URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID12
Нить номер: 4258
[ Назад ]

Исходное сообщение
"Как натсроить прозрачный прокси = SQUID + IPTABLES"

Отправлено АндрейВладивосток , 07-Авг-06 10:07 
Всем здоровья.

Я ценю Тордвальдса за его разработку и настойчивость. И мне даже понравилось конфигить файл /etc/squid/squid.conf - интересно. Я настроил DHCPD, SQUID и все они работают в отличном состоянии, теперь основной моей головной болью стал iptable! - О БОЖЕ! Как он мне ДОРОГ! Чего я только в конфиг /etc/sysconfig/iptables не впихивал - и так и этак и перетак и взад и назад... Однако эта морковка - не хочет перенаправлять запросы с клиентких 80 на мой 3128! Сразу скажу - я не лентяй я месяц!!! уже пытаюсь его настроить и ровно месяц у меня ничего не выходит. Ну разве это хорошо - таки я вас спрашиваю. Я не знаю может у меня на сервере у iptable'а собственное сознание появилось, что он так ко мне настроен. Но факт остается фактом. Мне просто необходима помощь знающих людей.

Теперь главное указать причину моей головной боли - мне нужно настроить ip tables так что бы клиенты подключенные к нему по DHCPD (в котором уже прописаны и диапозон адресов и шлюз и адрес днс сервера) смогли бы без указания прокси сервера (чтобы любой юзер включил комп и думал что он работает с интернет напрямую а не через прокси) работали в интеренте, читали почту дрявым Экспресс оутлуком (25, 125 порты), общались через аську и др.

Далее описываю конструкцию сети:
+++++++++++++++++++++++++++++++++++++++++++++++++++

1. Иммется Сервер (REDHAT 9)
   eth0 192.168.0.3 (локалка)
   255.255.255.0
   шлюз 82.162.159.65

   eth1 82.162.159.67 (интренте через ДСЛ)
   255.255.255.240
   шлюз 82.162.159.65
  
2. Хаб

3. Точка беспроводного доступа
   192.168.0.100

x. клиенты которые получают адреса (я приложил конфиг DHCP) с 52-99,
   но которым очень нужен противогемарройных интернет

++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++

А теперь приступим к описанию того что у меня есть:

1. есть интернет для всех кто входит в сеть - будьто вайфай или ланка
   (однако гемморой - нужно прописывать прокси и порт - то от чего мне
    нужно избавиться!!!)
2. все правила DHCP работают отлично и безошибочно
3. Squid настроен гармотно - его весь конфиг я думаю будет очень накладно
   сюда впихивать - скажу что каждую опцию пролазил и натсроил включая
   proxy, virtual, acl правила и т.д. - http_port 8080

Во первых - может я идиот и помимо указанного выше файла и команд iptables есть еще какие то способы его конфигурации.

Во вторых - уже месяц я брожу в инете в поисках свещенного грааля - конфига для iptables. Но как я убеждаюсь - он потерен в веках среди красивых программ под Виндроусе.

В третьих - вот содержание моего файла "/etc/sysconfig/iptables":

------------------------->
*filter
:INPUT ACCEPT [0:0]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]
-A INPUT -i eth0 -j ACCEPT
-A INPUT -s 127.0.0.0/255.0.0.0 -i ! eth0 -j DROP
-A INPUT -i eth0 -p tcp -m tcp --sport 80 --dport 8080 -j ACCEPT
:RH-Lokkit-0-50-INPUT - [0:0]
-A INPUT -j RH-Lokkit-0-50-INPUT
-A FORWARD -j RH-Lokkit-0-50-INPUT
-A RH-Lokkit-0-50-INPUT -p tcp -m tcp --dport 25 --syn -j ACCEPT
-A RH-Lokkit-0-50-INPUT -p tcp -m tcp --dport 80 --syn -j ACCEPT
-A RH-Lokkit-0-50-INPUT -p tcp -m tcp --dport 21 --syn -j ACCEPT
-A RH-Lokkit-0-50-INPUT -p tcp -m tcp --dport 22 --syn -j ACCEPT
-A RH-Lokkit-0-50-INPUT -p tcp -m tcp --dport 23 --syn -j ACCEPT
-A RH-Lokkit-0-50-INPUT -p udp -m udp -s 0/0 --sport 67:68 -d 0/0 --dport 67:68 -i eth0 -j ACCEPT
-A RH-Lokkit-0-50-INPUT -p udp -m udp -s 0/0 --sport 67:68 -d 0/0 --dport 67:68 -i eth1 -j ACCEPT
-A RH-Lokkit-0-50-INPUT -i lo -j ACCEPT
-A RH-Lokkit-0-50-INPUT -i eth0 -j ACCEPT
-A RH-Lokkit-0-50-INPUT -i eth1 -j ACCEPT
-A RH-Lokkit-0-50-INPUT -p tcp -m tcp --dport 0:1023 --syn -j REJECT
-A RH-Lokkit-0-50-INPUT -p tcp -m tcp --dport 2049 --syn -j REJECT
-A RH-Lokkit-0-50-INPUT -p udp -m udp --dport 0:1023 -j REJECT
-A RH-Lokkit-0-50-INPUT -p udp -m udp --dport 2049 -j REJECT
-A RH-Lokkit-0-50-INPUT -p tcp -m tcp --dport 6000:6009 --syn -j REJECT
-A RH-Lokkit-0-50-INPUT -p tcp -m tcp --dport 7100 --syn -j REJECT

COMMIT
<---------------------------------------

Не хочу обидеть авторов конфигурации - вообще ничего не могу осознать, кроме первых 5 строк.. ибо если делается инпут или аут то указываются соответственно вх. исх. адреса и порты...

