Прокси только на http

>Можно ли сделать так чтобы,порты 80,8080,3128,ftp,https доступны только посредством прокси на локальный прокси сервер, а остальное шло через маршрутизацию?

Если раздающая всем интернет машина под твоим полным контролем, то да, можно.

Ну если прокси и NAT уже настроены остаётся разрешить проходить пакеты на порты типа джаббера и т.д. и запретить остальное. Покури маны/доки по iptables.

Доки по iptables долго изучать. Можете написать пример? (кто уже работал с iptables). После перезагрузки правила сохраняются?

iptables -A FORWARD -m state --state RELATED,ESTABLISHED -j ACCEPT #разрешаем установленные соединения
iptables -A FORWARD -i $LAN_IFACE -o $INET_IFACE -p tcp --dport 5222 #разрешаем конектится на 5222
... --dport 5223 # на 5223 и т.д.
...
iptables -P FORWARD DROP # всё что не попадает под правила - запрещаем

сами по себе правила не сохраняются.
Какой дистр?

Спасибо, дистр ubuntu и opensuse (последний скоро останется только там, где прокси)

если есть скрипт /etc/init.d/iptables то сохранить правила можно /etc/init.d/iptables save

но я не знаю где это идеологически правильно сделать в этих дистрах)

Как я понял какието правила уже настроены. Вот надо посмотреть где они записаны и туда же воткнуть

Сделал как написали, но когда отключаю прокси в браузере он всё равно пускает http.

# iptables -L Chain INPUT (policy ACCEPT) target prot opt source destination

Chain FORWARD (policy DROP) target prot opt source destination ACCEPT 0 -- anywhere anywhere state RELATED,ESTABLISHED tcp -- anywhere anywhere tcp dpt:xmpp-client tcp -- anywhere anywhere tcp dpt:3128 tcp -- anywhere anywhere tcp dpt:ssh tcp -- anywhere anywhere tcp dpt:domain tcp -- anywhere anywhere tcp dpt:sunrpc tcp -- anywhere anywhere tcp dpt:ldap tcp -- anywhere anywhere tcp dpt:ipp tcp -- anywhere anywhere tcp dpt:nfs

Chain OUTPUT (policy ACCEPT) target prot opt source destination

Сделал как написали, но когда отключаю прокси в браузере он всё равно пускает http.

# iptables -L
Chain INPUT (policy ACCEPT)
target     prot opt source               destination

Chain FORWARD (policy DROP)
target     prot opt source               destination
ACCEPT     0    --  anywhere             anywhere            state RELATED,ESTABLISHED
           tcp  --  anywhere             anywhere            tcp dpt:xmpp-client
           tcp  --  anywhere             anywhere            tcp dpt:3128
           tcp  --  anywhere             anywhere            tcp dpt:ssh
           tcp  --  anywhere             anywhere            tcp dpt:domain
           tcp  --  anywhere             anywhere            tcp dpt:sunrpc
           tcp  --  anywhere             anywhere            tcp dpt:ldap
           tcp  --  anywhere             anywhere            tcp dpt:ipp
           tcp  --  anywhere             anywhere            tcp dpt:nfs

Chain OUTPUT (policy ACCEPT)
target     prot opt source               destination

>iptables -A FORWARD -i $LAN_IFACE -o $INET_IFACE -p tcp --dport 5222
извиняюсь. забыл -j ACCEPT в конце)

Так сам прокси находится на этой же машине? Я подумал на другой.

Тогда нужно по другому делать.
iptables -A OUTPUT -o lo -j ACCEPT
iptables -A OUTPUT -o $INET_IFACE -p tcp --dport 5222 -j ACCEPT #разрешаем конектится на 5222 и т.д.
... --dport 5223 -j ACCEPT
...
iptables -A OUTPUT -o $INET_IFACE -p tcp --dport 80 -m owner --uid-owner 0 -j ACCEPT #на 80 порт может конектицца только root(тоесть только через прокси)
... --dport 21
...
iptables -P OUTPUT DROP

это будет работать только если сквид работает под рутом. также рут сможет беспрепятственно выходить в инет.

Нет, сквид работает на другом компе (я ещё не заметил $LAN_IFACE). Завтра попробую ещё раз, спасибо