добрый день. есть такая проблема. обчитавшись мануала по iptables и не поняв некоторых ключевых моментов прошу помощи по такому вопросу.
есть сервер, в котором нужно заменить выход в инет с прямого через iptables на выход через прокси. есть конфиг для iptables, который должен закрыть все, кроме самого squid на 3128 порту, должен остаться 25-ый порт, 110-ый, 22-ой.
интерфейсы: eth2 - локальный (192.168.106.1), eth0 - смотрит во внешний мир.конфиг:
iptables -F
iptables -X
iptables -t nat -F
iptables -t nat -X
# Setting default filter policy
iptables -P INPUT DROP
iptables -P OUTPUT ACCEPT
# Unlimited access to loop back
iptables -A INPUT -i lo -j ACCEPT
iptables -A OUTPUT -o lo -j ACCEPTiptables -A INPUT -i eth2 -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A INPUT -p TCP --dport 25 -i eth0 -j ACCEPT
iptables -A INPUT -p TCP --dport 110 -i eth0 -j ACCEPT
iptables -A INPUT -p TCP --dport 22 -i eth0 -j ACCEPT
iptables -A INPUT -p TCP --dport 3128 -i eth2 -s 192.168.106.0/24 -j ACCEPT
iptables -A OUTPUT -p TCP --dport 3128 -i eth2 -s 192.168.106.0/24 -j ACCEPT
iptables -A FORWARD -i eth2 -d 192.168.106.0/24 -j DROP
iptables -A FORWARD -i eth2 -s 192.168.106.0/24 -j ACCEPT
iptables -A FORWARD -i eth0 -d 192.168.106.0/24 -j DROP
# unlimited access to LAN
iptables -A INPUT -i eth2 -j ACCEPT
iptables -A OUTPUT -o eth2 -j ACCEPT
# DROP everything else
iptables -A INPUT -j DROPвроде мне кажется, что все открыто прально, а не работает. подскиажите пож где я туплю? раньше iptables не пользовался, так получилось, что мне нужно настроить этот сервер.
echo "1" > /proc/sys/net/ipv4/ip_forward # Включаем пересылку пакетов в ядре
Такую штуку сделал ?В помощь Easy Firewall Generator for IPTables Online
http://easyfwgen.morizot.net/gen/
>echo "1" > /proc/sys/net/ipv4/ip_forward # Включаем пересылку пакетов в ядре
>Такую штуку сделал ?
>
>В помощь Easy Firewall Generator for IPTables Online
>http://easyfwgen.morizot.net/gen/угу, делал. что с ней, что без нее - одно и то же.
от этого генератора вообще крышу сносит :(
Как именно не работает? Что происходит и что по вашему должно происходить.
-A PREROUTING -i eth2 -p tcp -m tcp --dport 80 -j REDIRECT --to-ports 3128
>-A PREROUTING -i eth2 -p tcp -m tcp --dport 80 -j REDIRECT
>--to-ports 3128Про прозрачный прокси не было сказано ни слова
>>-A PREROUTING -i eth2 -p tcp -m tcp --dport 80 -j REDIRECT
>>--to-ports 3128
>
>Про прозрачный прокси не было сказано ни словаугу, прозрачный прокси нельзя нам. такая политика.
>[оверквотинг удален]
>iptables -A FORWARD -i eth0 -d 192.168.106.0/24 -j DROP
># unlimited access to LAN
>iptables -A INPUT -i eth2 -j ACCEPT
>iptables -A OUTPUT -o eth2 -j ACCEPT
># DROP everything else
>iptables -A INPUT -j DROP
>
>вроде мне кажется, что все открыто прально, а не работает. подскиажите пож
>где я туплю? раньше iptables не пользовался, так получилось, что мне
>нужно настроить этот сервер.Ужасный фаер, попробуй взять за образец вот это http://www.sys-adm.org.ua/system/ftp-nat.php
>добрый день. есть такая проблема. обчитавшись мануала по iptables и не поняв
>некоторых ключевых моментов прошу помощи по такому вопросу.
>есть сервер, в котором нужно заменить выход в инет с прямого через
>iptables на выход через прокси. есть конфиг для iptables, который должен
>закрыть все, кроме самого squid на 3128 порту, должен остаться 25-ый
>порт, 110-ый, 22-ой.
>интерфейсы: eth2 - локальный (192.168.106.1), eth0 - смотрит во внешний мир.
>
>конфиг:
>1
>[оверквотинг удален]
>iptables -t nat -F
>iptables -t nat -X
># Setting default filter policy
>iptables -P INPUT DROP
>iptables -P OUTPUT ACCEPT
># Unlimited access to loop back
>iptables -A INPUT -i lo -j ACCEPT
>iptables -A OUTPUT -o lo -j ACCEPT
>
>iptables -A INPUT -i eth2 -m state --state ESTABLISHED,RELATED -j ACCEPTниже весь вход через eth2 все равно разрешон
>iptables -A INPUT -p TCP --dport 25 -i eth0 -j ACCEPT
>iptables -A INPUT -p TCP --dport 110 -i eth0 -j ACCEPT
>iptables -A INPUT -p TCP --dport 22 -i eth0 -j ACCEPT
>iptables -A INPUT -p TCP --dport 3128 -i eth2 -s 192.168.106.0/24 -j
>ACCEPTниже весь вход через eth2 все равно разрешон
>iptables -A OUTPUT -p TCP --dport 3128 -i eth2 -s 192.168.106.0/24 -j
>ACCEPTтут не правельно, в OUTPUT входящий интерфейс не указывается, но выше весь, а ниже через eth2, выход разрешон
>[оверквотинг удален]
>iptables -A FORWARD -i eth0 -d 192.168.106.0/24 -j DROP
># unlimited access to LAN
>iptables -A INPUT -i eth2 -j ACCEPT
>iptables -A OUTPUT -o eth2 -j ACCEPT
># DROP everything else
>iptables -A INPUT -j DROP
>
>вроде мне кажется, что все открыто прально, а не работает. подскиажите пож
>где я туплю? раньше iptables не пользовался, так получилось, что мне
>нужно настроить этот сервер.на этой машине инет ,с этими правилами, работает? ответы DNS серверов приходят? с этом машины , через squid , инет есть?
>на этой машине инет, с этими правилами, работает? ответы DNS серверов приходят?
>с этом машины, через squid , инет есть?ответы приходят. этот squid каскадный - дальше тоже идет на squid, может, ченить дальше непрально настроено? инет не пашет, браузер зависает на запросе к серверу и дальше не идет и ошибок не выдает, по крайней мере я не дождался.