https://www.opennet.ru/openforum/vsluhforumID1/84548.html Доброго времени суток.<br><br>В сети 192.168.0.0/24 есть комп linux с openSUSE 11.<br><br>linux:# ifconfig<br>eth0 Link encap:Ethernet HWaddr 00:16:3E:02:2A:8C<br> inet addr:192.168.0.2 Bcast:192.168.0.255 Mask:255.255.255.0<br> UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1<br> RX packets:3581483 errors:0 dropped:0 overruns:0 frame:0<br> TX packets:5154283 errors:0 dropped:0 overruns:0 carrier:0<br> collisions:0 txqueuelen:1000<br> RX bytes:3658642571 (3489.1 Mb) TX bytes:4061930207 (3873.7 Mb)<br><br># netstat -rn<br>Kernel IP routing table<br>Destination Gateway Genmask Flags MSS Window irtt Iface<br>192.168.0.0 0.0.0.0 255.255.255.0 U 0 0 0 eth0<br>169.254.0.0 0.0.0.0 255.255.0.0 U 0 0 0 eth0<br>127.0.0.0 0.0.0.0 255.0.0.0 U 0 0 0 lo<br>0.0.0.0 192.168.0.10 0.0.0.0 UG 0 0 0 eth0<br><br>192.168.0.10 - это ADSL модем в режиме https://www.opennet.ru/openforum/vsluhforumID1/84548.html#23 Tue, 31 Mar 2009 10:08:16 GMT &gt;iptables -A FORWARD -s 192.168.0.0/24 -j REJECT <br>&gt;<br>&gt;это ответы от adsl рутера не режет, случаем? <br>&gt;<br>&gt;www.fwbuilder.org <br><br>точно ! вот где была проблема. <br>Спасибо огромное ! сразу стало понятней.<br> https://www.opennet.ru/openforum/vsluhforumID1/84548.html#22 Tue, 31 Mar 2009 09:53:51 GMT iptables -A FORWARD -s 192.168.0.0/24 -j REJECT<br><br>это ответы от adsl рутера не режет, случаем?<br><br>www.fwbuilder.org<br> https://www.opennet.ru/openforum/vsluhforumID1/84548.html#21 Tue, 31 Mar 2009 09:41:16 GMT &gt;[оверквотинг удален]<br>&gt;# Or SNAT. <br>&gt;iptables -t nat -A POSTROUTING -s 192.168.0.0/24 -o eth0 -j SNAT --to-source <br>&gt;192.168.0.2 <br>&gt;# ################################### <br>&gt;<br>&gt;#Redirect HTTP to SQUID <br>&gt;iptables -t nat -A PREROUTING -i eth0 -p tcp -d ! 192.168.0.2 <br>&gt;--dport 80 -j REDIRECT --to-port 3128 <br>&gt;<br>&gt;я думал это понятно... <br><br>а adsl модем какую роль играет?<br> https://www.opennet.ru/openforum/vsluhforumID1/84548.html#20 Tue, 31 Mar 2009 09:38:45 GMT <br>&gt;это придется делать в любом случае, кроме тех когда прокси сервис (именно <br>&gt;сервис) находится на шлюзе по умолчанию. <br><br>дык так и есть!<br>squid тоже на этом шлюзе !<br><br># Or SNAT.<br>iptables -t nat -A POSTROUTING -s 192.168.0.0/24 -o eth0 -j SNAT --to-source 192.168.0.2<br># ###################################<br><br>#Redirect HTTP to SQUID<br>iptables -t nat -A PREROUTING -i eth0 -p tcp -d ! 192.168.0.2 --dport 80 -j REDIRECT --to-port 3128<br><br>я думал это понятно...<br> https://www.opennet.ru/openforum/vsluhforumID1/84548.html#19 Tue, 31 Mar 2009 09:18:10 GMT &gt;- на рабочих компах надо будет вручную настраивать прокси сервер в браузере, <br>&gt;в аське и в подобных программах. <br><br>это придется делать в любом случае, кроме тех когда прокси сервис (именно сервис) находится на шлюзе по умолчанию. (Представь ситуацию, Вася с компа обращается на ya.ru сначала идет запрос на днс сервер, указанный у васи, днс сервер если он находится в этой же локалке, возвращает адрес 213.180.204.8, браузер васи пупкина, ни чего незнает про сеть 213.180.204. и отправит запрос на шлюз по умолчанию. т.