LINUX.ORG.RU
ФорумAdmin

вопрос по iptables продолжение


0

0

продолжение http://www.linux.org.ru/view-message.jsp?msgid=1369361

делаю пока для одного адреса - так для 192.168.10.7 iptables -t nat -A PREROUTING -i eth1 -s 192.168.10.7 --dport 80 -j ACCEPT iptables -t nat -A POSTROUTING -s 192.168.10.7 -j MASQUERADE

все равно не пускает, 192.168.10.7 минуя прокси, может еще чего-нибудь упустил

вот вывод iptables -t nat –nvL

Chain PREROUTING (policy ACCEPT 16352 packets, 1371K bytes) pkts bytes target prot opt in out source destination 1 57 ACCEPT all -- eth1 * 192.168.10.7 0.0.0.0/0 1138 54488 REDIRECT tcp -- eth1 * 0.0.0.0/0 0.0.0.0/0 tcp dpt:80 redir ports 3128

Chain POSTROUTING (policy ACCEPT 11382 packets, 713K bytes) pkts bytes target prot opt in out source destination 193 13928 MASQUERADE all -- * * 10.64.10.4 0.0.0.0/0 15 960 MASQUERADE all -- * * 192.168.10.7 0.0.0.0/0

anonymous

файерволом пакет от 10.7 заворачивается на прокси или он его не пускает???
это разные вещи

tugrik ★★
()
Ответ на: комментарий от tugrik

похоже заворачивается на прокси, потому что когда из acl прокси убрать 10.7 то получим access denied несмотря на записи для нат

anonymous
()
Ответ на: комментарий от anonymous 

извиняюсь ошибся никаких access denied не дает, 
именно не пускает, а не перенаправляет на сквид - долго думает и не может отобразить страницу - сейчас проверил еще раз

anonymous
()
Ответ на: комментарий от tugrik 

сделал
iptables -I FORWARD -s 192.168.10.7 -p tcp --dport 80 -j ACCEPT
правлио появилсоь первым в  FORWARD при выводе 
iptables -nvL
без результата :-(

anonymous
()
Ответ на: комментарий от anonymous 

покажите пожалуйста еще раз:
iptables -t nat -vnL 
iptables -vnL - правила до нашего 10.7

только форматирование выберите (preformatted text)

tugrik ★★
()
Ответ на: комментарий от tugrik 

[root@relay root]# iptables -t nat -nvL
Chain PREROUTING (policy ACCEPT 42519 packets, 3460K bytes)
 pkts bytes target     prot opt in     out     source               destination                                              
    1    48 ACCEPT     tcp  --  eth1   *       192.168.10.7          0.0.0.0/0                                                        tcp dpt:80
  161  7688 REDIRECT   tcp  --  eth1   *       0.0.0.0/0            172.16.1.6                                                      tcp dpt:80 redir ports 3129
    1    48 REDIRECT   tcp  --  eth1   *       0.0.0.0/0            192.168.10.2                                                       tcp dpt:80 redir ports 3129
    0     0 REDIRECT   tcp  --  eth1   *       0.0.0.0/0            172.16.1.3                                                      tcp dpt:80 redir ports 3129
 3899  186K REDIRECT   tcp  --  eth1   *       0.0.0.0/0            0.0.0.0/0                                                        tcp dpt:80 redir ports 3128

Chain POSTROUTING (policy ACCEPT 32774 packets, 2051K bytes)
 pkts bytes target     prot opt in     out     source               destination                                              
  532 38281 MASQUERADE  all  --  *      *       192.168.10.4           0.0.0.0/0                                               
   49  3132 MASQUERADE  all  --  *      *       192.168.10.7          0.0.0.0/0                                               

Chain OUTPUT (policy ACCEPT 20199 packets, 1374K bytes)
 pkts bytes target     prot opt in     out     source               destination                   



root@relay root]# iptables -nvL
Chain INPUT (policy ACCEPT 0 packets, 0 bytes)
 pkts bytes target     prot opt in     out     source               destination
88079   11M QUEUE      tcp  --  eth1   *       192.168.10.0/24        192.168.10.2          tcp spts:1024:63353 dpt:3128
 767K  143M RH-Firewall-1-INPUT  all  --  *      *       0.0.0.0/0            0.0.0.0/0

