Помогите кто нибудь, никто помочь не может.....
1)ЛВС-организована в домен main.ru
адрес сети 192.168.1.0/24
DNS сервер- 192.168.1.1/32(Windows2000server)192.168.1.254/32 - Шлюз в Internet (Linux RedHat9.0)
(eth1-195.98.60.122/32-внешний интерфейс)
(eth0 -192.168.1.254/32-внутренний интерфейс)
пользователи домена выходят в internet через Squid на шлюзенеобходимо чтобы некоторые пользователи(192.168.1.20/32) выходили в internet на прямую минуя прокси!!!!!!!!
кто только чего не говорил ничто не работает!!!!!!!!!!
подскажите пожалуста как ето организовать может помимо правил в фаирволе необходимо ещё что-нибудь...
#!/bin/sh
echo "Starting firewalling..."
#Определение переменных
#"eth1" Интерфейс к Internet
#"eth0" Интерфейс к локальной сети
LP="127.0.0.0/8" #диапазон адресов обратной петли
NAMESERVER="195.98.32.0/24" #DNS-сервер провайдера
SMTP_SERVER="any/0" #Внешний почтовый сервер
UNPORTS="1024:65535" #Непривилегированные порты
BROADCAST_DEST="255.255.255.255" #Целевой широковещательный адрес
BROADCAST_SRC="0.0.0.0" #Исходный широковещательный адрес
#Адрес внешнего интерфейса
IPADDR="195.98.60.122"
#Адрес сети провайдера
MY_ISP="195.98.32.0/24"
LOGGING=1
cd /sbin
#Удаление существующих правил
./iptables -F
# разрешаем форвардить пакеты ...
echo 1 > /proc/sys/net/ipv4/ip_forward
#Установка политики запрета по умолчанию
./iptables -P INPUT DROP
./iptables -P FORWARD ACCEPT
./iptables -P OUTPUT ACCEPT
#Неограниченный трафик через интерфейс обратной петли
./iptables -A INPUT -i lo -j ACCEPT
./iptables -A OUTPUT -o lo -j ACCEPT#Запрет пакетов, якобы отправленных с моего компьютера
./iptables -A INPUT -i eth1 -s $IPADDR -j DROP# разрешаем доступ в Inet с IP 192.168.1.20/255.255.255.255 на прямую
# iptables -A FORWARD -s 192.168.1.20/255.255.255.255 -o eth1 -j ACCEPT
# iptables -t nat -A POSTROUTING -s 192.168.1.20/255.255.255.255 -o eth1 -j #MASQUERADE#разрешение прохождения http трафика
./iptables -A INPUT -i eth1 -p tcp -s any/0 --sport 80 -d $IPADDR --dport $UNPORTS -j ACCEPT
./iptables -A OUTPUT -o eth1 -p tcp -s $IPADDR --sport $UNPORTS -d any/0 --dport 80 -j ACCEPT#Необходимые службы
./iptables -A INPUT -i eth1 -p udp -s 0/0 --sport 53 -d $IPADDR --dport 1024:65535 -j ACCEPT
./iptables -A OUTPUT -o eth1 -p udp -s $IPADDR -d 0/0 -j ACCEPT
./iptables -A INPUT -i eth1 -p tcp -s 0/0 --sport 53 -d $IPADDR --dport 1024:65535 -j ACCEPT
./iptables -A OUTPUT -o eth1 -p tcp -s $IPADDR -d 0/0 -j ACCEPT./iptables -A INPUT -i eth1 -p udp -s 0/0 -d $IPADDR --dport 53 -j ACCEPT
./iptables -A INPUT -i eth1 -p tcp -s 0/0 -d $IPADDR --dport 53 -j ACCEPT#Разрешение исходящего AUTH-запроса
./iptables -A OUTPUT -o eth1 -p tcp -s $IPADDR -d 0/0 --dport 113 -j ACCEPT
./iptables -A INPUT -i eth1 -p tcp -s 0/0 --sport 113 -d $IPADDR -j ACCEPT
#Прием входящих AUTH-запросов
./iptables -A INPUT -p tcp -s 0/0 -d 195.98.60.122 --dport 113 -j ACCEPT
