forum.opennet.ru - "iptables + squid" (9)

форумы

помощь

поиск

регистрация

майллист

вход/выход

слежка

"iptables + squid"

Форумы OpenNET: Виртуальная конференция (Public)
Вариант для распечатки		Пред. тема \| След. тема
Изначальное сообщение		[Проследить за развитием треда]

"iptables + squid"
Сообщение от leger (ok) on 04-Дек-07, 16:36
добрый день. есть такая проблема. обчитавшись мануала по iptables и не поняв некоторых ключевых моментов прошу помощи по такому вопросу. есть сервер, в котором нужно заменить выход в инет с прямого через iptables на выход через прокси. есть конфиг для iptables, который должен закрыть все, кроме самого squid на 3128 порту, должен остаться 25-ый порт, 110-ый, 22-ой. интерфейсы: eth2 - локальный (192.168.106.1), eth0 - смотрит во внешний мир. конфиг: iptables -F iptables -X iptables -t nat -F iptables -t nat -X # Setting default filter policy iptables -P INPUT DROP iptables -P OUTPUT ACCEPT # Unlimited access to loop back iptables -A INPUT -i lo -j ACCEPT iptables -A OUTPUT -o lo -j ACCEPT iptables -A INPUT -i eth2 -m state --state ESTABLISHED,RELATED -j ACCEPT iptables -A INPUT -p TCP --dport 25 -i eth0 -j ACCEPT iptables -A INPUT -p TCP --dport 110 -i eth0 -j ACCEPT iptables -A INPUT -p TCP --dport 22 -i eth0 -j ACCEPT iptables -A INPUT -p TCP --dport 3128 -i eth2 -s 192.168.106.0/24 -j ACCEPT iptables -A OUTPUT -p TCP --dport 3128 -i eth2 -s 192.168.106.0/24 -j ACCEPT iptables -A FORWARD -i eth2 -d 192.168.106.0/24 -j DROP iptables -A FORWARD -i eth2 -s 192.168.106.0/24 -j ACCEPT iptables -A FORWARD -i eth0 -d 192.168.106.0/24 -j DROP # unlimited access to LAN iptables -A INPUT -i eth2 -j ACCEPT iptables -A OUTPUT -o eth2 -j ACCEPT # DROP everything else iptables -A INPUT -j DROP вроде мне кажется, что все открыто прально, а не работает. подскиажите пож где я туплю? раньше iptables не пользовался, так получилось, что мне нужно настроить этот сервер.
Высказать мнение \| Ответить \| Правка \| Cообщить модератору

Оглавление

iptables + squid, ipmanyak, 17:25 , 04-Дек-07, (1)

iptables + squid, leger, 17:41 , 04-Дек-07, (2)

iptables + squid, angra, 19:02 , 04-Дек-07, (3)
iptables + squid, waldo, 19:03 , 04-Дек-07, (4)

iptables + squid, ALex_hha, 20:11 , 04-Дек-07, (5)

iptables + squid, leger, 14:55 , 05-Дек-07, (8)

iptables + squid, ALex_hha, 20:12 , 04-Дек-07, (6)
iptables + squid, reader, 22:22 , 04-Дек-07, (7)

iptables + squid, leger, 10:17 , 06-Дек-07, (9)

Сообщения по теме [Сортировка по времени | RSS]

1. "iptables + squid"

Сообщение от ipmanyak (??) on 04-Дек-07, 17:25

echo "1" > /proc/sys/net/ipv4/ip_forward # Включаем пересылку пакетов в ядре
Такую штуку сделал ?
В помощь Easy Firewall Generator for IPTables Online
http://easyfwgen.morizot.net/gen/

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

2. "iptables + squid"

Сообщение от leger (ok) on 04-Дек-07, 17:41

>echo "1" > /proc/sys/net/ipv4/ip_forward # Включаем пересылку пакетов в ядре
>Такую штуку сделал ?
>
>В помощь Easy Firewall Generator for IPTables Online
>http://easyfwgen.morizot.net/gen/
угу, делал. что с ней, что без нее - одно и то же.
от этого генератора вообще крышу сносит :(

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

3. "iptables + squid"

Сообщение от angra (ok) on 04-Дек-07, 19:02

Как именно не работает? Что происходит и что по вашему должно происходить.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

4. "iptables + squid"

Сообщение от waldo (??) on 04-Дек-07, 19:03

-A PREROUTING -i eth2 -p tcp -m tcp --dport 80 -j REDIRECT --to-ports 3128

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

5. "iptables + squid"

Сообщение от ALex_hha (??) on 04-Дек-07, 20:11

>-A PREROUTING -i eth2 -p tcp -m tcp --dport 80 -j REDIRECT
>--to-ports 3128
Про прозрачный прокси не было сказано ни слова

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

8. "iptables + squid"

Сообщение от leger (ok) on 05-Дек-07, 14:55

>>-A PREROUTING -i eth2 -p tcp -m tcp --dport 80 -j REDIRECT
>>--to-ports 3128
>
>Про прозрачный прокси не было сказано ни слова
угу, прозрачный прокси нельзя нам. такая политика.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

6. "iptables + squid"

Сообщение от ALex_hha (??) on 04-Дек-07, 20:12

>[оверквотинг удален]
>iptables -A FORWARD -i eth0 -d 192.168.106.0/24 -j DROP
># unlimited access to LAN
>iptables -A INPUT -i eth2 -j ACCEPT
>iptables -A OUTPUT -o eth2 -j ACCEPT
># DROP everything else
>iptables -A INPUT -j DROP
>
>вроде мне кажется, что все открыто прально, а не работает. подскиажите пож
>где я туплю? раньше iptables не пользовался, так получилось, что мне
>нужно настроить этот сервер.
Ужасный фаер, попробуй взять за образец вот это http://www.sys-adm.org.ua/system/ftp-nat.php

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

7. "iptables + squid"

Сообщение от reader (??) on 04-Дек-07, 22:22

>добрый день. есть такая проблема. обчитавшись мануала по iptables и не поняв
>некоторых ключевых моментов прошу помощи по такому вопросу.
>есть сервер, в котором нужно заменить выход в инет с прямого через
>iptables на выход через прокси. есть конфиг для iptables, который должен
>закрыть все, кроме самого squid на 3128 порту, должен остаться 25-ый
>порт, 110-ый, 22-ой.
>интерфейсы: eth2 - локальный (192.168.106.1), eth0 - смотрит во внешний мир.
>
>конфиг:
>
1
>[оверквотинг удален]
>iptables -t nat -F
>iptables -t nat -X
># Setting default filter policy
>iptables -P INPUT DROP
>iptables -P OUTPUT ACCEPT
># Unlimited access to loop back
>iptables -A INPUT -i lo -j ACCEPT
>iptables -A OUTPUT -o lo -j ACCEPT
>
>iptables -A INPUT -i eth2 -m state --state ESTABLISHED,RELATED -j ACCEPT
ниже весь вход через eth2 все равно разрешон
>iptables -A INPUT -p TCP --dport 25 -i eth0 -j ACCEPT
>iptables -A INPUT -p TCP --dport 110 -i eth0 -j ACCEPT
>iptables -A INPUT -p TCP --dport 22 -i eth0 -j ACCEPT
>iptables -A INPUT -p TCP --dport 3128 -i eth2 -s 192.168.106.0/24 -j
>ACCEPT
ниже весь вход через eth2 все равно разрешон
>iptables -A OUTPUT -p TCP --dport 3128 -i eth2 -s 192.168.106.0/24 -j
>ACCEPT
тут не правельно, в OUTPUT входящий интерфейс не указывается, но выше весь, а ниже через eth2, выход разрешон

>[оверквотинг удален]
>iptables -A FORWARD -i eth0 -d 192.168.106.0/24 -j DROP
># unlimited access to LAN
>iptables -A INPUT -i eth2 -j ACCEPT
>iptables -A OUTPUT -o eth2 -j ACCEPT
># DROP everything else
>iptables -A INPUT -j DROP
>
>вроде мне кажется, что все открыто прально, а не работает. подскиажите пож
>где я туплю? раньше iptables не пользовался, так получилось, что мне
>нужно настроить этот сервер.
на этой машине инет ,с этими правилами, работает? ответы DNS серверов приходят? с этом машины , через squid , инет есть?

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

9. "iptables + squid"

Сообщение от leger (ok) on 06-Дек-07, 10:17

>на этой машине инет, с этими правилами, работает? ответы DNS серверов приходят?
>с этом машины, через squid , инет есть?
ответы приходят. этот squid каскадный - дальше тоже идет на squid, может, ченить дальше непрально настроено? инет не пашет, браузер зависает на запросе к серверу и дальше не идет и ошибок не выдает, по крайней мере я не дождался.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить

Индекс форумов | Темы | Пред. тема | След. тема

Оцените тред (1=ужас, 5=супер)? [ 1 | 2 | 3 | 4 | 5 ] [Рекомендовать для помещения в FAQ]

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру

1. "iptables + squid"
Сообщение от ipmanyak (??) on 04-Дек-07, 17:25
echo "1" > /proc/sys/net/ipv4/ip_forward # Включаем пересылку пакетов в ядре Такую штуку сделал ? В помощь Easy Firewall Generator for IPTables Online http://easyfwgen.morizot.net/gen/
Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	2. "iptables + squid"
	Сообщение от leger (ok) on 04-Дек-07, 17:41
	>echo "1" > /proc/sys/net/ipv4/ip_forward # Включаем пересылку пакетов в ядре >Такую штуку сделал ? > >В помощь Easy Firewall Generator for IPTables Online >http://easyfwgen.morizot.net/gen/ угу, делал. что с ней, что без нее - одно и то же. от этого генератора вообще крышу сносит :(
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору

