LINUX.ORG.RU
ФорумAdmin

прямой доступ в Internet через iptables


0

0

Помогите кто нибудь, никто помочь не может..... 1)ЛВС-организована в домен main.ru адрес сети 192.168.1.0/24 DNS сервер- 192.168.1.1/32(Windows2000server)

192.168.1.254/32 - Шлюз в Internet (Linux RedHat9.0) (eth1-195.98.60.122/32-внешний интерфейс) (eth0 -192.168.1.254/32-внутренний интерфейс) пользователи домена выходят в internet через Squid на шлюзе

необходимо чтобы некоторые пользователи(192.168.1.20/32) выходили в internet на прямую минуя прокси!!!!!!!! кто только чего не говорил ничто не работает!!!!!!!!!! подскажите пожалуста как ето организовать может помимо правил в фаирволе необходимо ещё что-нибудь...

#!/bin/sh echo "Starting firewalling..." #Определение переменных #"eth1" Интерфейс к Internet #"eth0" Интерфейс к локальной сети LP="127.0.0.0/8" #диапазон адресов обратной петли NAMESERVER="195.98.32.0/24" #DNS-сервер провайдера SMTP_SERVER="any/0" #Внешний почтовый сервер UNPORTS="1024:65535" #Непривилегированные порты BROADCAST_DEST="255.255.255.255" #Целевой широковещательный адрес BROADCAST_SRC="0.0.0.0" #Исходный широковещательный адрес #Адрес внешнего интерфейса IPADDR="195.98.60.122" #Адрес сети провайдера MY_ISP="195.98.32.0/24" LOGGING=1 cd /sbin #Удаление существующих правил ./iptables -F # разрешаем форвардить пакеты ... echo 1 > /proc/sys/net/ipv4/ip_forward #Установка политики запрета по умолчанию ./iptables -P INPUT DROP ./iptables -P FORWARD ACCEPT ./iptables -P OUTPUT ACCEPT #Неограниченный трафик через интерфейс обратной петли ./iptables -A INPUT -i lo -j ACCEPT ./iptables -A OUTPUT -o lo -j ACCEPT

#Запрет пакетов, якобы отправленных с моего компьютера ./iptables -A INPUT -i eth1 -s $IPADDR -j DROP

# разрешаем доступ в Inet с IP 192.168.1.20/255.255.255.255 на прямую # iptables -A FORWARD -s 192.168.1.20/255.255.255.255 -o eth1 -j ACCEPT # iptables -t nat -A POSTROUTING -s 192.168.1.20/255.255.255.255 -o eth1 -j MASQUERADE

#разрешение прохождения http трафика ./iptables -A INPUT -i eth1 -p tcp -s any/0 --sport 80 -d $IPADDR --dport $UNPORTS -j ACCEPT ./iptables -A OUTPUT -o eth1 -p tcp -s $IPADDR --sport $UNPORTS -d any/0 --dport 80 -j ACCEPT

#Необходимые службы ./iptables -A INPUT -i eth1 -p udp -s 0/0 --sport 53 -d $IPADDR --dport 1024:65535 -j ACCEPT ./iptables -A OUTPUT -o eth1 -p udp -s $IPADDR -d 0/0 -j ACCEPT ./iptables -A INPUT -i eth1 -p tcp -s 0/0 --sport 53 -d $IPADDR --dport 1024:65535 -j ACCEPT ./iptables -A OUTPUT -o eth1 -p tcp -s $IPADDR -d 0/0 -j ACCEPT

./iptables -A INPUT -i eth1 -p udp -s 0/0 -d $IPADDR --dport 53 -j ACCEPT ./iptables -A INPUT -i eth1 -p tcp -s 0/0 -d $IPADDR --dport 53 -j ACCEPT

#Разрешение исходящего AUTH-запроса ./iptables -A OUTPUT -o eth1 -p tcp -s $IPADDR -d 0/0 --dport 113 -j ACCEPT ./iptables -A INPUT -i eth1 -p tcp -s 0/0 --sport 113 -d $IPADDR -j ACCEPT #Прием входящих AUTH-запросов ./iptables -A INPUT -p tcp -s 0/0 -d 195.98.60.122 --dport 113 -j ACCEPT ./iptables -A OUTPUT -p tcp -s 195.98.60.122 --sport 113 -d 0/0 -j ACCEPT #------------ закроем proxy ------------------- iptables -A INPUT -p tcp -s 192.168.1.0/255.255.255.0 --dport 3128 -j ACCEPT iptables -A INPUT -p tcp -s 127.0.0.1/255.255.255.0 --dport 3128 -j ACCEPT iptables -A INPUT -p tcp -s 0.0.0.0/0.0.0.0 --dport 3128 -j DROP

