[Yustus]

Цитата hilary_daff:

надо полностью зашифровать трафик между локалкой и внешкой »

неясна постановка задачи

[hilary_daff]

Да. У меня всегда такая проблема была. Не могу формулировать и всё тут. Попробую на примере. Есть локальная сеть и есть виртуальная. Если, к примеру запустить icq снифер из локалки или виртуалки, то сообщения не должны перехватываться, т.к. проходят через зашифрованый канал. Вот. Так и с остальным трафиком. Вобщем мне удалось поднять VPN, но столкнулся с такой проблемой - Не могу правильно настроить iptables. Весь трафик из локалки наружу (в нашем случае из виртуалки) должен перенаправляться на порт 3128 где висит прозрачный прокси. С iptables у меня туговато, вот вопрос теперь в этом. Привожу свой вариант:

*filter
:INPUT DROP [417:72027]
:FORWARD ACCEPT [2622:161926]
:OUTPUT ACCEPT [2664:224816]
-A INPUT -p tcp -m tcp --dport 33 -j ACCEPT
-A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
-A INPUT -i lo -j ACCEPT
-A INPUT -i eth1 -p icmp -m icmp --icmp-type 8 -j ACCEPT
-A INPUT -s 172.16.16.0/24 -j ACCEPT - вот смущает эта строка. Уверен неправильно, но как должно быть не разберусь.
-A INPUT -s 192.168.1.0/24 -i eth2 -j ACCEPT
COMMIT
*nat
:PREROUTING ACCEPT [727:92675]
:POSTROUTING ACCEPT [4:281]
:OUTPUT ACCEPT [4:281]
-A PREROUTING -s 172.16.16.0/24 -p tcp -m tcp --dport 80 -j REDIRECT --to-ports 3128
-A POSTROUTING -s 172.16.16.0/24 -o eth1 -j SNAT --to-source 10.10.254.4
COMMIT

ну и интерфейсы для ясности:

eth1 Link encap:Ethernet HWaddr 00:04:76:11:64:b6
inet addr:10.10.254.4 Bcast:10.10.254.255 Mask:255.255.255.0
inet6 addr: fe80::204:76ff:fe11:64b6/64 Scope:Link
UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1
RX packets:5554326 errors:0 dropped:0 overruns:0 frame:0
TX packets:7805467 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:1000
RX bytes:2341920706 (2.1 GiB) TX bytes:627349622 (598.2 MiB)
Interrupt:16 Base address:0xc800

eth2 Link encap:Ethernet HWaddr 00:80:48:18:3c:30
inet addr:192.168.1.1 Bcast:192.168.1.255 Mask:255.255.255.0
inet6 addr: fe80::280:48ff:fe18:3c30/64 Scope:Link
UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1
RX packets:8928042 errors:0 dropped:0 overruns:0 frame:0
TX packets:5952167 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:1000
RX bytes:936018929 (892.6 MiB) TX bytes:2464906609 (2.2 GiB)
Interrupt:19 Base address:0xe800

lo Link encap:Local Loopback
inet addr:127.0.0.1 Mask:255.0.0.0
inet6 addr: ::1/128 Scope:Host
UP LOOPBACK RUNNING MTU:16436 Metric:1
RX packets:359159 errors:0 dropped:0 overruns:0 frame:0
TX packets:359159 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:0
RX bytes:205829207 (196.2 MiB) TX bytes:205829207 (196.2 MiB)

ppp0 Link encap:Point-to-Point Protocol
inet addr:172.16.16.1 P-t-P:172.16.16.2 Mask:255.255.255.255
UP POINTOPOINT RUNNING NOARP MULTICAST MTU:1396 Metric:1
RX packets:231083 errors:0 dropped:0 overruns:0 frame:0
TX packets:141045 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:3
RX bytes:12442966 (11.8 MiB) TX bytes:48309055 (46.0 MiB)

ppp1 Link encap:Point-to-Point Protocol
inet addr:172.16.16.1 P-t-P:172.16.16.3 Mask:255.255.255.255
UP POINTOPOINT RUNNING NOARP MULTICAST MTU:1396 Metric:1
RX packets:2135 errors:0 dropped:0 overruns:0 frame:0
TX packets:2706 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:3
RX bytes:222022 (216.8 KiB) TX bytes:2978822 (2.8 MiB)

[Rockon]

а зачем для шифрования трафика использовать отдельный впн?

[hilary_daff]

Так. Оказалось всё в порядке. Запросы как и положено заворачиваются на squid. Теперь нужно разобраться, как настроить sams на пользователей. debian раздаёт адреса в виртуалке по DHCP. В sams выставлена авторизация по ip. Может у вас есть какие предложения?!

"а зачем для шифрования трафика использовать отдельный впн?"

Не совсем понял что вы имеете ввиду. Есть какие-то другие варианты?