Помогите поднять прозрачный прокси

[progmo]

Знаю что тема страшный баян, но че то без совета не могу разобраться.

Настроил раздачу инета с домашнего сервера (Ubuntu 10.10) на ноут (win7). Трафик бегает, но хочется чтобы был прозрачный прокси, как минимум доработать конфу чтобы с ноута был доступ во внешку только по 80 порту, остальное DROP.

Инет приходит в дом через роутер 192.168.1.1.
192.168.1.2 - это сетевая (сервер с ubuntu) которая смотрит во внешку
10.0.0.1 - эта смотрит в локалку.
Настройки подключения клиенту раздает dnsmasq.

/etc/network/interface

(Нажмите, чтобы показать/скрыть)

# The loopback network interface
auto lo
iface lo inet loopback

post-up /etc/nat


# The primary network interface
auto eth0
iface eth0 inet static
address 192.168.1.2
netmask 255.255.255.0
#network 192.168.1.0
#broadcast 192.168.1.255
gateway 192.168.1.1

auto eth1
iface eth1 inet static
address 10.0.0.1
netmask 255.255.255.0

#  dns-* options are implemented by the resolvconf package, if installed
dns-nameservers 192.168.1.1
dns-search pronet   

/etc/nat

(Нажмите, чтобы показать/скрыть)

#!/bin/sh

# Включаем форвардинг пакетов
echo 1 > /proc/sys/net/ipv4/ip_forward

# Разрешаем трафик на loopback-интерфейсе
iptables -A INPUT -i lo -j ACCEPT

# Разрешаем доступ из внутренней сети наружу
iptables -A FORWARD -i eth1 -o eth0 -j ACCEPT

# Включаем NAT
iptables -t nat -A POSTROUTING -o eth0 -s 10.0.0.0/24 -j MASQUERADE

# Разрешаем ответы из внешней сети
iptables -A FORWARD -i eth0 -m conntrack --ctstate ESTABLISHED,RELATED -j ACCEPT

# Запрещаем доступ снаружи во внутреннюю сеть
iptables -A FORWARD -i eth0 -o eth1 -j REJECT

/etc/squid/squid.conf (опции которые включил)

(Нажмите, чтобы показать/скрыть)

http_port 3128 transparent
cache_dir ufs /var/spool/squid 4096 32 256
acl localnet src 10.0.0.0/24
http_access allow localnet
error_directory /usr/share/squid/errors/Russian-koi8-r

При таких настройках ноут ходит во внешку совершенно спокойно, по всем портам. В браузере прокси не прописан. В сквиде конечно опция transparent включена, но при таком раскладе во всех манах пишут что в iptables надо завернуть трафик типа так:

Код: [Выделить]

iptables -t nat -A PREROUTING -i eth1 -d ! 10.0.0.0/24 -p tcp -m multiport --dport 80,8080 -j DNAT --to 10.0.0.1:3128...

Вот тут я и тормознул. Выручайте плиз.

[fisher74]

А чего тормознул-то? Снимай ногу с педали тормоза и ехай дальше.
Кстати, если тебе нужен только 80 порт через прокси, то все предыдущие замуты с iptables и ip_forward - лишние телодвижения, и даже наоборот портят всё, так как 80 (и 8080) будет ходить через прокси, а всё остальное мимо него.

[progmo]

это значит на в /etc/nat оставить только разворот трафика с 80 порта на 3128 ?

ЗЫ: в ближайшей перспективе мне надо конечно бедт сделать полноценный файер: открыть нужные порты (почту, ssh, ftp  и т.д.), остальное резать.
Но вот iptables для меня сложновать в понимании еще. Поэтому решил идти от простого к сложному.

Закрыть сначала все, а веб трафик гнать через сквид (прозрачный).

[fisher74]

Совершенно верно. ВСЁ верно.

[FristaiL]

Есть еще один вариант, гляди тут, вроде все разжевано от и до http://ziro-dot-five-admin.rpod.ru/165333.html

[progmo]

Совершенно верно. ВСЁ верно.

В /etc/nat оставил только одну строку
iptables -t nat -A PREROUTING -i eth1 -d ! 172.22.4.0/24 -p tcp -m multiport --dport 80,8080 -j DNAT --to 172.22.4.1:3128

В сквиде настроил правила фильтрации. Вроде работает.

Значит получилась у меня такая схема???
- веб трафик (80) переадресуется на сквид (3128) и им фильтруется.
- весь остальной трафик бегает в обе стороны без какой-либо фильтрации.

[fisher74]

- весь остальной трафик бегает в обе стороны без какой-либо фильтрации.

Если форвардинг включён (1), то да. Если выключен (0), то нет

Код: [Выделить]

cat /proc/sys/net/ipv4/ip_forward