#Передача почты через SMTP ./iptables -A OUTPUT -o eth1 -p tcp -s 0/0 --sport 1024:65535 -d 0/0 --dport 25 -j ACCEPT ./iptables -A INPUT -i eth1 -p tcp -s 0/0 --sport 25 -d $IPADDR --dport 1024:65535 -j ACCEPT

./iptables -A INPUT -i eth1 -p tcp -s 0/0 --sport 1024:65535 -d $IPADDR --dport 25 -j ACCEPT ./iptables -A OUTPUT -o eth1 -p tcp -s $IPADDR --sport 25 -d 0/0 --dport 1024:65535 -j ACCEPT

#Извлечение почты посредством POP-клиента ./iptables -A OUTPUT -o eth1 -p tcp -s 0/0 --sport 1024:65535 -d 0/0 --dport 110 -j ACCEPT ./iptables -A INPUT -i eth1 -p tcp -s 0/0 --sport 110 -d $IPADDR --dport 1024:65535 -j ACCEPT

./iptables -A OUTPUT -o eth1 -p tcp -s $IPADDR --sport $UNPORTS -d 0/0 --dport 110 -j ACCEPT ./iptables -A INPUT -i eth1 -p tcp ! --syn -s 0/0 --sport 110 -d $IPADDR --dport $UNPORTS -j ACCEPT

#Все локальные машины могут обращаться к брандмауэру ./iptables -A INPUT -i eth0 -s 192.168.1.0/24 -j ACCEPT ./iptables -A OUTPUT -o eth0 -d 192.168.1.0/24 -j ACCEPT

#Стандартный ftp-доступ ./iptables -A OUTPUT -o eth1 -p tcp -s $IPADDR --sport $UNPORTS -d 0/0 -j ACCEPT ./iptables -A INPUT -i eth1 -p tcp -s 0/0 --sport 21 -d $IPADDR --dport $UNPORTS -j ACCEPT

./iptables -A INPUT -i eth1 -p tcp -s 0/0 --sport 20 -d $IPADDR --dport $UNPORTS -j ACCEPT ./iptables -A OUTPUT -o eth1 -p tcp -s $IPADDR --sport $UNPORTS -d 0/0 -j ACCEPT # #./iptables -A INPUT -i eth1 -p tcp -s 0/0 --sport $UNPORTS -j ACCEPT #./iptables -A OUTPUT -o eth1 -p tcp -s $IPADDR --sport $UNPORTS -d 0/0 --dport $UNPORTS -j ACCEPT

#ICQ # ./iptables -A FORWARD -p tcp -s 0/0 --dport 5190 -o eth1 -j ACCEPT ./iptables -t nat -A POSTROUTING -s 192.168.1.0/255.255.255.0 -o eth1 -j MASQUERADE -p tcp --to-port 5190 #маскируем ip-адресса ./iptables -t nat -A POSTROUTING -s 192.168.1.0/24 -d 0.0.0.0/0.0.0.0 -o eth1 -j MASQUERADE

#Регистрация недопустимых пакетов if ["$LOGGING"] then ./iptables -A INPUT -p tcp -j DROP -LOG ./iptables -A INPUT -p udp -j DROP -LOG ./iptables -A INPUT -p icmp -j DROP -LOG fi # echo "done" exit 0


Ответ на: комментарий от lilox

#! /bin/bash

/sbin/iptables -t nat -A POSTROUTING -p tcp -s 192.168.0.0/24 --out-interface eth1 -j SNAT --to-source XXX.XXX.XXX.XXX
XXX.XXX.XXX.XXX -твой внешний ip
# Запрещаем NEW и INVALID входящие или требуемые маршрутизации пакеты с ppp0.
/sbin/iptables -A INPUT -i eth1 -m state --state NEW,INVALID -j DROP
/sbin/iptables -A FORWARD -i eth1 -m state --state NEW,INVALID -j DROP

# Включаем маршрутизацию пакетов.
echo 1 > /proc/sys/net/ipv4/ip_forward

AlexZ
()
Ответ на: комментарий от lilox

#! /bin/bash

/sbin/iptables -t nat -A POSTROUTING -p tcp -s 192.168.0.0/24 --out-interface eth1 -j SNAT --to-source XXX.XXX.XXX.XXX
XXX.XXX.XXX.XXX -твой внешний ip
# Запрещаем NEW и INVALID входящие или требуемые маршрутизации пакеты с eth1.
/sbin/iptables -A INPUT -i eth1 -m state --state NEW,INVALID -j DROP
/sbin/iptables -A FORWARD -i eth1 -m state --state NEW,INVALID -j DROP

# Включаем маршрутизацию пакетов.
echo 1 > /proc/sys/net/ipv4/ip_forward

AlexZ
()
Ответ на: комментарий от AlexZ

Re:

И юзерам укажи внутренний ip linuxbox как defaul gateway (шлюз), тока с dns правильно разберись затем, вот!

AlexZ
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.