вопрос по iptables продолжение

0

0

продолжение http://www.linux.org.ru/view-message.jsp?msgid=1369361

делаю пока для одного адреса - так для 192.168.10.7 iptables -t nat -A PREROUTING -i eth1 -s 192.168.10.7 --dport 80 -j ACCEPT iptables -t nat -A POSTROUTING -s 192.168.10.7 -j MASQUERADE

все равно не пускает, 192.168.10.7 минуя прокси, может еще чего-нибудь упустил

вот вывод iptables -t nat –nvL

Chain PREROUTING (policy ACCEPT 16352 packets, 1371K bytes) pkts bytes target prot opt in out source destination 1 57 ACCEPT all -- eth1 * 192.168.10.7 0.0.0.0/0 1138 54488 REDIRECT tcp -- eth1 * 0.0.0.0/0 0.0.0.0/0 tcp dpt:80 redir ports 3128

Chain POSTROUTING (policy ACCEPT 11382 packets, 713K bytes) pkts bytes target prot opt in out source destination 193 13928 MASQUERADE all -- * * 10.64.10.4 0.0.0.0/0 15 960 MASQUERADE all -- * * 192.168.10.7 0.0.0.0/0

Ссылка

←	SPAM правила для EXIM'a

посоветуйте как избежать вставку время

→

файерволом пакет от 10.7 заворачивается на прокси или он его не пускает???
это разные вещи

tugrik ★★
(27.04.06 13:22:45 MSD)

Ответ на: комментарий от tugrik 27.04.06 13:22:45 MSD

похоже заворачивается на прокси, потому что когда из acl прокси убрать 10.7 то получим access denied несмотря на записи для нат

anonymous
(27.04.06 13:32:15 MSD)

Ответ на: комментарий от anonymous 27.04.06 13:32:15 MSD

извиняюсь ошибся никаких access denied не дает, 
именно не пускает, а не перенаправляет на сквид - долго думает и не может отобразить страницу - сейчас проверил еще раз

anonymous
(27.04.06 13:43:11 MSD)

Ответ на: комментарий от anonymous 27.04.06 13:43:11 MSD

в цепочке FORWARD трафик не запрещается???
iptables -I FORWARD -s 192.168.10.7 -p tcp --dport 80 -j ACCEPT

tugrik ★★
(27.04.06 13:57:06 MSD)

Ответ на: комментарий от tugrik 27.04.06 13:57:06 MSD

сделал
iptables -I FORWARD -s 192.168.10.7 -p tcp --dport 80 -j ACCEPT
правлио появилсоь первым в  FORWARD при выводе 
iptables -nvL
без результата :-(

anonymous
(27.04.06 14:17:44 MSD)

Ответ на: комментарий от anonymous 27.04.06 14:17:44 MSD

покажите пожалуйста еще раз:
iptables -t nat -vnL 
iptables -vnL - правила до нашего 10.7

только форматирование выберите (preformatted text)

tugrik ★★
(27.04.06 14:44:33 MSD)

Ответ на: комментарий от tugrik 27.04.06 14:44:33 MSD

[root@relay Chain PREROUTING pkts bytes target 1    48 ACCEPT 161  7688 REDIRECT 1    48 REDIRECT 0     0 REDIRECT 3899  186K REDIRECT

Chain POSTROUTING pkts bytes target 532 38281 MASQUERADE 49  3132 MASQUERADE

Chain OUTPUT pkts bytes target

root@relay root]# iptables -nvL Chain INPUT pkts bytes target 88079   11M QUEUE 767K  143M

Chain FORWARD pkts bytes target 2    96 ACCEPT 69516 5391K

Chain OUTPUT pkts bytes target 108K   67M QUEUE

Chain RH-Firewall-1-INPUT pkts bytes target 47868   19M ACCEPT 167K   74M ACCEPT 620K   55M ACCEPT 64  5568 ACCEPT 0     0 ACCEPT 0     0 ACCEPT 1736  389K ACCEPT 0     0 ACCEPT 0     0 ACCEPT 0     0 ACCEPT 0     0 ACCEPT 0     0 ACCEPT 179 37815 REJECT