./iptables -A OUTPUT -p tcp -s 195.98.60.122 --sport 113 -d 0/0 -j ACCEPT
#------------ закроем proxy -------------------
iptables -A INPUT -p tcp -s 192.168.1.0/255.255.255.0 --dport 3128 -j ACCEPT
iptables -A INPUT -p tcp -s 127.0.0.1/255.255.255.0 --dport 3128 -j ACCEPT
iptables -A INPUT -p tcp -s 0.0.0.0/0.0.0.0 --dport 3128 -j DROP#Передача почты через SMTP
./iptables -A OUTPUT -o eth1 -p tcp -s 0/0 --sport 1024:65535 -d 0/0 --dport 25 -j ACCEPT
./iptables -A INPUT -i eth1 -p tcp -s 0/0 --sport 25 -d $IPADDR --dport 1024:65535 -j ACCEPT./iptables -A INPUT -i eth1 -p tcp -s 0/0 --sport 1024:65535 -d $IPADDR --dport 25 -j ACCEPT
./iptables -A OUTPUT -o eth1 -p tcp -s $IPADDR --sport 25 -d 0/0 --dport 1024:65535 -j ACCEPT#Извлечение почты посредством POP-клиента
./iptables -A OUTPUT -o eth1 -p tcp -s 0/0 --sport 1024:65535 -d 0/0 --dport 110 -j ACCEPT
./iptables -A INPUT -i eth1 -p tcp -s 0/0 --sport 110 -d $IPADDR --dport 1024:65535 -j ACCEPT./iptables -A OUTPUT -o eth1 -p tcp -s $IPADDR --sport $UNPORTS -d 0/0 --dport 110 -j ACCEPT
./iptables -A INPUT -i eth1 -p tcp ! --syn -s 0/0 --sport 110 -d $IPADDR --dport $UNPORTS -j ACCEPT#Все локальные машины могут обращаться к брандмауэру
./iptables -A INPUT -i eth0 -s 192.168.1.0/24 -j ACCEPT
./iptables -A OUTPUT -o eth0 -d 192.168.1.0/24 -j ACCEPT#Стандартный ftp-доступ
./iptables -A OUTPUT -o eth1 -p tcp -s $IPADDR --sport $UNPORTS -d 0/0 -j ACCEPT
./iptables -A INPUT -i eth1 -p tcp -s 0/0 --sport 21 -d $IPADDR --dport $UNPORTS -j ACCEPT./iptables -A INPUT -i eth1 -p tcp -s 0/0 --sport 20 -d $IPADDR --dport $UNPORTS -j ACCEPT
./iptables -A OUTPUT -o eth1 -p tcp -s $IPADDR --sport $UNPORTS -d 0/0 -j ACCEPT
#
#./iptables -A INPUT -i eth1 -p tcp -s 0/0 --sport $UNPORTS -j ACCEPT
#./iptables -A OUTPUT -o eth1 -p tcp -s $IPADDR --sport $UNPORTS -d 0/0 --dport $UNPORTS -j ACCEPT
#ICQ
#
./iptables -A FORWARD -p tcp -s 0/0 --dport 5190 -o eth1 -j ACCEPT
./iptables -t nat -A POSTROUTING -s 192.168.1.0/255.255.255.0 -o eth1 -j MASQUERADE -p tcp --to-port 5190
#маскируем ip-адресса
./iptables -t nat -A POSTROUTING -s 192.168.1.0/24 -d 0.0.0.0/0.0.0.0 -o eth1 -j MASQUERADE
#Регистрация недопустимых пакетов
if ["$LOGGING"]
then
./iptables -A INPUT -p tcp -j DROP -LOG
./iptables -A INPUT -p udp -j DROP -LOG
./iptables -A INPUT -p icmp -j DROP -LOG
fi
#
echo "done"
exit 0
>Помогите кто нибудь, никто помочь не может.....
>1)ЛВС-организована в домен main.ru
>адрес сети 192.168.1.0/24
>DNS сервер- 192.168.1.1/32(Windows2000server)
>
>192.168.1.254/32 - Шлюз в Internet (Linux RedHat9.0)
>(eth1-195.98.60.122/32-внешний интерфейс)
>(eth0 -192.168.1.254/32-внутренний интерфейс)
>пользователи домена выходят в internet через Squid на шлюзе
>
>необходимо чтобы некоторые пользователи(192.168.1.20/32) выходили в internet на прямую минуя прокси!!!!!!!!
