https://slinkov.ru/openforum/vsluhforumID12/4886.html Добрый день!<br>Понимаю, что подобные темы уже были и по поиску я с ними ознакомился. Но тем не менее...сам я больше пока программист, чем админ, не могу разобраться до конца...<br>Есть шлюз на ASP Linux 9 с двумя картами - eth0 смотрит на провайдера, eth1 в локалку с 192.168.1.х. Из локалки в инет пользователи ходят через SQUID 2.5-STABLE4, на порту 8080. Поверх сквида еще стоит SAMS для управления трафиком пользователей.<br>Потребовалось поставить банк клиент, банковские админы сказали, что нужно открыть порты 1239, 1240 и 389, а также ip xxx.xx.xxx.xx и адрес yyy.yyy.ru.<br>Просто добавил эти порты в SSL_ports, перезапустил сквид. Пытаюсь делать telnet xxx.xx.xxx.xx 1249 - "Не удается подключиться к узлу на порт 1249 : Сбой подключения". С остальными портами тоже самое.<br>Кроме того, через SQUID и пинги не ходят вообще... Почему?<br>С сервера все телнетится.<br><br>Прочитал, что можно решить проболему с помошью iptables, делаю:<br><br>iptables -t -nat -A POSTROUTING -p tcp -o eth0 -s 192.168.1.21 -m multiport --destination-p https://slinkov.ru/openforum/vsluhforumID12/4886.html#12 Wed, 02 Dec 2009 23:30:10 GMT &gt;[оверквотинг удален]<br>&gt;ACCEPT <br>&gt;<br>&gt;открыл в сквиде порт <br>&gt;<br>&gt;acl bank port 1750 <br>&gt;acl bank src 192.103.103.34/255.255.255.255 #bank <br>&gt;http_access allow bank <br>&gt;acl CONNECT method CONNECT <br>&gt;<br>&gt;не помогает <br><br>Понимаю, что пост старый, ответ автору уже скорее всего не нужне, но может кому другому пригодится =)<br>Не верно взята цепочка iptables, нужно было взять цепочку FORWARD, предварительно задействовав возможность натинга в iptables командой echo 1 &gt; /proc/sys/net/ipv4/ip_forwarding(если не изменяет память) или же судя по выше приведенному примеру нужно настроить программу клиент на использование нашего прокси сервера, в этом случаем использование цепочки input было бы верным, по поводу настройки сквида сказать ничего не могу, сейчас нет возможности в ман заглянуть.<br><br> https://slinkov.ru/openforum/vsluhforumID12/4886.html#11 Mon, 28 Jul 2008 14:00:45 GMT &gt;о! кажется, сам себе и отвечаю: <br>&gt;добавил <br>&gt;-p tcp -m multiport --destination-ports 1239,1240,389 -d xxx.xx.xxx.xx <br><br>вернее, у меня есть банковский клиент, который обращается по TCP порту 1750, вроде открыл порт iptables -A INPUT -p tcp --dport 1750 -j ACCEPT<br><br>открыл в сквиде порт<br><br>acl bank port 1750<br>acl bank src 192.103.103.34/255.255.255.255 #bank<br>http_access allow bank<br>acl CONNECT method CONNECT<br><br>не помогает<br> https://slinkov.ru/openforum/vsluhforumID12/4886.html#10 Mon, 28 Jul 2008 13:51:05 GMT &gt;о! кажется, сам себе и отвечаю: <br>&gt;добавил <br>&gt;-p tcp -m multiport --destination-ports 1239,1240,389 -d xxx.xx.xxx.xx <br><br>мучаюсь такой же проблемой, подскажите, что и как сделать? :)<br> https://slinkov.ru/openforum/vsluhforumID12/4886.html#9 Fri, 11 May 2007 09:50:11 GMT о! кажется, сам себе и отвечаю:<br>добавил <br>-p tcp -m multiport --destination-ports 1239,1240,389 -d xxx.xx.xxx.xx<br><br> https://slinkov.ru/openforum/vsluhforumID12/4886.html#8 Fri, 11 May 2007 09:37:16 GMT &gt;В помощь генератор правил iptables в онлайн - http://easyfwgen.morizot.net/gen/ <br><br>Еще раз спасибо. Прочитал доку по iptables частично, до конца не осилил, но результат уже есть. Пока еще не осознал, насколько я правильно все сделал, но в итоге все решилось одной строчкой:<br><br>iptables -t nat -A POSTROUNTING -j MASQUERADE -s 192.168.1.21 -o eth0<br><br>Порты телнетятся, пинги ходят :)<br>Еще насколько я понимаю, следует перенаправить