squid + iptables

Вам squid нужно как прозрачный прокси настроить или что?

в студио: ifconfig, iptables-save

да настраиваю скуид для прозрачного выхода через него в инет

eth1 -локаль eth2 -инет думаю ничо больше из ifconfiga не надо

*filter :INPUT ACCEPT [19445:3959064] :FORWARD ACCEPT [6181:4334540] :OUTPUT ACCEPT [3062:2244380] -P INPUT DROP -P OUTPUT DROP -P FORWARD DROP №№№№№№№№№Для связи подсетей и маршрутизации инет -> юзеры№№№№№ -A INPUT -i eth0 --source 192.168.0.*/24 --match state --state NEW,ESTABLISHED -j ACCEPT -A OUTPUT -o eth0 --destination 192.168.0.*/24 --match state --state NEW,ESTABLISHED -j ACCEPT -A FORWARD -i eth0 --source 192.168.0.*/24 --destination 0.0.0.0/0 --match state --state NEW,ESTABLISHED -j ACCEPT -A FORWARD -i eth1 --destination 192.168.0.*/24 --match state --state ESTABLISHED -j ACCEPT #############для скида########## #-A INPUT -p tcp --dport 3128 -j ACCEPT #-A OUTPUT -p tcp --sport 3128 -j ACCEPT #-A FORWARD -p tcp --dport 3128 -j ACCEPT COMMIT *nat :PREROUTING ACCEPT [6763:1169484] :POSTROUTING ACCEPT T[258:16384] :OUTPUT ACCEPT [376:23956] -A POSTROUTING -o eth1 -j MASQUERADE -A POSTROUTING -o eth1 -j MASQUERADE COMMIT

[code] *filter :INPUT ACCEPT [19445:3959064] :FORWARD ACCEPT [6181:4334540] :OUTPUT ACCEPT [3062:2244380] -P INPUT DROP -P OUTPUT DROP -P FORWARD DROP #########Для связи подсетей и маршрутизации инет -> юзеры##### -A INPUT -i eth0 --source 192.168.0.*/24 --match state --state NEW,ESTABLISHED -j ACCEPT -A OUTPUT -o eth0 --destination 192.168.0.*/24 --match state --state NEW,ESTABLISHED -j ACCEPT -A FORWARD -i eth0 --source 192.168.0.*/24 --destination 0.0.0.0/0 --match state --state NEW,ESTABLISHED -j ACCEPT -A FORWARD -i eth1 --destination 192.168.0.*/24 --match state --state ESTABLISHED -j ACCEPT #########для скида########## -A INPUT -p tcp --dport 3128 -j ACCEPT -A OUTPUT -p tcp --sport 3128 -j ACCEPT -A FORWARD -p tcp --dport 3128 -j ACCEPT COMMIT *nat :PREROUTING ACCEPT [6763:1169484] :POSTROUTING ACCEPT T[258:16384] :OUTPUT ACCEPT [376:23956] -A POSTROUTING -o eth1 -j MASQUERADE -A POSTROUTING -o eth1 -j MASQUERADE COMMIT

[/code].

***

в squid.conf в строчке http_port что написано?

да - правильный вариант для прозрачного прокси у тебя был в первом посте, при условии s/192.168.1.0/192.168.0.0/, судя по iptables

надеюсь в конфиге стоит transparent?

iptables -t nat -A PREROUTING -i eth1 -s 192.168.0.0/24 -p tcp -m multiport --dports 80,8080 -j REDIRECT --to-ports 3128

и, судя по всему, разрешить исходящие соединения на 80 порт в цепочке OUTPUT

ага, в этой каше не рассмотрел. да тогда уж -P OUTPUT ACCEPT.

да не 80 разрешать не надо с этой машины недолжно быть выхода в инет, а только с тех которые идут дальше

бгг :) а сквиду выход в инет не нужен? :)

надо. в инет будет выходить squid. так что там у тебя в строчке http_port в squid.conf ?

iptables -t nat -A PREROUTING -i eth1 -s 192.168.0.0/24 -p tcp -m multiport --dports 80,8080 -j REDIRECT --to-ports 3128

не работает

iptables -t nat -A PREROUTING -i eth1 -s 192.168.0.0/24 -p tcp -m multiport --dports 80,8080 -j REDIRECT --to-ports 3128

работает :)
squid не работает :)

еще надо 2 вещи: в squid.conf http_port 3128 transparent разрешить исходящие соединения все это есть?

это засекреченная информация :)

это все есть без ай2питаблесов все работает

ты весёлый

разреши во всех цепочках траф на lo и поставь по умолчанию политику ACCEPT в OUTPUT, и все заработает

эта машина не должна выходить в интернет :)

мне кажется, он тупо не понимает, что такое «прозрачный прокси»

отказывается сотрудничать :)

я с работы просто свалил, я чо говорю нафиг мне на этой тачке открывать 80 порт если по 3128 трахаеться прокси или я не прав? почему оутпут надо полностью открывать? почему нельзя открыть для отдельного порта?

а вообще мб я не правильно iptables сдклал? надо чтобы

Маршрутизатор разрешает клиентам внутренней сети устанавливать соединение с узлами в интернет.

Маршрутизатор имеет возможность удаленного управления из внутренней сети и только из внутренней сети.

Маршрутизатор блокирует все попытки установить новое соединение из сети интернет.

Маршрутизатор не принимает пакеты из сети интернет сам, только перенаправляет пакеты во внутреннюю сеть и только принадлежащие установленным соединениям.