3. "iptables + squid"
Сообщение от angra (ok) on 04-Дек-07, 19:02
Как именно не работает? Что происходит и что по вашему должно происходить.
Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору

4. "iptables + squid"
Сообщение от waldo (??) on 04-Дек-07, 19:03
-A PREROUTING -i eth2 -p tcp -m tcp --dport 80 -j REDIRECT --to-ports 3128
Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	5. "iptables + squid"
	Сообщение от ALex_hha (??) on 04-Дек-07, 20:11
	>-A PREROUTING -i eth2 -p tcp -m tcp --dport 80 -j REDIRECT >--to-ports 3128 Про прозрачный прокси не было сказано ни слова
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	8. "iptables + squid"
	Сообщение от leger (ok) on 05-Дек-07, 14:55
	>>-A PREROUTING -i eth2 -p tcp -m tcp --dport 80 -j REDIRECT >>--to-ports 3128 > >Про прозрачный прокси не было сказано ни слова угу, прозрачный прокси нельзя нам. такая политика.
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору

6. "iptables + squid"
Сообщение от ALex_hha (??) on 04-Дек-07, 20:12
>[оверквотинг удален] >iptables -A FORWARD -i eth0 -d 192.168.106.0/24 -j DROP ># unlimited access to LAN >iptables -A INPUT -i eth2 -j ACCEPT >iptables -A OUTPUT -o eth2 -j ACCEPT ># DROP everything else >iptables -A INPUT -j DROP > >вроде мне кажется, что все открыто прально, а не работает. подскиажите пож >где я туплю? раньше iptables не пользовался, так получилось, что мне >нужно настроить этот сервер. Ужасный фаер, попробуй взять за образец вот это http://www.sys-adm.org.ua/system/ftp-nat.php
Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору

7. "iptables + squid"
Сообщение от reader (??) on 04-Дек-07, 22:22
>добрый день. есть такая проблема. обчитавшись мануала по iptables и не поняв >некоторых ключевых моментов прошу помощи по такому вопросу. >есть сервер, в котором нужно заменить выход в инет с прямого через >iptables на выход через прокси. есть конфиг для iptables, который должен >закрыть все, кроме самого squid на 3128 порту, должен остаться 25-ый >порт, 110-ый, 22-ой. >интерфейсы: eth2 - локальный (192.168.106.1), eth0 - смотрит во внешний мир. > >конфиг: > 1 >[оверквотинг удален] >iptables -t nat -F >iptables -t nat -X ># Setting default filter policy >iptables -P INPUT DROP >iptables -P OUTPUT ACCEPT ># Unlimited access to loop back >iptables -A INPUT -i lo -j ACCEPT >iptables -A OUTPUT -o lo -j ACCEPT > >iptables -A INPUT -i eth2 -m state --state ESTABLISHED,RELATED -j ACCEPT ниже весь вход через eth2 все равно разрешон >iptables -A INPUT -p TCP --dport 25 -i eth0 -j ACCEPT >iptables -A INPUT -p TCP --dport 110 -i eth0 -j ACCEPT >iptables -A INPUT -p TCP --dport 22 -i eth0 -j ACCEPT >iptables -A INPUT -p TCP --dport 3128 -i eth2 -s 192.168.106.0/24 -j >ACCEPT ниже весь вход через eth2 все равно разрешон >iptables -A OUTPUT -p TCP --dport 3128 -i eth2 -s 192.168.106.0/24 -j >ACCEPT тут не правельно, в OUTPUT входящий интерфейс не указывается, но выше весь, а ниже через eth2, выход разрешон >[оверквотинг удален] >iptables -A FORWARD -i eth0 -d 192.168.106.0/24 -j DROP ># unlimited access to LAN >iptables -A INPUT -i eth2 -j ACCEPT >iptables -A OUTPUT -o eth2 -j ACCEPT ># DROP everything else >iptables -A INPUT -j DROP > >вроде мне кажется, что все открыто прально, а не работает. подскиажите пож >где я туплю? раньше iptables не пользовался, так получилось, что мне >нужно настроить этот сервер. на этой машине инет ,с этими правилами, работает? ответы DNS серверов приходят? с этом машины , через squid , инет есть?
Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	9. "iptables + squid"
	Сообщение от leger (ok) on 06-Дек-07, 10:17
	>на этой машине инет, с этими правилами, работает? ответы DNS серверов приходят? >с этом машины, через squid , инет есть? ответы приходят. этот squid каскадный - дальше тоже идет на squid, может, ченить дальше непрально настроено? инет не пашет, браузер зависает на запросе к серверу и дальше не идет и ошибок не выдает, по крайней мере я не дождался.
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору

Архив \| Удалить	Индекс форумов \| Темы \| Пред. тема \| След. тема
Оцените тред (1=ужас, 5=супер)? [ 1 \| 2 \| 3 \| 4 \| 5 ] [Рекомендовать для помещения в FAQ]