весь инет-трафик на SQUID (у меня порт 8080) и окончательно настроить прозрачный прокси. Но и сейчас без перенаправления получается, что сквидовские правила все равно работают, режут мр3 и порно (на клиенте 192.168.1.21). <br>В идеале нужно добиться, чтобы для клиента нат работал только при обращении на нужные хосты и порты. <br><br>В общем, поправьте плиз, если я не где-то прав. <br><br> https://slinkov.ru/openforum/vsluhforumID12/4886.html#7 Fri, 11 May 2007 05:49:15 GMT &gt;&gt;Понимать это слудует так, что поддержка в ядре айпитаблеса у вас включена <br>&gt;&gt;модулями и потому их нужно грузить ручками , например для NAT: <br>&gt;&gt;<br>&gt;&gt;/sbin/modprobe ip_tables <br>&gt;&gt;/sbin/modprobe iptable_nat <br>&gt;&gt;модулей несколько для разных целей. А лучше пересоберите ядро и включите всё, <br>&gt;&gt;что там касается для iptables. Прочтите документацию для iptables <br>&gt;<br>&gt;Понятно, спасибо. Документацию читаю. <br>&gt;Ядро пересобрать вряд ли смогу, недостаточно знаний для этого, боязно грохнуть инет <br>&gt;для всей конторы. <br>В помощь генератор правил iptables в онлайн - http://easyfwgen.morizot.net/gen/<br><br> https://slinkov.ru/openforum/vsluhforumID12/4886.html#6 Fri, 11 May 2007 03:07:21 GMT &gt;Понимать это слудует так, что поддержка в ядре айпитаблеса у вас включена <br>&gt;модулями и потому их нужно грузить ручками , например для NAT: <br>&gt;<br>&gt;/sbin/modprobe ip_tables <br>&gt;/sbin/modprobe iptable_nat <br>&gt;модулей несколько для разных целей. А лучше пересоберите ядро и включите всё, <br>&gt;что там касается для iptables. Прочтите документацию для iptables <br><br>Понятно, спасибо. Документацию читаю. <br>Ядро пересобрать вряд ли смогу, недостаточно знаний для этого, боязно грохнуть инет для всей конторы.<br> https://slinkov.ru/openforum/vsluhforumID12/4886.html#5 Fri, 11 May 2007 02:54:38 GMT &gt;&gt;iptables v1.2.7a: can't initialize iptables table '-nat': Table does not exist (do <br>&gt;&gt;you need to insmode?) <br>&gt;&gt;Perhaps iptables or your kernel need to be upgraded. <br>&gt;какое слово перевести? <br>&gt;&gt;как это понять? <br>&gt;<br>&gt;возможно это поможет http://www.opennet.ru/docs/RUS/iptables/ <br><br>Спасибо, читаю. Как раз нашел описание этой проблемы в приложении. Но только все равно не пойму вот чего.<br>Проверяю наличие таблиц nat:<br>iptables -t nat -L<br>в ответ получаю:<br><br>Chain PREROUTING (policy ACCEPT)<br>target prot opt source destination<br><br>Chain POSTROUTING (policy ACCEPT)<br>target prot opt source destination<br><br>Chain OUTPUT (policy ACCEPT)<br>target prot opt source destination<br><br>То есть таблица есть. Но добавлять в нее все равно не добавляет. https://slinkov.ru/openforum/vsluhforumID12/4886.html#4 Fri, 11 May 2007 02:49:38 GMT &gt;&gt;Настраивайте НАТ. <br>&gt;Пробовал, в силу недостатка знаний пока проблемы. <br>&gt;даю команду: <br>&gt;iptables -t -nat -A POSTROUTING -p tcp -o eth0 -s 192.168.1.21 -m <br>&gt;multiport --destination-ports 1239,1240,389 -j MASQERADE <br>&gt;<br>&gt;в ответ получаю: <br>&gt;iptables v1.2.7a: can't initialize iptables table '-nat': Table does not exist (do <br>&gt;you need to insmode?) <br>&gt;Perhaps iptables or your kernel need to be upgraded. <br>&gt;<br>&gt;как это понять? <br>Понимать это слудует так, что поддержка в ядре айпитаблеса у вас включена модулями и потому их нужно грузить ручками , например для NAT: <br>/sbin/modprobe ip_tables<br>/sbin/modprobe iptable_nat<br>модулей несколько для разных целей. А лучше пересоберите ядро и включите всё, что там касается для iptables. Прочтите документацию для iptables<br><br><br>