В четвертых - вот конфиг DHCP:

---------------------------------------->

ddns-update-style ad-hoc;

subnet 192.168.0.0 netmask 255.255.255.0 {
option routers 192.168.0.3;
option subnet-mask 255.255.255.0;
option domain-name "wifios";
option broadcast-address 192.168.0.255;
option ip-forwarding on;
server-identifier wifios;
option domain-name-servers 192.168.0.3;
range 192.168.0.52 192.168.0.99;
default-lease-time 21600;
max-lease-time 28800;
option netbios-name-servers 192.168.0.3;
option netbios-dd-server 192.168.0.3;
option netbios-node-type 8;

}


host tux-server {
hardware ethernet xx:xx:xx:xx:xx:xx;
fixed-address 192.168.0.3;
}

host andrew_admin {
hardware ethernet xx:xx:xx:xx:xx:xx;
fixed-address 192.168.0.50;
}

host alexey_admin {
hardware ethernet xx:xx:xx:xx:xx:xx;
fixed-address 192.168.0.51;
}

Может можно как нибудь в DHCP прописывать прокси для хотябы ВЕБ?

Кстати ДНС сервар не натсроен, если это имеет значение.
<----------------------------------------

А теперь для более не формального диалога скажу чего хочу добиться:

Тыкните меня рожей какие, куда и зачем вписывать правила для выполнения этой задачи.
Прошу не ссылайтесь на мегабайтные ХАУ-ТУ я там был и это мне точно не поможет.
Эти файлы PDF уже снятся мне в кашмарах!!!

ПОЖАЛУЙСТА ПОМОГИТЕ КТО СКОЛЬКО МОЖЕТ... ДАЛЬШЕ ЛЬСТИТЬ НЕ БУДУ... А ТО ГЛУПО ПОЛУЧАЕТСЯ...

P.S. потратте немного времени и напишите, мне достаточно интересно работать в ТЮКСАХ и не хотелось бы иметь от этого плохие воспоминания...


Содержание

Сообщения в этом обсуждении
"Как натсроить прозрачный прокси = SQUID + IPTABLES"
Отправлено Sloboda , 07-Авг-06 11:55 
>Я ценю Тордвальдса за его разработку и настойчивость. И мне даже понравилось
Сколько текста! И какой стиль!

>Во вторых - уже месяц я брожу в инете в поисках свещенного
>грааля - конфига для iptables. Но как я убеждаюсь - он
>потерен в веках среди красивых программ под Виндроусе.
Где же это вы бродите, сударь?
google.ru, поиск по "iptables", первая ссылка - http://www.opennet.me/docs/RUS/iptables/

>Кстати ДНС сервар не натсроен, если это имеет значение.
Ну как сказать? Если ДНС сервАр не наТСРоить, то кто же будет имена резолвить?

P.S. Какой класс? Какая оценка по русскому языку?


"Как натсроить прозрачный прокси = SQUID + IPTABLES"
Отправлено Антикс , 11-Авг-06 07:40 
Сами не знают ничегоб/ ссылаются на какие то хрен пойми справочники написанные такими же тупицами/  и меня еще унижают///

"Как натсроить прозрачный прокси = SQUID + IPTABLES"
Отправлено BlackRaven , 17-Мрт-09 16:08 
>Сами не знают ничегоб/ ссылаются на какие то хрен пойми справочники написанные
>такими же тупицами/  и меня еще унижают///

Если тебе лень читать и думать, то тупица скорее ты. А то что ты безграмотный, только усугубляет ситуацию.


"Как натсроить прозрачный прокси = SQUID + IPTABLES"
Отправлено Al_Nightmare , 11-Авг-06 08:50 
Андрей Владивосток

Присылаю тебе это в последний раз

-A PREROUTING -p tcp -m tcp --dport 80 -j REDIRECT --to-port 3128
-A PREROUTING -p tcp -m tcp --dport 8080 -j REDIRECT --to-port 3128
-A PREROUTING -p tcp -m tcp --dport 443 -j REDIRECT --to-port 3128
-A PREROUTING -p tcp -m tcp --dport 8081 -j REDIRECT --to-port 3128

Попросту говоря , ты хочешь сделать свой Squid прозрачным.
Данная комбинация  заворачивает весь трафик на Squid


"Как натсроить прозрачный прокси = SQUID + IPTABLES"
Отправлено Al_Nightmare , 11-Авг-06 09:01 
>Андрей Владивосток

на прокси сервере ты не сможешь 25 и 110 порты открыть
так что выбирай либо , либо


"Как натсроить прозрачный прокси = SQUID + IPTABLES"
Отправлено Алексей , 29-Июл-12 19:12 
>[оверквотинг удален]
> Сколько текста! И какой стиль!
>>Во вторых - уже месяц я брожу в инете в поисках свещенного
>>грааля - конфига для iptables. Но как я убеждаюсь - он
>>потерен в веках среди красивых программ под Виндроусе.
> Где же это вы бродите, сударь?
> google.ru, поиск по "iptables", первая ссылка - http://www.opennet.me/docs/RUS/iptables/
>>Кстати ДНС сервар не натсроен, если это имеет значение.
> Ну как сказать? Если ДНС сервАр не наТСРоить, то кто же будет
> имена резолвить?
> P.S. Какой класс? Какая оценка по русскому языку?

Вот он наша "слобода", сразу видно кто куда,
Как его, кому, когда,
на вопрос, вопросом бьет
Не в Москве ль Маскаль живет,
Нету толку от него, модер сразу бань его
Не умеет разъяснять, а умеет оскорБлять
Умный он да только злится, вместо ч#ена, ягодицы.
Он здоровый, безголовый, и немножечко дубовый.
Все слова соединяю, и сарказм я получаю
Хватит без толку пи*дить, лучше бы помог едрить