Компьютерный форум OSzone.net  

Компьютерный форум OSzone.net (http://forum.oszone.net/index.php)
-   Сетевые технологии (http://forum.oszone.net/forumdisplay.php?f=31)
-   -   [решено] IPTABLES + SQUID3 (http://forum.oszone.net/showthread.php?t=230545)

R.i.m.s.k.y. 16-03-2012 17:34 1880805

IPTABLES + SQUID3
 
Только не отправляйте в поиск, я там уже 2 дня и нихера путного не нашел, хотя все настолько просто что даже я не понимаю.

Имеется основной сервер с айпишником 192,168,1,240 (виндовыйб DHCP, DNS, AD)
На нем стоит виртуалка с убунтой 10,04
В убунте две сетевушки eth0 192.168.1.250 и eth1 192.168.1.251
На убунте поставил сквид3, прозрачный, завел blacklist (acl blacklist dstdomain "/etc/squid3/blacklist" && http_access deny blacklist)
Если прописать в браузерах этот прокси - все режется как написано в blacklist, но корявые старые проги не знают что такое прокси, так что не вариант
Для того и делал сквид3 чтобы прокси был прозрачный + убунта стала шлюзом, шлюз позже через DHCP раздам + на АДСЛмодеме запрещу выход всем кроме нужных айпишников

На консоли убунты пишу
sudo iptables -t nat -A PREROUTING -i eth0 -d 192.168.1.0/24 -p tcp -m multiport --dport 80,8080 -j DNAT --to 192.168.1.250:3128
sudo sysctl -w net.ipv4.ip_forward="1"
И на клиентских машинах (моей как тестовой) настройки blacklist игноррируются (в браузере прокси не стоит)
Ставлю прокси в браузере - все режется

Где я дураг?

lxa85 16-03-2012 21:27 1880919

R.i.m.s.k.y., приведи пожалуйста схему сети. Т.к. не совсем понятно, куда отправляются пакеты, если их не завернуть на прокси сервер. По идее, на шлюз по умолчанию.
Т.е. нужен вывод ifconfig, route -n (или route print) и iptables -S (всех таблиц в общем)
и tracepath (tracert) до кучи.

R.i.m.s.k.y. 16-03-2012 21:52 1880935

Вложений: 1
Код:

rimsky@rimsky-desktop:~$ ifconfig
eth0      Link encap:Ethernet  HWaddr 08:00:27:fc:fe:44 
          inet addr:192.168.1.250  Bcast:192.168.1.255  Mask:255.255.255.0
          inet6 addr: fe80::a00:27ff:fefc:fe44/64 Scope:Link
          UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1
          RX packets:5769 errors:0 dropped:0 overruns:0 frame:0
          TX packets:7765 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:1000
          RX bytes:2281732 (2.2 MB)  TX bytes:1435698 (1.4 MB)

eth1      Link encap:Ethernet  HWaddr 08:00:27:b6:3c:37 
          inet addr:192.168.1.251  Bcast:192.168.1.255  Mask:255.255.255.0
          inet6 addr: fe80::a00:27ff:feb6:3c37/64 Scope:Link
          UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1
          RX packets:8754 errors:0 dropped:0 overruns:0 frame:0
          TX packets:485 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:1000
          RX bytes:1329203 (1.3 MB)  TX bytes:27450 (27.4 KB)

lo        Link encap:Локальная петля (Loopback) 
          inet addr:127.0.0.1  Mask:255.0.0.0
          inet6 addr: ::1/128 Scope:Host
          UP LOOPBACK RUNNING  MTU:16436  Metric:1
          RX packets:4720 errors:0 dropped:0 overruns:0 frame:0
          TX packets:4720 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:0
          RX bytes:3516328 (3.5 MB)  TX bytes:3516328 (3.5 MB)


rimsky@rimsky-desktop:~$ sudo iptables -t nat -A PREROUTING -i eth0 -d 192.168.1.0/24 -p tcp -m multiport --dport 80,8080 -j DNAT --to 192.168.1.250:3128
rimsky@rimsky-desktop:~$
rimsky@rimsky-desktop:~$ route -n
Таблица маршутизации ядра протокола IP
Destination Gateway Genmask Flags Metric Ref Use Iface
192.168.1.0    0.0.0.0        255.255.255.0  U    1      0        0 eth1
192.168.1.0    0.0.0.0        255.255.255.0  U    1      0        0 eth0
169.254.0.0    0.0.0.0        255.255.0.0    U    1000  0        0 eth0
0.0.0.0        192.168.1.1    0.0.0.0        UG    0      0        0 eth0
rimsky@rimsky-desktop:~$ ^C


rimsky@rimsky-desktop:~$ sudo iptables -S
-P INPUT ACCEPT
-P FORWARD ACCEPT
-P OUTPUT ACCEPT
rimsky@rimsky-desktop:~$

сам вижу что айпитейблс выдал ерунду, но я не знаю как в нем посмотреть его настройки (искал, читал, результат первой строчкой первого сообщения)

что до трейсроута, ну я сейчас удаленкой зашел на рабочую машину (192,168,1,11) и оттуда все скопипастил, если я ей пропишу шлюзом 192,168,1,250 - отвалюсь и ничего не покажу, извини
Но трассировать трассировал, трассировка отваливается после 192,168,1,250
Пинги - превышен интервал ожидания (тут ничего странного ибо ДНС смотрит в модем напрямую), т.е. туда пакеты летят, обратно пути не находят

схема
http://forum.oszone.net/attachment.p...chmentid=79340

в общем конкретизирую: как настроить iptables чтобы убунта стала шлюзом по-умолчанию дл всех приложений и прокси для браузеров, не прописывая в браузерах прокси

У меня получилось что-то одно из, а вот совместить тяму не хватает
Я с линем на вы и шепотом, неделю как познакомился ;)

ugara 17-03-2012 05:53 1881053

В убунте две сетевушки eth0 192.168.1.250 и eth1 192.168.1.251
у вас обе сетевые карты в одной подсети???

R.i.m.s.k.y. 17-03-2012 10:54 1881105

ugara, не кошер, но ведь поотдельности либо шлюз либо прокси - работаит ;)
а на живой сети менять адресацию как-то не хочется

R.i.m.s.k.y. 18-03-2012 09:50 1881613

Вложений: 1
ладно поставлю в понедельник вторую убунту
как в таком случае настроить первую наверняка чтобы она была и шлюзом и прокси
http://forum.oszone.net/attachment.p...1&d=1332049793

R.i.m.s.k.y. 12-04-2012 08:10 1898057

решение для меня: два шлюза на убунте в разных подсетях, вся сеть смотрит на первую убунту как на шлюз, первая убунта смотрит на вторую как на шлюз, а вторая смотрит на модем


Время: 20:20.

Время: 20:20.
© OSzone.net 2001-