Знаю что тема страшный баян, но че то без совета не могу разобраться.
Настроил раздачу инета с домашнего сервера (Ubuntu 10.10) на ноут (win7). Трафик бегает, но хочется чтобы был прозрачный прокси, как минимум доработать конфу чтобы с ноута был доступ во внешку только по 80 порту, остальное DROP.
Инет приходит в дом через роутер 192.168.1.1.
192.168.1.2 - это сетевая (сервер с ubuntu) которая смотрит во внешку
10.0.0.1 - эта смотрит в локалку.
Настройки подключения клиенту раздает dnsmasq.
/etc/network/interface
# The loopback network interface
auto lo
iface lo inet loopback
post-up /etc/nat
# The primary network interface
auto eth0
iface eth0 inet static
address 192.168.1.2
netmask 255.255.255.0
#network 192.168.1.0
#broadcast 192.168.1.255
gateway 192.168.1.1
auto eth1
iface eth1 inet static
address 10.0.0.1
netmask 255.255.255.0
# dns-* options are implemented by the resolvconf package, if installed
dns-nameservers 192.168.1.1
dns-search pronet
/etc/nat
#!/bin/sh
# Включаем форвардинг пакетов
echo 1 > /proc/sys/net/ipv4/ip_forward
# Разрешаем трафик на loopback-интерфейсе
iptables -A INPUT -i lo -j ACCEPT
# Разрешаем доступ из внутренней сети наружу
iptables -A FORWARD -i eth1 -o eth0 -j ACCEPT
# Включаем NAT
iptables -t nat -A POSTROUTING -o eth0 -s 10.0.0.0/24 -j MASQUERADE
# Разрешаем ответы из внешней сети
iptables -A FORWARD -i eth0 -m conntrack --ctstate ESTABLISHED,RELATED -j ACCEPT
# Запрещаем доступ снаружи во внутреннюю сеть
iptables -A FORWARD -i eth0 -o eth1 -j REJECT
/etc/squid/squid.conf (опции которые включил)
http_port 3128 transparent
cache_dir ufs /var/spool/squid 4096 32 256
acl localnet src 10.0.0.0/24
http_access allow localnet
error_directory /usr/share/squid/errors/Russian-koi8-r
При таких настройках ноут ходит во внешку совершенно спокойно, по всем портам. В браузере прокси не прописан. В сквиде конечно опция transparent включена, но при таком раскладе во всех манах пишут что в iptables надо завернуть трафик типа так:
iptables -t nat -A PREROUTING -i eth1 -d ! 10.0.0.0/24 -p tcp -m multiport --dport 80,8080 -j DNAT --to 10.0.0.1:3128
...
Вот тут я и тормознул. Выручайте плиз.