Помогите чайнику!!!

0

0

Ребята! Не клюйте за ламерский вопрос, пожалуйста, но помогите.
Какие правила нужно прописать в iptables, чтобы юзеры ходили из локалки 192.168.1.0 в Internet ТОЛЬКО через Squid и не могли его обойти ? 
Может еще что-то нужно в Squid прописать ?

Спасибо всем и не ругайте и не пишите man iptables/squid, я это перечитал, но почему-то не получается.
/sbin/iptables -t nat -A POSTROUTING -s 192.168.1.0/24 -o eth0 -j SNAT --to-source <IP шлюза> не помогает.
Где грабли?

Спасибо

Ссылка

←	Стоит ли обновлять систему

rpm-пакеты и обновление ч-з компиляцию

→

Забыл добавить, что прозрачное проксирование не подходит.

anonymous
(03.05.04 20:09:44 MSD)

Ссылка

> Какие правила нужно прописать в iptables...
Во-первых, разрешающие коннектиться к squid-у, либо никаких, если существующие и так не запрещают и политика по умолчанию ACCEPT (это все для INPUT цепочки таблицы filter). По-моему тут главнее правильно сконфигурить squid (чтоб он сам не запрещал).
Во-вторых, чтоб напрямую не лазили, надо отключить всякие виды SNAT-а/MASQUERADE-а для соответствующих пакетов (идущих на порты, на которых наиболее вероятно могут висеть удаленные web-сервера). А еще лучше сделать "sysctl -w net.ipv4.ip_forward=1", тогда точно никто не пролезет :-)

> iptables... не помогает
А IP forwarding включен ? Правила в цепочке FORWARD разрешают движение пакетов в обе стороны ?

spirit ★★★★★
(03.05.04 23:48:58 MSD)

Ответ на: комментарий от spirit 03.05.04 23:48:58 MSD

echo "1" > /proc/sys/net/ipv4/ip_forward - это есть
Ага, значит правила для FORWARD в обе стороны нужно еще прописать? Да?
Что еще?
Огласите весь список, пожалуйста ! ))

anonymous
(04.05.04 00:15:39 MSD)

firehol.sf.net

anonymous
(04.05.04 01:55:20 MSD)

Ссылка

Ответ на: комментарий от anonymous 04.05.04 00:15:39 MSD

> Ага, значит правила для FORWARD в обе стороны нужно еще прописать? Да?
Прописать эти правила и сделать SNAT (который вы уже делали). Но это для случая "не через squid". При использовании squid-а всего этого делать не надо.

spirit ★★★★★
(04.05.04 11:05:56 MSD)

Ответ на: комментарий от spirit 04.05.04 11:05:56 MSD

Спасибо большое за помощь )))

anonymous
(04.05.04 12:25:06 MSD)

Ссылка

Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.

←	Стоит ли обновлять систему

Admin

rpm-пакеты и обновление ч-з компиляцию

→

Похожие темы