Здравствуйте!
Такая проблемка.
Если в настройке интернет експлорера не указать "использовать прокси", то пользователи получают доступ в интернет без запроса имени и пароля. А если указать "использовать прокси" - то все нормально - не угадал с паролем - не попал в инет.
И мне кажется что виноват в этом iptables (а не squid, например), потому что ставлю политику по умолчанию DROP для FORWFARD - сразу все нормально, без имени и пароля - никуда. Но это не совсем то, что нужно.
Подскажите, плиз, что бы еще попробовать...
> Здравствуйте!
> Такая проблемка.
> Если в настройке интернет експлорера не указать "использовать прокси", то
>пользователи получают доступ в интернет без запроса имени и пароля. А
>если указать "использовать прокси" - то все нормально - не угадал
>с паролем - не попал в инет.
> И мне кажется что виноват в этом iptables (а не
>squid, например), потому что ставлю политику по умолчанию DROP для FORWFARD
>- сразу все нормально, без имени и пароля - никуда. Но
>это не совсем то, что нужно.
> Подскажите, плиз, что бы еще попробовать...Есть такая фишка как прозрачное проксирование.
Т.е. клиенту нафиг не надо ничего настраивать, его запросы принудительно заворачиваються на проксю, прописал он её или нет ( обычно ничего прописывать не надо )
делается это с помощью правила redirect ipchains.
Предварительно надо настроить прокси, если это squid, на прозрачное проксирование ( здесь на opennet я нашел документацию по этому поводу, настроил и забыл об этом :)
Удачи.
>> Здравствуйте!
>> Такая проблемка.
>> Если в настройке интернет експлорера не указать "использовать прокси", то
>>пользователи получают доступ в интернет без запроса имени и пароля. А
>>если указать "использовать прокси" - то все нормально - не угадал
>>с паролем - не попал в инет.
>> И мне кажется что виноват в этом iptables (а не
>>squid, например), потому что ставлю политику по умолчанию DROP для FORWFARD
>>- сразу все нормально, без имени и пароля - никуда. Но
>>это не совсем то, что нужно.
почему же? думаю, это примерно то, что нужно, ведь пользователи выходят в инет либо через сквид, либо через НАТ.у меня в FORWARD политика именно DROP, а нужные соединения изнутри сети наружу я разрешаю соответствующими правилами...
>Есть такая фишка как прозрачное проксирование.
>Т.е. клиенту нафиг не надо ничего настраивать, его запросы принудительно заворачиваються на
>проксю, прописал он её или нет ( обычно ничего прописывать не
>надо )
>делается это с помощью правила redirect ipchains.
>Предварительно надо настроить прокси, если это squid, на прозрачное проксирование ( здесь
>на opennet я нашел документацию по этому поводу, настроил и забыл
>об этом :)
>Удачи.попробовать-то можно...
только аутентификация по логину/паролю работать не будет...
>>> И мне кажется что виноват в этом iptables (а не
>>>squid, например), потому что ставлю политику по умолчанию DROP для FORWFARDiptables -t nat -L
imha, forward - не совсем из этой оперы (;
>>>> И мне кажется что виноват в этом iptables (а не
>>>>squid, например), потому что ставлю политику по умолчанию DROP для FORWFARD
>
>iptables -t nat -L
>imha, forward - не совсем из этой оперы (;
не совсем...
но и без FORWARD-а NAT работать не будет...
>>> Здравствуйте!
>>> Такая проблемка.
>>> Если в настройке интернет експлорера не указать "использовать прокси", то
>>>пользователи получают доступ в интернет без запроса имени и пароля. А
>>>если указать "использовать прокси" - то все нормально - не угадал
>>>с паролем - не попал в инет.
>>> И мне кажется что виноват в этом iptables (а не
>>>squid, например), потому что ставлю политику по умолчанию DROP для FORWFARD
>>>- сразу все нормально, без имени и пароля - никуда. Но
>>>это не совсем то, что нужно.
>почему же? думаю, это примерно то, что нужно, ведь пользователи выходят в
>инет либо через сквид, либо через НАТ.
>
>у меня в FORWARD политика именно DROP, а нужные соединения изнутри сети
>наружу я разрешаю соответствующими правилами...
>
>основная проблема, что я отказался от DROP по умолчанию - это то, что у некоторых юзеров инет стал жутко тормозить, и тормоза исчезли как только я заменил DROP обратно на ACCEPT.
Сам я, честно говоря, тормозов не заметил, но вот такие дела.А так мне вот эта идея запретить все, а потом уже разрешать только то, что надо очень нравится.
Ну а насчет тормозов при DROP можете чего-нибудь сказать?
>Ну а насчет тормозов при DROP можете чего-нибудь сказать?
возможно, ты кому-то ДНС перекрываешь...
но точно сказать трудно, мало данных...
надо внимательно изучать правила и смотреть каждую строчку
>>Ну а насчет тормозов при DROP можете чего-нибудь сказать?
>возможно, ты кому-то ДНС перекрываешь...
>но точно сказать трудно, мало данных...
>надо внимательно изучать правила и смотреть каждую строчкуСпасибо за ответ, но можно я Вас еще маленько потерзаю? Дело в том, что настраивал не я, а кто-то гораздо умнее, а разбираться - мне.
Вот так оно у меня полностью выглядит:
#! /bin/bash
iptables -P INPUT ACCEPT
iptables -P INPUT ACCEPT
iptables -P FORWARD ACCEPT
echo 1 > /proc/sys/net/ipv4/ip_forward
iptables -F
iptables -Xiptables -F account 2> /dev/null
iptables -X account 2> /dev/null
iptables -N account
iptables -A FORWARD -j account -s 192.168.0.0/16 -i eth0
iptables -A FORWARD -j account -d 192.168.0.0/16 -o eth0
iptables -A INPUT -j account -s 192.168.0.0/16 -i eth0
iptables -A OUTPUT -j account -d 192.168.0.0/16 -o eth0>Вот здесь я нигде не нашел, что же такое -j account?
iptables -A FORWARD -j ACCEPT -s 192.168.0.0/16 -d 192.168.0.0/16
OPEN_ADDRESSES='4 10 14 40'
#OPEN_ADDRESSES='4 10 11 31 40'
for ADDR in $OPEN_ADDRESSES
do
ADDRESS='192.168.20.'$ADDR
iptables -A FORWARD -j ACCEPT -s $ADDRESS
iptables -A INPUT -j ACCEPT -s $ADDRESS
done> Далее у меня аналогичным образом перечисляются все сети и адреса в
> них, кому разрешено инпутить и форвадерить...iptables -A INPUT -j DROP -s 192.168.0.0/16
iptables -A FORWARD -j DROP -s 192.168.0.0/16> Это я так понял запрещает всем, кому не разрешено
iptables -A FORWARD -j DROP -s 192.168.0.0/16 -p tcp --dport 80
iptables -A FORWARD -j DROP -s 192.168.0.0/16 -p tcp --dport 21
iptables -A FORWARD -j DROP -s 192.168.0.0/16 -p tcp --dport 21>Это, наверно, перекрывает http и ftp
iptables -t nat -A POSTROUTING -s 192.168.0.0/16 -o eth1 -j SNAT --to xxx.xxx.xxx.xxx
>А это, наверно, тот самый НАТ, про который Вы говорили. Насколько я
>понял, здесь происходит подмена внутренний адресов на наружный
>xxx.xxx.xxx.xxxexit 0
Может быть эта информация сразу Вас на что-нибудь натолкнет...