Здравствуйте.
Я новичек с linux помогите организовать доступ пользователей в инет только через прокси для учета трафика.
Есть сервер под mandrike на нем две сетевухи
eth0 192.168.50.13 - смотрит в локалку
eth1 192.168.22.13 - смотрит в инет
на 192.168.50.13 запущен прокси squid но пользователи могут ходить в инет и без прокси
Как сделать чтоб ходили только через прокси?
>Здравствуйте.
>Я новичек с linux помогите организовать доступ пользователей в инет только через
>прокси для учета трафика.
>Есть сервер под mandrike на нем две сетевухи
>eth0 192.168.50.13 - смотрит в локалку
>eth1 192.168.22.13 - смотрит в инет
>на 192.168.50.13 запущен прокси squid но пользователи могут ходить в инет и
>без прокси
>Как сделать чтоб ходили только через прокси?Запретить напрямую ходить по портам 80, 443, 21 в iptables.
>Запретить напрямую ходить по портам 80, 443, 21 в iptables.А можно поподробнее или пример команды
И как ее отменить в случае если что не так ато не хочется эсперементировать когда все работают
>
>>Запретить напрямую ходить по портам 80, 443, 21 в iptables.
>
>А можно поподробнее или пример команды
>И как ее отменить в случае если что не так ато не
>хочется эсперементировать когда все работаютесли они ходят без прокси - значит через нат. соответственно удалить нат из iptables
да и вообще правила бы посмотреть!
>Здравствуйте.
>Я новичек с linux помогите организовать доступ пользователей в инет только через
>прокси для учета трафика.
>Есть сервер под mandrike на нем две сетевухи
>eth0 192.168.50.13 - смотрит в локалку
>eth1 192.168.22.13 - смотрит в инет
>на 192.168.50.13 запущен прокси squid но пользователи могут ходить в инет и
>без прокси
>Как сделать чтоб ходили только через прокси?sysctl net.ipv4.ip_forward=1
>[оверквотинг удален]
>>Я новичек с linux помогите организовать доступ пользователей в инет только через
>>прокси для учета трафика.
>>Есть сервер под mandrike на нем две сетевухи
>>eth0 192.168.50.13 - смотрит в локалку
>>eth1 192.168.22.13 - смотрит в инет
>>на 192.168.50.13 запущен прокси squid но пользователи могут ходить в инет и
>>без прокси
>>Как сделать чтоб ходили только через прокси?
>
>sysctl net.ipv4.ip_forward=1Поправлю - надо в 0 поставить, а не в 1. Цель - запретить форвард :)
Для того, чтобы после перезагрузки сохранилось - найдите это значение в /etc/sysctl.conf и там поставьте 0.
>[оверквотинг удален]
>>>на 192.168.50.13 запущен прокси squid но пользователи могут ходить в инет и
>>>без прокси
>>>Как сделать чтоб ходили только через прокси?
>>
>>sysctl net.ipv4.ip_forward=1
>
>Поправлю - надо в 0 поставить, а не в 1. Цель -
>запретить форвард :)
>Для того, чтобы после перезагрузки сохранилось - найдите это значение в /etc/sysctl.conf
>и там поставьте 0.все верно, тупанул... температура сорри...
>>>sysctl net.ipv4.ip_forward=1
>>
>>Поправлю - надо в 0 поставить, а не в 1. Цель -
>>запретить форвард :)
>>Для того, чтобы после перезагрузки сохранилось - найдите это значение в /etc/sysctl.conf
>>и там поставьте 0.
>
>все верно, тупанул... температура сорри...в /etc/sysctl.conf стоит 0 в этом параметре
а когда ввожу эту команду с консоли
пишет# sysctl net.ipv4.ip_forward=0
error: 'net.ipv4.ip_forward=0' is an unknown key
# sysctl net.ipv4.ip_forward = 0
net.ipv4.ip_forward = 1
error: '=' is an unknown key
error: '0' is an unknown key
# sysctl net.ipv4.ip_forward 0
net.ipv4.ip_forward = 1
error: '0' is an unknown key
а в /proc/sys/net/ipv4/ip_forward ?
>а в /proc/sys/net/ipv4/ip_forward ?там 1
можно изменить на 0?
echo 0 > /proc/sys/net/ipv4/ip_forward
>echo 0 > /proc/sys/net/ipv4/ip_forwardвидимо "echo 1 > /proc/sys/net/ipv4/ip_forward" прописано в каком-нить скрипте, поднимающим фаревол.
См. /etc/sysconfig/iptables
ls /etc/rc.d/
less /etc/rc.d/rc.localА проще в nat прописать перенаправление всех запросов на 21,80,443 порты to: 3128.
>А проще в nat прописать перенаправление всех запросов на 21,80,443 порты to:
>3128.Вот это наверное действительно то что нужно.
Потому что как только запретил IP форвардинг пользователи стали ругаться что не работает доступ по citrix и др.
Расскажите пожалуйста поподробнее как это сделать.
читать про iptables на предмет DNAT и про прозрачный прокси