The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

форумы  помощь  поиск  регистрация  майллист  вход/выход  слежка  RSS
"Один сайт пустить в обход Squid"
Вариант для распечатки  
Пред. тема | След. тема 
Форум Настройка Squid и других прокси серверов (Squid)
Изначальное сообщение [ Отслеживать ]

"Один сайт пустить в обход Squid"  +/
Сообщение от shtoff email(ok) on 07-Май-14, 22:42 
Здравствуйте!

Имеется полностью рабочий рутер на Ubuntu 10.04, Squid работает в прозрачном режиме, так же работает Dansguardian для фильтрации по нехорошим словам. При запуске рутера стартует следующий скрипт:
---
#!/bin/sh
echo 1> /proc/sys/net/ipv4/ip_forward
iptables -A INPUT -i lo -j ACCEPT
iptables -A FORWARD -i eth1 -o eth0 -j ACCEPT
iptables -t nat -A POSTROUTING -o eth0 -s 192.168.1.0/24 -j MASQUERADE
iptables -A FORWARD -i eth0 -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A FORWARD -i eth0 -o eth1 -j REJECT
iptables -t nat - A PREROUTING -i eth1 -d ! 192.168.1.0/24 -p tcp -m multiport --dport 80,8080 -j DNAT --to 192.168.1.9:8081
---
Все работало как надо до тех пор, пока не вырисовался один сайт на Sharepoint, который отказывается принимать авторизацию пока клиент ходит из-за Squid`a. Требуется запустить все локальные компы на конкретный IP адрес в интете напрямую минуя Squid.
Поначитавшись всякого я добавил пятой строкой iptables -A FORWARD -p tcp -i eth1 -d xxx.xxx.xxx.xxx -j ACCEPT и предпоследней строкой iptables -t nat -A PREROUTING -d xxx.xxx.xxx.xxx/32 -i eth0 -p tcp -j ACCEPT.

Вывод iptables-save:
---
# Generated by iptables-save v1.4.4 on Tue May  6 21:15:39 2014
*nat
:PREROUTING ACCEPT [26297:1969646]
:POSTROUTING ACCEPT [16773:1020025]
:OUTPUT ACCEPT [16773:1020025]
-A PREROUTING -d 31.200.206.190/32 -i eth0 -p tcp -j ACCEPT
-A PREROUTING ! -d 192.168.1.0/24 -i eth1 -p tcp -m multiport --dports 80,8080 -j DNAT --to-destination 192.168.1.9:8081
-A POSTROUTING -s 192.168.1.0/24 -o eth0 -j MASQUERADE
COMMIT
# Completed on Tue May  6 21:15:39 2014
# Generated by iptables-save v1.4.4 on Tue May  6 21:15:39 2014
*filter
:INPUT ACCEPT [1305273:1235840308]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [862306:2176859318]
-A INPUT -i lo -j ACCEPT
-A FORWARD -i eth1 -o eth0 -j ACCEPT
-A FORWARD -d 31.200.206.190/32 -i eth1 -p tcp -j ACCEPT
-A FORWARD -i eth0 -m state --state RELATED,ESTABLISHED -j ACCEPT
-A FORWARD -i eth0 -o eth1 -j REJECT --reject-with icmp-port-unreachable
COMMIT
# Completed on Tue May  6 21:15:39 2014

Это уже с добавленными строчками, IP сайта, на кототрый надо пустить юзеров напрямую, 31.200.206.190
---

И не работает. Пожалуйста, помогите сделать.

Ответить | Правка | Cообщить модератору

Оглавление

Сообщения по теме [Сортировка по времени | RSS]


1. "Один сайт пустить в обход Squid"  +/
Сообщение от PavelR (ok) on 08-Май-14, 07:31 
>и предпоследней строкой iptables -t nat -A PREROUTING -d 31.200.206.190/32 -i eth0 -p tcp -j ACCEPT.

[удалено]

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

2. "Один сайт пустить в обход Squid"  +/
Сообщение от PavelR (ok) on 08-Май-14, 07:34 
>>и предпоследней строкой iptables -t nat -A PREROUTING -d 31.200.206.190/32 -i eth0 -p tcp -j ACCEPT.

-i eth1

Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

3. "Один сайт пустить в обход Squid"  +/
Сообщение от shtoff (ok) on 08-Май-14, 12:33 
>>>и предпоследней строкой iptables -t nat -A PREROUTING -d 31.200.206.190/32 -i eth0 -p tcp -j ACCEPT.
> -i eth1

Большое спасибо! Вроде как конструкция заработала (по крайней мере в access.log я пробрасываемого адреса уже не вижу), но на сайте все равно не авторизуется. Буду трясти провайдера, может какие-то специфические порты закрыты.

Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

4. "Один сайт пустить в обход Squid"  +/
Сообщение от shtoff email(ok) on 09-Май-14, 12:12 
>>>и предпоследней строкой iptables -t nat -A PREROUTING -d 31.200.206.190/32 -i eth0 -p tcp -j ACCEPT.
> -i eth1

Если позволите, еще один вопрос - как мне в данной ситуации пустить определнный IP из локалки напрямую в интернет?

Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

5. "Один сайт пустить в обход Squid"  +/
Сообщение от reader (ok) on 09-Май-14, 15:41 
>>>>и предпоследней строкой iptables -t nat -A PREROUTING -d 31.200.206.190/32 -i eth0 -p tcp -j ACCEPT.
>> -i eth1
> Если позволите, еще один вопрос - как мне в данной ситуации пустить
> определнный IP из локалки напрямую в интернет?

так же только -s определнный.IP.из.локалки

Ответить | Правка | ^ к родителю #4 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема




Партнёры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру