Форум русскоязычного сообщества Ubuntu


Считаете, что Ubuntu недостаточно дружелюбна к новичкам?
Помогите создать новое Руководство для новичков!

Автор Тема: NAT+Шлюз  (Прочитано 520 раз)

0 Пользователей и 1 Гость просматривают эту тему.

Оффлайн mickle5000

  • Автор темы
  • Новичок
  • *
  • Сообщений: 5
    • Просмотр профиля
NAT+Шлюз
« : 25 Января 2016, 15:41:44 »
Ребята кому не трудно помогите написать правила в IPTABLES.
eth0 - wan
eth1 - просто шлюз
eth2 - squid
в данный момент так
iptables -A FORWARD -i eth0 -o eth1 -s 192.168.1.0/24 -m conntrack --ctstate NEW -j ACCEPT
iptables -A FORWARD -m conntrack --ctstate ESTABLISHED,RELATED -j ACCEPT
iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE

###  Squid
iptables -t nat -A PREROUTING -i eth2 -s 192.168.186.0/24 -p tcp --dport 80 -j REDIRECT --to-port 3128

SQUID не прозрачный, но при такой расстановке на eth2 интернет работает как с настройками squid так и без...
Заранее благодарен

Оффлайн fisher74

  • Заслуженный пользователь
  • Старожил
  • *
  • Сообщений: 13756
    • Просмотр профиля
Re: NAT+Шлюз
« Ответ #1 : 25 Января 2016, 16:57:32 »
Вы в первом правиле ничего не перепутали?

Оффлайн mickle5000

  • Автор темы
  • Новичок
  • *
  • Сообщений: 5
    • Просмотр профиля
Re: NAT+Шлюз
« Ответ #2 : 25 Января 2016, 17:26:53 »
Ну так оно работало и работает по сей день ... мне кажется надо МАСКАРАД МЕНЯТь НА SNAT или DNAT (слаб в матчасти)

Оффлайн fisher74

  • Заслуженный пользователь
  • Старожил
  • *
  • Сообщений: 13756
    • Просмотр профиля
Re: NAT+Шлюз
« Ответ #3 : 25 Января 2016, 18:55:34 »
"Работало" и "не дыряво" - не синонимы.
На самом деле, то правило на которое я указал (как и следующее) может вообще ни на что не влиять. Они работают только при наличии других правил. Но раз у Вас "всё работало", значит они совершенно бестолковы. И можно оставить только маскарад и редирект.
Здесь же кроется и ответ на Ваше недоумение про работу вне зависимости от настройки кальмара. Оно и понятно - "оно работает"

В данном случае: помочь = сделать за Вас.
Подтяните матчасть, определитесь с политикой безопасности шлюза, а уже потом настраивайте.
Что не получится - подскажем.

ЗЫ интернет работает не только по 80-му порту

Пользователь решил продолжить мысль 25 Января 2016, 18:57:40:
И на будущее: правила на то и правила, что они работают В КОМПЛЕКСЕ. А потому показать одно правило = не показать ничего

ЗЗЫ все загруженные в netfilter правила можно посмотреть командой sudo iptables-save
« Последнее редактирование: 25 Января 2016, 18:57:40 от fisher74 »

Оффлайн mickle5000

  • Автор темы
  • Новичок
  • *
  • Сообщений: 5
    • Просмотр профиля
Re: NAT+Шлюз
« Ответ #4 : 26 Января 2016, 16:10:41 »
Спасибо за наставления...то что интернет это не только 80 порт это я знаю ... "ребята" говорили)))) ... мне Squid нужен сугубо для подсчета трафика

Оффлайн fisher74

  • Заслуженный пользователь
  • Старожил
  • *
  • Сообщений: 13756
    • Просмотр профиля
Re: NAT+Шлюз
« Ответ #5 : 26 Января 2016, 16:40:21 »
Учитывая, что всё https всё дальше и дальше отодвигает http, боюсь Ваше "сугубо" будет весьма и весьма неинформативно.
Почему бы не решить эту проблему задачу более современно?

Оффлайн mickle5000

  • Автор темы
  • Новичок
  • *
  • Сообщений: 5
    • Просмотр профиля
Re: NAT+Шлюз
« Ответ #6 : 26 Января 2016, 18:15:43 »
Убрал первые два правила на которые вы указали и действительно теперь все работает как хотел. Спасибо что помогаете. Хорошо ткните носом в решения для моей задачи. Мониторинг загрузки канала у меня решен darkstat, сижу смотрю канал забит, ага , кто то решил что то качнуть торрентом ... начинаю смотреть через iptraff ip b mac, потом по dhcp вычисляю имя...иду...говорю. Как упростить эту задачу?
Сейчас два канала, один для wifi по учреждению, второй для нужд сотрудников, разделено все физически, завтра один широкий канал в 100Mbit как мне делить мух и котлеты, vlan??? И на последок руководитель ставит задачу , хочу говорит смотреть кто много сидит в ok.ru и работы подкидывать... подскажите решения???

Оффлайн AnrDaemon

  • Заслуженный пользователь
  • Старожил
  • *
  • Сообщений: 28358
    • Просмотр профиля
Re: NAT+Шлюз
« Ответ #7 : 26 Января 2016, 18:24:09 »
Есть шейперы, есть fprobe, много чего есть.

И, да, лечитесь от каши в голове.
Потратьте на 10 минут больше на написание своих текстов, но их по крайней мере можно будет читать.
Хотите получить помощь? Потрудитесь представить запрошенную информацию в полном объёме.

Прежде чем [Отправить], нажми [Просмотр] и прочти собственное сообщение. Сам-то понял, что написал?…

Оффлайн mickle5000

  • Автор темы
  • Новичок
  • *
  • Сообщений: 5
    • Просмотр профиля
Re: NAT+Шлюз
« Ответ #8 : 26 Января 2016, 20:04:22 »
Никакой каши ... не хотите не читайте ... все доступно написано
1. Статистика по посещению сайтов по ПОЛЬЗОВАТЕЛЯМ (желательно из AD)

 

Страница сгенерирована за 0.048 секунд. Запросов: 25.