跪求！让squid能用，防火墙iptables要开什么端口啊啊？

pxczy

服务器开了防火墙以后客户端就不能访问网页了，不开防火墙就能正常访问

下面是我防火墙的设置，我只设置了filter表，其他的表都是空的

[root@localhost ~]# iptables -vL
Chain INPUT (policy ACCEPT 2008 packets, 279K bytes)
pkts bytes target     prot opt in     out     source               destination
    0     0 ACCEPT     udp  --  any    any     anywhere             anywhere            udp dpt:domain
2824  207K ACCEPT     tcp  --  any    any     anywhere             anywhere            tcp dpt:ssh
1083  222K ACCEPT     tcp  --  any    any     anywhere             anywhere            tcp dpt:squid
    2   100 ACCEPT     tcp  --  lo     any     anywhere             anywhere
5966  601K REJECT     all  --  any    any     anywhere             anywhere            reject-with icmp-port-unreachable

Chain FORWARD (policy ACCEPT 0 packets, 0 bytes)
pkts bytes target     prot opt in     out     source               destination

Chain OUTPUT (policy ACCEPT 7642 packets, 1636K bytes)
pkts bytes target     prot opt in     out     source               destination


如果我加一条 ACCEPT     tcp  --  eth0     any     anywhere             anywhere，也是可以一切正常

第一条计数是0KB,怪怪的。。。

实在是在不知道怎么回事了，疯了要。还请大侠和版主帮帮我

[ 本帖最后由 pxczy 于 2009-8-19 09:15 编辑 ]

ziggler

看看SQUID用的是哪些端口。SQUID的代理端口8080,3128

pxczy

原帖由 ziggler 于 2009-8-18 22:58 发表
看看SQUID用的是哪些端口。SQUID的代理端口8080,3128

谢谢ziggler，我用的是默认的3128，已经在防火墙上打开了。除了这个3128，还要开什么端口吗？我听网上说要开53的DNS端口，我也开了，还是不行啊

ziggler

netstat -a看看还开了哪些端口。

8080没有放？

一刀砍死

80也开了吧

pxczy

原帖由 ziggler 于 2009-8-19 09:16 发表
netstat -a看看还开了哪些端口。

8080没有放？

原帖由 一刀砍死 于 2009-8-19 10:04 发表
80也开了吧

谢谢两位。8080和80我现在开了还是不行

[root@localhost ~]# iptables -vL
Chain INPUT (policy ACCEPT 2008 packets, 279K bytes)
pkts bytes target     prot opt in     out     source               destination
    0     0 ACCEPT     tcp  --  any    any     anywhere             anywhere            tcp dpt:webcache
    0     0 ACCEPT     tcp  --  any    any     anywhere             anywhere            tcp dpt:http
    0     0 ACCEPT     udp  --  any    any     anywhere             anywhere            udp dpt:domain
4705  304K ACCEPT     tcp  --  any    any     anywhere             anywhere            tcp dpt:ssh
1343  269K ACCEPT     tcp  --  any    any     anywhere             anywhere            tcp dpt:squid
    2   100 ACCEPT     tcp  --  lo     any     anywhere             anywhere
9698  994K REJECT     all  --  any    any     anywhere             anywhere            reject-with icmp-port-unreachable

Chain FORWARD (policy ACCEPT 0 packets, 0 bytes)
pkts bytes target     prot opt in     out     source               destination

Chain OUTPUT (policy ACCEPT 12024 packets, 2387K bytes)
pkts bytes target     prot opt in     out     source               destination


我的netstat -an是这样的


[root@localhost ~]# netstat -an

Proto Recv-Q Send-Q Local Address               Foreign Address             State
tcp        0      0 127.0.0.1:2208              0.0.0.0:*                   LISTEN
tcp        0      0 0.0.0.0:832                 0.0.0.0:*                   LISTEN
tcp        0      0 0.0.0.0:111                 0.0.0.0:*                   LISTEN
tcp        0      0 127.0.0.1:631               0.0.0.0:*                   LISTEN
tcp        0      0 0.0.0.0:3128                0.0.0.0:*                   LISTEN
tcp        0      0 127.0.0.1:2207              0.0.0.0:*                   LISTEN
tcp        0      0 :::22                       :::*                        LISTEN
tcp        0      0 ::ffff:192.168.3.209:22     ::ffff:192.168.3.12:3509    ESTABLISHED
tcp        0      0 ::ffff:192.168.3.209:22     ::ffff:192.168.3.12:2931    ESTABLISHED
tcp        0      0 ::ffff:192.168.3.209:22     ::ffff:192.168.3.12:2088    ESTABLISHED
udp        0      0 0.0.0.0:37378               0.0.0.0:*
udp        0      0 0.0.0.0:3130                0.0.0.0:*
udp        0      0 0.0.0.0:826                 0.0.0.0:*
udp        0      0 0.0.0.0:829                 0.0.0.0:*
udp        0      0 0.0.0.0:56017               0.0.0.0:*
udp        0      0 0.0.0.0:5353                0.0.0.0:*
udp        0      0 0.0.0.0:111                 0.0.0.0:*
udp        0      0 0.0.0.0:631                 0.0.0.0:*
udp        0      0 :::48671                    :::*
udp        0      0 :::5353                     :::*

[ 本帖最后由 pxczy 于 2009-8-19 11:35 编辑 ]

platinum

你需要允许其他机器访问你的 TCP/3128 端口
如果做透明代理的话，还需要对 TCP/80 做端口转向

这样，你把目前 "iptables-save -c" 的执行结果贴一下

一刀砍死

还是白金版主有耐心，

1.首先你要弄清楚你的squid到底担任什么角色？
2.客户端通过什么端口或方式使用你的squid？
3.iptables停用时客户端是否正常？
4.iptables启用时，从客户端telnet squid的端口能否成功？
5.如果以上都没问题检查就ACL和log

pxczy

谢谢platinum，一刀砍死。  自己解决了。。。其实是iptables规则少了，加了两个状态允许

奇怪了，为何进，出我都允许了还是不行，一定要设状态才可以

[ 本帖最后由 pxczy 于 2009-8-20 15:52 编辑 ]

pxczy

最终还是明白了。。。不设两个状态也行，不过必须开源端口为80，源端口为53的两条规则。其实这个是iptables的问题了，发错地方了