добрый день. есть такая проблема. обчитавшись мануала по iptables и не поняв некоторых ключевых моментов прошу помощи по такому вопросу.
есть сервер, в котором нужно заменить выход в инет с прямого через iptables на выход через прокси. есть конфиг для iptables, который должен закрыть все, кроме самого squid на 3128 порту, должен остаться 25-ый порт, 110-ый, 22-ой.
интерфейсы: eth2 - локальный (192.168.106.1), eth0 - смотрит во внешний мир.

конфиг:

iptables -F
iptables -X
iptables -t nat -F
iptables -t nat -X
# Setting default filter policy
iptables -P INPUT DROP
iptables -P OUTPUT ACCEPT
# Unlimited access to loop back
iptables -A INPUT -i lo -j ACCEPT
iptables -A OUTPUT -o lo -j ACCEPT

iptables -A INPUT -i eth2 -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A INPUT -p TCP --dport 25 -i eth0 -j ACCEPT
iptables -A INPUT -p TCP --dport 110 -i eth0 -j ACCEPT
iptables -A INPUT -p TCP --dport 22 -i eth0 -j ACCEPT
iptables -A INPUT -p TCP --dport 3128 -i eth2 -s 192.168.106.0/24 -j ACCEPT
iptables -A OUTPUT -p TCP --dport 3128 -i eth2 -s 192.168.106.0/24 -j ACCEPT
iptables -A FORWARD -i eth2 -d 192.168.106.0/24 -j DROP
iptables -A FORWARD -i eth2 -s 192.168.106.0/24 -j ACCEPT
iptables -A FORWARD -i eth0 -d 192.168.106.0/24 -j DROP
# unlimited access to LAN
iptables -A INPUT -i eth2 -j ACCEPT
iptables -A OUTPUT -o eth2 -j ACCEPT
# DROP everything else
iptables -A INPUT -j DROP

вроде мне кажется, что все открыто прально, а не работает. подскиажите пож где я туплю? раньше iptables не пользовался, так получилось, что мне нужно настроить этот сервер.

• iptables + squid,ipmanyak, 17:25 , 04-Дек-07
  • iptables + squid,leger, 17:41 , 04-Дек-07
• iptables + squid,angra, 19:02 , 04-Дек-07
• iptables + squid,waldo, 19:03 , 04-Дек-07
  • iptables + squid,ALex_hha, 20:11 , 04-Дек-07
    • iptables + squid,leger, 14:55 , 05-Дек-07
• iptables + squid,ALex_hha, 20:12 , 04-Дек-07
• iptables + squid,reader, 22:22 , 04-Дек-07
  • iptables + squid,leger, 10:17 , 06-Дек-07

echo "1" > /proc/sys/net/ipv4/ip_forward # Включаем пересылку пакетов в ядре
Такую штуку сделал ?  

В помощь Easy Firewall Generator for IPTables Online
http://easyfwgen.morizot.net/gen/

>echo "1" > /proc/sys/net/ipv4/ip_forward # Включаем пересылку пакетов в ядре
>Такую штуку сделал ?
>
>В помощь Easy Firewall Generator for IPTables Online
>http://easyfwgen.morizot.net/gen/

угу, делал. что с ней, что без нее - одно и то же.
от этого генератора вообще крышу сносит :(

Как именно не работает? Что происходит и что по вашему должно происходить.

-A PREROUTING -i eth2 -p tcp -m tcp --dport 80 -j REDIRECT --to-ports 3128

>-A PREROUTING -i eth2 -p tcp -m tcp --dport 80 -j REDIRECT
>--to-ports 3128

Про прозрачный прокси не было сказано ни слова

>>-A PREROUTING -i eth2 -p tcp -m tcp --dport 80 -j REDIRECT
>>--to-ports 3128
>
>Про прозрачный прокси не было сказано ни слова

угу, прозрачный прокси нельзя нам. такая политика.

>[оверквотинг удален]
>iptables -A FORWARD -i eth0 -d 192.168.106.0/24 -j DROP
># unlimited access to LAN
>iptables -A INPUT -i eth2 -j ACCEPT
>iptables -A OUTPUT -o eth2 -j ACCEPT
># DROP everything else
>iptables -A INPUT -j DROP
>
>вроде мне кажется, что все открыто прально, а не работает. подскиажите пож
>где я туплю? раньше iptables не пользовался, так получилось, что мне
>нужно настроить этот сервер.

Ужасный фаер, попробуй взять за образец вот это http://www.sys-adm.org.ua/system/ftp-nat.php

>добрый день. есть такая проблема. обчитавшись мануала по iptables и не поняв
>некоторых ключевых моментов прошу помощи по такому вопросу.
>есть сервер, в котором нужно заменить выход в инет с прямого через
>iptables на выход через прокси. есть конфиг для iptables, который должен
>закрыть все, кроме самого squid на 3128 порту, должен остаться 25-ый
>порт, 110-ый, 22-ой.
>интерфейсы: eth2 - локальный (192.168.106.1), eth0 - смотрит во внешний мир.
>
>конфиг:
>

1
>[оверквотинг удален]
>iptables -t nat -F
>iptables -t nat -X
># Setting default filter policy
>iptables -P INPUT DROP
>iptables -P OUTPUT ACCEPT
># Unlimited access to loop back
>iptables -A INPUT -i lo -j ACCEPT
>iptables -A OUTPUT -o lo -j ACCEPT
>
>iptables -A INPUT -i eth2 -m state --state ESTABLISHED,RELATED -j ACCEPT

ниже весь вход через eth2 все равно разрешон

>iptables -A INPUT -p TCP --dport 25 -i eth0 -j ACCEPT
>iptables -A INPUT -p TCP --dport 110 -i eth0 -j ACCEPT
>iptables -A INPUT -p TCP --dport 22 -i eth0 -j ACCEPT
>iptables -A INPUT -p TCP --dport 3128 -i eth2 -s 192.168.106.0/24 -j
>ACCEPT

ниже весь вход через eth2 все равно разрешон

>iptables -A OUTPUT -p TCP --dport 3128 -i eth2 -s 192.168.106.0/24 -j
>ACCEPT

тут не правельно, в OUTPUT входящий интерфейс не указывается, но выше весь, а ниже через eth2, выход разрешон

>[оверквотинг удален]
>iptables -A FORWARD -i eth0 -d 192.168.106.0/24 -j DROP
># unlimited access to LAN
>iptables -A INPUT -i eth2 -j ACCEPT
>iptables -A OUTPUT -o eth2 -j ACCEPT
># DROP everything else
>iptables -A INPUT -j DROP
>
>вроде мне кажется, что все открыто прально, а не работает. подскиажите пож
>где я туплю? раньше iptables не пользовался, так получилось, что мне
>нужно настроить этот сервер.

на этой машине инет ,с этими правилами, работает? ответы DNS серверов приходят? с этом машины , через squid , инет есть?

>на этой машине инет, с этими правилами, работает? ответы DNS серверов приходят?
>с этом машины, через squid , инет есть?

ответы приходят. этот squid каскадный - дальше тоже идет на squid, может, ченить дальше непрально настроено? инет не пашет, браузер зависает на запросе к серверу и дальше не идет и ошибок не выдает, по крайней мере я не дождался.