iptables

Господа! Существует сетка. на ней поднят сервак прокси...
его внутренний ип 192.168.0.5 порт стандартный... 3128
как с помощью iptables для ИП 192.168.0.6 сделать эту проксю прозрачной...???
тобешь чтобы 192.168.0.6 используя 192.168.0.5 как шлюз ходил в Инет...
без дополнительных настроек прокси... без привязки к портам...

Зарание Благодарен..

Для одного

Для одного компа сделать проксик прозрачным что ли?
Для самого iptables тебе только редирект в nat прописать... где-то так:
iptables -t nat -a prerouting -i eth0 -p tcp -m multiport --dport 80,443 -j REDIRECT --to-port 3128
Но проксик тоже надо настраивать. Одним натом тут не отделаться. В разных версиях squid например, идут разные настройки прозрачного прокси (ну в смысле описываются по разному). Но вот на сколько знаю, проксик работает либо как прозрачный, либо как обычный. Так что одну машину через прозрачный не выпустишь.

Старый админ

Старый админ делал это через так называемый Маскарадинг...
Но я Лес в Генте (((
Вся Фирма(Домен) Ходит через прокси поднятый на Генту в Инет, прописывая в настройках браузера
ИП Генту, 192.168.0.5... Прокся поднята на squid...
Еслиб я знал хотяб как посмотреть цыклы у iptables... ((( то по примеру 1-го компа вывел бы второй...
Но я немогу найти куда iptables пишет цыклы и политику... (((

мда...

финиш...
старый админ делал это по человечески - через NAT.
правила можно посмотреть в /var/lib/iptables/rules-save но есть совет - почитай как работает iptables, на самом деле там всё понятно, а если непонятно то от того что ты элементарно непредставляеш как работает сеть.
или почитай доки типа
http://www.gentoo.org/doc/en/home-router-howto.xml
в части настройки iptables

смторя на чем сидит контора

evadim написал(а):
финиш...
старый админ делал это по человечески - через NAT.

если в конторе adsl то только через маскарад

ты хоть сам

ты хоть сам понял что сказал?

а ты сам подумай

как заработает nat?
если адрес выдается провайдером динамически

вообще было

вообще было желание написать какойнибудь едкий камент, но всёже отвечу.
вот цитата примера из упомянутой доки

Цитата:
Finally we add the rules for NAT
# iptables -I FORWARD -i ${LAN} -d 192.168.0.0/255.255.0.0 -j DROP
# iptables -A FORWARD -i ${LAN} -s 192.168.0.0/255.255.0.0 -j ACCEPT
# iptables -A FORWARD -i ${WAN} -d 192.168.0.0/255.255.0.0 -j ACCEPT
# iptables -t nat -A POSTROUTING -o ${WAN} -j MASQUERADE

далее выдежки из man iptables

Цитата:
-t, --table table
nat:
This table is consulted when a packet that creates a new connection is encountered. It consists of three built-ins: PREROUTING (for altering packets as soon as they come in), OUTPUT (for altering locally-generated packets before routing), and POSTROUTING (for altering packets as they are about to go out).

Цитата:
MASQUERADE
This target is only valid in the nat table, in the POSTROUTING chain. It should only be used with dynamically assigned IP (dialup) connec-tions: if you have a static IP address, you should use the SNAT target. Masquerading is equivalent to specifying a mapping to the IP address of the interface the packet is going out, but also has the effect that connections are forgotten when the interface goes down. This is the correct behavior when the next dialup is unlikely to have the same interface address (and hence any established connections are lost anyway).

для динамических соединений также помогает

/etc/sysctl.conf написал(а):
net.ipv4.ip_dynaddr = 1

правильно!

лучше объяснить чем написать едкий камент. я например считал что это разные вещи:-) и рад что ты вывел меня из заблуждений:-)

-A POSTROUTING -s

-A POSTROUTING -s 192.168.0.111 -d ! 192.168.0.0/255.255.255.0 -j SNAT --to-source 217.147.161.29

Нашел цепочку которую делали для старого ИП, больше связующих цепочек с этим ИП нету,
пытался добавить свою цепочку в итоге получил в нос от Терминала и пошол Гуглить дальше,
добавить пытался следущие строки:

# iptables -A POSTROUTING -s 192.168.0.6 -d ! 192.168.0.0/255.255.255.0 -j SNAT --to-source 217.147.161.29
после чего терминал сказал: iptables: No chain/target/match by that name
я попытался задать путь сетевой окуда беру 192.168.0.6
# iptables -A POSTROUTING -o eth0 -s 192.168.0.6 -d ! 192.168.0.0/255.255.255.0 -j SNAT --to-source 217.147.161.29

Если вам не тяжело, кто нибуть может обьяснить общий макет построения цепочки...
У мну с Английским пока тяжело... но стараюсь со всех сил...

http://ru.gentoo-wiki.com/Л

Прокси в любом

Прокси в любом случае надо будет настраивать.

vim /etc/squid/squid.conf.default
:/transparent
:/ <- до тех пор, пока не наткнешься на нужное описание.

В общем признаю

В общем признаю свою тупость...
Потому как частично уже было все настроено
добавил только конфиг запуска фаэрвола одну строчку... И маскарадинг заработал...

iptables -t nat -A POSTROUTING -s ххх.ххх.ххх.ххх(свой внутрений ИП) -d ! 192.168.0.0/24 -j SNAT --to-source ххх.ххх.ххх.ххх(Реальный ИП через которы все ходят спомощью прокси)

Как все просто когда думаешь)))

Настройки просмотра комментариев

Выберите нужный метод показа комментариев и нажмите "Сохранить установки".