проблема такова что необходимо дать возможность виндовым приложениям попасть в инет по порту 443! сами приложения не умеют работать с прокси... так что надо пропускать этот порт в инет в обход сквида!
на сервере-прокси:
- linux-debian 3.1 sarge
- squid 2.6 stable (настроен прозрачным)
- 2 сети 192.168.1.0 (смотрит в инет) & 192.168.0.0 (смотрит в локалку)
>проблема такова что необходимо дать возможность виндовым приложениям попасть в инет по
>порту 443! сами приложения не умеют работать с прокси... так что
>надо пропускать этот порт в инет в обход сквида!
>на сервере-прокси:
>- linux-debian 3.1 sarge
>- squid 2.6 stable (настроен прозрачным)
>- 2 сети 192.168.1.0 (смотрит в инет) & 192.168.0.0 (смотрит в локалку)сквид тут никак не поможет, на маршрутизаторе проброс делай
или у тебя эта машина и роутер тоже? тогда как-то так:
iptables -A POSTROUTING -s 192.168.0.0/255.255.255.0 -o eth1 -p tcp -m tcp --dport 443 -j SNAT --to-source xxx.xxx.xxx.xxx
>сквид тут никак не поможет, на маршрутизаторе проброс делайтак мне и надо что бы сквид не помогал! )
>или у тебя эта машина и роутер тоже? тогда как-то так:вроде роутер на сколько я понимаю...
>iptables -A POSTROUTING -s 192.168.0.0/255.255.255.0 -o eth1 -p tcp -m tcp --dport 443 -j SNAT --to-source xxx.xxx.xxx.xxxна человеческий язык если перевести данную строчку то получается вроде как: добавить правило в табличу POSTROUTING (на выходе маршрутизации) для IP 192.168.0.0 на выходе сети eth1 сделать порт протакола tcp 443 в цепочке SNAT (т.е. отправителя) IP=xxx.xxx.xxx.xxx
вот теперь вопрос по поводу вот этого IP=xxx.xxx.xxx.xxx! у меня не статический IP, мне его выдает провайдер при каждом соединении разный! или это IP виндовой машины на которой строит програмка не умеющая работать с прокси?
>[оверквотинг удален]
>>iptables -A POSTROUTING -s 192.168.0.0/255.255.255.0 -o eth1 -p tcp -m tcp --dport 443 -j SNAT --to-source xxx.xxx.xxx.xxx
>
> на человеческий язык если перевести данную строчку то
>получается вроде как: добавить правило в табличу POSTROUTING (на выходе маршрутизации)
>для IP 192.168.0.0 на выходе сети eth1 сделать порт протакола tcp
>443 в цепочке SNAT (т.е. отправителя) IP=xxx.xxx.xxx.xxx
>вот теперь вопрос по поводу вот этого IP=xxx.xxx.xxx.xxx! у меня не статический
>IP, мне его выдает провайдер при каждом соединении разный! или это
>IP виндовой машины на которой строит програмка не умеющая работать с
>прокси?почему бы не сделать это в каком либо скрипте который будет вызываться при очередном подключении. Например вот так:
#!/bin/sh
function get_addr()
{
IFCONFIG='/sbin/ifconfig';
HEAD='head -2';
TAIL='tail -1';
CUT='cut -d: -f2';
IP=`$IFCONFIG $1 | $HEAD | $TAIL | awk '{print $2}' | $CUT`;
echo $IP;
}Ну а дальше и формируешь правило переброса в этом же скрипте вызывая iptables. Ну и естественно удаляя его при отключении.
Скрипты формирования и удаления правила кидаешь в директорию ip-up.d и ip-down.d демона ppp соответственно.Скрипт взят из http://www.opennet.me/base/net/pppoe_firewall.txt.html
>[оверквотинг удален]
>>iptables -A POSTROUTING -s 192.168.0.0/255.255.255.0 -o eth1 -p tcp -m tcp --dport 443 -j SNAT --to-source xxx.xxx.xxx.xxx
>
> на человеческий язык если перевести данную строчку то
>получается вроде как: добавить правило в табличу POSTROUTING (на выходе маршрутизации)
>для IP 192.168.0.0 на выходе сети eth1 сделать порт протакола tcp
>443 в цепочке SNAT (т.е. отправителя) IP=xxx.xxx.xxx.xxx
>вот теперь вопрос по поводу вот этого IP=xxx.xxx.xxx.xxx! у меня не статический
>IP, мне его выдает провайдер при каждом соединении разный! или это
>IP виндовой машины на которой строит програмка не умеющая работать с
>прокси?