https://www.opennet.ru/openforum/vsluhforumID1/94783.html Доброе время суток!<br>Имеется шлюз с Centos 6.4. На котором стоит Squid.<br>Правила iptables:<br><br>#!/bin/bash<br><br>ip_tables="/sbin/iptables"<br><br>lan="eth1"<br>rtelecom="eth0"<br>spark="eth2"<br><br>$ip_tables -F -t filter #Очищаем все таблицы<br>$ip_tables -F -t nat<br>$ip_tables -F -t mangle<br><br>$ip_tables -X # Удаляем все пользовательские цепочки<br><br>$ip_tables -P INPUT DROP # поликика по умолчанию<br>$ip_tables -P OUTPUT ACCEPT<br>$ip_tables -P FORWARD DROP<br><br><br>$ip_tables -A INPUT -i lo -p all -j ACCEPT<br>$ip_tables -A OUTPUT -o lo -p all -j ACCEPT<br>$ip_tables -A INPUT -i tun+ -j ACCEPT<br>$ip_tables -A FORWARD -i tun+ -j ACCEPT<br>$ip_tables -A INPUT -i tap+ -j ACCEPT<br>$ip_tables -A FORWARD -i tap+ -j ACCEPT<br>$ip_tables -A INPUT -i br+ -j ACCEPT<br>$ip_tables -A FORWARD -i br+ -j ACCEPT<br><br><br>$ip_tables -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT<br>$ip_tables -A INPUT -p tcp -i $lan --dport 22 -m state --state NEW -j ACCEPT #ssh<br>$ip_tables -A INPUT -p tcp -i $lan --dport 3131 -m state --state NEW -j ACCEPT #squid<br>$ip_ta https://www.opennet.ru/openforum/vsluhforumID1/94783.html#8 Wed, 26 Jun 2013 04:33:21 GMT Вдогонку. А "команда" service в RH-дистрибутивах всего лишь шелл-скрипт, используемый в качестве фронтэнда для запуска скриптов служб в директории /etc/init.d. Не более того.<br> https://www.opennet.ru/openforum/vsluhforumID1/94783.html#7 Wed, 26 Jun 2013 04:25:30 GMT &gt; Если же Ваш скрипт запускается через rc.local, то могу сказать что это <br>&gt; большая дыра.<br><br> С этого места можно поподробнее? А то мужики-то и не знали про "дыру". <br><br><br> https://www.opennet.ru/openforum/vsluhforumID1/94783.html#6 Tue, 25 Jun 2013 18:58:14 GMT &gt;[оверквотинг удален]<br>&gt; $ip_tables -A FORWARD -p udp -i $lan -s 192.168.100.0/22 --dport 53 -m <br>&gt; state --state NEW -j ACCEPT <br>&gt; $ip_tables -A FORWARD -p tcp -i $lan -s 192.168.100.0/22 --dport 53 -m <br>&gt; state --state NEW -j ACCEPT <br>&gt; $ip_tables -A FORWARD -p tcp -i $lan -s 192.168.100.0/22 --dport 23 -m <br>&gt; state --state NEW -j ACCEPT <br>&gt; $ip_tables -A FORWARD -p icmp -m state --state NEW -j ACCEPT <br>&gt; $ip_tables -t nat -A POSTROUTING -s 192.168.100.0/22 -j MASQUERADE <br>&gt; Проблема в следующем, на клиентских машинах браузер работает даже без указания прокси. <br>&gt; Как эту проблему можно решить?<br><br>Вроде ничего не увидел криминального, но все равно, как разберетесь, прочтите документацию по управлению правилами iptables в дистрах основанных на RedHat. <br>Есть команда service iptables (restart&#124;start&#124;stop&#124;reload&#124;save)<br>также есть файл /etc/sysconfig/iptables.config в котором можно включить необходимые опции. Ну и пользоваться именно через команду service<br>Если же Ваш скрипт запускается ч https://www.opennet.ru/openforum/vsluhforumID1/94783.html#5 Tue, 25 Jun 2013 15:46:22 GMT Клиенты точно приходят с lan, а не с tun или tap?<br>Покажите #iptables -nL FORWARD<br><br><br> https://www.opennet.ru/openforum/vsluhforumID1/94783.html#4 Tue, 25 Jun 2013 13:47:55 GMT &gt; вообще то у ТС политика по дефолту DROP и явного разрешения на 80/443 нет <br><br>да, вижу, просмотрел<br> https://www.opennet.ru/openforum/vsluhforumID1/94783.html#3 Tue, 25 Jun 2013 13:34:29 GMT &gt;&gt; Проблема в следующем, на клиентских машинах браузер работает даже без указания прокси.<br>&gt;&gt; Как эту проблему можно решить?<br>&gt; так форвард на 80, 443-й порт у вас не запрещен. <br><br>вообще то у ТС политика по дефолту DROP и явного разрешения на 80/443 нет<br><br>&gt; В конце цепочки FORWARD сделайте reject всего что не разрешено выше.<br><br>более правильно сделать политику по умолчанию DROP<br> https://www.opennet.ru/openforum/vsluhforumID1/94783.html#2 Tue, 25 Jun 2013 13:31:17 GMT &gt; Проблема в следующем, на клиентских машинах браузер работает даже без указания прокси. <br>&gt; Как эту проблему можно решить?<br><br>так форвард на 80, 443-й порт у вас не запрещен. В конце цепочки FORWARD сделайте reject всего что не разрешено выше. <br> https://www.opennet.ru/openforum/vsluhforumID1/94783.html#1 Tue, 25 Jun 2013 12:01:28 GMT &gt; $ip_tables -t nat -A POSTROUTING -s 192.168.100.0/22 -j MASQUERADE <br>&gt; Проблема в следующем, на клиентских машинах браузер работает даже без указания прокси. <br>&gt; Как эту проблему можно решить?<br><br>Доброе.<br><br>последнее правило делает NAT для всей 100.0/22 сети. Или убрать, или заменить на нужное<br>