Доброго времени суток, господа!
Тревожит вас очередной мало что понимающий в никсовых системах юзверь. Отсюда, думаю, много станет понятно, так что не буду много об этом. Итак, я пытался разобраться с этим http://www.opennet.me/docs/RUS/iptables/ на протяжении нескольких недель, но мало что вышло.
Итак, дано:
rusfedora 14
squid 3.1
sarg 2.2.3.1
iptables
LAN = eth0
INET = eth1
все ипы статические
Задачи:
SQUID - HTTP интернет с авторизацией (пока реализован на непрозрачной основе, странно, но работает);
SARG - снятие отчетов саргом (работает, но таблички генерятся без обрамления, в общем стили кажется в отключке);
IPTABLES - доступ от любой машинки из LAN к сервисам/протоколам ICQ (поначалу работало через прокси, потом перестало, изменений не вносилось), Skype (работает через хттп-прокси без проблем), HTTPS (все в порядке через прокси), FTP (через браузер клиентом работает, через файлзиллы и прочее - не проверялось), почтовые клиенты pop3/smtp (не работает), ICR/Jabber порты 6667-6669 (пока работают через хттп-прокси), проброс натом портов к конкретным машинкам для банк-клиента (не приступал к реализации).Итого: имеется 2 основных задачи, которые мне пока решить ну никак не удается.
1)нормальное отображение sarg-отчета (в конфиге включены все тэги, отвечающие за "рисование", в одной из тестовых версий все работало без каких-либо проблем, но по несчастливой случайности, тот конфиг не сохранился), прошу подсказок, что искать и где копать.
2)проблема с почтовыми клиентами pop3/smtp/imap как заставить их корректно работать, я в курсе, что осьминожка не умеет транслировать эти протоклы через себя, а вот реализовать iptables'ами у меня пока не выходит, самая главная загвоздка - сделать это для всех юзеров локали разом(вводим допущение, что у нас сеть LAN из N компов и у всех поголовно есть доступ к инету и указанным протоколам и без доступа к любым другим). Читал про то, что можно это решить только используя прозрачное проксирование, но этот вариант пробовать буду только если других не останется, т.к. шлюз используется и оставить людей без инета пока нет возможности.
3)также выслушаю замечания и рекомендации по текущей конфигурации иптаблесов, возможно по версиям продуктов, к сожалению, сами продукты не обсуждаются.
ну и до кучи, текущие правила iptables:
==================================================
#!/bin/sh
/sbin/modprobe ip_tables
/sbin/modprobe iptable_filter
/sbin/modprobe iptable_mangle
/sbin/modprobe iptable_nat
/sbin/modprobe ipt_limit
/sbin/modprobe ipt_conntrack_ftp
/sbin/modprobe ipt_conntrack_irc
/sbin/modprobe ipt_nat_ftp
/sbin/modprobe ipt_REJECT
iptables -F
iptables - P INPUT DROP
iptables - P OUTPUT DROP
iptables - P FORWARD DROP
iptables -A INPUT -s 127.0.0.1 -j ACCEPT
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A INPUT -p icmp -i eth0 --icmp-typoe echo-request -j ACCEPT
iptables -A OUTPUT -p icmp -o eth1 --icmp-typoe echo-reply -j ACCEPT
iptables -A INPUT -p icmp -i eth1 --icmp-typoe echo-reply -j ACCEPT
iptables -A INPUT -p tcp -i eth0 --dport 3128 -j ACCEPT
iptables -A OUTPUT -p tcp -o eth0 --sport 3128 -j ACCEPT
iptables -A INPUT -p tcp -i eth0 --dport 22 -j ACCEPT
iptables -A OUTPUT -p tcp -o eth0 --sport 22 -j ACCEPT
iptables -A INPUT -p tcp -i eth0 --dport 80 -j ACCEPT
iptables -A OUTPUT -p tcp -o eth0 --sport 80 -j ACCEPT
iptables -A OUTPUT -p tcp -o eth1 -j ACCEPT
iptables -A OUTPUT -p udp -o eth1 -j ACCEPT
iptables -A OUTPUT -p icmp -o eth1 --icmp-type echo-request -j ACCEPT
iptables -A INPUT -p tcp -i eth1 --dport 80 -j ACCEPT
iptables -A INPUT -p tcp -i eth0 --dport 6667:6669 -j ACCEPT
iptables -A INPUT -p tcp -i eth0 --dport 443 -j ACCEPT
iptables -A INPUT -p tcp -i eth0 --dport 5190 -j ACCEPT
service iptables save
service iptables restart
==================================================
Вот, наверное так... очень надеюсь на вашу помощь, уважаемые *nix-гуру