Firewalld + Squid: So richten Sie einen Proxy ein

tag-icon tag-icon linux networking proxy squid firewalld
Firewalld + Squid: So richten Sie einen Proxy ein

Der Infra-Server mit der IP xxxx (ohne Internetverbindung) führt die folgende Anfrage aus:

$ wget http://google.com
--2016-11-04 09:32:55--  http://google.com/
Resolving google.com (google.com)... 172.217.22.110, 2a00:1450:4001:81d::200e
Connecting to google.com (google.com)|172.217.22.110|:8888... failed: Connection timed out.

Der Proxyserver (Squid lauscht auf 8888) verfügt über die folgenden Schnittstellen: eth1: 1.1.1.1, wo alle eingehenden Anfragen vom Infra-Server eingehen, eth2: 2.2.2.2, das über eine Internetverbindung mit einer Standardroute (80.443) verfügt, da seine Adresse in der Firewall (Gateway) übersetzt wird.

Indem ich einen TCPdump auf dem Proxy-Server und eth1 (eingehende Schnittstelle) ausführe, sehe ich den eingehenden Datenverkehr korrekt:

09:49:10.033951 IP  x.x.x.x.45977 > 1.1.1.1.8888: Flags [S], seq 258250387, win 29200, options [mss 1460,sackOK,TS val 3204336400 ecr 0,nop,wscale 7], length 0
09:49:11.034310 IP  x.x.x.x.45977 > 1.1.1.1.8888: Flags [S], seq 258250387, win 29200, options [mss 1460,sackOK,TS val 3204337402 ecr 0,nop,wscale 7], length 0
09:49:13.042720 IP  x.x.x.x.45977 > 1.1.1.1.8888: Flags [S], seq 258250387, win 29200, options [mss 1460,sackOK,TS val 3204339408 ecr 0,nop,wscale 7], length 0
09:49:17.047283 IP  x.x.x.x.45977 > 1.1.1.1.8888: Flags [S], seq 258250387, win 29200, options [mss 1460,sackOK,TS val 3204343416 ecr 0,nop,wscale 7], length 0
09:49:22.303238 IP  x.x.x.x.45977 > 1.1.1.1.8888: Flags [R], seq 258250387, win 1400, length 0
09:49:25.060419 IP  x.x.x.x.45977 > 1.1.1.1.8888: Flags [S], seq 258250387, win 29200, options [mss 1460,sackOK,TS val 3204351424 ecr 0,nop,wscale 7], length 0
09:49:30.321096 IP  x.x.x.x.45977 > 1.1.1.1.8888: Flags [R], seq 258250387, win 1400, length 0

Durch Ausführen eines TCPdumps auf dem Proxy-Server und eth2 (ausgehende Schnittstelle) sehe ich keinen ausgehenden HTTP-Verkehr

Was ich an der Konfiguration von Squid geändert habe ist lediglich folgendes:

acl infra-server src x.x.x.x/32
http_access allow infra-server
http_port 1.1.1.1:8888

Systemseitig ist SElinux auf permissiv eingestellt:

# getenforce
Permissive

und so ist Firewalld konfiguriert:

# firewall-cmd --list-all --zone=internal
internal (active)
  interfaces: eth1
  sources: 
  services: dhcpv6-client ipp-client mdns samba-client ssh
  ports: 8888/tcp
  masquerade: no
  forward-ports: 
  icmp-blocks: 
  rich rules: 

# firewall-cmd --list-all --zone=external
external (active)
  interfaces: eth2
  sources: 
  services: http https ssh
  ports: 
  masquerade: yes
  forward-ports: 
  icmp-blocks: 
  rich rules:

Ich brauche nur die Regel, um den Datenverkehr von eth1 an eth2 weiterzuleiten (glaube ich).

verwandte Informationen