Как пустить определенный IP мимо Squid?

[Gaidn]

В приницпе, информации я нашел достаточно по этому поводу. Но почему-то не работает всё равно. Есть подозрения на кое что, сейчас поясню...
Дело в том, что стоит роутер, который раздает IP 192.168.6.x. После него стоит Прокси (Сквид). После Прокси локалка с IP 192.168.5.x. Я хочу, чтобы один комп из локалки ходил мимо прокси, то бишь мимо Сквида. Поэтому я меняю на этом компе IP с 192.168.5.3 на 192.168.6.159 (этот айпишник этот комп получил самим роутером, если я его чисто физически подключаю мимо прокси, напрямую к роутеру, витой парой). Соответственно в iptables я должен прописать правило, чтобы этот айпишник (192.168.6.159) пускался в обход сквида. НАписал:
iptables -P FORWARD DROP
iptables -A FORWARD -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
iptables -A FORWARD -m conntrack --ctstate NEW -i eth2 -s 192.168.6.159 -j ACCEPT
iptables -A FORWARD -m conntrack --ctstate NEW -i eth1 -p udp --dport 53 -j ACCEPT

А всё равно на том компе инет не работает.
Может быть нужно после прокси по-любому ставить IP 192.168.5.x??? А потом с помощью IPtables SNATом менять на 192.168.6.159?
Вот, на всякий случай iptables-save:

(Нажмите, чтобы показать/скрыть)

# Generated by iptables-save v1.4.4 on Thu Jan 26 15:31:42 2012
*mangle
:PREROUTING ACCEPT [11592:2812371]
:INPUT ACCEPT [8321:1943718]
:FORWARD ACCEPT [233:16725]
:OUTPUT ACCEPT [6559:1373092]
:POSTROUTING ACCEPT [6778:1394417]
COMMIT
# Completed on Thu Jan 26 15:31:42 2012
# Generated by iptables-save v1.4.4 on Thu Jan 26 15:31:42 2012
*nat
:PREROUTING ACCEPT [3565:911730]
:POSTROUTING ACCEPT [41:2447]
:OUTPUT ACCEPT [407:29538]
-A PREROUTING -s 192.168.6.159/32 -p tcp -m tcp --dport 80 -j ACCEPT
-A POSTROUTING -o eth0 -j MASQUERADE
COMMIT
# Completed on Thu Jan 26 15:31:42 2012
# Generated by iptables-save v1.4.4 on Thu Jan 26 15:31:42 2012
*filter
:INPUT ACCEPT [8204:1933949]
:FORWARD DROP [54:2520]
:OUTPUT ACCEPT [6559:1373092]
-A INPUT -s 192.168.6.159/32 -j ACCEPT
-A FORWARD -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
-A FORWARD -s 192.168.6.159/32 -j ACCEPT
-A FORWARD -i eth2 -p tcp -m tcp -m multiport --dports 20,21,25,110 -m conntrack --ctstate NEW -j ACCEPT
-A FORWARD -i eth2 -p udp -m conntrack --ctstate NEW -m udp --dport 53 -j ACCEPT
-A FORWARD -s 192.168.6.159/32 -i eth2 -m conntrack --ctstate NEW -j ACCEPT
COMMIT
# Completed on Thu Jan 26 15:31:42 2012

[kobzar]

Ну вы дали. Если вы его физически включаете в роутер то инет должен работать (уберите настройки прокси в барузере или в системе)
а если через прокси - то опять же галочки и просто включите на него нат.

[Gaidn]

Ну вы дали. Если вы его физически включаете в роутер то инет должен работать (уберите настройки прокси в барузере или в системе)
а если через прокси - то опять же галочки и просто включите на него нат.

Да неееее!!! :-)))))) Я не так плох, как кажусь, может быть. :-) Сейчас он не в роутер воткнут, а в прокси. :-) Просто когда был воткнут в роутер, то он мне раздал айпишник 192,168,6,159. Поэтому я и решил его же использовать. Но теперь он у меня не в роутер напрямую подключен, а к Прокси. И я вот хочу чтобы этот комп шел мимо прокси, чтобы не заносился в его логи. Поэтому решил правила написать в iptables. Но что-то все равно не пашет.
Решил попробовать вот так еще:
iptables -t nat -A PREROUTING -s 192.168.5.4 -j ACCEPT
То есть теперь я айпишник компа поменял с 192.168.6.159 на 192.168.5.4
Только не знаю, изменится ли этот айпишник, если iptables его пропустит дальше к роутеру. Если так и дальше пойдет под видом 192,168,5,х то роутер же гео не воспримет...
Помогите разобраться, как лучше поступить? А то я и то пробую и это, и всё в разных дебрях. Мне айпишник вообще задавть подсети роутера или Прокси. Напоминаю, комп воткнут непосредственно в ПРОКСИ!!! :-)
Заранее большое спасибо всем за уделенное внимание и время! ;-)

Пользователь решил продолжить мысль 26 Января 2012, 16:56:01:

а если через прокси - то опять же галочки и просто включите на него нат.

