Author: Letuffe Sylvain Date: To: guilde Subject: Re: NAT squid -&- apache en DMZ
Effectivement, trés bonne remarque :-)
si l'administrateur de la gw/fw se contente de lancer une commande du type
$iptables -t nat -A PREROUTING -p tcp --dport 80 -j REDIRECT --to-port 3128
( et qu'il a bien autorisé les bonne connexion dans la table INPUT )
on va dire que c'est source de problème.. car
1) les connexions externes vont passer par le proxy pour joindre ton web
ce qui n'a pas de sens !
2) les connexions internes pareil ( ce qui, si le web est sur un LAN )
n'a pas vraiment d'intérêt.
Je pense que la solution peut être résolue plus simplement
en restreignant la redirection de port du fw sur lui même.
à la ligne du haut on ajoute :
-i $INTERFACE_LAN -s $LAN -d ! $DMZ
sauf erreur :-)
> Bonjour !
> A la lecture de l'article sur squid dans le dernier Hors-Série Linux-Mag
> No10, une afirmation (page 55) me pose problème.
> Pour que toute connexion sur le port 80 de la GW passe par le proxy, ils
> recommandent de prérouter vers le port 3128 (squid sur la GW).
> Mais alors me dis-je, plus personne -interne/externe- ne pouras accéder
> à notre serveur web (en DMZ) !?
> A+ Hervé (qui pose toujours des questions étonnantes)