>что-то не пойму я! если у тебя все юзеры ходят через прокси
>сквид, то зачем тебе маскарад вообще и на порт 3128
>в частности ?
К сожалению ipchains я понимаю плохо, настраивал не я ....
Эти цепочки разрешаеют идти моему сквиду на сквид провайдера, который для него парент. Остальные порты кроме почтовых и нужных мне фильтруются....
вот полный список цепочек.
================= cut =========================
echo 1 > /proc/sys/net/ipv4/ip_forward
ipchains -F -v
ipchains -X -v
ipchains -P input DENY -v
ipchains -P output DENY -v
ipchains -P forward DENY -v
# LO
ipchains -A input -i lo -j ACCEPT -v
ipchains -A output -i lo -j ACCEPT -v
# ETH1
ipchains -A input -i $INT_INTERFACE -j ACCEPT -v
ipchains -A output -i $INT_INTERFACE -j ACCEPT -v
ipchains -A forward -s $LOCAL_NET $UNPORTS -i $EXT_INTERFACE -p tcp -j MASQ -v
ipchains -A forward -s $LOCAL_NET $UNPORTS -i $EXT_INTERFACE -p udp -j MASQ -v
ipchains -A forward -s $LOCAL_NET $UNPORTS -i $EXT_INTERFACE -p icmp -j MASQ -v
ipchains -A forward -s $LOCAL_NET $UNPORTS -i $EXT_INTERFACE -p tcp --destination-port 20:21 -j MASQ -v
ipchains -A input -i $EXT_INTERFACE -p tcp --source-port 20:21 -j ACCEPT -v
ipchains -A output -i $EXT_INTERFACE -p tcp --destination-port 20:21 -j ACCEPT -v
# ETH0
ipchains -A input -i $EXT_INTERFACE -p tcp -s 0/0 domain -j ACCEPT -v
ipchains -A input -i $EXT_INTERFACE -p udp -s 0/0 domain -j ACCEPT
ipchains -A output -i $EXT_INTERFACE -p tcp -d 0/0 domain -j ACCEPT -v
ipchains -A output -i $EXT_INTERFACE -p udp -d 0/0 domain -j ACCEPT
ipchains -A input -i $EXT_INTERFACE -p tcp -s $SMTP smtp -j ACCEPT -v
ipchains -A output -i $EXT_INTERFACE -p tcp -d $SMTP smtp -j ACCEPT -v
ipchains -A input -i $EXT_INTERFACE -p tcp -s $POP pop3 -j ACCEPT -v
ipchains -A output -i $EXT_INTERFACE -p tcp -d $POP pop3 -j ACCEPT -v
ipchains -A input -i $EXT_INTERFACE -p tcp -s $PROXY 3128 -j ACCEPT -v -l
ipchains -A output -i $EXT_INTERFACE -p tcp -d $PROXY 3128 -j ACCEPT -v -l
ipchains -A input -i $EXT_INTERFACE -p udp -s $PROXY 3130 -j ACCEPT -v -l
ipchains -A output -i $EXT_INTERFACE -p udp -d $PROXY 3130 -j ACCEPT -v -l
ipchains -A input -p icmp -j ACCEPT -v
ipchains -A output -p icmp -j ACCEPT -v
# Ultima
ipchains -A input -i $EXT_INTERFACE -p tcp -s $ULTIMA $ULTIMA_PORT -j ACCEPT -v
ipchains -A input -i $EXT_INTERFACE -p udp -s $ULTIMA $ULTIMA_PORT -j ACCEPT -v
ipchains -A output -i $EXT_INTERFACE -p tcp -d $ULTIMA $ULTIMA_PORT -j ACCEPT -v
ipchains -A output -i $EXT_INTERFACE -p udp -d $ULTIMA $ULTIMA_PORT -j ACCEPT -v
ipchains -A input -i $EXT_INTERFACE -p tcp -s 0/0 5190 -j ACCEPT -v
ipchains -A input -i $EXT_INTERFACE -p udp -s 0/0 5190 -j ACCEPT -v
ipchains -A output -i $EXT_INTERFACE -p tcp -d 0/0 5190 -j ACCEPT -v
ipchains -A output -i $EXT_INTERFACE -p udp -d 0/0 5190 -j ACCEPT -v
ipchains -A input -i $EXT_INTERFACE -p tcp -s 0/0 -j DENY -v
ipchains -A input -i $EXT_INTERFACE -p udp -s 0/0 -j DENY -v
===============================================
Вот.
Вариант для распечатки
Настройка Squid и других прокси серверов (Public)
on
13-Ноя-02, 23:08 (MSK)
