forum.opennet.ru - "iptables + transparent + пустить пару машин прямо" (6)

форумы

помощь

поиск

регистрация

майллист

ВХОД

слежка

"iptables + transparent + пустить пару машин прямо"

Форумы Информационная безопасность (Public)
Вариант для распечатки		Пред. тема \| След. тема
Изначальное сообщение		[Проследить за развитием треда]

"iptables + transparent + пустить пару машин прямо"
Сообщение от _RAW_ (ok) on 25-Фев-05, 16:30 (MSK)
После перестройки системы на новое ядро и переход с ipchains на iptables, с помощью нехитрых комбинаций, настроил проксирование трафика по 80 порту через сквид. пара следующих правил из таблицы nat -A PREROUTING -i eth0 -p tcp -m tcp -d ! 10.0.0.0/255.0.0.0 --dport 80 -j REDIRECT --to-ports 3128 -A POSTROUTING -s 10.4.253.0/255.255.255.0 -o eth1 -j MASQUERADE которые пробрасывают весь трафик идущий 80 порт (кроме того что обращен в адресное пространство корпоративной сети) на разбор сквида. А теперь мне надо сделать исключение из этого правила скажем для моей машины с адресом 10.4.253.100, дабы я мог ходить в интернет не через сквид, а напрямую. Помогите сформировать правило...
	Правка \| Высказать мнение \| Ответить \| Рекомендовать в FAQ \| Cообщить модератору \| Наверх

Оглавление

iptables + transparent + пустить пару машин прямо, Alexey Morozov, 16:46 , 25-Фев-05, (1)
- iptables + transparent + пустить пару машин прямо, _RAW_, 16:56 , 25-Фев-05, (2)
  - iptables + transparent + пустить пару машин прямо, Alexey Morozov, 17:32 , 25-Фев-05, (3)
    - iptables + transparent + пустить пару машин прямо, _RAW_, 11:23 , 01-Мрт-05, (4)
      - iptables + transparent + пустить пару машин прямо, _RAW_, 12:02 , 01-Мрт-05, (5)
        
        iptables + transparent + пустить пару машин прямо, Dimez, 17:48 , 11-Мрт-05, (6)

Индекс форумов | Темы | Пред. тема | След. тема

Сообщения по теме

1. "iptables + transparent + пустить пару машин прямо"

Сообщение от Alexey Morozov on 25-Фев-05, 16:46  (MSK)

Ну наверное изменить первую строчку
-A PREROUTING -i eth0 -p tcp -m tcp -s ! 10.4.253.100/255.255.255.255 -d ! 10.0.0.0/255.0.0.0 --dport 80 -j REDIRECT --to-ports 3128

Удалить Правка | Высказать мнение | Ответить | Рекомендовать в FAQ | Cообщить модератору | Наверх

2. "iptables + transparent + пустить пару машин прямо"

Сообщение от _RAW_ (ok) on 25-Фев-05, 16:56  (MSK)

>-A PREROUTING -i eth0 -p tcp -m tcp -s ! 10.4.253.100/255.255.255.255 -d
>! 10.0.0.0/255.0.0.0 --dport 80 -j REDIRECT --to-ports 3128
Правило подходит для выставления только одной машины. Видимо некорректно задал вопрос...
Хорошо, поставим вопрос по другому :)
Выставить в обход сквида машины 10.4.253.100, 10.4.253.20, 10.4.253.10 и скажем пул модемных соединений 192.168.253.0/255.255.255.0
построутинг для модемов прописан...

Удалить Правка | Высказать мнение | Ответить | Рекомендовать в FAQ | Cообщить модератору | Наверх

3. "iptables + transparent + пустить пару машин прямо"

Сообщение от Alexey Morozov on 25-Фев-05, 17:32  (MSK)

>>-A PREROUTING -i eth0 -p tcp -m tcp -s ! 10.4.253.100/255.255.255.255 -d
>>! 10.0.0.0/255.0.0.0 --dport 80 -j REDIRECT --to-ports 3128
>
>Правило подходит для выставления только одной машины. Видимо некорректно задал вопрос...
>Хорошо, поставим вопрос по другому :)
>
>Выставить в обход сквида машины 10.4.253.100, 10.4.253.20, 10.4.253.10 и скажем пул модемных
>соединений 192.168.253.0/255.255.255.0
>
>построутинг для модемов прописан...
В этой цепочке (перед редиректом) для нужных адресов делай ACCEPT... И усе :-)

Удалить Правка | Высказать мнение | Ответить | Рекомендовать в FAQ | Cообщить модератору | Наверх

4. "iptables + transparent + пустить пару машин прямо"

Сообщение от _RAW_ (ok) on 01-Мрт-05, 11:23  (MSK)

>В этой цепочке (перед редиректом) для нужных адресов делай ACCEPT... И усе
>:-)
ааатлична :)
после дорисовки строчек, аля
-A PREROUTING -s 10.4.253.100/255.255.255.255 -i eth0 -p tcp -m tcp -d 0.0.0.0/0.0.0.0 -j ACCEPT
перед редиректом, для каждой привилегированной машины все заработало, спасибо :)

Удалить Правка | Высказать мнение | Ответить | Рекомендовать в FAQ | Cообщить модератору | Наверх

5. "iptables + transparent + пустить пару машин прямо"

Сообщение от _RAW_ (ok) on 01-Мрт-05, 12:02  (MSK)

