Опять про интернет шлюз на Ubuntu 9.10

[demon999]

Сделал файлик /etc/iptables.conf

root@demon-desktop:/home/demon# iptables-restore < /etc/iptables.conf
'ptables-restore v1.4.4: iptables-restore: unable to initialize table 'nat

Error occurred at line: 2
Try `iptables-restore -h' or 'iptables-restore --help' for more information.
root@demon-desktop:/home/demon#
 

Вывод iptables-save естественно не поменялся
Это какойто ппц.

[Andrin]

Попробуй просто дать команду
iptables -t nat -F POSTROUTING
iptables -t nat -A POSTROUTING -o eth0 -j SNAT --to-source 10.250.23.187
Ошибку выдаст?

[demon999]

нет. команды прошли без ошибок.

[Andrin]

Тогда так:

Код: [Выделить]

iptables -P INPUT DROP
iptables -P OUTPUT DROP
iptables -P FORWARD DROP
iptables -t nat -A POSTROUTING -o eth0 -j SNAT --to-source 10.250.23.187
iptables -A INPUT -i eth1 -j ACCEPT
iptables -A INPUT -i eth0 -m state --state RELATED,ESTABLISHED -j ACCEPT
iptables -A INPUT -i lo -j ACCEPT
iptables -A FORWARD -i eth1 -o eth0 -j ACCEPT
iptables -A FORWARD -i eth0 -o eth1 -m state --state RELATED,ESTABLISHED -j ACCEPT
iptables -A OUTPUT -o eth1 -j ACCEPT
iptables -A OUTPUT -o eth0 -j ACCEPT
iptables -A OUTPUT -o lo -j ACCEPT
iptables-save > /etc/iptables.confПользователь решил продолжить мысль 26 Апреля 2010, 13:28:26:и вывод iptables-save сюда

[demon999]

Команды прошли , но почта не работает все равно



root@demon-desktop:/home/demon# iptables-save
# Generated by iptables-save v1.4.4 on Mon Apr 26 13:44:27 2010
*nat
:PREROUTING ACCEPT [4146:252773]
:POSTROUTING ACCEPT [215:10256]
:OUTPUT ACCEPT [279:13282]
-A POSTROUTING -o eth0 -j SNAT --to-source 10.250.23.187
COMMIT
# Completed on Mon Apr 26 13:44:27 2010
# Generated by iptables-save v1.4.4 on Mon Apr 26 13:44:27 2010
*mangle
:PREROUTING ACCEPT [20456:4127878]
:INPUT ACCEPT [17050:3879988]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [16213:3902836]
:POSTROUTING ACCEPT [16223:3903516]
COMMIT
# Completed on Mon Apr 26 13:44:27 2010
# Generated by iptables-save v1.4.4 on Mon Apr 26 13:44:27 2010
*filter
:INPUT DROP [13:1564]
:FORWARD DROP [0:0]
:OUTPUT DROP [0:0]
-A INPUT -i eth1 -j ACCEPT
-A INPUT -i eth0 -m state --state RELATED,ESTABLISHED -j ACCEPT
-A INPUT -i lo -j ACCEPT
-A FORWARD -i eth1 -o eth0 -j ACCEPT
-A FORWARD -i eth0 -o eth1 -m state --state RELATED,ESTABLISHED -j ACCEPT
-A OUTPUT -o eth1 -j ACCEPT
-A OUTPUT -o eth0 -j ACCEPT
-A OUTPUT -o lo -j ACCEPT
COMMIT
# Completed on Mon Apr 26 13:44:27 2010
 

[Andrin]

Если sysctl.conf поправлен и правила такие - должно работать.
Проверяйте ip-адрес внешний сервера и номера интерфейсов в /etc/iptables.conf - теперь туда должен был сохраниться ваш этот конфиг iptables.
И что значит почта? ping 82.146.41.51 из внутренней сети что говорит?
Пользователь решил продолжить мысль 26 Апреля 2010, 14:04:09:Вывод ifconfig и route -n дайте еще, пожалуйста

[demon999]

так все работает. Почтовыми программами можно проверить почту и инет у людей есть.

НО есть большое НО.
к squid прикручен sams (анализатор логов squid, который считаем трафик и блокирует пользователей при привышениии лимита ), так вот если снять галочку в настройках браузера использовать прокси то инет идет в обход squid+sams.  У юзеров появляется безлимитный ничем не ограниченный трафик! Так вот этого и нельзя допускать (требует с меня руководство).

Необходимо чтобы почтовые клиенты(оутлук) могли проверять почту, а http трафик шел только через squid

При выше приведенных правиах squid не пишет в свой лог (/var/log/squid/access.log) если не стоит в браузере использовать прокси!!!

