Есть прокси сервер на Debian 5. На нем висит три сетевые карты: eth0 - смотрит в одну локальную сеть сеть (ip 192.168.8.3, маска подсети 255.255.248.0); eth1 - смотрит в интернет (ip 192.168.1.1, маска подсети 255.255.252.0); eth2 - смотрит во вторую локальную сеть (ip 192.168.111.3, маска подсети 255.255.255.0). Настроен прозрачно squid3.0. Iptables имеет следующий конфиг:
iptables -F
iptables -t nat -F
iptables -t nat -A PREROUTING -s 192.168.8.3 -p tcp --dport 80 -j ACCEPT
iptables -t nat -A PREROUTING -p tcp --dport 80 -j DNAT --to-destination 192.168.8.3:8080
iptables -t nat -A PREROUTING -s 192.168.111.3 -p tcp --dport 80 -j ACCEPT
iptables -t nat -A PREROUTING -p tcp --dport 80 -j DNAT --to-destination 192.168.111.3:8080
iptables -t nat -A POSTROUTING -j MASQUERADE
Интернет есть в двух сетях. При это работает абсолютно все программы, даже те, которые не поддерживают настройку прокси. Настроен также lightsquid для сбора статистики. Получается, что при такой конфигурации программы, которые работают на любом другом порте, кроме 80 и 8080 в статистику не попадают и на них не действуют правила squid (например ограничение скорости). Особенно сильно это чувствуется при использовании торрентов. Можно ли при использовании маскарадинга закрыть группу портов (например 1024-65000), чтобы ограничить использование торрентов, просмотр интернет телевидения и подобного рода?