вопрос по iptables

0

0

сделал прозрачный прокси  для этого прописал 

iptables -t nat -A PREROUTING -i eth1 -p tcp --dport 80 -j REDIRECT --to-ports 3128 

все работает,
но некоторые компы надо пустить через nat в обход прокси

делаю так
iptables -t nat -I PREROUTING 1 -i eth1 --src 192.168.10.7/255.255.255.255 -p tcp --dport 80 -j DNAT --to-destination 172.16.4.1

где 172.16.4.1 - адрес внутреннего интерфейса циски, стоящей между линукс и Инет,

192.168.10.7/255.255.255.255 -адрес того компа, кот. надо пустить минуя прокси 
без прозрачного прокси проброс этого компа был сделан так:

iptables -t nat -A POSTROUTING -s 192.168.10.7 -j MASQUERADE


схема соединения

локальная сеть - линукс - циско - Инет

что прописать в iptables чтобы пустить 192.168.10.7 через nat?

Ссылка

←	postfix+ldap+local aliases

Провайдер запретил ставить прокси

→

самое простое - тоже самое, что и было.

только правило поставь перед заворачиванием трафика на 3128.

~~fashist~~
(26.04.2006 06:35:12 +00:00)

Ответ на: комментарий от fashist 26.04.2006 06:35:12 +00:00

а движение пакета по цепочкам?
ведь вначале он попадет в PREROUTING
а затем в
POSTROUTING,

а в PREROUTING  не работают 
MASQUERADE  и SNAT 
или я ошибаюсь?

anonymous
(26.04.2006 06:42:32 +00:00)

Ссылка

iptables -t nat -A PREROUTING -i eth1 -p tcp -s ! 192.168.10.7 --dport 80 -j REDIRECT --to-ports 3128
???

tugrik ★★
(26.04.2006 08:15:08 +00:00)

Ответ на: комментарий от tugrik 26.04.2006 08:15:08 +00:00

а если таких адресов скажем штук 5?
тогда пять раз писать - 
iptables -t nat -A PREROUTING -i eth1 -p tcp -s ! 192.168.10.1 --dport 80 -j REDIRECT --to-ports 3128
iptables -t nat -A PREROUTING -i eth1 -p tcp -s ! 192.168.10.2 --dport 80 -j REDIRECT --to-ports 3128
 и т.д.?

anonymous
(26.04.2006 08:23:12 +00:00)

Ответ на: комментарий от anonymous 26.04.2006 08:23:12 +00:00

imho только так...
может более опытные товарищи еще чего подскажут.

imho можно токо так чуть автоматизировать:
SPECIAL_LIST="192.168.10.1 192.168.10.2 192.168.10.3"
for ip in $SPECIAL_LIST 
do
   iptables -t nat -A PREROUTING -i eth1 -p tcp -s ! $ip --dport 80 -j REDIRECT --to-ports 3128
done

tugrik ★★
(26.04.2006 08:30:35 +00:00)

Ответ на: комментарий от tugrik 26.04.2006 08:30:35 +00:00

нет так как я выше написал так не правильно.
вот как можно:
SPECIAL_LIST="192.168.10.1 192.168.10.2 192.168.10.3"
for ip in $SPECIAL_LIST 
do
   iptables -t nat -A PREROUTING -i eth1 -p tcp -s $ip --dport 80 -j ACCEPT
done
iptables -t nat -A PREROUTING -i eth1 -p tcp --dport 80 -j REDIRECT --to-ports 3128

tugrik ★★
(26.04.2006 10:49:18 +00:00)

Ответ на: комментарий от tugrik 26.04.2006 10:49:18 +00:00

спасибо за помощь

anonymous
(26.04.2006 10:53:28 +00:00)

Ответ на: комментарий от anonymous 26.04.2006 10:53:28 +00:00

пжлста :-)
а помогло??? на каком варианте вы остановились???

tugrik ★★
(26.04.2006 10:54:37 +00:00)

Ответ на: комментарий от tugrik 26.04.2006 10:54:37 +00:00

к сожалению смогу проверить только вечером, думаю последний вариант должен работать, спасибо

anonymous
(26.04.2006 10:59:07 +00:00)

Ссылка

Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.

←	postfix+ldap+local aliases

Admin

Провайдер запретил ставить прокси

→

Похожие темы