Имею: (linux, iptables)
локальная сеть: 192.168.0.0/16 сервер локальной сети: 192.168.0.1 устройство для локальной сети: eth0 На этом узле работает прозрачный прокси- squid:3128.
наружный адрес: aaa.bbb.ccc.ddd устройство для выхода наружу: eth1
Необходимо локальному Windows-клиенту 192.168.0.9 предоставить доступ к ftp-узлу 111.222.333.444:121 (администратор этого узла организовал доступ на этот порт).
Что я сделал:
.. $IPT -P INPUT DROP $IPT -P OUTPUT DROP $IPT -P FORWARD DROP .. iptables -A INPUT --in-interface eth0 --protocol tcp --source 192.168.0.9 --dport 121 -j ACCEPT iptables -A FORWARD --in-interface eth0 --protocol tcp --source 192.168.0.9 --dport 121 -j ACCEPT iptables -A FORWARD --out-interface eth1 --protocol tcp --sport 121 --destination 192.168.0.9 -j ACCEPT iptables -A OUTPUT --out-interface eth1 --protocol tcp --sport 121 --destination 192.168.0.9 -j ACCEPT ..
Если клиент не указывает в своём Internet Explorer использование прокси, то доступ на 121 порт удалённого узла имеется, при указании использования прокси клиент получает сообщение,- доступ блокирован прокси сервером.
В конфиге squid.conf указано:
.. httpd_accel_host vitrual httpd_accel_port 80 httpd_accel_with_proxy on httpd_accel_uses_host_header on http_port 3128 .. acl SSL_ports port 443 563 # ssl #acl SSL_ports port 4661 4662 4665 4672 # aMule acl SSL_ports port 44777 7177 # svn acl Safe_ports port 80 # http acl Safe_ports port 81 83 84 85 acl Safe_ports port 21,121 # ftp acl Safe_ports port 443 563 # https, snews acl Safe_ports port 70 # gopher acl Safe_ports port 210 # wais acl Safe_ports port 1025-65535 # unregistered ports acl Safe_ports port 280 # http-mgmt acl Safe_ports port 488 # gss-http acl Safe_ports port 591 # filemaker acl Safe_ports port 777 # multiling http acl SSL_ports port 443 5190 # icq- 443, 5190 acl Safe_ports port 443 5190 # icq- 443, 5190 # acl CONNECT method CONNECT ..
Верно ли я всё назначил?
Документацию по iptables читал, но чем больше читаю- тем больше сомнений в правильности принятого решения.
Спасибо.