Здравствуйте! проблема состоит в следующем.
Есть сеть 10.1.1.0/24 в которой есть рутер 10.1.1.254 и прокси сервер за пределами этой сети скажем 10.10.1.222 с портом 3128, надо перебросить запросы с 10.1.1.0/24 на 10.10.1.222 через рутер с портом 3128 при этом надо заблокировать на рутере тех кто пользоваться проксей не должен.
---------
$IPTABLES -A FORWARD -p tcp -d 10.1.1.254 --dport 3128 -j ACCEPT
$IPTABLES -t nat -A PREROUTING -p tcp -d 10.1.1.254 -m multiport --dports 3128 -j DNAT --to-destination 10.11.0.224
$IPTABLES -t nat -A POSTROUTING -p tcp -d 10.10.1.222 --dport 3128 -j SNAT --to-source 10.1.1.254
$IPTABLES -t nat -A OUTPUT -d 10.1.1.254 -p tcp  --dport 3128 -j DNAT --to-destination 10.10.1.222
---------
С помощью этого правила запросы с посланые с сети 10.1.1.0/24 на 10.1.1.254:3128 попадают на 10.10.1.222, все в порядке но проблема в том что доступ нужен к проксе только 4-ем компам в сетке как заблокировать остальные машины и оставить только эти 4-ре?

• Iptables и proxy,Vaso Petrovich, 09:16 , 08-Ноя-06
  • Iptables и proxy,Rusya89, 13:52 , 08-Ноя-06
• Iptables и proxy,stager, 07:07 , 09-Ноя-06
  • Iptables и proxy,Rusya89, 22:32 , 09-Ноя-06

>Здравствуйте! проблема состоит в следующем.
>Есть сеть 10.1.1.0/24 в которой есть рутер 10.1.1.254 и прокси сервер за
>пределами этой сети скажем 10.10.1.222 с портом 3128, надо перебросить запросы
>с 10.1.1.0/24 на 10.10.1.222 через рутер с портом 3128 при этом
>надо заблокировать на рутере тех кто пользоваться проксей не должен.
>---------
>$IPTABLES -A FORWARD -p tcp -d 10.1.1.254 --dport 3128 -j ACCEPT
>$IPTABLES -t nat -A PREROUTING -p tcp -d 10.1.1.254 -m multiport --dports
>3128 -j DNAT --to-destination 10.11.0.224
а зачем -m multiport? в чем тайны смысл? использовать мультипорт и один порт
>$IPTABLES -t nat -A POSTROUTING -p tcp -d 10.10.1.222 --dport 3128 -j
>SNAT --to-source 10.1.1.254
>$IPTABLES -t nat -A OUTPUT -d 10.1.1.254 -p tcp  --dport 3128
>-j DNAT --to-destination 10.10.1.222
>---------
>С помощью этого правила запросы с посланые с сети 10.1.1.0/24 на 10.1.1.254:3128
>попадают на 10.10.1.222, все в порядке но проблема в том что
>доступ нужен к проксе только 4-ем компам в сетке как заблокировать
>остальные машины и оставить только эти 4-ре?

есть куча спобсов, анпример в сквиде запретить, либо в фаире прикрыть, можно на компах клиентов инет, вообщем просто придумать что именно больше подходит

>
>есть куча спобсов, анпример в сквиде запретить, либо в фаире прикрыть, можно
>на компах клиентов инет, вообщем просто придумать что именно больше подходит
>
меня интересует как именно закрыть на этом рутере доступ к проксе всей сети при этом что бы некоторые могли ходить в инет по 3128 порту проблема тока пока в этом, а на проксю доступа нету а на рутере поднять проксю нету

вместо вот этого
>$IPTABLES -A FORWARD -p tcp -d 10.1.1.254 --dport 3128 -j ACCEPT

пишешь

$IPTABLES -A FORWARD -p tcp -s 10.1.1.10 -d 10.1.1.254 --dport 3128 -j ACCEPT
$IPTABLES -A FORWARD -p tcp -s 10.1.1.16 -d 10.1.1.254 --dport 3128 -j ACCEPT
$IPTABLES -A FORWARD -p tcp -s 10.1.1.17 -d 10.1.1.254 --dport 3128 -j ACCEPT
$IPTABLES -A FORWARD -p tcp -s 10.1.1.216 -d 10.1.1.254 --dport 3128 -j ACCEPT
$IPTABLES -A FORWARD -p tcp -d 10.1.1.254 --dport 3128 -j REJECT

>$IPTABLES -t nat -A PREROUTING -p tcp -d 10.1.1.254 -m multiport --dports 3128 -j DNAT --to-destination 10.11.0.224
>$IPTABLES -t nat -A POSTROUTING -p tcp -d 10.10.1.222 --dport 3128 -j SNAT --to-source 10.1.1.254
>$IPTABLES -t nat -A OUTPUT -d 10.1.1.254 -p tcp  --dport 3128 -j DNAT --to-destination 10.10.1.222

Тоесть щас прописав эти правила, юзеры с внутренней локалки не смогут ходить на проксю по 3128 порту а пинговать смогут? и иметь вообще доступ или для этих правил надо будет делать "multiport"