[Andrin]

Так, я не понял, работает сейчас инет (кроме http) изнутри сети или нет? Если работает, то читайте выше, что нужно сделать, чтобы эффект сохранился после перезагрузки.
Или работает, но теперь следующий вопрос, и касается он сквида?
Вот это должно помочь:

Код: [Выделить]

iptables -A PREROUTING -s 10.250.23.0/24 ! -d 10.250.23.105 -p tcp -m multiport --dport 80,8080 -j REDIRECT --to-ports 3128После этого естественно надо сделать iptables-save > /etc/iptables.conf
Пользователь решил продолжить мысль 26 Апреля 2010, 12:27:14:Более того, настройка прокси в браузере должна быть, иначе сквид надо настраивать на прозрачное проксирование. В этом случае не будет NCSA авторизации, если вы ее используете (по идее не должно быть ). И https не будет работать через сквид, хотя, я не уверен, что вы сейчас его проксируете.
Правило данное мной, лишь запрещает обход сквида.

[demon999]

squid должен быть прозрачный

http_port 8080 tansparent авторизация по ip

на выше указанное правило ругнулся    iptables: No chain/target/match by that name
интернет в обход прокси ЕСТЬ!

[Andrin]

Ошибся:

Код: [Выделить]

iptables -t nat -A PREROUTING -s 10.250.23.0/24 ! -d 10.250.23.105 -p tcp -m tcp --dport 80 -j REDIRECT --to-ports 8080Кстати, зачем используете нестандартный порт прокси?
И, учтите, текущие правила iptables полностью закрывают доступ к серверу и сети извне!

[demon999]

ООООООООО-х кажется получилось. Прописал выше предложенное правило, убрал галочку в браузере использовать прокси, посерфил по инету вроде в логи сквида пишется и траф. считается и даже запреты на определенные сайты работает! И оутлук тоже работает!

СПАСИБО! Еше вопрос как теперь сохранить это правило тоже чтобы не терялось при перезагрузке?

когда буду заменять виндовый сервер с крякнутым user-gate не хочу бегать по юзерам и менять порт.

[theCoder]

Ребята ткните носом в инструкцию по настройке шлюза.
Провайдер Корбина (Билайн) - ip динамический
Сервер в инет выходит (пингует сайты), а вот подключенный к нему ноут никак не могу застваить выйти в инет.

[Andrin]

Уважаемый! У вас потрясающая способность не читать то, что вам пишут. Или не понимать. Читайте внимательнее, что вам пишут, а то надоедает по столько раз повторяться.

После этого естественно надо сделать iptables-save > /etc/iptables.conf

Я не знаю, добавили ли вы iptables-restore в /etc/network/interfaces потому как без этого никакие правила не будут применяться после перезагрузки.
Вообще, для справки iptables-save сохраняет ТЕКУЩУЮ настройку таблиц в указанный вами файл, iptables-restore (без ключей) очищает таблицы и применяет указанный вам файл.
Пользователь решил продолжить мысль 26 Апреля 2010, 07:16:36:Инструкция по настройке у тебя уже под носом. А еще вот тут
https://forum.ubuntu.ru/index.php?topic=91877.0
мои разъяснения на эту же тему. Отличие для динамического IP только в том, что вместо -j DNAT --to-destination xxxxxxxx надо писать просто -j MASQUERADE
И внешний интерфейс у тебя будет называться как-то иначе, смотри это по ifconfig
Так что читаешь ВНИМАТЕЛЬНО эту тему с начала, заменяешь eth0 и eth1 своими именами интерфейсов, обходишь побоку сквид и все будет работать.

[demon999]

Ну и возможно на сегодня последний вопрос. Есть программа банк клиент. Надо чтобы она тоже работала. Номер порта на котором она висит 2833 также имеется ip адрес банка. Подскажите что еще надо пробросить и как ?


P.S файерволы явно не моя стихия )))

[Andrin]

Это зависит от того, фильтрует ли сервер банка клиентов по ip-адресу. Если нет - то ничего трогать не надо, будет точно так же работать через NAT. Если фильтрует и компу с клиентбанком обязательно нужен белый ip-адрес, то надо сделать проброс портов на сервере:

Код: [Выделить]

iptables -t nat -A PREROUTING -i eth0 -p tcp -m tcp --dport 2833 -j DNAT --to-destination <внутренний ip машины с клиентбанком>Это если она по tcp работает если udp, то просто замените tcp на udp.

P.S файерволы явно не моя стихия )))

Если так, зачем вообще было ставить сервак на Линухе идти в админы? Эникей - это еще не админ. На вас ответственность за организацию, а вы тут такие крамольные вещи говорит Учиться вроде никогда не поздно