Главная » Форум » Gentoo Linux » Системное администрирование

Прозрачный прокси. На squid.

S-anches 20 октября, 2006 - 12:55

Помогите пожалуйста настройть. Поставил squid, настроил только для того, что бы у него был кэш, и принимал запросы с локалки. Если в настройках например IE или konquera поставить использование прокси, то браузер в инет нормально выходит. Делаю два правила:
-t nat -A PREROUTING -s 172.16.0.0/16 -d ! 172.16.0.0/16 -p tcp --dport 80 -j REDIRECT --to-port 3128
-t nat -A PREROUTING -s 172.16.0.0/16 -d ! 195.112.247.221 -p tcp --dport 80 -j REDIRECT --to-port 3128

И есть такое правило:
-A FORWARD -s 172.16.1.0/255.255.255.0 -j ACCEPT
-A FORWARD -d 172.16.1.0/255.255.255.0 -j ACCEPT
-A POSTROUTING -s 172.16.1.0/255.255.255.0 -j SNAT --to-source 195.112.247.221

Локалка: 172.16.0.0/16
Инет через vpn: 172.16.1.0/24

195.112.247.221 это интернет адрес.

Если эти два правила добавить в iptables:
-t nat -A PREROUTING -s 172.16.0.0/16 -d ! 172.16.0.0/16 -p tcp --dport 80 -j REDIRECT --to-port 3128
-t nat -A PREROUTING -s 172.16.0.0/16 -d ! 195.112.247.221 -p tcp --dport 80 -j REDIRECT --to-port 3128
то подключившись по vpn не могу зайти ни на один сайт. Если их убрать, всё нормально.

Помогите плиз настроить, или докой какой ни будь. Все доки которые нашел, все для ipchains.

‹ squidGuard. Не заменяет адреса. mysql + cp1251 ›
»

Я бы

Автор Limansky, дата создания 20 октября, 2006 - 15:55.

Я бы посоветовал для начала отключить всю фильтрацию и настроить только нат и редирект.. а потом уже потихоньку ужесточать правила в INPUT и FORWARD. вообще показал бы все правила.
_________________
Gentoo x86_64 2.6.17-r8 на Athlon 64 3000+

»

Re: Я бы

Автор S-anches, дата создания 21 октября, 2006 - 13:29.
Limansky написал(а):
Я бы посоветовал для начала отключить всю фильтрацию и настроить только нат и редирект.. а потом уже потихоньку ужесточать правила в INPUT и FORWARD. вообще показал бы все правила.
_________________
Gentoo x86_64 2.6.17-r8 на Athlon 64 3000+

Короче прислушался твоего совета. Заработало. Вот такое вот правило мешает:
#iptables -N allowed-connection
#iptables -F allowed-connection
#iptables -A allowed-connection -m state --state ESTABLISHED,RELATED -j ACCEPT
#iptables -A allowed-connection -i eth0 -m limit -j LOG --log-prefix "Bad packet from eth0:"
#iptables -A allowed-connection -i ppp0 -m limit -j LOG --log-prefix "Bad packet from ppp0:"
#iptables -A allowed-connection -j DROP

#iptables -N icmp_allowed
#iptables -F icmp_allowed
#iptables -A icmp_allowed -m state --state NEW -p icmp --icmp-type time-exceeded -j ACCEPT
#iptables -A icmp_allowed -m state --state NEW -p icmp --icmp-type destination-unreachable -j ACCEPT
#iptables -A icmp_allowed -p icmp -j LOG --log-prefix "Bad ICMP traffic:"
#iptables -A icmp_allowed -p icmp -j DROP

iptables -I INPUT 1 -i eth0 -j ACCEPT
iptables -I INPUT 1 -i eth1 -j ACCEPT
iptables -I INPUT 1 -i lo -j ACCEPT
iptables -A INPUT -m state --state INVALID -j DROP
iptables -A INPUT -j check-flags
#iptables -A INPUT -j icmp_allowed
iptables -A INPUT -p UDP --dport bootps -i ppp0 -j REJECT
iptables -A INPUT -p UDP --dport domain -i ppp0 -j REJECT
iptables -A INPUT -p TCP -s 83.234.40.213 --dport ssh -i ppp0 -j ACCEPT
iptables -A INPUT -p TCP --dport www -i ppp0 -j ACCEPT
iptables -A INPUT -p TCP -i ppp0 -d 0/0 --dport 0:10000 -j REJECT
iptables -A INPUT -p UDP -i ppp0 -d 0/0 --dport 0:10000 -j REJECT
#iptables -A INPUT -j allowed-connection

Мешают закоментированные правила.

»

Настройки просмотра комментариев

Выберите нужный метод показа комментариев и нажмите "Сохранить установки".