The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

форумы  помощь  поиск  регистрация  майллист  ВХОД  слежка  RSS
"IP forward IP MASQ IPTABLES"
Вариант для распечатки Архивированная нить - только для чтения! 
Пред. тема | След. тема 
Форумы OpenNET: Виртуальная конференция (Public)
Изначальное сообщение [Проследить за развитием треда]

"IP forward IP MASQ IPTABLES"
Сообщение от Marshrut emailИскать по авторуВ закладки on 30-Сен-02, 11:50  (MSK)
Люди! Хелп ми!! у меня есть внутренняя сетка 10.10.3.* \255.255.255.0, машина RH 7.2 c двумя интерфейсами (етн0 - 10.10.3.1/255.255.255.0 , етн1 - 10.11.4.2/255.255.0.0) Внутренняя сетка смотрит в етн0, етн1 смотрит в циску(2х портовую) на его етн1 - 10.11.4.1/255.255.255.248. Установлен СКВИД 2.4. Внешний  инет адрес имеет адрес 212.42.64.74/*.*.*.* нужно чтобы со своей сетки (например 10.10.3.151) пинговал адрес внешнего интернета 212.42.64.74.
я с маршрутизацией работаю всего 2-ю неделю. а злой чиф хочет чтобы это работало быстро.. Циска - это черный ящик. его конфигурит провайдёр.
когда я буду писать правила что я у него должен спросить по поводу конфигурации циски?
если можно то напишите от и до что я должен ручками понаписывать в route, iptables ipchains ipfw?
P.S. я денно и ношно читаю маны..)) не пишите мне об этом..))
  Рекомендовать в FAQ | Cообщить модератору | Наверх

 Оглавление

Индекс форумов | Темы | Пред. тема | След. тема
Сообщения по теме

1. "RE: IP forward IP MASQ IPTABLES"
Сообщение от zaa emailИскать по авторуВ закладки on 30-Сен-02, 12:09  (MSK)
Взгляни на обсуждение, как раз твой случай обсуждали.
Мне еще раз так длинно ответить слабо.

http://www.linux.ru/conf/read.php?f=5&i=35625&t=35625

  Рекомендовать в FAQ | Cообщить модератору | Наверх

2. "RE: IP forward IP MASQ IPTABLES"
Сообщение от Marshrut emailИскать по авторуВ закладки on 30-Сен-02, 13:24  (MSK)
>Взгляни на обсуждение, как раз твой случай обсуждали.
>Мне еще раз так длинно ответить слабо.
>
>http://www.linux.ru/conf/read.php?f=5&i=35625&t=35625


я почитал эту конференцию .Вопрос! как в  ipchains создайть правила, которые бы пропускали трафик сквида.?

  Рекомендовать в FAQ | Cообщить модератору | Наверх

3. "RE: IP forward IP MASQ IPTABLES"
Сообщение от zaa emailИскать по авторуВ закладки on 30-Сен-02, 15:03  (MSK)
>Вопрос! как в  ipchains создайть правила,
>которые бы пропускали трафик сквида.?

ipchains -A output -i eth1(внешний интерфейс) -p tcp -s IP_адрес_внешнего_интерфейса 1024:  -d 0/0 80 -j ACCEPT

ipchains -A input -i eth1(внешний интерфейс) -p tcp ! -y -d IP_адрес_внешнего_интерфейса 1024:  -s 0/0 80 -j ACCEPT

Это в случае если squid лезет на сайты напрямую, а ен через прокси провайдера. Если если есть прокси у прова, а он скорее всего есть, то добывь еще такие же правила, только вместо 0/0 80 адрес прокси прова и порт на котором он слушает.

вообще найди лучше ссылки на "настройка ipchains". Тут все просто, вот с настройкой squid лично у меня есть вопросы......
Удачи. zaa

  Рекомендовать в FAQ | Cообщить модератору | Наверх

4. "RE: IP forward IP MASQ IPTABLES"
Сообщение от Marshrut emailИскать по авторуВ закладки on 30-Сен-02, 16:03  (MSK)
>>Взгляни на обсуждение, как раз твой случай обсуждали.
>>Мне еще раз так длинно ответить слабо.
>>
>>http://www.linux.ru/conf/read.php?f=5&i=35625&t=35625
>
>
> я почитал эту конференцию .Вопрос! как в  ipchains создайть правила,
>которые бы пропускали трафик сквида.?

