Перерыл много тем в интернете, но ничего не получается сделать. Собственно имеется система Debian 8.2 i386.Две сетевые карты (eth0 - интернет, eth1 - сеть).

auto eth0

iface eth0 inet static

address 192.168.0.2

netmask 255.255.255.0

gateway 192.168.0.1

auto eth1

iface eth1 inet static

address 192.168.2.100

netmask 255.255.255.0

Требуется для локальной сети запретить все порты кроме допустим 80,443.

#!/bin/sh

echo 1 > /proc/sys/net/ipv4/ip_forward

iptables -P INPUT DROP

iptables -P OUTPUT DROP

iptables -P FORWARD DROP

iptables -A INPUT -i lo -j ACCEPT

iptables -A INPUT -i eth1 -j ACCEPT

iptables -A OUTPUT -o lo -j ACCEPT

iptables -A OUTPUT -o eth1 -j ACCEPT

iptables -A INPUT -p all -m state --state ESTABLISHED,RELATED -j ACCEPT

iptables -A OUTPUT -p all -m state --state NEW,ESTABLISHED,RELATE D -j ACCEPT

IPTABLES -A FORWARD -p all -m state --state ESTABLISHED,RELATED -j ACCEPT

IPTABLES -A FORWARD -i eth1 -o eth0 -p tcp --dport 80 -j ACCEPT

IPTABLES -A FORWARD -i eth0 -o eth1 -j REJECT

IPTABLES -t nat -A POSTROUTING -o eth0 -s 192.168.2.0/24 -j MASQUERADE

Данный вариант не работает. Если добавляю в строчку IPTABLES -A FORWARD -p all -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT то автоматически открываются все порты! Уже несколько дней ломаю голову, в чем может быть проблема?

Имеется сервер на debian с двумя сетевыми картами. squid 2.7 + sams C недавнего времени обнаружил, что Яндекс браузер в режиме турбо с легкостью обходит любую блокировку. Как это можно запретить?

Настройки NAT следующие: #!/bin/sh #Включаем форвадинг пакетов echo 1 > /proc/sys/net/ipv4/ip_forward #Разрешаем трафик на loopback-интерфейсе iptables -A INPUT -i lo -j ACCEPT #Блокировка vpn расширения для хрома iptables -A FORWARD -p tcp --dport 443 -m string --string «chrome.google.com» --algo kmp --to 65535 -j REJECT #Разрешаем доступ из внутренней сети наружу iptables -A FORWARD -i eth1 -o eth0 -j ACCEPT #Включаем NAT iptables -t nat -A POSTROUTING -o eth0 -s 192.168.1.0/24 -j MASQUERADE #Разрешаем ответы из внешней сети iptables -A FORWARD -i eth0 -m state --state ESTABLISHED,RELATED -j ACCEPT #Запрещаем доступ снаружи во внутреннюю сеть iptables -A FORWARD -i eth0 -o eth1 -j REJECT #Заворачиваем http на прокси iptables -t nat -A PREROUTING -i eth1 ! -d 192.168.1.0/24 -p tcp -m multiport --dports 80,8080 -j DNAT --to 192.168.1.100:3128

Настройки squid: acl all src all acl manager proto cache_object acl localhost src 127.0.0.1/32 acl to_localhost dst 127.0.0.0/8 0.0.0.0/32 acl SSL_ports port 443 # https acl SSL_ports port 563 # snews acl SSL_ports port 873 # rsync acl Safe_ports port 80 # http acl Safe_ports port 21 # ftp acl Safe_ports port 443 # https acl Safe_ports port 70 # gopher acl Safe_ports port 210 # wais acl Safe_ports port 1025-65535 # unregistered ports acl Safe_ports port 280 # http-mgmt acl Safe_ports port 488 # gss-http acl Safe_ports port 591 # filemaker acl Safe_ports port 777 # multiling http acl Safe_ports port 631 # cups acl Safe_ports port 873 # rsync acl Safe_ports port 901 # SWAT acl purge method PURGE acl CONNECT method CONNECT

acl full-access src 192.168.1.56 192.168.1.58 acl localnet src 192.168.1.0/24 acl dinner time 12:29-13:31 acl bad_url url_regex «/etc/squid/acl/bad_url» acl filetypes urlpath_regex -i «/etc/squid/acl/filetypes» acl bad_hosts url_regex «/etc/squid/acl/bad_hosts» #acl br browser Opera, Mozilla

http_access allow manager localhost http_access deny manager http_access allow purge localhost http_access deny purge http_access deny !Safe_ports http_access deny CONNECT !SSL_ports http_access allow localhost

#http_access deny !br http_access deny bad_url !dinner !full-access http_access deny filetypes !full-access http_access deny bad_hosts !dinner !full-access http_access allow localnet http_access allow full-access

icp_access allow localnet icp_access deny all

http_port 192.168.1.100:3128 transparent

hierarchy_stoplist cgi-bin ?

cache_dir ufs /var/spool/squid 4096 32 256 access_log /var/log/squid/access.log squid