форумы  помощь  поиск  регистрация  майллист  ВХОД  слежка

Вариант для распечатки		Пред. тема | След. тема
Форумы OpenNET: Виртуальная конференция (Public)
Изначальное сообщение		[Проследить за развитием треда]

"Не могу настроить iptables для пользования прозрачного сквид..."

Сообщение от mouser on 13-Фев-07, 09:36

Debian 3.1 sarge,Squid 2.5.Stable9, iptables 11.2.11 На машине стоят 2 сетевухи: eth0(192.168.0.1) eth1(192.168.1.2); eth0 смотрит в локалку, к eth1 подключен адсл модем с ip 1192.168.1.1;Также сделано впн(192.168.2.0/24) подключение через eth0 для доступа в инет из локалки. конфиги iptables: echo 1 > /proc/sys/net/ipv4/ip_forward iptables -t nat -F iptables -t nat -A POSTROUTING -s 192.168.2.0/24 -o eth1 -j MASQUERADE iptables -t nat -A PREROUTING -s 192.168.2.0/24 -p tcp --dport 80 -j REDIRECT --to-port 3128 iptables -F iptables -P FORWARD DROP iptables -P INPUT ACCEPT iptables -P OUTPUT ACCEPT #Форвардинг между впн и адсл iptables -A FORWARD -s 192.168.2.0/24 -d 192.168.1.0/24 -j ACCEPT iptables -A FORWARD -s 192.168.2.0/24 -j ACCEPT iptables -A FORWARD -s 192.168.1.0/24 -d 192.168.2.0/24 -j ACCEPT iptables -A FORWARD -d 192.168.2.0/24 -j ACCEPT #Входящий трафик из локалки iptables -A INPUT -s 192.168.0.0/24 -d 192.168.0.1 -j ACCEPT iptables -A OUTPUT -s 192.168.0.1 -d 192.168.0.0/24 -j ACCEPT # # # ----------------------- и сквида: http_port 3128 icp_port 0 acl all src 0.0.0.0/0.0.0.0 acl localhost src 127.0.0.1/255.255.255.255 acl LAN src 192.168.2.0/24 acl to_localhost dst 127.0.0.0/8 acl SSL_ports port 443 563       acl SSL_ports port 873           acl Safe_ports port 80           acl Safe_ports port 21           acl Safe_ports port 443 563     acl purge method PURGE acl CONNECT method CONNECT http_access allow localhost http_access allow LAN http_access allow purge localhost http_access allow purge LAN http_access deny purge http_access deny !Safe_ports http_access deny CONNECT !SSL_ports http_access deny all http_reply_access allow all icp_access allow LAN icp_access deny all Проблема такая: Не могу понять как идет трафик с впн на сквид! Сквид в режиме transparent принимает пакеты только если политика по умолчанию в iptables в цепочках INPUT и OUTPUT - ACCEPT; Меняем на DROP - траф насквид не идет... пробовал разрешать входящий и исходящий трафик на интерфейс 192.168.2.1 -проблема не решилась.. в конфиге сквида пробовал указывать интерфейс впн - он его слушать отказался.. пробовал перенаправлять пакеты с впн на eth0 - безрезультатно... Может быть, кто-нибудь укажет мне на ошибку? Или подскажет,как сделать правильную фильтрацию? Заранее спасибо!

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

Сообщения по теме

[Сортировка по времени, UBB]

1. "Не могу настроить iptables для пользования прозрачного сквид..."

Сообщение от pavel (??) on 13-Фев-07, 10:30

>Debian 3.1 sarge,Squid 2.5.Stable9, iptables 11.2.11 >На машине стоят 2 сетевухи: eth0(192.168.0.1) eth1(192.168.1.2); eth0 смотрит в локалку, >к eth1 подключен адсл модем с ip 1192.168.1.1;Также сделано впн(192.168.2.0/24) подключение через >eth0 для доступа в инет из локалки. >конфиги iptables: > >echo 1 > /proc/sys/net/ipv4/ip_forward > >iptables -t nat -F >iptables -t nat -A POSTROUTING -s 192.168.2.0/24 -o eth1 -j MASQUERADE >iptables -t nat -A PREROUTING -s 192.168.2.0/24 -p tcp --dport 80 -j >REDIRECT --to-port 3128 > >iptables -F >iptables -P FORWARD DROP >iptables -P INPUT ACCEPT >iptables -P OUTPUT ACCEPT >#Форвардинг между впн и адсл >iptables -A FORWARD -s 192.168.2.0/24 -d 192.168.1.0/24 -j ACCEPT >iptables -A FORWARD -s 192.168.2.0/24 -j ACCEPT >iptables -A FORWARD -s 192.168.1.0/24 -d 192.168.2.0/24 -j ACCEPT >iptables -A FORWARD -d 192.168.2.0/24 -j ACCEPT >#Входящий трафик из локалки >iptables -A INPUT -s 192.168.0.0/24 -d 192.168.0.1 -j ACCEPT >iptables -A OUTPUT -s 192.168.0.1 -d 192.168.0.0/24 -j ACCEPT ># ># ># >----------------------- >и сквида: > >http_port 3128 > > >icp_port 0 > >acl all src 0.0.0.0/0.0.0.0 >acl localhost src 127.0.0.1/255.255.255.255 >acl LAN src 192.168.2.0/24 >acl to_localhost dst 127.0.0.0/8 >acl SSL_ports port 443 563 >acl SSL_ports port 873 >acl Safe_ports port 80 >acl Safe_ports port 21 >acl Safe_ports port 443 563 >acl purge method PURGE >acl CONNECT method CONNECT > >http_access allow localhost >http_access allow LAN >http_access allow purge localhost >http_access allow purge LAN >http_access deny purge >http_access deny !Safe_ports >http_access deny CONNECT !SSL_ports >http_access deny all > >http_reply_access allow all > > icp_access allow LAN >icp_access deny all > >Проблема такая: >Не могу понять как идет трафик с впн на сквид! > >Сквид в режиме transparent принимает пакеты только если политика по умолчанию в >iptables >в цепочках INPUT и OUTPUT - ACCEPT; Меняем на DROP - траф >насквид не идет... >пробовал разрешать входящий и исходящий трафик на интерфейс 192.168.2.1 -проблема не решилась.. > >в конфиге сквида пробовал указывать интерфейс впн - он его слушать отказался.. > >пробовал перенаправлять пакеты с впн на eth0 - безрезультатно... >Может быть, кто-нибудь укажет мне на ошибку? >Или подскажет,как сделать правильную фильтрацию? >Заранее спасибо! squid посади на интерфейс lo и разреши полный доступ всем. правило редиректа поставь до маскарада. в фовард добавь динамическое правило (iptables -A FORWARD -d 192.168.2.0/24 -p tcp -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT)

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить	Индекс форумов | Темы | Пред. тема | След. тема
Оцените тред (1=ужас, 5=супер)? [ 1 | 2 | 3 | 4 | 5 ] [Рекомендовать для помещения в FAQ]