при вводе этих правил пишет Protocol not available

  Рекомендовать в FAQ | Cообщить модератору | Наверх

5. "RE: IP forward IP MASQ IPTABLES"
Сообщение от Marshrut emailИскать по авторуВ закладки on 04-Окт-02, 10:23  (MSK)
ПРомудохавшись с неделю понял что поставил Линух с ядром не поддерживающий фаер вол..((
переустановил с поддержкой ФВ. теперь другой прикол..
когда запускаю сквид у меня в инет начинают ломится все тачки которые 10.10.3.*/255.255.255.0 !!! но они в сквиде ведь не прописаны!!
Люди ХЕЛП МИ!!! как сделать чтобы по айпичейнсу выпускать токо определенные машины..?
по  умолчанию у меня стоит ipchains -P output (ACCESS).когда ставлю DENY  потом пишу правила нихрена не работает.. подскажите как правильно для ipchains + squid написать правила.. а то чтото я уже совсем запутался..


  Рекомендовать в FAQ | Cообщить модератору | Наверх

7. "RE: IP forward IP MASQ IPTABLES"
Сообщение от zaa emailИскать по авторуВ закладки on 04-Окт-02, 11:01  (MSK)

>10.10.3.*/255.255.255.0 !!! но они в сквиде ведь не прописаны!!
>Люди ХЕЛП МИ!!! как сделать чтобы по айпичейнсу выпускать токо определенные машины..?

Если в инет выходят с компов, для которых в сквиде не разрешен выход( кстати убедись, что в squid.conf действительно так написано ),
значит они идут мимо сквида, по цепочке forward ipchains с помощью MASQ.

Все же очень просто:
Сначала всё запрещай:
-P input DENY
-P output REJECT
-P forward REJECT    ( , а у тебя здесь похоже ACCEPT )

потом добавь правила для трафика сквида ( я там выше их писал ) и правила, чтоб проходили пакеты через внутренний интерфейс от/к внутренней сети. Потом еще немного правил добавь, чтобы сквид мог dns и icmp запросы/ответы отправлять/получать.

или вообще разреши все входящие/исходящие через внешний интерфес пакеты , у которых получатель/отправитель сквид.

ВСЕ.

Ну потом еще может понадобится все-таки форвард и маскировка, если кому-то все-таки надо напрямую мимо прокси ( например почтовому серверу )

  Рекомендовать в FAQ | Cообщить модератору | Наверх

6. "RE: IPCHAINS + SQUID"
Сообщение от Marshrut emailИскать по авторуВ закладки on 04-Окт-02, 10:49  (MSK)
Люди! Хелп ми!! у меня есть внутренняя сетка 10.10.3.* \255.255.255.0, машина RH 7.2 c двумя интерфейсами (етн0 - 10.10.3.1/255.255.255.0 , етн1 - 10.11.4.2/255.255.0.0) Внутренняя сетка смотрит в етн0, етн1 смотрит в циску(2х портовую) на его етн1 - 10.11.4.1/255.255.255.248. Установлен СКВИД 2.4. Внешний  инет адрес имеет адрес 212.42.64.74/*.*.*.*
когда включаю сквид то у меня в инет начинают ломится все подряд тачки
из моей сети 10.10.3.*\255.255.255.0
как прописать в правилах чтобы в нет ходили токо определенные люди!
  Рекомендовать в FAQ | Cообщить модератору | Наверх

8. "RE: IPCHAINS + SQUID"
Сообщение от zaa emailИскать по авторуВ закладки on 04-Окт-02, 11:19  (MSK)
Способ 1 ( самый простой и не самый правильный )

Можешь правилами ipchains типа
-A input -i eth0 -s IP_АДРЕС_1_КОМУ_НЕЛЬЗЯ_ВЫЛАЗИТЬ_НАРУЖУ -j REJECT
-A input -i eth0 -s IP_АДРЕС_2_КОМУ_НЕЛЬЗЯ_ВЫЛАЗИТЬ_НАРУЖУ -j REJECT
-A input -i eth0 -s IP_АДРЕС_3_КОМУ_НЕЛЬЗЯ_ВЫЛАЗИТЬ_НАРУЖУ -j REJECT
.....
это при политике по умолчанию, что можно всем.
Понятно будет железно работать.
или можешь наоборот перечислить тех кому можно вылазить ( смотря кого меньше , это при политике по умолчанию -"нельзя ни кому". )

Или можно сеть разбить на подсети, кому можно и кому нельзя. тогда одной строчки правил хватит.


