https://www.opennet.ru/openforum/vsluhforumID10/4198.html Имеется сервер доступа в интернет для локальной сети. На нем поднята transparent-прокся (Squid)и необходимо настроить iptables для работы этой прокси, приема/отправки почты и разрешения DNS.<br><br>Интерфейсы: <br>eth0 - карточка на материке(глючит, не используется)<br>eth1 - карта, по которой подключен Интернет(выставлен DHCP)<br>eth2 - локалка(статика)<br>ppp0 - соединение с провайдером по PPPoE<br><br>Сейчас конфиг:<br>****************************************************************************************<br><br>#!/bin/sh<br><br>#<br># Конфигурация Интернет-интерфейса.<br>#<br><br>INET_IP="0/0" <br>INET_IFACE="ppp0" <br><br>#<br># Конфигурация LAN-интерфейса<br>#<br><br>LAN_IP="192.168.100.253"<br>LAN_IP_RANGE="192.168.100.0/24"<br>LAN_IFACE="eth2"<br><br>#<br># Конфигурация localhost.<br>#<br><br>LO_IFACE="lo"<br>LO_IP="127.0.0.1"<br><br>#<br># Конфигурация IPTables.<br>#<br><br>IPTABLES="iptables"<br><br>#Загрузка модулей<br>/sbin/depmod -a<br><br>#<br># Необходимые модули<br>#<br>/sbin/modprobe ip_tables<br>/sbin/modprobe ip_conntrack<br>/sbin/modprobe iptable_filter<br>/sbin/modprobe iptable_mangle https://www.opennet.ru/openforum/vsluhforumID10/4198.html#8 Wed, 25 Mar 2009 19:44:35 GMT &gt;То что идет на 80 порт в инет, мимо прокси не пройдет, <br>&gt;разве что мимо машины вообще. Все остальное пойдет через NAT, почему <br>&gt;вам уже показали. <br><br>хм... может и правда на поксю идет... тогда все гуд<br>&gt;Что значит не правельно выбирает гейт, сетевые карты eth0, eth1, eth2 меняет <br>&gt;местами ( адреса присваивает не так как задумано) - смотрите правила <br>&gt;udev. <br><br>не, с этим все верно. eth0 - вообще кабель не подключен, eth2 ghописан в /etc/network/interfaces явно и так как надо работает, eth1 - единственная карта, смотрящая наружу. Раз инет есть - значит все нормально.<br>&gt;При прописывании прокси в браузере, nat не используется и так работу nat <br>&gt;вы не проверите. <br><br>Возможно в этом все дело...<br><br><br> https://www.opennet.ru/openforum/vsluhforumID10/4198.html#7 Wed, 25 Mar 2009 15:06:16 GMT То что идет на 80 порт в инет, мимо прокси не пройдет, разве что мимо машины вообще. Все остальное пойдет через NAT, почему вам уже показали.<br>Что значит не правельно выбирает гейт, сетевые карты eth0, eth1, eth2 меняет местами ( адреса присваивает не так как задумано) - смотрите правила udev.<br>При прописывании прокси в браузере, nat не используется и так работу nat вы не проверите.<br> https://www.opennet.ru/openforum/vsluhforumID10/4198.html#6 Wed, 25 Mar 2009 14:14:28 GMT &gt;итак... кажется, разобрался почти...<br>&gt;могут почему-то ходить напрямую в Интернет<br>&gt;последняя строка явно дропает весь трафик, который не<br><br>Кажется. Не разобрался, не последняя строка, не дропает, не весь, не все-в-Интернет.<br><br>&gt;$IPTABLES -P FORWARD DROP <br><br>"Пользователей" по идее дропает это правило (политика), а не последнее...<br><br>&gt;$IPTABLES -A FORWARD -p TCP --dport 25 -j ACCEPT<br>&gt;$IPTABLES -A FORWARD -p TCP --dport 110 -j ACCEPT<br>&gt;$IPTABLES -A FORWARD -p TCP --sport 25 -j ACCEPT<br>&gt;$IPTABLES -A FORWARD -p TCP --sport 110 -j ACCEPT<br>&gt;$IPTABLES -A FORWARD -p tcp -j bad_tcp_packets <br>&gt;#$IPTABLES -A FORWARD -i $LAN_IFACE -j ACCEPT <br>&gt;#$IPTABLES -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT <br><br>А вот почему "все ходють" -- не знаю. Лениво...<br><br>См.