Bjr,

j’ai installé squid avec transparence dans mon server linux,
depuis que je l’ai mis en place, tous marchaient mais maintenant sans aucune intervention de ma part, mon seul problème est que la résolution de nom ne marche plus (ie: quand je fais ping ip-public c’est ok par contre, ping www.google.com ça ne marche pas)en plus le navigateur se fige quelque seconde avant d’afficher la page “erreur de connexion”

j’ai déjà revérifié mon firewall “iptables” mais je ne sais pas ou est vraimenet le probleme
quelqu’un peut m’aider svp (il y a déjà pas mal de tmps que je me suis mis la-dessus)

voilà mon iptable
eth1 la sortie LAN
192.168.2.254 : ip sur eth1
iptables -t nat -A PREROUTING -i eth1 -p tcp -m tcp --dport 80 -j DNAT --to-destination 192.168.2.254:3128
iptables -t nat -A POSTROUTING -j MASQUERADE

merci de votre part

Le ping n’a rien à voir avec squid. Les questions sont:

• Tu «ping» depuis la machine squid ou bien depuis ta machine personnelle?
• Le ping fonctionne-t-il sur ton serveur squid?
• La navigation fonctionne-t-elle depuis ta machine personnelle?
• Que donne host www.toto.fr sur tes machines (serveur et perso)
• Que contient /etc/resolv.conf sur tes machines?

slt, voilà les réponses

• Tu «ping» depuis la machine squid ou bien depuis ta machine personnelle?
  je ping depuis la machine perso (ping www.toto.fr ne marche pas par contre, ping ip_toto.fr marche )

• Le ping fonctionne-t-il sur ton serveur squid?
  le ping fonctionne belle et bien sur le server (tout marche: Internet, nslookup, host)

• La navigation fonctionne-t-elle depuis ta machine personnelle?
  la navigateur ne fonctionne pas sur les domaine url, par contre, ce dernier fonctionne si je mets directement l’IP du site

• Que donne host www.toto.fr sur tes machines (serveur et perso)
  SUR LE SERVER :
  host www.google.com
  www.l.google.com.
  www.l.google.com has address 209.85.148.103
  www.l.google.com has address 209.85.148.104
  www.l.google.com has address 209.85.148.105
  www.l.google.com has address 209.85.148.106
  www.l.google.com has address 209.85.148.147
  www.l.google.com has address 209.85.148.99

SUR LE CLIENT Windows, nslookup www.google.com
Serveur : UnKnown
Address: 41.205.104.45<== dns du FAI

DNS request timed out.
timeout was 2 seconds.
DNS request timed out.
timeout was 2 seconds.
DNS request timed out.
timeout was 2 seconds.
DNS request timed out.
timeout was 2 seconds.
*** Le délai de la requête sur UnKnown est dépassé.

• Que contient /etc/resolv.conf sur tes machines?
  sur le server et client : les DNS du FAI

encore merci

Si 41.205.104.45 est l’adresse de tes DNS, alors tes requêtes DNS sont bloquées.
Quelle est ta passerelle (le serveur je pense)? Quelles sont tes règles iptables sur celle ci?

Si 41.205.104.45 est l’adresse de tes DNS, alors tes requêtes DNS sont bloquées.
Quelle est ta passerelle (le serveur je pense)? Quelles sont tes règles iptables sur celle ci?

je comprends pas pourquoi mes requêtes sont bloquées???

c’est le serveur lui même qui est la passerelle (DHCP from FAI, DHCP for LAN)

iptables sont juste pour la transparence et je n’ai mis aucun autres
iptables -t nat -A PREROUTING -i eth1 -p tcp -m tcp --dport 80 -j DNAT --to-destination 192.168.2.254:3128
iptables -t -A POSTROUTING -j MASQUERADE

et j’ai ajouté pour la résolution de nom
-A FORWARD -i eth0 -o eth1 -p udp -m udp --sport 53 -j ACCEPT
-A FORWARD -i eth1 -o eth0 -p udp -m udp --dport 53 -j ACCEPT
-A FORWARD -i eth0 -o eth1 -p tcp -m tcp --sport 53 -j ACCEPT
-A FORWARD -i eth1 -o eth0 -p tcp -m tcp --dport 53 -j ACCEPT

mais tjs la même galère

Donne la sortie de iptables-save, 3 règles en désordre ne reflètent pas le système, il faut le voir dans son ensemble.

Generated by iptables-save v1.4.2 on Tue Feb 28 10:04:46 2012

*nat
REROUTING ACCEPT [5545:595917]
OSTROUTING ACCEPT [3553:261641]
:OUTPUT ACCEPT [3508:259194]
-A PREROUTING -i eth1 -p tcp -m tcp --dport 80 -j DNAT --to-destination 192.168.2.254:3128
-A POSTROUTING -j MASQUERADE
COMMIT

Completed on Tue Feb 28 10:04:46 2012

Generated by iptables-save v1.4.2 on Tue Feb 28 10:04:46 2012

*filter
:INPUT ACCEPT [15063:5291647]
:FORWARD ACCEPT [13724:6685207]
:OUTPUT ACCEPT [10506:4571175]
:LV - [0:0]
-A FORWARD -i eth0 -o eth1 -p udp -m udp --sport 53 -j ACCEPT
-A FORWARD -i eth1 -o eth0 -p udp -m udp --dport 53 -j ACCEPT
-A FORWARD -i eth0 -o eth1 -p tcp -m tcp --sport 53 -j ACCEPT
-A FORWARD -i eth1 -o eth0 -p tcp -m tcp --dport 53 -j ACCEPT
-A FORWARD -i eth1 -o eth0 -p tcp -m tcp --dport 80 -m state --state NEW,RELATED,ESTABLISHED -j ACCEPT
-A FORWARD -i eth1 -o eth0 -p tcp -m tcp --dport 443 -m state --state NEW,RELATED,ESTABLISHED -j ACCEPT
-A FORWARD -i eth0 -o eth1 -p tcp -m tcp --sport 80 -m state --state RELATED,ESTABLISHED -j ACCEPT
-A FORWARD -i eth0 -o eth1 -p tcp -m tcp --sport 443 -m state --state RELATED,ESTABLISHED -j ACCEPT
COMMIT

Completed on Tue Feb 28 10:04:46 2012

Et j’ai récemment ajouté ces 4 dernières lignes (le truc avec established)

Puisque tes polices par défaut sont à ACCEPT, tes règles ne servent à rien. Peux tu faire la chose suivante:

[code]$ nslookup

server 82.66.248.156
Default server: 82.66.248.156
Address: 82.66.248.156#53
agreg.org
[/code]

Ça permettra de voir un éventuel blocage

ok merci,

ça a marché, en fait, c’est là où je pensais pas, j’ai oublié de mettre la config pas de proxy dans mon navigateur

encore merci pour vos réponse et là maintenant je vais me foncer dans iptables

MERCIII!!!

Ça règle le problème de la navigation mais ne change pas ton souci, la résolution de nom ne se fait pas sur ta machine windows (c’est le proxy qui fait cette résolution), soit ton paramétrage DNS est mauvais, soit ça bloque.

Et d’après ce que vous pensez, est ce que iptables peuvent les faire tous, où bien il y a d’autres paramétrages à faire

Il faudrait faire un
tcpdump port 53
sur la passerelle (qui est le serveur squid si j’ai bien compris) et faire un host toto.com sur la machine windows pour voir si une requete DNS est envoyée, puis faire un host toto.com sur le proxy lui même.

ok, d’accord, je vais me mettre la-dessus
je vous informerai la suite, merci