вот чото тип того и чтобы скуид работал

да ошибся не прозрачный, прямой.

соединения устанавливает проксик, поэтому ему нужен доступ в инет. просто сделай, как тебе сказали, и радуйся: открой OUTPUT, заверни траф на 80 порт из локалки на 3128, напиши в squid.conf http_port 3128 transparent. разреши все соединения на loopback интерфейс, причем правила должны быть в начале цепочек.

и да, разрешенный OUTPUT ну никак не противоречит описанным тобой выше требованиям. это исходящие соединения маршрутизатора.

стоп а зачем transparent это ж включение прозрачного мне не над

вот пока на данном этапе получилось следующие # Firewall configuration written by system-config-securitylevel # Manual customization of this file is not recommended. *filter :INPUT ACCEPT [19445:3959064] :FORWARD ACCEPT [6181:4334540] :OUTPUT ACCEPT [3062:2244380] -P INPUT DROP -P OUTPUT ACCEPT -P FORWARD DROP -A INPUT -i eth0 --source 192.168.0.*/24 --match state --state NEW,ESTABLISHED -j ACCEPT -A OUTPUT -o eth0 --destination 192.168.0.*/24 --match state --state NEW,ESTABLISHED -j ACCEPT -A FORWARD -i eth0 --source 192.168.0.*/24 --destination 0.0.0.0/0 --match state --state NEW,ESTABLISHED -j ACCEPT -A FORWARD -i eth1 --destination 192.168.0.*/24 --match state --state ESTABLISHED -j ACCEPT -A INPUT -p tcp --dport 3128 -j ACCEPT -A FORWARD -p tcp --dport 3128 -j ACCEPT -A INPUT -p tcp --dport 3128 -j ACCEPT -A FORWARD -p tcp --dport 3128 -j ACCEPT COMMIT *nat :PREROUTING ACCEPT [6763:1169484] :POSTROUTING ACCEPT T[258:16384] :OUTPUT ACCEPT [376:23956] -A POSTROUTING -o eth1 -j MASQUERADE -A POSTROUTING -o eth1 -j MASQUERADE COMMIT

не работает(

отформатируй в lorcode, ну невозможно же читать

почему RELATED соединения не разрешены? паранойя? и да - почитай уже мануал по iptables, сразу много вопросов отпадет

Выложите текущий конфиг сквида и вывод iptables-save на http://pastie.org/ , и киньте сюда ссылку.

http://pastie.org/1117237

подскажите в чем ошибка или чо дописать?

Вы забыли конфиг сквида.

http://dump.ru/file/4748297

не влезло туда на дамп залил

вот я и хз чо правильно в айпитэблсах правильно писать, а в сквиде вроде все норм

Опишите задачу подробнее: нужен ли вам NAT или только squid или все вместе?

+ ifconfig еще нужен.

eth1 — локальная сеть, eth2 — интернет. Что за eth0 и почему у вас маскарадинг на локальную сеть, а не на интернет?

eht0 не используется маскарадинг для наших юнных друзей из отдела, в иф конфиги ничо особенного все стандартно а так нужно чтобы инет приходил на локальную сеть, и обратно и чтобы полноценно работал скуид, но не в прозрачном режиме

чувак зашифрован :) забей :) в ифконфиге ничего особенного :)

ойй я не про тот серв писал ваще моск не варит eth0 локаль eth1 инет

вот конфиг http://pastie.org/1117481

net addr:192.168.0.*  Bcast:192.168.0.255  Mask:255.255.255.0

I lol'd.

айпишник серва указан допустим inet addr:192.168.0.111 Bcast:192.168.0.255 Mask:255.255.255.0

не суть

Сначала очищаете цепочки и на всякий случай делаете policy ACCEPT.

iptables -P INPUT ACCEPT
iptables -P FORWARD ACCEPT
iptables -P OUTPUT ACCEPT
iptables -F
iptables -t nat -F

Затем добавляете правила:

iptables -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
iptables -A INPUT -i lo -j ACCEPT
iptables -A INPUT -i eth0 -s 192.168.0.0/24 -p tcp --dport 3128 -j ACCEPT

iptables -A FORWARD -m state --state RELATED,ESTABLISHED -j ACCEPT
iptables -A FORWARD -i eth0 -s 192.168.0.0/24 -j ACCEPT

iptables -t nat -A POSTROUTING -o eth1 -j MASQUERADE

iptables -P INPUT DROP
iptables -P FORWARD DROP
iptables -P OUTPUT ACCEPT

Буду краток - opennet.ru. Там хороший ман по iptables, ибо вы НЕ ПОНИМАЕТЕ что вам нужно... или не можете это объяснить внятно...

ОГРОМНОЕ человеческое спасибо все работает а теперь самый глупый вопрос, а как все это сохранить чтобы после перезагрузки не пришлоось поновой вбивать, Iptables-save, это ввроде просто да бэк ап, только вбивать в файл?

inet addr:внешний ип  Bcast:широко вещательный канал  Mask:255.255.255.248

И как широко вещает? :D

Средствами дистрибутива. Или сделать небольшой BASH скрипт (который запускается при загрузке системы), который делает iptables-restore < /foo/bar/firewall, где /foo/bar/firewall — файл, полученный с помощью iptables-save.

дистрибутив *b**** :)

iptables-restore < /foo/bar/firewall
bash: /foo/bar/firewall: No such file or directory

:)

всем огромное спасибо особенно edigaryev записал это в /etc/sysconfig/iptables перезапускаю службу все шикарно работает огромное всем спасибо!