Помогите закрыть https ssl в сети co сквидом

[fisher74]

#Запрещаем доступ из внутренней сети наружу
iptables -A FORWARD -i eth1 -o eth0 -j REJECT

А как же: ?

ip_forward отключать нельзя, т.к. нужен форвардинг портов и впн

(Нажмите, чтобы показать/скрыть)

добавьте правило разрешающее пропуска пакеты установленных соединений

(Нажмите, чтобы показать/скрыть)

здесь

[AnrDaemon]

Кто-то сказал, что прокси нужен непрозрачный…

[fisher74]

Не обращайте внимания, в принципе редирект не мешает.

[vet_fbi]

fisher74,

Проверил. На первый взгляд уже заработало как надо.

добавьте правило разрешающее пропуска пакеты установленных соединений

Вот так?:
#iptables -m state -p tcp --state ESTABLISHED,RELATED -j ACCEPT

[AnrDaemon]

-state +conntrac

[vet_fbi]

AnrDaemon,

Вот так?:

#iptables -m state +conntrac -p tcp --state ESTABLISHED,RELATED -j ACCEPT

Где разместить данное правило?:

(Нажмите, чтобы показать/скрыть)

#!/bin/sh

echo 1 > /proc/sys/net/ipv4/ip_forward

iptables -A INPUT -i lo -j ACCEPT

iptables -A FORWARD -i eth1 -p tcp --dport 80 -j REJECT

iptables -A FORWARD -i eth1 -o eth0 -j REJECT

iptables -t nat -A POSTROUTING -o eth0 -s 192.168.0.0/24 -j MASQUERADE

iptables -A FORWARD -i eth0 -m state --state ESTABLISHED,RELATED -j ACCEPT

iptables -A FORWARD -i eth0 -o eth1 -j REJECT

iptables -t nat -A PREROUTING -s 192.168.0.0/24 -p tcp -m multiport --dport 80,8080,443 -j REDIRECT --to-port 3128

[AnrDaemon]

ВМЕСТО state ИСПОЛЬЗОВАТЬ conntrack. И соответственно, его ключи. I.e. --ctstate

[fisher74]

(Нажмите, чтобы показать/скрыть)

так и думал, что будет недопонимание, но решил посмотреть как справится с ошибкой ТС.... НИКАК ( А ведь оно ругалось ...

[vet_fbi]

AnrDaemon,
Знаю, что не правильно. Поправьте, пожалуйста. Ключей не знаю. Гугл не знает об этом.
 
 #iptables -m conntrack -p tcp --ctstate ESTABLISHED,RELATED -j ACCEPT

fisher74,
Я ж писал, что новичок в этом и не знаю еще много чего.
Такое ощущение, что без вашей помощи и не узнаю.

[AnrDaemon]

Для одного раза сойдёт. Но для серьёзной эксплуатации - гуглите пакетную загрузку правил, iptables-save/-restore.

[vet_fbi]

AnrDaemon,
Думаю я правильно разместил это правило. Такой вышел конечный конфиг.

(Нажмите, чтобы показать/скрыть)

#!/bin/sh

echo 1 > /proc/sys/net/ipv4/ip_forward

iptables -A INPUT -i lo -j ACCEPT

iptables -A FORWARD -i eth1 -o eth0 -j REJECT

iptables -t nat -A POSTROUTING -o eth0 -s 192.168.0.0/24 -j MASQUERADE

iptables -m conntrack -p tcp --ctstate ESTABLISHED,RELATED -j ACCEPT

iptables -A FORWARD -i eth0 -o eth1 -j REJECT

iptables -t nat -A PREROUTING -s 192.168.0.0/24 -p tcp -m multiport --dport 80,8080,443 -j REDIRECT --to-port 3128

AnrDaemon, fisher74,
По поводу пакетной загрузки. Вы о сохранении правил iptables после перезагрузки системы, если я правильно понял.
По вышеуказанным мной инструкциям
в самый конец файла /etc/network/interfaces дописал: post-up /etc/nat
и выполнил: chmod +x /etc/nat
Я думал, что справился с этой задачей.

[AnrDaemon]

Нет, мы о пакетной загрузке.
man iptables-save/-restore

Правила при перезагрузке сохраняют только очень уверенные в себе люди. Те самые, с приставкой "само-".

[vet_fbi]

https://forum.ubuntu.ru/index.php?topic=283273.msg2232096#msg2232096

[theurs]

надо что бы некоторые компы могли подключатся к https а некоторые нет? может сквид(и второй комп со сквидом) тут вобще не нужен

[vet_fbi]

theurs,

может сквид(и второй комп со сквидом) тут вобще не нужен

дело в том, что мне нужен именно сквид со всеми его возможностями, которые я буду изучать позже.

Буду благодарен если поможете с iptables в новой теме, а то я вчера часов 6 мучался и безрезультатно.