forum.opennet.ru - "iptables" (3)

форумы

помощь

поиск

регистрация

майллист

ВХОД

слежка

"iptables"

Форумы OpenNET: Виртуальная конференция (Public)
Вариант для распечатки		Архивированная нить - только для чтения! Пред. тема \| След. тема
Изначальное сообщение		[Проследить за развитием треда]

"iptables"
Сообщение от kazak on 06-Окт-04, 10:29 (MSK)
Я конечно извеняюсь за беспокойство по одному и тому же вопросу, однако исчерповающего ответа я так и не получил. Подскажите как решить проблему: Пользователи в инет выходят из локалки через squid. Сейчас нужно открыть форвардинг, для этого использую iptables. Что теоретически нужно разрешить в iptables, чтобы выйти в инет через squid? Как я делал: 1)Разрешить пользователям из локали обращаться к порту 3128 на файрволе: iptables -A INPUT -p tcp -i eth0 -s 0/0 --dport 3128 -j ACCEPT 2)Для возможности аутентификации на сквиде через ncsa_auth из локалки: iptables -A INPUT -p tcp -i eth0 -s 192.170.30.0/24 -j ACCEPT 3)Политика по умолчанию INPUT DROP, OUTPUT и FORWARD ACCEPT(временно) После этого в инет выйти не могу, судя по логам я да же на проксе не могу зарегится: 192.170.30.25 TCP_DENIED/407 1327 GET http://www.ya.ru/ - NONE/- - или 192.170.30.25 TCP_MISS/000 0 GET http://www.ya.ru/ - NONE/- - Подскажите, чего не хватает?
	Рекомендовать в FAQ \| Cообщить модератору \| Наверх

Оглавление

iptables, nrvalex, 11:05 , 06-Окт-04, (1)
- iptables, kazak, 12:37 , 06-Окт-04, (2)
  - iptables, Loky, 13:11 , 06-Окт-04, (3)

Индекс форумов | Темы | Пред. тема | След. тема

Сообщения по теме

1. "iptables"

Сообщение от nrvalex on 06-Окт-04, 11:05  (MSK)

>Я конечно извеняюсь за беспокойство по одному и тому же вопросу, однако
>исчерповающего ответа я так и не получил.
>Подскажите как решить проблему:
>Пользователи в инет выходят из локалки через squid.
>Сейчас нужно открыть форвардинг, для этого использую iptables.
>Что теоретически нужно разрешить в iptables, чтобы выйти в инет через squid?
>
>Как я делал:
>1)Разрешить пользователям из локали обращаться к порту 3128 на файрволе:
>iptables -A INPUT -p tcp -i eth0 -s 0/0 --dport 3128 -j
>ACCEPT
>2)Для возможности аутентификации на сквиде через ncsa_auth из локалки:
>iptables -A INPUT -p tcp -i eth0 -s 192.170.30.0/24 -j ACCEPT
>
>3)Политика по умолчанию INPUT DROP, OUTPUT и FORWARD ACCEPT(временно)
>
>После этого в инет выйти не могу, судя по логам я да
>же на проксе
>не могу зарегится:
>192.170.30.25 TCP_DENIED/407 1327 GET http://www.ya.ru/ - NONE/- -
>или
>192.170.30.25 TCP_MISS/000 0 GET http://www.ya.ru/ - NONE/- -
>Подскажите, чего не хватает?
iptables -I INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
http://www.opennet.me/docs/RUS/iptables/

Рекомендовать в FAQ | Cообщить модератору | Наверх

2. "iptables"

Сообщение от kazak on 06-Окт-04, 12:37  (MSK)

>>Я конечно извеняюсь за беспокойство по одному и тому же вопросу, однако
>>исчерповающего ответа я так и не получил.
>>Подскажите как решить проблему:
>>Пользователи в инет выходят из локалки через squid.
>>Сейчас нужно открыть форвардинг, для этого использую iptables.
>>Что теоретически нужно разрешить в iptables, чтобы выйти в инет через squid?
>>
>>Как я делал:
>>1)Разрешить пользователям из локали обращаться к порту 3128 на файрволе:
>>iptables -A INPUT -p tcp -i eth0 -s 0/0 --dport 3128 -j
>>ACCEPT
>>2)Для возможности аутентификации на сквиде через ncsa_auth из локалки:
>>iptables -A INPUT -p tcp -i eth0 -s 192.170.30.0/24 -j ACCEPT
>>
>>3)Политика по умолчанию INPUT DROP, OUTPUT и FORWARD ACCEPT(временно)
>>
>>После этого в инет выйти не могу, судя по логам я да
>>же на проксе
>>не могу зарегится:
>>192.170.30.25 TCP_DENIED/407 1327 GET http://www.ya.ru/ - NONE/- -
>>или
>>192.170.30.25 TCP_MISS/000 0 GET http://www.ya.ru/ - NONE/- -
>>Подскажите, чего не хватает?
>
>iptables -I INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
>
>http://www.opennet.me/docs/RUS/iptables/
А какой смысл несет это правило я не до конца понимаю, ведь я же разрешил вхоядящие пакеты для сквида и ncsa_auth?