>кто только чего не говорил ничто не работает!!!!!!!!!!
>подскажите пожалуста как ето организовать может помимо правил в фаирволе необходимо ещё
>что-нибудь...
>
>
>#!/bin/sh
>echo "Starting firewalling..."
>#Определение переменных
>#"eth1" Интерфейс к Internet
>#"eth0" Интерфейс к локальной сети
>LP="127.0.0.0/8" #диапазон адресов обратной петли
>NAMESERVER="195.98.32.0/24" #DNS-сервер провайдера
>SMTP_SERVER="any/0" #Внешний почтовый сервер
>UNPORTS="1024:65535" #Непривилегированные порты
>BROADCAST_DEST="255.255.255.255" #Целевой широковещательный адрес
>BROADCAST_SRC="0.0.0.0" #Исходный широковещательный адрес
>#Адрес внешнего интерфейса
>IPADDR="195.98.60.122"
>#Адрес сети провайдера
>MY_ISP="195.98.32.0/24"
>LOGGING=1
>cd /sbin
>#Удаление существующих правил
>./iptables -F
># разрешаем форвардить пакеты ...
> echo 1 > /proc/sys/net/ipv4/ip_forward
>#Установка политики запрета по умолчанию
>./iptables -P INPUT DROP
>./iptables -P FORWARD ACCEPT
>./iptables -P OUTPUT ACCEPT
>#Неограниченный трафик через интерфейс обратной петли
>./iptables -A INPUT -i lo -j ACCEPT
>./iptables -A OUTPUT -o lo -j ACCEPT
>
>#Запрет пакетов, якобы отправленных с моего компьютера
>./iptables -A INPUT -i eth1 -s $IPADDR -j DROP
>
># разрешаем доступ в Inet с IP 192.168.1.20/255.255.255.255 на прямую
># iptables -A FORWARD -s 192.168.1.20/255.255.255.255 -o eth1 -j ACCEPT
># iptables -t nat -A POSTROUTING -s 192.168.1.20/255.255.255.255 -o eth1 -j #MASQUERADE
>
>
>#разрешение прохождения http трафика
>./iptables -A INPUT -i eth1 -p tcp -s any/0 --sport
>80 -d $IPADDR --dport $UNPORTS -j ACCEPT
>./iptables -A OUTPUT -o eth1 -p tcp -s $IPADDR --sport $UNPORTS
>-d any/0 --dport 80 -j ACCEPT
>
>#Необходимые службы
>./iptables -A INPUT -i eth1 -p udp -s 0/0
>--sport 53 -d $IPADDR --dport 1024:65535 -j ACCEPT
>./iptables -A OUTPUT -o eth1 -p udp -s $IPADDR -d
>0/0 -j ACCEPT
>./iptables -A INPUT -i eth1 -p tcp -s 0/0
>--sport 53 -d $IPADDR --dport 1024:65535 -j ACCEPT
>./iptables -A OUTPUT -o eth1 -p tcp -s $IPADDR -d
>0/0 -j ACCEPT
>
>./iptables -A INPUT -i eth1 -p udp -s 0/0
> -d $IPADDR --dport 53 -j ACCEPT
>./iptables -A INPUT -i eth1 -p tcp -s 0/0
> -d $IPADDR --dport 53 -j ACCEPT
>
>#Разрешение исходящего AUTH-запроса
>./iptables -A OUTPUT -o eth1 -p tcp -s $IPADDR -d
>0/0 --dport 113 -j ACCEPT
>./iptables -A INPUT -i eth1 -p tcp -s 0/0
>--sport 113 -d $IPADDR -j ACCEPT
>#Прием входящих AUTH-запросов
>./iptables -A INPUT -p tcp -s 0/0 -d
>195.98.60.122 --dport 113 -j ACCEPT
>./iptables -A OUTPUT -p tcp -s 195.98.60.122 --sport
>113 -d 0/0 -j ACCEPT
>#------------ закроем proxy -------------------
> iptables -A INPUT -p tcp -s 192.168.1.0/255.255.255.0 --dport 3128 -j
>ACCEPT