Chain FORWARD (policy ACCEPT 0 packets, 0 bytes)
 pkts bytes target     prot opt in     out     source               destination
    2    96 ACCEPT     tcp  --  *      *       192.168.10.7          0.0.0.0/0           tcp dpt:80
69516 5391K RH-Firewall-1-INPUT  all  --  *      *       0.0.0.0/0            0.0.0.0/0

Chain OUTPUT (policy ACCEPT 553K packets, 382M bytes)
 pkts bytes target     prot opt in     out     source               destination
 108K   67M QUEUE      tcp  --  *      eth1    192.168.10.2           192.168.10.0/24       tcp spt:3128 dpts:1024:63353

Chain RH-Firewall-1-INPUT (2 references)
 pkts bytes target     prot opt in     out     source               destination
47868   19M ACCEPT     all  --  lo     *       0.0.0.0/0            0.0.0.0/0
 167K   74M ACCEPT     all  --  eth0   *       0.0.0.0/0            0.0.0.0/0
 620K   55M ACCEPT     all  --  eth1   *       0.0.0.0/0            0.0.0.0/0
   64  5568 ACCEPT     icmp --  *      *       0.0.0.0/0            0.0.0.0/0           icmp type 255
    0     0 ACCEPT     esp  --  *      *       0.0.0.0/0            0.0.0.0/0
    0     0 ACCEPT     ah   --  *      *       0.0.0.0/0            0.0.0.0/0
 1736  389K ACCEPT     all  --  *      *       0.0.0.0/0            0.0.0.0/0           state RELATED,ESTABLISHED
    0     0 ACCEPT     tcp  --  *      *       0.0.0.0/0            0.0.0.0/0           state NEW tcp dpt:25
    0     0 ACCEPT     tcp  --  *      *       0.0.0.0/0            0.0.0.0/0           state NEW tcp dpt:80
    0     0 ACCEPT     tcp  --  *      *       0.0.0.0/0            0.0.0.0/0           state NEW tcp dpt:21
    0     0 ACCEPT     tcp  --  *      *       0.0.0.0/0            0.0.0.0/0           state NEW tcp dpt:22
    0     0 ACCEPT     tcp  --  *      *       0.0.0.0/0            0.0.0.0/0           state NEW tcp dpt:23
  179 37815 REJECT     all  --  *      *       0.0.0.0/0            0.0.0.0/0           reject-with icmp-host-prohibited

anonymous
()
Ответ на: комментарий от tugrik 

они в окне правее 

iptables -t nat -nvL
Chain PREROUTING (policy ACCEPT 42519 packets, 3460K bytes)
 pkts bytes target     prot opt in     out     source               destination                                              
    1    48 ACCEPT     tcp  --  eth1   *       192.168.10.7          0.0.0.0/0  tcp dpt:80
  161  7688 REDIRECT   tcp  --  eth1   *       0.0.0.0/0            172.16.1.6 tcp dpt:80 redir ports 3129
    1    48 REDIRECT   tcp  --  eth1   *       0.0.0.0/0            192.168.10.2 tcp dpt:80 redir ports 3129
    0     0 REDIRECT   tcp  --  eth1   *       0.0.0.0/0            172.16.1.3  tcp dpt:80 redir ports 3129
 3899  186K REDIRECT   tcp  --  eth1   *       0.0.0.0/0            0.0.0.0/0 tcp dpt:80 redir ports 3128

Chain POSTROUTING (policy ACCEPT 32774 packets, 2051K bytes)
 pkts bytes target     prot opt in     out     source               destination                                              
  532 38281 MASQUERADE  all  --  *      *       192.168.10.4           0.0.0.0/0                                               
   49  3132 MASQUERADE  all  --  *      *       192.168.10.7          0.0.0.0/0                                               

Chain OUTPUT (policy ACCEPT 20199 packets, 1374K bytes)
 pkts bytes target     prot opt in     out     source               destination

anonymous
()
Ответ на: комментарий от anonymous 

черт, а ведь должно работать...
по крайней мере дело не в этом файерволе... imho...
если из PREROUTING убрать первое и последнее правило у вас работает???

tugrik ★★
()
Ответ на: комментарий от tugrik

ура заработало! - по тому варианту который был предложен вчера последним помог последний совет: - убрал первое и последнее правила и все понял была еще прикрутка в iproute2 и из-за нее были проблемы, спасибо.

anonymous
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.
Admin