root]# iptables -t nat -nvL (policy ACCEPT 42519 packets, 3460K bytes) prot opt in out source destination tcp -- eth1 * 192.168.10.7 0.0.0.0/0 tcp dpt:80 tcp -- eth1 * 0.0.0.0/0 172.16.1.6 tcp dpt:80 redir ports 3129 tcp -- eth1 * 0.0.0.0/0 192.168.10.2 tcp dpt:80 redir ports 3129 tcp -- eth1 * 0.0.0.0/0 172.16.1.3 tcp dpt:80 redir ports 3129 tcp -- eth1 * 0.0.0.0/0 0.0.0.0/0 tcp dpt:80 redir ports 3128 (policy ACCEPT 32774 packets, 2051K bytes) prot opt in out source destination all -- * * 192.168.10.4 0.0.0.0/0 all -- * * 192.168.10.7 0.0.0.0/0 (policy ACCEPT 20199 packets, 1374K bytes) prot opt in out source destination (policy ACCEPT 0 packets, 0 bytes) prot opt in out source destination tcp -- eth1 * 192.168.10.0/24 192.168.10.2 tcp spts:1024:63353 dpt:3128 RH-Firewall-1-INPUT all -- * * 0.0.0.0/0 0.0.0.0/0 (policy ACCEPT 0 packets, 0 bytes) prot opt in out source destination tcp -- * * 192.168.10.7 0.0.0.0/0 tcp dpt:80 RH-Firewall-1-INPUT all -- * * 0.0.0.0/0 0.0.0.0/0 (policy ACCEPT 553K packets, 382M bytes) prot opt in out source destination tcp -- * eth1 192.168.10.2 192.168.10.0/24 tcp spt:3128 dpts:1024:63353 (2 references) prot opt in out source destination all -- lo * 0.0.0.0/0 0.0.0.0/0 all -- eth0 * 0.0.0.0/0 0.0.0.0/0 all -- eth1 * 0.0.0.0/0 0.0.0.0/0 icmp -- * * 0.0.0.0/0 0.0.0.0/0 icmp type 255 esp -- * * 0.0.0.0/0 0.0.0.0/0 ah -- * * 0.0.0.0/0 0.0.0.0/0 all -- * * 0.0.0.0/0 0.0.0.0/0 state RELATED,ESTABLISHED tcp -- * * 0.0.0.0/0 0.0.0.0/0 state NEW tcp dpt:25 tcp -- * * 0.0.0.0/0 0.0.0.0/0 state NEW tcp dpt:80 tcp -- * * 0.0.0.0/0 0.0.0.0/0 state NEW tcp dpt:21 tcp -- * * 0.0.0.0/0 0.0.0.0/0 state NEW tcp dpt:22 tcp -- * * 0.0.0.0/0 0.0.0.0/0 state NEW tcp dpt:23 all -- * * 0.0.0.0/0 0.0.0.0/0 reject-with icmp-host-prohibited

anonymous
(27.04.06 14:58:39 MSD)

Ответ на: комментарий от anonymous 27.04.06 14:58:39 MSD

а куда делись в iptables -t nat -vnL доп.критерии по портам и протоколам???

tugrik ★★
(27.04.06 15:36:49 MSD)

Ответ на: комментарий от tugrik 27.04.06 15:36:49 MSD

они в окне правее 

iptables -t nat -nvL
Chain PREROUTING (policy ACCEPT 42519 packets, 3460K bytes)
 pkts bytes target     prot opt in     out     source               destination                                              
    1    48 ACCEPT     tcp  --  eth1   *       192.168.10.7          0.0.0.0/0  tcp dpt:80
  161  7688 REDIRECT   tcp  --  eth1   *       0.0.0.0/0            172.16.1.6 tcp dpt:80 redir ports 3129
    1    48 REDIRECT   tcp  --  eth1   *       0.0.0.0/0            192.168.10.2 tcp dpt:80 redir ports 3129
    0     0 REDIRECT   tcp  --  eth1   *       0.0.0.0/0            172.16.1.3  tcp dpt:80 redir ports 3129
 3899  186K REDIRECT   tcp  --  eth1   *       0.0.0.0/0            0.0.0.0/0 tcp dpt:80 redir ports 3128

Chain POSTROUTING (policy ACCEPT 32774 packets, 2051K bytes)
 pkts bytes target     prot opt in     out     source               destination                                              
  532 38281 MASQUERADE  all  --  *      *       192.168.10.4           0.0.0.0/0                                               
   49  3132 MASQUERADE  all  --  *      *       192.168.10.7          0.0.0.0/0                                               

Chain OUTPUT (policy ACCEPT 20199 packets, 1374K bytes)
 pkts bytes target     prot opt in     out     source               destination

anonymous
(27.04.06 15:41:04 MSD)

Ответ на: комментарий от anonymous 27.04.06 15:41:04 MSD

черт, а ведь должно работать...
по крайней мере дело не в этом файерволе... imho...
если из PREROUTING убрать первое и последнее правило у вас работает???

tugrik ★★
(27.04.06 16:14:15 MSD)

Ответ на: комментарий от tugrik 27.04.06 16:14:15 MSD

ура заработало! - по тому варианту который был предложен вчера последним помог последний совет: - убрал первое и последнее правила и все понял была еще прикрутка в iproute2 и из-за нее были проблемы, спасибо.

anonymous
(27.04.06 18:00:24 MSD)

Ссылка

Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.

←	SPAM правила для EXIM'a

Admin

посоветуйте как избежать вставку время

→

Похожие темы