Интернет-шлюз настройка

[Rydj]

Настраиваю на работе новый сервер, можете помочь правильно iptables сделать. Задача такая в организации много копьютеров поэтому настроен прозрачный прокси-сервер, на нескольких ip должны быть открыты все порты.
это настройки со старого сервера:

Код: [Выделить]

-A PREROUTING -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
-A PREROUTING -i eth0 -p tcp -m tcp --dport 80 -j DNAT --to-destination 172.16.6.33:80
-A PREROUTING -i eth1 -p tcp -m multiport --dports 80,8080 -j REDIRECT --to-ports 3128
-A PREROUTING -i eth0 -p tcp -m tcp --dport 8080 -j DNAT --to-destination 172.16.0.4:80
-A PREROUTING -i eth0 -p tcp -m tcp --dport 5900 -j DNAT --to-destination 172.16.0.4:5900
-A PREROUTING -i eth0 -p tcp -m tcp --dport 5901 -j DNAT --to-destination 172.16.0.5:5901
-A PREROUTING -i eth0 -p tcp -m tcp --dport 5902 -j DNAT --to-destination 172.16.6.162:5900
-A PREROUTING -i eth0 -p tcp -m tcp --dport 5903 -j DNAT --to-destination 172.16.0.5:22
-A PREROUTING -i eth0 -p tcp -m tcp --dport 5904 -j DNAT --to-destination 172.16.6.165:5900
-A PREROUTING -i eth0 -p tcp -m tcp --dport 4695 -j DNAT --to-destination 172.16.5.135:4695
-A PREROUTING -i eth0 -p tcp -m tcp --dport 3690 -j DNAT --to-destination 172.16.0.2:3690
-A PREROUTING -i eth0 -p tcp -m tcp --dport 5905 -j DNAT --to-destination 172.16.0.2:22
-A POSTROUTING -o eth0 -j SNAT --to-source x.x.x.x
-A FORWARD -m conntrack --ctstate DNAT -j ACCEPT

-A POSTROUTING -s 172.16.0.7/32 ! -d 172.16.0.7/32 -j MASQUERADE

Пользователи в последнее время стали часто пользоваться торрентами  и нужно это пресечь.
Настроил прозрачный прокси и заблокировал порты:

Код: [Выделить]

iptables -P FORWARD DROP
iptables -I FORWARD -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
iptables -t nat-A PREROUTING -i eth1 -p tcp -m multiport --dports 80,8080 -j REDIRECT --to-ports 3128а как открыть все порты ip 172.16.0.7?

[fisher74]

Код: [Выделить]

sudo iptables -A FORWARD -s 172.16.0.7 -o eth0 -j ACCEPT

[Rydj]

не помогло, порты по прежнему заблокированы, я ведь правильно понял надо прописать вот эти правила:

Код: [Выделить]

iptables -P FORWARD DROP
iptables -I FORWARD -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
iptables -t nat-A PREROUTING -i eth1 -p tcp -m multiport --dports 80,8080 -j REDIRECT --to-ports 3128
iptables -A FORWARD -s 172.16.0.7 -o eth0 -j ACCEPT

[metal_mania]

Немного не понятен вопрос. Если вам надо, чтобы ip 172.16.0.7 ходил в инет мимо прокси, то можно изменить правило слегка:

Код: [Выделить]

iptables -t nat-A PREROUTING -i eth1 ! -s 172.16.0.7 -p tcp -m multiport --dports 80,8080 -j REDIRECT --to-ports 3128

[Rydj]

Немного не понятен вопрос. Если вам надо, чтобы ip 172.16.0.7 ходил в инет мимо прокси, то можно изменить правило слегка:

Код: [Выделить]

iptables -t nat-A PREROUTING -i eth1 ! -s 172.16.0.7 -p tcp -m multiport --dports 80,8080 -j REDIRECT --to-ports 3128

Есть программы в которых нельзя настроить что подключения идет через прокси и для таких пользователей надо открыть доступ в интернет по всем портам. Вы дали правило что 172.16.0.7 не пойдет на прокси но если он туда не пойдет то получается у него вообще интернета нет) 

[Гарри Кашпировский]

подумай что бы был.

[metal_mania]

Вы дали правило что 172.16.0.7 не пойдет на прокси но если он туда не пойдет то получается у него вообще интернета нет)

Почему нет? Вам же товарищ fisher74 дал правило как раз для этого IP.

[Rydj]

так я и писал выше что с этим правилом ничего не изменилось

[metal_mania]

так я и писал выше что с этим правилом ничего не изменилось

Так вы попробовали или нет? По логике при таком раскладе

Код: [Выделить]

iptables -P FORWARD DROP
iptables -I FORWARD -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
iptables -t nat-A PREROUTING -i eth1 -p tcp -m multiport --dports 80,8080 -j REDIRECT --to-ports 3128
iptables -A FORWARD -s 172.16.0.7 -o eth0 -j ACCEPTклиент 172.16.0.7 срезался в таблице nat, т.к. её пакеты проходят раньше, чем filter.
А если написать

Код: [Выделить]

1iptables -P FORWARD DROP
iptables -I FORWARD -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
iptables -t nat-A PREROUTING ! -s 172.16.0.7 -i eth1 -p tcp -m multiport --dports 80,8080 -j REDIRECT --to-ports 3128
iptables -A FORWARD -s 172.16.0.7 -o eth0 -j ACCEPTто по идее клиент пролетит таблицу nat и зафорвардится последним правилом.

[fisher74]

Так надо смотреть все правила.
Может Вы траффик от этого IP сначала более щироким правилом на прокси завернули, а потом пытаетесь заставить его профорварлиться (слово-то какое сляпал)

[Rydj]

iptables-save

Код: [Выделить]

# Generated by iptables-save v1.4.4 on Wed Feb  8 12:22:33 2012
*nat
:PREROUTING ACCEPT [8338:464042]
:POSTROUTING ACCEPT [185:13684]
:OUTPUT ACCEPT [185:13684]
-A PREROUTING ! -s 172.16.0.10/32 -i eth1 -p tcp -m multiport --dports 80,8080 -j REDIRECT --to-ports 3128
COMMIT
# Completed on Wed Feb  8 12:22:33 2012
# Generated by iptables-save v1.4.4 on Wed Feb  8 12:22:33 2012
*filter
:INPUT ACCEPT [4539:348398]
:FORWARD DROP [0:0]
:OUTPUT ACCEPT [4324:328323]
-A FORWARD -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
-A FORWARD -s 172.16.0.10/32 -o eth0 -j ACCEPT
COMMIT
# Completed on Wed Feb  8 12:22:33 2012
metal_mania, по логике правило перенаправляет запросы поступающие на порты 80 и 8080, оно не должно мешать следующему правилу. т.е. если даже ip 172.16.0.7 не добавлять в исключения то пользователь по http будут идти через прокси а https будет уже в обход (конечно если в браузере его явно не указывать) так как порту 443 мы редирект не задавали. Если на ип порты были бы открыты работал бы торент и я бы мог заходить на https но этого пока нет((

[fisher74]

А маскарад где?

[Rydj]

как его нужно прописать?
Пользователь решил продолжить мысль 08 Февраля 2012, 15:08:04:Все получилось, спасибо большое=)