Пытаемся получать интернет через спутник и раздавать его юзверям.
Тестовая конфигурация такая: есть выделенка, интерфейс eth0, поднимаем через нее VPN канал (с помощью pptp), интерфейс ppp0, через который идут запросы наружу. Есть DVB карточка Pent@Net, интерфейс pentanet0, через который приходят ответы. На машинке работает squid, таким образом юзвери, работающие через проксю - получают интернет через спутник.
С маршрутизацией вроде разобрались. В перспективе хотелось бы избавиться от VPN туннеля. Но речь не об этом.
Хочется firewallом прикрыть все дырки. В стандартном варианте все решается таким образом:
iptables -P INPUT DROP #все закрываем
iptables -A INPUT -p ALL -m state --state ESTABLISHED,RELATED -j ACCEPT #разрешаем ответы на запросы squid
iptables -A INPUT -p tcp --dport 3128 -j ACCEPT #разрешаем запросы юзверей к squid
iptables -P OUTPUT ACCEPT #не будем параноиками
Прошу обратить внимание на вторую строчку. squid, как клиент, обращается к внешним серверам с, в общем случае неизвестно какого, порта. И, чтобы, не открывая лишних портов, разрешить получать данные с них, эта строчка необходима.
Но, в случае со спутником, запросы уходят с одного интерфейса, а ответы приходят на другой. И трассировка соединений не работает!
Можно ли как-то заставить модуль ip_conntrack игнорировать интерфесы, с которых идут пакеты? Или возможно ли какое-то более элегантное решение? Или все-таки придется писать iptables -A INPUT -i pentanet0 -j ACCEPT ?
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.