Кстати попутно вопрос - а можно ли как то в эту строчку добавить проверочку на макадрес? а то у меня некоторые герои любят в отсутствие привилегированных компов находить их и подставлять айпишники :)
по голове получают, но периодически продолжают мурыжить... хочется отфильтровать :)

Удалить Правка | Высказать мнение | Ответить | Рекомендовать в FAQ | Cообщить модератору | Наверх

6. "iptables + transparent + пустить пару машин прямо"

Сообщение от Dimez (??) on 11-Мрт-05, 17:48  (MSK)

Ну блин, man iptables прочитай.
mac
--mac-source [!] address
Match source MAC address.  It must be of the form XX:XX:XX:XX:XX:XX.   Note  that  this only  makes  sense for packets coming from an Ethernet device and entering the PREROUTING, FORWARD or INPUT chains.

Удалить Правка | Высказать мнение | Ответить | Рекомендовать в FAQ | Cообщить модератору | Наверх

Архив | Удалить

Индекс форумов | Темы | Пред. тема | След. тема

Пожалуйста, прежде чем написать сообщение, ознакомьтесь с данными рекомендациями.

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру

1. "iptables + transparent + пустить пару машин прямо"
Сообщение от Alexey Morozov on 25-Фев-05, 16:46 (MSK)
Ну наверное изменить первую строчку -A PREROUTING -i eth0 -p tcp -m tcp -s ! 10.4.253.100/255.255.255.255 -d ! 10.0.0.0/255.0.0.0 --dport 80 -j REDIRECT --to-ports 3128
Удалить	Правка \| Высказать мнение \| Ответить \| Рекомендовать в FAQ \| Cообщить модератору \| Наверх


	2. "iptables + transparent + пустить пару машин прямо"
	Сообщение от _RAW_ (ok) on 25-Фев-05, 16:56 (MSK)
	>-A PREROUTING -i eth0 -p tcp -m tcp -s ! 10.4.253.100/255.255.255.255 -d >! 10.0.0.0/255.0.0.0 --dport 80 -j REDIRECT --to-ports 3128 Правило подходит для выставления только одной машины. Видимо некорректно задал вопрос... Хорошо, поставим вопрос по другому :) Выставить в обход сквида машины 10.4.253.100, 10.4.253.20, 10.4.253.10 и скажем пул модемных соединений 192.168.253.0/255.255.255.0 построутинг для модемов прописан...
	Удалить	Правка \| Высказать мнение \| Ответить \| Рекомендовать в FAQ \| Cообщить модератору \| Наверх


	3. "iptables + transparent + пустить пару машин прямо"
	Сообщение от Alexey Morozov on 25-Фев-05, 17:32 (MSK)
	>>-A PREROUTING -i eth0 -p tcp -m tcp -s ! 10.4.253.100/255.255.255.255 -d >>! 10.0.0.0/255.0.0.0 --dport 80 -j REDIRECT --to-ports 3128 > >Правило подходит для выставления только одной машины. Видимо некорректно задал вопрос... >Хорошо, поставим вопрос по другому :) > >Выставить в обход сквида машины 10.4.253.100, 10.4.253.20, 10.4.253.10 и скажем пул модемных >соединений 192.168.253.0/255.255.255.0 > >построутинг для модемов прописан... В этой цепочке (перед редиректом) для нужных адресов делай ACCEPT... И усе :-)
	Удалить	Правка \| Высказать мнение \| Ответить \| Рекомендовать в FAQ \| Cообщить модератору \| Наверх


	4. "iptables + transparent + пустить пару машин прямо"
	Сообщение от _RAW_ (ok) on 01-Мрт-05, 11:23 (MSK)
	>В этой цепочке (перед редиректом) для нужных адресов делай ACCEPT... И усе >:-) ааатлична :) после дорисовки строчек, аля -A PREROUTING -s 10.4.253.100/255.255.255.255 -i eth0 -p tcp -m tcp -d 0.0.0.0/0.0.0.0 -j ACCEPT перед редиректом, для каждой привилегированной машины все заработало, спасибо :)
	Удалить	Правка \| Высказать мнение \| Ответить \| Рекомендовать в FAQ \| Cообщить модератору \| Наверх


	5. "iptables + transparent + пустить пару машин прямо"
	Сообщение от _RAW_ (ok) on 01-Мрт-05, 12:02 (MSK)
	Кстати попутно вопрос - а можно ли как то в эту строчку добавить проверочку на макадрес? а то у меня некоторые герои любят в отсутствие привилегированных компов находить их и подставлять айпишники :) по голове получают, но периодически продолжают мурыжить... хочется отфильтровать :)
	Удалить	Правка \| Высказать мнение \| Ответить \| Рекомендовать в FAQ \| Cообщить модератору \| Наверх


	6. "iptables + transparent + пустить пару машин прямо"
	Сообщение от Dimez (??) on 11-Мрт-05, 17:48 (MSK)
	Ну блин, man iptables прочитай. mac --mac-source [!] address Match source MAC address. It must be of the form XX:XX:XX:XX:XX:XX. Note that this only makes sense for packets coming from an Ethernet device and entering the PREROUTING, FORWARD or INPUT chains.
	Удалить	Правка \| Высказать мнение \| Ответить \| Рекомендовать в FAQ \| Cообщить модератору \| Наверх