А вот натить я пока не научился.. Может подскажете? :-)

[fisher74]

Может быть нужно после прокси по-любому ставить IP 192.168.5.x???

Молодец. Садись. Пять.

А потом с помощью IPtables SNATом менять на 192.168.6.159?

А за это придётся оценку снизить...

Хотел расписать, как всё надо сделать, а процессе надоело жмакать по пимпам...

Вы прикреплённый топик про расшаривание интернета читали?
Прочтите, опустите все фокусы с dhcp,dns  и т.д. и вникните только в пункт II. Настройка правил iptables и параметров ядра, заменив -s на адрес нужного хоста.

[Gaidn]

Сделал как там написано в ФАКе. Но всё равно инет не грузится. Почта работает (это я раньше прописывал в iptables), а инет не пашет. Я вот не пойму, почему нельзя также по аналогии с правилами для почтовиков, написать правило для моего айпишника, чтобы также как и почта шел в обход прокси, ведь по идее просто вмместо номеров портов нужно написать номер айпишщника, и всё, разве нет? Скажем так, я так пробовал, но все равно не работает. Потом я это правило удалил, и сделал как написано в ФАКе.
Вот iptables-save:

(Нажмите, чтобы показать/скрыть)

Generated by iptables-save v1.4.4 on Mon Jan 30 07:38:58 2012
*mangle
:PREROUTING ACCEPT [2120:517062]
:INPUT ACCEPT [1415:366342]
:FORWARD ACCEPT [53:5843]
:OUTPUT ACCEPT [722:109497]
:POSTROUTING ACCEPT [756:115218]
-A FORWARD -p tcp -m tcp --tcp-flags SYN,RST SYN -j TCPMSS --clamp-mss-to-pmtu
COMMIT
# Completed on Mon Jan 30 07:38:58 2012
# Generated by iptables-save v1.4.4 on Mon Jan 30 07:38:58 2012
*nat
:PREROUTING ACCEPT [663:143131]
:POSTROUTING ACCEPT [4:367]
:OUTPUT ACCEPT [77:5002]
-A POSTROUTING -o eth0 -j MASQUERADE
-A POSTROUTING -s 192.168.5.4/32 -j MASQUERADE
COMMIT
# Completed on Mon Jan 30 07:38:58 2012
# Generated by iptables-save v1.4.4 on Mon Jan 30 07:38:58 2012
*filter
:INPUT ACCEPT [1415:366342]
:FORWARD DROP [27:1408]
:OUTPUT ACCEPT [722:109497]
-A FORWARD -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
-A FORWARD -i eth2 -p tcp -m tcp -m multiport --dports 20,21,25,110 -m conntrack --ctstate NEW -j ACCEPT
-A FORWARD -i eth2 -p udp -m conntrack --ctstate NEW -m udp --dport 53 -j ACCEPT
COMMIT
# Completed on Mon Jan 30 07:38:58 2012

[fisher74]

Потом я это правило удалил, и сделал как написано в ФАКе.

-A POSTROUTING -s 192.168.5.4/32 -j MASQUERADE

Что это за правило?

-A FORWARD -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
-A FORWARD -i eth2 -p tcp -m tcp -m multiport --dports 20,21,25,110 -m conntrack --ctstate NEW -j ACCEPT

Всё бы хорошо, гл я бы всё-таки использовал -s(ource destination) вместо -i(nput interface)
Форвардинг рахрешён?

Код: [Выделить]

sysctl net.ipv4.ip_forward

[Gaidn]

Да, форвардинг разрешен.
Я добавил вот это, и всё заработало:
-A FORWARD -s 192.168.5.4/32 -i eth2 -p tcp -m tcp -m conntrack --ctstate NEW -j ACCEPT
Большое спасибо! ;-)