Подскажите!
Есть два интерфейса:
eth0 - extNET
eth1 - intNET
и установлен squid
Мне надо чтобы юзеры могли ходить в интернет через сквид
(сквид стоит на этой же машине) и на eth0 работал ftp

iptables -A INPUT -p tcp -i eth0 -m multiport --dport 20,21 -j ACCEPT
iptables -A INTPUT -p tcp -i eth0 -j DROP

iptables -A INPUT -i lo -j ACCEPT
iptables -A OUTPUT -o lo -j ACCEPT
iptables -A FORWARD -i lo -j ACCEPT

iptables -A INPUT -i eth1 -j ACCEPT
iptables -A OUTPUT -o eth1 -j ACCEPT
iptables -A FORWARD -i eth1 -j ACCEPT

iptables -t nat -A POSTROUTING -s intNET -o eth0 -j MASQUERADE

Юзеры гуляют в инет без сквида нормально, а как ставишь использование proxy - ни чего не работает.
Если убрать вторую стоку сверху, то и сквид начинает работать
Где копать, где рыть?

Прошу не пинать, учусь

• Iptables + Squid,_KAV_, 15:01 , 18-Мрт-05
  • Iptables + Squid,nos96, 15:11 , 18-Мрт-05

Вторая строка запрещает все входящие на машину (и на сквид в том числе).
Добавить сверху этой строки разрешение established,related на вход с внешнего интерфейса.
P.S. и оставлять открытый форвард тоже не стоит - закрыть форвард входящих с этого интерфейса и разрешить по нему то же самое

>Вторая строка запрещает все входящие на машину (и на сквид в том
>числе).
>Добавить сверху этой строки разрешение established,related на вход с внешнего интерфейса.
>P.S. и оставлять открытый форвард тоже не стоит - закрыть форвард входящих
>с этого интерфейса и разрешить по нему то же самое

Ура заработало! Огромное спасибо.
Добавил перед второй строкой:
iptables -A INPUT -i eth0 -p tcp -m state ESTABLISHED,RELATED -j ACCEPT