>добрый день. есть такая проблема. обчитавшись мануала по iptables и не поняв
>некоторых ключевых моментов прошу помощи по такому вопросу.
>есть сервер, в котором нужно заменить выход в инет с прямого через
>iptables на выход через прокси. есть конфиг для iptables, который должен
>закрыть все, кроме самого squid на 3128 порту, должен остаться 25-ый
>порт, 110-ый, 22-ой.
>интерфейсы: eth2 - локальный (192.168.106.1), eth0 - смотрит во внешний мир.
>
>конфиг:
>1
>[оверквотинг удален]
>iptables -t nat -F
>iptables -t nat -X
># Setting default filter policy
>iptables -P INPUT DROP
>iptables -P OUTPUT ACCEPT
># Unlimited access to loop back
>iptables -A INPUT -i lo -j ACCEPT
>iptables -A OUTPUT -o lo -j ACCEPT
>
>iptables -A INPUT -i eth2 -m state --state ESTABLISHED,RELATED -j ACCEPT
ниже весь вход через eth2 все равно разрешон
>iptables -A INPUT -p TCP --dport 25 -i eth0 -j ACCEPT
>iptables -A INPUT -p TCP --dport 110 -i eth0 -j ACCEPT
>iptables -A INPUT -p TCP --dport 22 -i eth0 -j ACCEPT
>iptables -A INPUT -p TCP --dport 3128 -i eth2 -s 192.168.106.0/24 -j
>ACCEPT
ниже весь вход через eth2 все равно разрешон
>iptables -A OUTPUT -p TCP --dport 3128 -i eth2 -s 192.168.106.0/24 -j
>ACCEPT
тут не правельно, в OUTPUT входящий интерфейс не указывается, но выше весь, а ниже через eth2, выход разрешон
>[оверквотинг удален]
>iptables -A FORWARD -i eth0 -d 192.168.106.0/24 -j DROP
># unlimited access to LAN
>iptables -A INPUT -i eth2 -j ACCEPT
>iptables -A OUTPUT -o eth2 -j ACCEPT
># DROP everything else
>iptables -A INPUT -j DROP
>
>вроде мне кажется, что все открыто прально, а не работает. подскиажите пож
>где я туплю? раньше iptables не пользовался, так получилось, что мне
>нужно настроить этот сервер.
на этой машине инет ,с этими правилами, работает? ответы DNS серверов приходят? с этом машины , через squid , инет есть?