В этом случае пользователи либо будут потихоньку пересаживаться за чужие компы, с которых можно или будут менять свой ip и всё равно вылазить :-))

Способ 2. ( правильный в случае если весь инет только через squid )
По моему намного логичнее рулить этим с помощью настроек squid.conf

А еще круче сделать авторизацию на сквиде, тогда уже тем кому можно можно с любого компа, а кому нет, те вообще ни как.

  Рекомендовать в FAQ | Cообщить модератору | Наверх

9. "RE: IPCHAINS + SQUID+EMAIL"
Сообщение от Marshrut emailИскать по авторуВ закладки on 07-Окт-02, 17:13  (MSK)
СПАСИБО ОГРОМНОЕ !! С этим делом разобрался..
у меня сквидяра предыдущим админом была неправильно сконфена.. конф пересыпал -все работает..
а ща другая тема!!! братцы !!
Злой по прежднему чиф хочет с почтового сервера типа www.mail.ru забирать почту на своей машине через ОУТЛУК. точно также он хочет ее выбрасывать во внешний мир опять же со своей машины..скажите честно это мне нужно СЕНДМЕЙЛ собирать? или можно сделать "сквозняки" для конккретного компутера внутренней подсетки для 25 и 110 портов?


  Рекомендовать в FAQ | Cообщить модератору | Наверх

10. "Да ты и сам уже ответил"
Сообщение от zaa emailИскать по авторуВ закладки on 07-Окт-02, 17:33  (MSK)
конечно можно.
Делай цепочку forward, затем MASQ и вперед на прямую.
  Рекомендовать в FAQ | Cообщить модератору | Наверх

12. "RE: Да ты и сам уже ответил"
Сообщение от Marshrut emailИскать по авторуВ закладки on 07-Окт-02, 17:46  (MSK)
>конечно можно.
>Делай цепочку forward, затем MASQ и вперед на прямую.
если не трудно как эта цепочка будет выглядить??
я уже с правилами совсем запутался!!!

  Рекомендовать в FAQ | Cообщить модератору | Наверх

11. "RE: IPCHAINS + SQUID+EMAIL"
Сообщение от Marshrut emailИскать по авторуВ закладки on 07-Окт-02, 17:39  (MSK)
>СПАСИБО ОГРОМНОЕ !! С этим делом разобрался..
>у меня сквидяра предыдущим админом была неправильно сконфена.. конф пересыпал -все работает..
>
кстати.. (( рано порадовался..(( включил машину чифа в линуксовую тачку..
и теперь не могу пингонуть внутренний адрес цыски..пинг до нее не доходит..((
  Рекомендовать в FAQ | Cообщить модератору | Наверх

13. "RE: IPCHAINS + SQUID+EMAIL"
Сообщение от Marshrut emailИскать по авторуВ закладки on 07-Окт-02, 18:10  (MSK)
>>СПАСИБО ОГРОМНОЕ !! С этим делом разобрался..
>>у меня сквидяра предыдущим админом была неправильно сконфена.. конф пересыпал -все работает..
>>
>кстати.. (( рано порадовался..(( включил машину чифа в линуксовую тачку..
>и теперь не могу пингонуть внутренний адрес цыски..пинг до нее не доходит..((
>
и где взять свежий IPTABLES?
  Рекомендовать в FAQ | Cообщить модератору | Наверх

14. "RE: IPCHAINS + SQUID+EMAIL"
Сообщение от zaa emailИскать по авторуВ закладки on 08-Окт-02, 08:28  (MSK)
Ping это ICMP пакеты. Чтобы они проходили это надо разрешить.

У меня разарешен ping цыски только с файрвола такими правилами:
-A output -i Внешний_интерфейс -p icmp -s IP_файрвола -d 0/0 8 -j ACCEPT
-A input  -i Внешний_интерфейс -p icmp -s 0/0 0 -d IP_файрвола -j ACCEPT
А всей остальной сети ( в том числе и чифу нефиг пинговать ни цыску ни что-л в инете. Зачем?

ps: случайно заглянул на работу. поехал дальше. удачи

  Рекомендовать в FAQ | Cообщить модератору | Наверх


Удалить

Индекс форумов | Темы | Пред. тема | След. тема
Пожалуйста, прежде чем написать сообщение, ознакомьтесь с данными рекомендациями.




Партнёры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2025 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру