætter dine filtre til at logge alt, hvad der bliver afvist,
> >kan du jo bare kigge i loggen efter de ønskede oplysninger.
>
> Selv om jeg logger alt trafik (med allow på alt), så er der stadig
> tin, jeg ikke fatter... Når min web-browser laver en request mod
> prox'en burde der vel dukke noget op på INPUT på det interne interface
> ? Det første, jeg hat i loggen, er fra OUTPUT på den interne kort til
> min klient - det burde ikke være problemet, da alt kommunikation på
> det interne net er tilladt. Efter dette er der et DNS opslag på en
> nameserver (også output på det interne net) - jeg undrer mig så også
> over, at man ikke ser noget til svar fra DNS'en i INPUT på det interne
> net - men det logges måske ikke ?
> Efter dette laver Squid tilsyneladende en udgående request på det
> eksterne interface mod den web-host, som siden skal hentes fra.
> Source-porten ændrer sig her hver gang en ny request/session
> etableres.
Jep, det skal den ligesom... især da der kan være flere requests mod samme
webserver (eller anden server) - og derfor er det nødvendigt med mere end
_en_ port.
Jeg refererer her til at enhver forbindelse identificeres ved:
(src-ip,src-port,dest-ip,dest-port)
hvis (dest-ip,dest-port) er statisk (og dette kan ske - alt efter server)
så må src-port naturligvis være variabel.

> Hvis jeg så tolker ovenstående korrekt, så er jeg faktisk nødt til at
> åbne for alt trafik fra mit eksterne interface ud mod verden (såfremt
> det er etableret fra det eksterne interface, og sourceport > 1024) -
> dette er jo at åbne en lade-dør, det bryder jeg mig ikke om... Hvis
> squid nu i stedet for havde en fixed source-port eller lignende, så
> kunne jeg jo skære voldsomt i hvor meget jeg behøver åbne...
Nej - det er det ikke ... - du kan jo blokere alle SYN requests mod din
maskine... din Squid åbner en forbindelse _ud_ - den tillader ikke for-
bindelser _ind_ - hvis du da ikke har specificeret dette.
>
> >Men hvordan ser din filtrering ud, siden du har behov for at kende
> >source port på tcp-trafik fra dit eget net?
>
> Havde Squid nu været placeret på en seperat maskine i et DMZ netværk
> havde problemet nok ikke været så stort, da man så kunne lave mere
> seriøs filtrering på ip-adresser samt dest-port fra det interne net..
> Men med Squid placeret på samme maskine synes jeg det begynder at
> blive lidt tricky.... Jeg kunne selvfølgelig bare åbne for alt
> udgående trafik på det eksterne interface med destionation-port 80 -
> men hvad så med de skvadder-mikler som ind imellem sætter en webserver
> op på port 81 ? Så kan man vel ikke bestille andet en at rette i
> iptables hver anden dag....
>
> /Brian
>

--
Mvh. Kim Petersen /| Tlf: +4575831551 |\ Jomfru Ingefreds Vej 18
Software Engineer / | Fax: (none atm.) | \ 7100 Vejle
LSS / | Email: kim@vindinggaard.dk | \ DK - Danmark

---

Brian Ipsen <Spammers@blow.me> wrote:

>Selv om jeg logger alt trafik (med allow på alt), så er der stadig
>tin, jeg ikke fatter...

Jeg fatter heller ikke tin, så jeg holder mig til Agent.

>Når min web-browser laver en request mod
>prox'en burde der vel dukke noget op på INPUT på det interne interface
>?

Altså på den maskine, der laver requesten?

Lad mig gætte: Du kender en masse til ipchains, og forsøger nu at
portere din viden til iptables. I den proces har du overset, at en
pakke i iptables ikke længere ryger gennem både INPUT og OUTPUT, som
den ellers gjorde i ipchains. En udgående pakke ryger kun i OUTPUT.

(Mit gæt skyldes, at jeg selv er i den situation - ved en smule om
ipchains, men er netop begyndt at bruge iptables.)

> Hvis jeg så tolker ovenstående korrekt, så er jeg faktisk nødt til at
>åbne for alt trafik fra mit eksterne interface ud mod verden (såfremt
>det er etableret fra det eksterne interface, og sourceport > 1024) -
>dette er jo at åbne en lade-dør, det bryder jeg mig ikke om...

Jeg fattede det ikke, Kent Friis fattede det ikke, og jeg fatter det
stadig heller ikke:

Hvorfor er du bange for at åbne for trafik _ud_ på Internettet fra din
maskine?

Har du noget kørende på maskinen, som du ikke stoler på, og som du vil
beskytte andre mod?

Eller tror du, at du også er tvunget til at tillade indgående trafik,
fordi du åbner for udgående trafik?


--
Allan Olesen, Lunderskov

"UNIX er overflødigt." - Lars P. Fischer

---

Allan Olesen <aolesen@post3.tele.dk> writes:

> > Hvis jeg så tolker ovenstående korrekt, så er jeg faktisk nødt til at
> >åbne for alt trafik fra mit eksterne interface ud mod verden (såfremt
> >det er etableret fra det eksterne interface, og sourceport > 1024) -
> >dette er jo at åbne en lade-dør, det bryder jeg mig ikke om...
>
> Jeg fattede det ikke, Kent Friis fattede det ikke, og jeg fatter det
> stadig heller ikke:
>
> Hvorfor er du bange for at åbne for trafik _ud_ på Internettet fra din
> maskine?
>
> Har du noget kørende på maskinen, som du ikke stoler på, og som du vil
> beskytte andre mod?
>

Jeg tror det gængse argument for at lukke for udgående forbindelser er
frygt for trojaner. En dum bruger kan jo komme til at starte sådan en,
og ved at lukke for udgående forhindrer man trojaner i at kontakte
onde computere på internettet der så kunne udnytte det hul som
trojanen havde lavet. Det er jo ikke forbandet svært for en trojan at
tillade andre at tunelle sig ind, hvis først trojanen har etableret
forbindelse til en anden computer.

--
Christian Hemmingsen

---

Christian Hemmingsen <postmaster@hemmingsen.nospam.kampsax.k-net.dk>
wrote:

>Jeg tror det gængse argument for at lukke for udgående forbindelser er
>frygt for trojaner.

Eftersom der snakkes om squid, går jeg ud fra, at der er tale om en
server og ikke en arbejdsstation. Man installerer vel ikke hvad som
helst på sådan en maskine?

Og hvis der er tale om at begrænse trafik fra lokalnettet _bag_
serveren, er det vel mere interessant at opsætte restriktioner for,
hvad der forwardes, end for hvad der går ind og ud af de enkelte
interfaces.


--
Allan Olesen, Lunderskov

"UNIX er overflødigt." - Lars P. Fischer

---

Allan Olesen <aolesen@post3.tele.dk> writes:

> >Jeg tror det gængse argument for at lukke for udgående forbindelser er
> >frygt for trojaner.
>
> Eftersom der snakkes om squid, går jeg ud fra, at der er tale om en
> server og ikke en arbejdsstation. Man installerer vel ikke hvad som
> helst på sådan en maskine?
>
> Og hvis der er tale om at begrænse trafik fra lokalnettet _bag_
> serveren, er det vel mere interessant at opsætte restriktioner for,
> hvad der forwardes, end for hvad der går ind og ud af de enkelte
> interfaces.
>
Du har sikkert ret i alt hvad du siger, men det var den forklaring jeg
fik, da jeg første gang stødte på nogen der firewallede forbindelser
indefra. Men det var også et web-bureau udelukkende med
windows-maskiner

--
Christian Hemmingsen

---

Christian Hemmingsen <postmaster@hemmingsen.nospam.kampsax.k-net.dk> writes:

> Allan Olesen <aolesen@post3.tele.dk> writes:
>
> > >Jeg tror det gængse argument for at lukke for udgående forbindelser er
> > >frygt for trojaner.
> >
> > Eftersom der snakkes om squid, går jeg ud fra, at der er tale om en
> > server og ikke en arbejdsstation. Man installerer vel ikke hvad som
> > helst på sådan en maskine?
> >
> > Og hvis der er tale om at begrænse trafik fra lokalnettet _bag_
> > serveren, er det vel mere interessant at opsætte restriktioner for,
> > hvad der forwardes, end for hvad der går ind og ud af de enkelte
> > interfaces.
> >
> Du har sikkert ret i alt hvad du siger, men det var den forklaring jeg
> fik, da jeg første gang stødte på nogen der firewallede forbindelser
> indefra. Men det var også et web-bureau udelukkende med
> windows-maskiner
Hmmm - der kan da være ganske gode grunde til dette ... Det ville feks
være oplagt at portforwarde til Squid-serveren - og dermed have alt
udgående trafik (web+ftp) til at gå igennem denne (almindelig firewall
praksis) transparent. Af flere grunde ... 1) cache+speed 2) logging
3) ekstra sikkerhed.

--
Mvh. Kim Petersen /| Tlf: +4575831551 |\ Jomfru Ingefreds Vej 18
Software Engineer / | Fax: (none atm.) | \ 7100 Vejle
LSS / | Email: kim@vindinggaard.dk | \ DK - Danmark

---

Den 15 Oct 2001 21:31:57 +0200 skrev Kim Petersen:
>Christian Hemmingsen <postmaster@hemmingsen.nospam.kampsax.k-net.dk> writes:
>
>> Allan Olesen <aolesen@post3.tele.dk> writes:
>>
>> > >Jeg tror det gængse argument for at lukke for udgående forbindelser er
>> > >frygt for trojaner.
>> >
>> > Eftersom der snakkes om squid, går jeg ud fra, at der er tale om en
>> > server og ikke en arbejdsstation. Man installerer vel ikke hvad som
>> > helst på sådan en maskine?
>> >
>> > Og hvis der er tale om at begrænse trafik fra lokalnettet _bag_
>> > serveren, er det vel mere interessant at opsætte restriktioner for,
>> > hvad der forwardes, end for hvad der går ind og ud af de enkelte
>> > interfaces.
>> >
>> Du har sikkert ret i alt hvad du siger, men det var den forklaring jeg
>> fik, da jeg første gang stødte på nogen der firewallede forbindelser
>> indefra. Men det var også et web-bureau udelukkende med
>> windows-maskiner
>Hmmm - der kan da være ganske gode grunde til dette ... Det ville feks
>være oplagt at portforwarde til Squid-serveren - og dermed have alt
>udgående trafik (web+ftp)

"alt udgående trafik" passer ikke sammen med "web+ftp".

Mvh
Kent
--
War does not determine who is right, only who is left.

---

Kim Petersen <kim@vindinggaard.dk> wrote:

>Hmmm - der kan da være ganske gode grunde til dette

Ja, så sandelig. Jeg har f.eks. ikke åbent for forwarding af
smtp-trafik fra mine klienter til Internettet.

Men jeg tror ikke, at Christian forstod, hvad jeg skrev - eftersom han
faktisk forsøger at modsige mig med en gentagelse af min egen påstand:
At det er _forwardingen_ man bør kigge på, hvis man er bange for, hvad
klienterne på lokalnettet kan finde på.


--
Allan Olesen, Lunderskov

"UNIX er overflødigt." - Lars P. Fischer

---

Brian Ipsen wrote:

> Hej!
>
> Jeg roder med at lægge sidste hånd på en stak filtre til en
> linux-boks, men har problemer med Squid...
> iptables og Squid kører på samme maskine. Der lavet NAT fra det
> interne interface på udgående trafik. Squid lytter kun på det interne
> interface, port 8008 - det eksterne interface har IP 192.168.1.2
>
> Det ser altså sådan her ud:
>
> Squid
> ADSL--------- Router---------------- Firewall ---- internt net
> x.x.x.x 192.168.1.1 192.168.1.2 192.168.226.x
>
> Men jeg er i tvivl om hvordan jeg får åbnet for squid - for hvad
> bruger den som source adresse/port (hvis man overhovet kan bruge det).

Indkommende forespørgsler fra lokale maskiner til Squid kommer til port
8008 fra port >= 1024. Udgående forbindelser kommer fra port >= 1024
til normalt veldefinerede portnumre (21, 80 443 mv.).

Rasmus

--
-- [ Rasmus 'Møffe' Bøg Hansen ] ---------------------------------------
I was going to compile a list of innovations that could be
attributed to Microsoft. Once I realized that Ctrl-Alt-Del
was handled in the BIOS, I found that there aren't any.
--------------------------------- [ moffe at amagerkollegiet dot dk ] --