LINUX.ORG.RU
ФорумAdmin

Не работает прозрачное проксирование, а раньше работало


0

0

САБЖ
настройки не менялись
просто в один момент перестало работать правило в iptables.

вот конфиг:


iptables -F
iptables -F -t nat
iptables -F -t mangle
iptables -X
iptables -X -t nat
iptables -X -t mangle

iptables -P INPUT DROP
iptables -P FORWARD DROP
iptables -P OUTPUT ACCEPT

iptables -A INPUT -p ICMP -m limit --limit 3/second --limit-burst 6 -j ACCEPT
iptables -A INPUT -i eth1 -j ACCEPT
iptables -A INPUT -i eth1 -s 212.xxx.xxx.0/25 -j ACCEPT
iptables -A INPUT -i lo -j ACCEPT
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT


iptables -A FORWARD -i eth1 -o eth0 -j ACCEPT
iptables -A FORWARD -p TCP -i eth0 -d $GSERV_IP --dport 80 -j ACCEPT
iptables -A FORWARD -p TCP -i eth0 -d $GSERV_IP --dport 8000 -j ACCEPT
iptables -A FORWARD -p TCP -i eth0 -d $GSERV_IP --dport 8001 -j ACCEPT

iptables -A FORWARD -p UDP -i eth0 -d $GSERV_IP --dport 27016 -j ACCEPT
iptables -A FORWARD -p UDP -i eth0 -d $GSERV_IP --dport 27017 -j ACCEPT
iptables -A FORWARD -p TCP -i eth0 -d $GSERV_IP --dport 27020:27039 -j ACCEPT
iptables -A FORWARD -p UDP -i eth0 -d $WORK2_IP --dport 27016 -j ACCEPT
iptables -A FORWARD -p UDP -i eth0 -d $WORK2_IP --dport 27017 -j ACCEPT
iptables -A FORWARD -p TCP -i eth0 -d $WORK2_IP --dport 27020:27039 -j ACCEPT

iptables -A FORWARD -p TCP -i eth0 -d $GSERV_IP --dport 2106 -j ACCEPT
iptables -A FORWARD -p TCP -i eth0 -d $GSERV_IP --dport 7777 -j ACCEPT

iptables -A FORWARD -p TCP -i eth0 -d $GSERV_IP --dport 5662 -j ACCEPT
iptables -A FORWARD -p UDP -i eth0 -d $GSERV_IP --dport 5672 -j ACCEPT



iptables -A FORWARD -p TCP --dport 4000 -j ACCEPT
iptables -A FORWARD -p TCP --dport 6112 -j ACCEPT
iptables -A FORWARD -p UDP --dport 6112 -j ACCEPT

iptables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT


iptables -t nat -A PREROUTING -i eth1 -p TCP --dport 80 -j REDIRECT --to-port 3128
iptables -t nat -A PREROUTING -i eth1 -p TCP --dport 8080 -j REDIRECT --to-port 3128
iptables -t nat -A PREROUTING -i eth1 -p TCP --dport 21 -j REDIRECT --to-port 2121


если убрать правило
iptables -t nat -A PREROUTING -i eth1 -p TCP --dport 80 -j REDIRECT --to-port 3128
то все клиенты получают доступ мимо прокси - это плохо
но с этим правилом ни фига не работает! а раньше все работало!!!!!!

со сквидом все ок - прописывал в настройках браузера адресс прокси - ходит в инет через прокси

iptables 1.3.8
os FC6


HELP!

anonymous
Скрипт синхронизации
SAMBA и Линукс клиенты

> со сквидом все ок - прописывал в настройках браузера адресс прокси - ходит в инет через прокси

Читай документацию сильнее. Для прозрачного прокси одного iptables'a мало. Надо ещё кое-какие правки в конфиг squid'a вносить.

Anoxemian ★★★★★
()
Ответ на: комментарий от Anoxemian

ну я же говорю:
сервак работал примерно пол года если не больше!

ВСЕ РАБОТАЛО!!!! СКВИД НАСТРОЕН НА ПРОЗРАЧНОЕ ПРОКСИРОВАНИЕ!!!!!!

щас скину конфиг сквида.....

anonymous
()
Ответ на: комментарий от Anoxemian

из конфига сквида:

http_port 3128 transparent


SQUID 2.6

anonymous
()
Ответ на: комментарий от anonymous

Ну ты же понимаешь, что само-собой ничего сломаться не могло. Послушай трафик на 3128 порту. Посмотри корректно ли стартует сам squid.

Anoxemian ★★★★★
()
Ответ на: комментарий от anonymous

Убери все правила из iptables, поставь на ACCEPT - добавь правило перенаправления на сквидовский порт, посмотри, как будет работать.

roy ★★★★★
() 

REDIRECT перекидывает на PRIMARY интерфейс,
посмотри на котором висит squid.

imho корректней :
.... -j DNAT --to-destination proxy.domain.ru:3128

MKuznetsov ★★★★★
()
Ответ на: комментарий от MKuznetsov

а оказалось вот что:

на одном изи клиентских компов работал вирус, который и забивал весь инет канал.....

вот так то.....

anonymous
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.
Скрипт синхронизации
Admin
SAMBA и Линукс клиенты