е. мимо прокси. Вывод если прокси и шлюз не находятся на одном ip адресе, то ip адрес прокси обязательно придется указывать в браузере у клиента)<br><br>&gt;- почтовые клиенты сотрудников перестанут работать. <br>&gt;- пропадет удобство <br><br>почтовые клиенты работаю точно также, как и браузер, и в сквиде по дефолту проксирование почтовых протоколов не выполняется.<br> https://www.opennet.ru/openforum/vsluhforumID1/84548.html#18 Tue, 31 Mar 2009 08:54:23 GMT &gt;да ты сбрось все фаерфольные правила, и очисти нат-цепочки, и форвардинг выключи, <br>&gt;у тебя фильтроваться все будет средствами сквида. Просто неправильно использовать 2 <br>&gt;средства когда можно обойтись одним, т.е. сквидом. Извини но ты сам <br>&gt;себе жизнь усложняешь. <br><br>если я так сделаю, то:<br>- на рабочих компах надо будет вручную настраивать прокси сервер в браузере, в аське и в подобных программах.<br>- почтовые клиенты сотрудников перестанут работать.<br>- пропадет удобство<br><br>или я не правильно тебя понял ?<br> https://www.opennet.ru/openforum/vsluhforumID1/84548.html#17 Tue, 31 Mar 2009 08:46:21 GMT да ты сбрось все фаерфольные правила, и очисти нат-цепочки, и форвардинг выключи, у тебя фильтроваться все будет средствами сквида. Просто неправильно использовать 2 средства когда можно обойтись одним, т.е. сквидом. Извини но ты сам себе жизнь усложняешь.<br> https://www.opennet.ru/openforum/vsluhforumID1/84548.html#16 Tue, 31 Mar 2009 08:42:57 GMT Коллеги !<br>Спасибо вам за ваши советы и предложения как лучше можно сделать в моем случае.<br>В будущем я обязательно все переделаю в другом виде. Как минимум добавлю второй интерфейс.<br>А сейчас я хочу разобраться именно в этой, текущей проблеме.<br><br>Мне кажеться картина совершенно прозрачная. Я уже описывал этот участок сети, попробую еще раз, другими словами и проще: <br>Есть свич, в него подключен ADSL модем (router mode), linux server (одна сетевуха - 192.168.0.2) и несколько рабочих компов (локальная сеть). Сеть - 192.168.0.0/24<br>на linux стоит squid+статистика. Squid в прозрачном режиме. <br>Я хочу чтобы рабочие компы ходили в инет через linux сервер.<br>для этого на linux включена маршрутизация и добавлены правила iptables:<br><br># vi /etc/iptables.sh<br>#!/bin/sh<br>PATH=/usr/sbin:/sbin:/bin:/usr/bin<br># очистка старых правил<br>iptables -F<br>iptables -t nat -F<br>iptables -t mangle -F<br>iptables -X<br># Always accept the traffic on the loopback-interface<br>iptables -A INPUT -i lo -j ACCEPT<br><br># принимать все пакеты со сторон https://www.opennet.ru/openforum/vsluhforumID1/84548.html#15 Tue, 31 Mar 2009 07:05:56 GMT &gt;&gt;а чем плохо если линукс работает как рутер - просто пересылает пакеты <br>&gt;&gt;на АДСЛ рутер? зачем второй нат? <br>&gt;<br>&gt;на linux также работает squid, и хочется более гибко управлять доступом к <br>&gt;инету из локалки. <br><br>что именно вам надо от "более гибко управлять доступом к инету" и что требует двойного нат'а?<br>