[问题求助][CentOS] NAT+dansguardian无法web过滤？ [复制链接]

我两张网卡.：eth0:192.168.0.203 . eth1:192.168.1.203

拓扑：clientA.(192.168.1.x)---->(eth1:192.168.1.203)路由(NAT+SQUID+dan.sguardian)(eth0:192.168.0.203).---->WEB server(192.168.0.62).

dansguardian是一个web过滤工具必须结合代理服务器(我采用的squid，监听3128端口)。其地址：http://dansguardian.org/    美容
我设置dansguardia.n监听80端口，凡是通.过80端口的数据都会被过滤一下。    美容

我的iptables .脚本1：           女人
  echo 1 .>. /proc/sys/net/ipv4/ip_forward电脑

   /sbin/iptables -t nat -A P.REROUTING -.p tcp -d 192.168..1.203 --dport 80 -j DNAT --to-destination 192.168.0.62:80              乙肝

   /sbin/iptables -t nat -A PO.STROUTING -.p tcp -d. 192.168.0.62 -j SNAT -- to-source 192.168.0.203.
复制代码

脚本2：
   .echo 1 > /proc/sys/net/ipv4/ip_forward.服务器

. /sbi.n/iptables -.t nat -A PREROUTING -p tcp --dport 80 -j REDIRECT --to-port 80.

  /sbin/iptables -t nat -A. PREROUTING -p tcp .-d 192.168.1.203 --dport 80 -j DNAT --to-destination. 192.168.0.62:80域名

  /sbin/iptables -t nat -A POSTROUTING. -p tcp -d 192.1.68.0.62 -j .SNAT -- to-source 192.168.0.203.
复制代码

脚本1或脚.本2都无法让dansguardian的进行有效的过.滤，我不知道原因，请各位帮忙看一下。教育
谢谢大家了

我来回答

  /sbin/iptables -t nat -A PREROUTING -p tcp --dport 80 -j REDIRECT --to-port 80

  /sbin/iptables -t nat -A PREROUTING -p tcp -d 192.168.1.203 --dport 80 -j DNAT --to-destination 192.168.0.62:80
复制代码
将 TCP/80 转到 TCP/80 上，难道不会无穷递归吗？

我没用过dansguardian，但是这个是否工作在应用曾呢，而防火墙转发工作应该在3层？

QUOTE:原帖由 platinum 于 2008-3-12 14:33 发表

  /sbin/iptables -t nat -A PREROUTING -p tcp --dport 80 -j REDIRECT --to-port 80
  /sbin/iptables -t nat -A PREROUTING -p tcp -d 192.168.1.203 --dport 80 -j DNAT --to-destination 192.168.0.62: ...


会吗？我认为不会

1. dansguardian必须使用squid或者其他web proxy做cache，你确定你的dansguardian配置没有问题吗？

2. dansguardian干吗非要监听80，8888. 8765，啥的都比 80 to 80 好理解

3. (eth1:192.168.1.203)是你的路由出口吗？-p tcp -d 192.168.1.203这句话怎么可能生效呢？在这句话之前你没做NAT，路由能改目的IP吗？

4. 你的拓扑实在理解不了，太费解了

5. dansguardian架在IP包出口上，如果编译时指定了查毒，自己再去配置一下查毒的东西，大部分是ClamAV，另外，squid或者tinyproxy都可以和dansguardian搭配使用，配置好后，主要去配置dansguardian的list文件就可以了

1.dansguardian配置没问题
2.不好意思，可以修改为8080
3.假设为firewall吧，假设的内网是192.168.0.0/24的网段，外网假设为192.168.1.0/24的网段。
4.拓扑:假设外网（为192.168.1.0/24的网段）机子想访问WEB SERVER（192.168.0.62），它必须访问firewall（192.168.1.203）由它做NAT到WEB SERVER
5.没考虑防毒

先用iptables配合 squid 做个透传（proxy版面一抓一大把这类文章，然后用dansguardian监控squid的port就可以了，比如3128 port）

QUOTE:原帖由 ballball2 于 2008-3-13 09:28 发表
1.dansguardian配置没问题
2.不好意思，可以修改为8080
3.假设为firewall吧，假设的内网是192.168.0.0/24的网段，外网假设为192.168.1.0/24的网段。
4.拓扑:假设外网（为192.168.1.0/24的网段）机子想访问WE ...



192.168.1.203上dansguardian的log你看没看，you configure path/access.log，看看access.log里面有没有访问记录，如果没有，说明配置还是有问题，如果有，但是没有产生过滤效果，那说明list的配置有问题

QUOTE:原帖由 skylove 于 2008-3-13 09:33 发表
先用iptables配合 squid 做个透传（proxy版面一抓一大把这类文章，然后用dansguardian监控squid的port就可以了，比如3128 port）

squid是做的透明代理啊

QUOTE:原帖由 liuzhuan23 于 2008-3-13 10:05 发表



192.168.1.203上dansguardian的log你看没看，you configure path/access.log，看看access.log里面有没有访问记录，如果没有，说明配置还是有问题，如果有，但是没有产生过滤效果，那说明list的配置有问题

有日志，但是返回的是squid的错误页面。dansguardian的配置应该没问题