URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID12
Нить номер: 6969
[ Назад ]

Исходное сообщение
"Настройка iptables"
Отправлено sdi , 27-Мрт-13 06:39

Добрый день!
Помогите разобраться с такой проблемой...
Имеется сервер ОС Ubuntu Server 12.04, установлен squid3. - все работает, компы выходят в инет. Настройки делал вот по этой статье: http://www.spohelp.ru/forums/17-gotovye-resheniya/topics/113...
интерфейс eth0 - смотрит в инет, ip получает динамически
eth1 - смотрит в локалку 192.168.2.0/24 - и имеет адрес 192.168.2.222
настройки iptables так же сделал по этой статье (ссылка выше)+ добавил немного своего
Вот мои правила iptables:
echo 1 > /proc/sys/net/ipv4/ip_forward
iptables -F
iptables -t nat -F
iptables -X
iptables -A INPUT -i lo -j ACCEPT
iptables -A FORWARD -i eth1 -o eth0 -j ACCEPT
iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE
iptables -A FORWARD -i eth0 -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A FORWARD -i eth0 -o eth1 -j REJECT
iptables -A INPUT -p tcp -i eth0 -m tcp --dport 22 -j DROP
iptables -A INPUT -p tcp -i eth0 -m tcp --dport 80 -j DROP
iptables -A INPUT -p tcp -i eth0 -m tcp --dport 8080 -j DROP
iptables -A INPUT -i eth0 -p icmp --icmp-type 8 -j DROP
Теперь собственно вопрос, как сделать, чтобы определенный ip имел доступ в инет, в обход proxy? Что он нигде не светился в логах squid-а и т.п.
Покапавший в инете,нашел вот такое правило:iptables -t nat -A POSTROUTING -s 192.168.2.51 -o eth0 -j MASQUERADE но безрезультатно. Не работает. Пробовал еще вот это добавлять:
iptables -t nat -A POSTROUTING -s 192.168.2.51 -o eth0 -j MASQUERADE
iptables -A FORWARD -p tcp -m tcp -s 192.168.2.51 -j ACCEPT
iptables -A FORWARD -p tcp -m tcp -d 192.168.2.51 -j ACCEPT
так же ничего не вышло...
Хотя есть у меня другой proxy сервер, на нем ОС AltLinux, так вот на нем, вот это правило работает: iptables -t nat -A POSTROUTING -s 192.168.2.51 -o eth0 -j MASQUERADE
Почему не работает у меня, не понятно...
PS: если это важно, то сервер мой, на котором НЕ работает - он виртуальный.
Очень нужно, помогите!!!!!!!

Содержание

Настройка iptables,ipmanyak, 08:27 , 27-Мрт-13
- Настройка iptables,sdi, 08:37 , 27-Мрт-13
Настройка iptables,PavelR, 08:51 , 27-Мрт-13
- Настройка iptables,sdi, 08:30 , 02-Апр-13

Сообщения в этом обсуждении

"Настройка iptables"
Отправлено ipmanyak , 27-Мрт-13 08:27

Воспользуйтесь генератором правил онлайн - Easy Firewall Generator for IPTables
http://easyfwgen.morizot.net/gen/
После заполнения необходимых полей и нажатия кнопки Generate Firewall, если все нужные поля заполнены, получите готовый скрипт правил, если не хватает снова выдаст окно для заполнения . Скрипт причем с защитой SYN flood protection от DDOS атак. Каждое правило идет с комментарием, это поможет вам понять что, как и для чего.

"Настройка iptables"
Отправлено sdi , 27-Мрт-13 08:37

> Воспользуйтесь генератором правил онлайн - Easy Firewall Generator for IPTables
> http://easyfwgen.morizot.net/gen/
Я пробовал использовать этот генератор. Скрипт генерировал, но я так и не понял, какая строка отвечает за доступ в обход прокси. И скрипт получается большой очень, замудренный. По крайней мере, для меня, как для новичка возникают проблемы с пониманием его работы...

"Настройка iptables"
Отправлено PavelR , 27-Мрт-13 08:51

а теперь начните смотреть на то, как работают правила через
iptables -nvL
iptables -t nat -nvL

---
Научитесь диагностировать проблему на клиенте командами:

nslookup www.ru
tracert www.ru
telnet www.ru 80
ipconfig
ipconfig /all
----
в тяжелых случаях вам еще понадобится на сервере команда
tcpdump -ni eth0
tcpdump -ni eth1

"Настройка iptables"
Отправлено sdi , 02-Апр-13 08:30

>[оверквотинг удален]
> Научитесь диагностировать проблему на клиенте командами:
> nslookup www.ru
> tracert www.ru
> telnet www.ru 80
> ipconfig
> ipconfig /all
> ----
> в тяжелых случаях вам еще понадобится на сервере команда
> tcpdump -ni eth0
> tcpdump -ni eth1
Да, спасибо.
Разобрался