> iptables -A INPUT -p tcp -s 127.0.0.1/255.255.255.0 --dport 3128 -j
>ACCEPT
> iptables -A INPUT -p tcp -s 0.0.0.0/0.0.0.0 --dport 3128 -j
>DROP
>
>#Передача почты через SMTP
>./iptables -A OUTPUT -o eth1 -p tcp -s 0/0 --sport
>1024:65535 -d 0/0 --dport 25 -j ACCEPT
>./iptables -A INPUT -i eth1 -p tcp -s 0/0
>--sport 25 -d $IPADDR --dport 1024:65535 -j ACCEPT
>
>./iptables -A INPUT -i eth1 -p tcp -s 0/0
>--sport 1024:65535 -d $IPADDR --dport 25 -j ACCEPT
>./iptables -A OUTPUT -o eth1 -p tcp -s $IPADDR --sport
>25 -d 0/0 --dport 1024:65535 -j ACCEPT
>
>#Извлечение почты посредством POP-клиента
>./iptables -A OUTPUT -o eth1 -p tcp -s 0/0 --sport
>1024:65535 -d 0/0 --dport 110 -j ACCEPT
>./iptables -A INPUT -i eth1 -p tcp -s 0/0
>--sport 110 -d $IPADDR --dport 1024:65535 -j ACCEPT
>
>./iptables -A OUTPUT -o eth1 -p tcp -s $IPADDR --sport
>$UNPORTS -d 0/0 --dport 110 -j ACCEPT
>./iptables -A INPUT -i eth1 -p tcp ! --syn
>-s 0/0 --sport 110 -d $IPADDR --dport $UNPORTS -j ACCEPT
>
>#Все локальные машины могут обращаться к брандмауэру
>./iptables -A INPUT -i eth0 -s 192.168.1.0/24 -j ACCEPT
>./iptables -A OUTPUT -o eth0 -d 192.168.1.0/24 -j ACCEPT
>
>#Стандартный ftp-доступ
>./iptables -A OUTPUT -o eth1 -p tcp -s $IPADDR --sport
>$UNPORTS -d 0/0 -j ACCEPT
>./iptables -A INPUT -i eth1 -p tcp -s 0/0
>--sport 21 -d $IPADDR --dport $UNPORTS -j ACCEPT
>
>./iptables -A INPUT -i eth1 -p tcp -s 0/0
>--sport 20 -d $IPADDR --dport $UNPORTS -j ACCEPT
>./iptables -A OUTPUT -o eth1 -p tcp -s $IPADDR --sport
>$UNPORTS -d 0/0 -j ACCEPT
>#
>#./iptables -A INPUT -i eth1 -p tcp -s 0/0
>--sport $UNPORTS -j ACCEPT
>#./iptables -A OUTPUT -o eth1 -p tcp -s $IPADDR --sport
>$UNPORTS -d 0/0 --dport $UNPORTS -j ACCEPT
>
>
>#ICQ
>#
>./iptables -A FORWARD -p tcp -s 0/0 --dport 5190 -o eth1
>-j ACCEPT
>./iptables -t nat -A POSTROUTING -s 192.168.1.0/255.255.255.0 -o eth1 -j MASQUERADE -p
>tcp --to-port 5190
>#маскируем ip-адресса
>./iptables -t nat -A POSTROUTING -s 192.168.1.0/24 -d 0.0.0.0/0.0.0.0 -o eth1 -j
>MASQUERADE
>
>
>#Регистрация недопустимых пакетов
>if ["$LOGGING"]
>then
>./iptables -A INPUT -p tcp -j DROP -LOG
>./iptables -A INPUT -p udp -j DROP -LOG
>./iptables -A INPUT -p icmp -j DROP -LOG
>fi
>#
>echo "done"
>exit 0Может просто надо в настройках на клиентских машинах в настройках броузера убрать проксюк, а шлюзом прописать проксёвую машину, а DNS- ом - DNS прова?
># iptables -t nat -A POSTROUTING -s 192.168.1.20/255.255.255.255 -o eth1 -j #MASQUERADEМеня терзают смутные сомнения, что должно быть так:
iptables -t nat -A POSTROUTING -s 192.168.1.20 -d 0.0.0.0/0 -j MASQUERADE
или так:
iptables -t nat -A POSTROUTING -s 192.168.1.20 -d 0.0.0.0/0 --out-interface eth1 -j SNAT --to-source x.x.x.x(твой риал-айпи)У меня работает.