LINUX.ORG.RU
решено ФорумAdmin

Трафик идет мимо прокси, помогите разобраться

 , , ,


0

1

Доброго дня всем, имею Squid 3.5.27 скомпилированный с ssl на Ubuntu server 18.04, сам кальмар работает без ошибок (вроде бы), но вот трафик все равно идет не через прокси, а просто через шлюз, iptables у меня такой: 

#!/bin/sh
#
# удалить все действующие правила
#
iptables -F
iptables -t nat -F
iptables -t mangle -F
iptables -X

# Всегда принимать трафик на loopback-интерфейсе
iptables -A INPUT -i lo -j ACCEPT

# Разрешить соединения, которые инициированы изнутри (ens192)
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A INPUT -m state --state NEW -i eth1 -j ACCEPT
iptables -A FORWARD -i ens160 -o ens192 -m state --state ESTABLISHED,RELATED -j ACCEPT

# Разрешить доступ из LAN-сети к внешним сетям
iptables -A FORWARD -i ens192 -o ens160 -j ACCEPT

# Masquerade.
iptables -t nat -A POSTROUTING -o ens160 -j MASQUERADE

# Запретить forward извне во внутреннюю сеть
iptables -A FORWARD -i ens160 -o ens192 -j REJECT

# Включить forward
sysctl -w net.ipv4.ip_forward=1

# Чтобы была возможность использовать squid прозрачно
iptables -t nat -A PREROUTING -i ens160 -p tcp --dport 80 -j REDIRECT --to-port 3128
iptables -t nat -A PREROUTING -i ens160 -p tcp --dport 443 -j REDIRECT --to-port 3129




ens160 смотрит во внешний мир, 192 во внутрь

Не «совсем» по теме: Судя по всему «бездумная копипаста», я угадал? B если у вас полиси ACCEPT везде, то часть правил не имеет значения. Лучше бы показали выхлоп iptables-save
А на счет редиректа, анон правильно ответил. Но не забывайте что все кроме 443 и 80 пойдет мимо кальмара.

anc ★★★★★
()
Ответ на: комментарий от anonymous

Да скрипт сам по себе вообще люто бредовый..

Например

iptables -A INPUT -i lo -j ACCEPT

Зачем это, если нет явного реджекта или дропа?

iptables -A FORWARD -i ens160 -o ens192 -m state --state ESTABLISHED,RELATED -j ACCEPT

Опять интерфейсы попутаны?

iptables -A FORWARD -i ens160 -o ens192 -j REJECT

А это вообще не сработает, так как выше FORWARD уже разрешён :)))

vasya_pupkin ★★★★★
()
Последнее исправление: vasya_pupkin (всего исправлений: 1)
Ответ на: комментарий от vasya_pupkin

«Вася», «не гони».

iptables -A FORWARD -i ens160 -o ens192 -j REJECT
А это вообще не сработает, так как выше FORWARD уже разрешён

Где ты такое увидел?
ЗЫ

iptables -A FORWARD -i ens160 -o ens192 -m state --state ESTABLISHED,RELATED -j ACCEPT
Опять интерфейсы попутаны?

Да вроде все верно, не?

anc ★★★★★
()
Последнее исправление: anc (всего исправлений: 1)
Ответ на: комментарий от anonymous

спасибо за ответ, поменял, теперь все работает) и да это копипаста, так как в iptables мало что понимаю, к сожалению

Ailoot
() автор топика
Ответ на: комментарий от Ailoot

и да это копипаста, так как в iptables мало что понимаю, к сожалению

«Но русский учи» (c) Надо понимать что именно вы делаете. Предположим что у вас полиси INPUT ACCEPT, какой смысл в ваших правилах так еще и eth1 завезли в названии, ваши правила в этом случае не имеют значения, все открыто. Или наоборот, полиси DROP, вы сами себе «выстрелите в ногу» в части удаленного доступа к этому роутеру.
Крайне рекомендую почитать iptables tutorial.

anc ★★★★★
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.
Admin