Рекомендовать в FAQ | Cообщить модератору | Наверх

3. "iptables"

Сообщение от Loky on 06-Окт-04, 13:11  (MSK)

>А какой смысл несет это правило я не до конца понимаю, ведь
>я же разрешил вхоядящие пакеты для сквида и ncsa_auth?
Для начала почитай про стек протокола TCP/IP, тогда многое понятно станет. Какой смысл объяснять если тебя не понимают?

Рекомендовать в FAQ | Cообщить модератору | Наверх

Удалить

Индекс форумов | Темы | Пред. тема | След. тема

Пожалуйста, прежде чем написать сообщение, ознакомьтесь с данными рекомендациями.

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2025 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру

1. "iptables"
Сообщение от nrvalex on 06-Окт-04, 11:05 (MSK)
>Я конечно извеняюсь за беспокойство по одному и тому же вопросу, однако >исчерповающего ответа я так и не получил. >Подскажите как решить проблему: >Пользователи в инет выходят из локалки через squid. >Сейчас нужно открыть форвардинг, для этого использую iptables. >Что теоретически нужно разрешить в iptables, чтобы выйти в инет через squid? > >Как я делал: >1)Разрешить пользователям из локали обращаться к порту 3128 на файрволе: >iptables -A INPUT -p tcp -i eth0 -s 0/0 --dport 3128 -j >ACCEPT >2)Для возможности аутентификации на сквиде через ncsa_auth из локалки: >iptables -A INPUT -p tcp -i eth0 -s 192.170.30.0/24 -j ACCEPT > >3)Политика по умолчанию INPUT DROP, OUTPUT и FORWARD ACCEPT(временно) > >После этого в инет выйти не могу, судя по логам я да >же на проксе >не могу зарегится: >192.170.30.25 TCP_DENIED/407 1327 GET http://www.ya.ru/ - NONE/- - >или >192.170.30.25 TCP_MISS/000 0 GET http://www.ya.ru/ - NONE/- - >Подскажите, чего не хватает? iptables -I INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT http://www.opennet.me/docs/RUS/iptables/
	Рекомендовать в FAQ \| Cообщить модератору \| Наверх


	2. "iptables"
	Сообщение от kazak on 06-Окт-04, 12:37 (MSK)
	>>Я конечно извеняюсь за беспокойство по одному и тому же вопросу, однако >>исчерповающего ответа я так и не получил. >>Подскажите как решить проблему: >>Пользователи в инет выходят из локалки через squid. >>Сейчас нужно открыть форвардинг, для этого использую iptables. >>Что теоретически нужно разрешить в iptables, чтобы выйти в инет через squid? >> >>Как я делал: >>1)Разрешить пользователям из локали обращаться к порту 3128 на файрволе: >>iptables -A INPUT -p tcp -i eth0 -s 0/0 --dport 3128 -j >>ACCEPT >>2)Для возможности аутентификации на сквиде через ncsa_auth из локалки: >>iptables -A INPUT -p tcp -i eth0 -s 192.170.30.0/24 -j ACCEPT >> >>3)Политика по умолчанию INPUT DROP, OUTPUT и FORWARD ACCEPT(временно) >> >>После этого в инет выйти не могу, судя по логам я да >>же на проксе >>не могу зарегится: >>192.170.30.25 TCP_DENIED/407 1327 GET http://www.ya.ru/ - NONE/- - >>или >>192.170.30.25 TCP_MISS/000 0 GET http://www.ya.ru/ - NONE/- - >>Подскажите, чего не хватает? > >iptables -I INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT > >http://www.opennet.me/docs/RUS/iptables/ А какой смысл несет это правило я не до конца понимаю, ведь я же разрешил вхоядящие пакеты для сквида и ncsa_auth?
		Рекомендовать в FAQ \| Cообщить модератору \| Наверх


	3. "iptables"
	Сообщение от Loky on 06-Окт-04, 13:11 (MSK)
	>А какой смысл несет это правило я не до конца понимаю, ведь >я же разрешил вхоядящие пакеты для сквида и ncsa_auth? Для начала почитай про стек протокола TCP/IP, тогда многое понятно станет. Какой смысл объяснять если тебя не понимают?
		Рекомендовать в FAQ \| Cообщить модератору \| Наверх