Firewalld + squid : プロキシの設定方法

tag-icon tag-icon linux networking proxy squid firewalld
Firewalld + squid : プロキシの設定方法

IP xxxx のインフラ サーバー (インターネット接続なし) は次の要求を実行します。

$ wget http://google.com
--2016-11-04 09:32:55--  http://google.com/
Resolving google.com (google.com)... 172.217.22.110, 2a00:1450:4001:81d::200e
Connecting to google.com (google.com)|172.217.22.110|:8888... failed: Connection timed out.

プロキシ サーバー (8888 でリッスンしている squid) には次のインターフェイスがあります: eth1: 1.1.1.1 (インフラ サーバーからのすべての着信要求が送信されます) eth2: 2.2.2.2 (ファイアウォール (ゲートウェイ) でアドレスが変換されるため、デフォルト ルート (80,443) でインターネットに接続されます)

プロキシ サーバーと eth1 (着信インターフェイス) で tcpdump を実行すると、トラフィックの到着が正しく表示されます。

09:49:10.033951 IP  x.x.x.x.45977 > 1.1.1.1.8888: Flags [S], seq 258250387, win 29200, options [mss 1460,sackOK,TS val 3204336400 ecr 0,nop,wscale 7], length 0
09:49:11.034310 IP  x.x.x.x.45977 > 1.1.1.1.8888: Flags [S], seq 258250387, win 29200, options [mss 1460,sackOK,TS val 3204337402 ecr 0,nop,wscale 7], length 0
09:49:13.042720 IP  x.x.x.x.45977 > 1.1.1.1.8888: Flags [S], seq 258250387, win 29200, options [mss 1460,sackOK,TS val 3204339408 ecr 0,nop,wscale 7], length 0
09:49:17.047283 IP  x.x.x.x.45977 > 1.1.1.1.8888: Flags [S], seq 258250387, win 29200, options [mss 1460,sackOK,TS val 3204343416 ecr 0,nop,wscale 7], length 0
09:49:22.303238 IP  x.x.x.x.45977 > 1.1.1.1.8888: Flags [R], seq 258250387, win 1400, length 0
09:49:25.060419 IP  x.x.x.x.45977 > 1.1.1.1.8888: Flags [S], seq 258250387, win 29200, options [mss 1460,sackOK,TS val 3204351424 ecr 0,nop,wscale 7], length 0
09:49:30.321096 IP  x.x.x.x.45977 > 1.1.1.1.8888: Flags [R], seq 258250387, win 1400, length 0

プロキシサーバーとeth2(送信インターフェース)でtcpdumpを実行しても、送信HTTPトラフィックは表示されません。

squid の設定で変更したのは次の点だけです。

acl infra-server src x.x.x.x/32
http_access allow infra-server
http_port 1.1.1.1:8888

システム的には、SElinux は permissive に設定されています。

# getenforce
Permissive

そして、firewalld の設定方法は次のとおりです。

# firewall-cmd --list-all --zone=internal
internal (active)
  interfaces: eth1
  sources: 
  services: dhcpv6-client ipp-client mdns samba-client ssh
  ports: 8888/tcp
  masquerade: no
  forward-ports: 
  icmp-blocks: 
  rich rules: 

# firewall-cmd --list-all --zone=external
external (active)
  interfaces: eth2
  sources: 
  services: http https ssh
  ports: 
  masquerade: yes
  forward-ports: 
  icmp-blocks: 
  rich rules:

必要なのは、eth1 から eth2 にトラフィックを転送するルールだけです (と思います)。

関連情報