iptables
A1one 20 мая, 2008 - 11:42
Господа! Существует сетка. на ней поднят сервак прокси...
его внутренний ип 192.168.0.5 порт стандартный... 3128
как с помощью iptables для ИП 192.168.0.6 сделать эту проксю прозрачной...???
тобешь чтобы 192.168.0.6 используя 192.168.0.5 как шлюз ходил в Инет...
без дополнительных настроек прокси... без привязки к портам...
Зарание Благодарен..
»
- Для комментирования войдите или зарегистрируйтесь
Для одного
Для одного компа сделать проксик прозрачным что ли?
Для самого iptables тебе только редирект в nat прописать... где-то так:
iptables -t nat -a prerouting -i eth0 -p tcp -m multiport --dport 80,443 -j REDIRECT --to-port 3128
Но проксик тоже надо настраивать. Одним натом тут не отделаться. В разных версиях squid например, идут разные настройки прозрачного прокси (ну в смысле описываются по разному). Но вот на сколько знаю, проксик работает либо как прозрачный, либо как обычный. Так что одну машину через прозрачный не выпустишь.
Старый админ
Старый админ делал это через так называемый Маскарадинг...
Но я Лес в Генте (((
Вся Фирма(Домен) Ходит через прокси поднятый на Генту в Инет, прописывая в настройках браузера
ИП Генту, 192.168.0.5... Прокся поднята на squid...
Еслиб я знал хотяб как посмотреть цыклы у iptables... ((( то по примеру 1-го компа вывел бы второй...
Но я немогу найти куда iptables пишет цыклы и политику... (((
мда...
финиш...
старый админ делал это по человечески - через NAT.
правила можно посмотреть в /var/lib/iptables/rules-save но есть совет - почитай как работает iptables, на самом деле там всё понятно, а если непонятно то от того что ты элементарно непредставляеш как работает сеть.
или почитай доки типа
http://www.gentoo.org/doc/en/home-router-howto.xml
в части настройки iptables
смторя на чем сидит контора
если в конторе adsl то только через маскарад
ты хоть сам
ты хоть сам понял что сказал?
а ты сам подумай
как заработает nat?
если адрес выдается провайдером динамически
вообще было
вообще было желание написать какойнибудь едкий камент, но всёже отвечу.
вот цитата примера из упомянутой доки
далее выдежки из man iptables
для динамических соединений также помогает
правильно!
лучше объяснить чем написать едкий камент. я например считал что это разные вещи:-) и рад что ты вывел меня из заблуждений:-)
-A POSTROUTING -s
-A POSTROUTING -s 192.168.0.111 -d ! 192.168.0.0/255.255.255.0 -j SNAT --to-source 217.147.161.29
Нашел цепочку которую делали для старого ИП, больше связующих цепочек с этим ИП нету,
пытался добавить свою цепочку в итоге получил в нос от Терминала и пошол Гуглить дальше,
добавить пытался следущие строки:
# iptables -A POSTROUTING -s 192.168.0.6 -d ! 192.168.0.0/255.255.255.0 -j SNAT --to-source 217.147.161.29
после чего терминал сказал: iptables: No chain/target/match by that name
я попытался задать путь сетевой окуда беру 192.168.0.6
# iptables -A POSTROUTING -o eth0 -s 192.168.0.6 -d ! 192.168.0.0/255.255.255.0 -j SNAT --to-source 217.147.161.29
Если вам не тяжело, кто нибуть может обьяснить общий макет построения цепочки...
У мну с Английским пока тяжело... но стараюсь со всех сил...
http://ru.gentoo-wiki.com/Л
http://ru.gentoo-wiki.com/Логика_и_правила_iptables
Прокси в любом
Прокси в любом случае надо будет настраивать.
vim /etc/squid/squid.conf.default
:/transparent
:/ <- до тех пор, пока не наткнешься на нужное описание.
В общем признаю
В общем признаю свою тупость...
Потому как частично уже было все настроено
добавил только конфиг запуска фаэрвола одну строчку... И маскарадинг заработал...
iptables -t nat -A POSTROUTING -s ххх.ххх.ххх.ххх(свой внутрений ИП) -d ! 192.168.0.0/24 -j SNAT --to-source ххх.ххх.ххх.ххх(Реальный ИП через которы все ходят спомощью прокси)
Как все просто когда думаешь)))