также<br>http:/openforum/vsluhforumID1/81486.html#4 && #5<br>+про "этот скрипт" http:/openforum/vsluhforumID10/3929.html#1<br>+про "стейтфул" http:/openforum/vsluhforumID10/4075.html#6<br><br>Соберусь - накропаю "бесплатных образцов", сейчас времени нет.<br><br>&gt;$IPTABL https://www.opennet.ru/openforum/vsluhforumID10/4198.html#5 Wed, 25 Mar 2009 12:06:09 GMT итак... кажется, разобрался почти... вот стаким конфигом все работает, но пользователи могут почему-то ходить напрямую в Интернет минуя проксю, хотя последняя строка явно дропает весь трафик, который не подходит под правила.<br>************************************************************<br>#!/bin/sh<br><br>#<br># Конфигурация Интернет-интерфейса.<br>#<br><br>INET_IP="0/0" #Ваш внешний IP - если динамический - то 0/0<br>INET_IFACE="ppp0" #Ваш интерфейс в интернет (ppp,ippp,eth)<br>#INET_BROADCAST="212.96.100.255" #Броадкаст(нужен, если есть статический ip в интернет)<br><br>#<br># Конфигурация LAN-интерфейса<br>#<br><br>LAN_IP="192.168.100.253"<br>LAN_IP_RANGE="192.168.100.0/24"<br>LAN_IFACE="eth2"<br><br>#<br># Конфигурация localhost.<br>#<br><br>LO_IFACE="lo"<br>LO_IP="127.0.0.1"<br><br>#<br># Конфигурация IPTables.<br>#<br><br>IPTABLES="iptables"<br><br>#Загрузка модулей<br>/sbin/depmod -a<br><br>#<br># Необходимые модули<br>#<br>/sbin/modprobe ip_tables<br>/sbin/modprobe ip_conntrack<br>/sbin/modprobe iptable_filter<br>/sbin/modprobe iptable_mangle<br>/sbin/modprobe iptable_nat<br>/sbin/modp https://www.opennet.ru/openforum/vsluhforumID10/4198.html#4 Wed, 25 Mar 2009 06:57:10 GMT &gt;iptables-save -c до и после проверки и будите видеть <br>&gt;какие правила сработали. <br><br>спасибо, посмотрю<br>&gt;tcpdump запросы от клиентов видит? <br><br>да.<br>&gt;чем проверяете? браузером? браузер настроен на работу через прокси? у клиента шлюз <br>&gt;и DNS прописан? <br><br>Браузером, пингом. Прокси прописан, шлюз и ДНС прописаны. <br>Еще имеется такая проблема, что при загрузке сервер неправильно выбирает гейт. По дефолту он выбирает карточку локальной сети. Если переподключить инет и -опустить-поднять интерфейсы, то гейт выбирается верно. Но даже когда сам начинает видеть инет, клиенты инет не видят. Веб после шаманства с роутингом начинает работать, а вот почта не ходит...<br><br><br> https://www.opennet.ru/openforum/vsluhforumID10/4198.html#3 Tue, 24 Mar 2009 17:34:15 GMT &gt;&gt;так а что не работает, как проверяете, как клиент настроен? <br>&gt;&gt;<br>&gt;&gt;если не ошибаюсь, то havp не работает в прозрачном режиме. <br>&gt;<br>&gt;С самогtcpо шлюза инет есть, а с клиентов - нет. Судя по <br>&gt;tcpdump маскарадинг не работает. <br>&gt;Про havp спасибо. <br><br>уверены? <br>iptables-save -c до и после проверки и будите видеть какие правила сработали.<br>tcpdump запросы от клиентов видит?<br>чем проверяете? браузером? браузер настроен на работу через прокси? у клиента шлюз и DNS прописан?<br> https://www.opennet.ru/openforum/vsluhforumID10/4198.html#2 Tue, 24 Mar 2009 17:00:39 GMT &gt;так а что не работает, как проверяете, как клиент настроен? <br>&gt;<br>&gt;если не ошибаюсь, то havp не работает в прозрачном режиме. <br><br>С самого шлюза инет есть, а с клиентов - нет. Судя по tcpdump маскарадинг не работает.<br>Про havp спасибо.<br> https://www.opennet.ru/openforum/vsluhforumID10/4198.html#1 Tue, 24 Mar 2009 09:42:44 GMT так а что не работает, как проверяете, как клиент настроен?<br><br>если не ошибаюсь, то havp не работает в прозрачном режиме.<br>