Заворачиваем http на прокси

[buloshnik]

Проблема, никак у меня не работает эта все конструкция, сделанная по ссылке http://mannix.ru/ubuntu/nastraivaem-router-na-linux-ubuntu-nat-dhcp-squid.html/5
ну суть в том, что инет работает на другой машине, да вот только как я понял не через squid. Я его выключаю , а инет работает. Могу выложить конфиги. Еще такая проблема. Первый раз когда в /etc/nat прописал строку с заворачиванием портов - то у при перезагрузке интерфейсов ошибки, первый раз :

Код: [Выделить]

Bad argument '10.0.0.0/24
Try 'iptables -h' or 'iptables --help' for more information.
Failed to bring up eth1, когда я снова сделал /etc/init.d/networking restart при том что я ничего не менял - у меня появилось:

Код: [Выделить]

RTNETLINK answer: file exists.
Failed to bring up eth1.
Что делать понять не могу. Сеть строится таким образом, что соединение поднимается на модеме и идет на одну из двух сетевых моего Ubuntu-сервера, а вторая сетевая подключена к свичу, в который пока что подключена одна машина с виндой. Windows свободно ходит в интернет.
ifconfig:

Код: [Выделить]

eth0      Link encap:Ethernet  HWaddr 00:0c:29:b4:ef:30 
          inet addr:192.168.1.5  Bcast:192.168.1.255  Mask:255.255.255.0
          inet6 addr: fe80::20c:29ff:feb4:ef30/64 Scope:Link
          UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1
          RX packets:4002 errors:0 dropped:0 overruns:0 frame:0
          TX packets:3679 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:1000
          RX bytes:3613819 (3.6 MB)  TX bytes:528335 (528.3 KB)
          Interrupt:19 Base address:0x2000

eth1      Link encap:Ethernet  HWaddr 00:0c:29:b4:ef:3a 
          inet addr:10.0.0.1  Bcast:10.0.0.255  Mask:255.255.255.0
          inet6 addr: fe80::20c:29ff:feb4:ef3a/64 Scope:Link
          UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1
          RX packets:1836 errors:0 dropped:0 overruns:0 frame:0
          TX packets:2021 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:1000
          RX bytes:227409 (227.4 KB)  TX bytes:1997472 (1.9 MB)
          Interrupt:16 Base address:0x2080

lo        Link encap:Local Loopback 
          inet addr:127.0.0.1  Mask:255.0.0.0
          inet6 addr: ::1/128 Scope:Host
          UP LOOPBACK RUNNING  MTU:16436  Metric:1
          RX packets:827 errors:0 dropped:0 overruns:0 frame:0
          TX packets:827 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:0
          RX bytes:99202 (99.2 KB)  TX bytes:99202 (99.2 KB)

Остальное все как в инструкции, на которую дал ссылку. Ну кроме конечно настроек первой сетевой, где изменен адрес.

[fisher74]

По ссылкам ходит лень, да и не дас это многого.
Прошу в студию выхлоп

Код: [Выделить]

cat /etc/nat
sudo iptables-save

[buloshnik]

cat /etc/nat

Код: [Выделить]

#!/bin/sh

    # Включаем форвардинг пакетов
    echo 1 > /proc/sys/net/ipv4/ip_forward

    # Разрешаем трафик на loopback-интерфейсе
    iptables -A INPUT -i lo -j ACCEPT

    # Разрешаем доступ из внутренней сети наружу
    iptables -A FORWARD -i eth1 -o eth0 -j ACCEPT

    # Включаем NAT
    iptables -t nat -A POSTROUTING -o eth0 -s 10.0.0.0/24 -j MASQUERADE

    # Запрещаем доступ снаружи во внутреннюю сеть
    iptables -A FORWARD -i eth0 -o eth0 -j REJECT

    # Заворачиваем http на прокси
    iptables -t nat -A PREROUTING -i eth1 -d ! 10.0.0.0/24 -p tcp -m multiport --dport 80,8080 -j DNAT --to 10.0.0.1:3128

iptables-save

Код: [Выделить]

# Generated by iptables-save v1.4.12 on Sun Jun  3 22:32:44 2012
*nat
:PREROUTING ACCEPT [260:22238]
:INPUT ACCEPT [63:12606]
:OUTPUT ACCEPT [581:39172]
:POSTROUTING ACCEPT [581:39172]
-A POSTROUTING -s 10.0.0.0/24 -o eth0 -j MASQUERADE
-A POSTROUTING -s 10.0.0.0/24 -o eth0 -j MASQUERADE
-A POSTROUTING -s 10.0.0.0/24 -o eth0 -j MASQUERADE
COMMIT
# Completed on Sun Jun  3 22:32:44 2012
# Generated by iptables-save v1.4.12 on Sun Jun  3 22:32:44 2012
*filter
:INPUT ACCEPT [2085:1554383]
:FORWARD ACCEPT [3791:4259456]
:OUTPUT ACCEPT [2353:357277]
-A INPUT -i lo -j ACCEPT
-A INPUT -i lo -j ACCEPT
-A INPUT -i lo -j ACCEPT
-A FORWARD -i eth1 -o eth0 -j ACCEPT
-A FORWARD -i eth0 -o eth0 -j REJECT --reject-with icmp-port-unreachable
-A FORWARD -i eth1 -o eth0 -j ACCEPT
-A FORWARD -i eth0 -o eth0 -j REJECT --reject-with icmp-port-unreachable
-A FORWARD -i eth1 -o eth0 -j ACCEPT
-A FORWARD -i eth0 -o eth0 -j REJECT --reject-with icmp-port-unreachable
COMMIT
# Completed on Sun Jun  3 22:32:44 2012

Могу все логи выложить)только помогите)

[koshev]

Это что за команда? Что она делает?

Код: (text) [Выделить]

iptables -t nat -A PREROUTING -i eth1 -d ! 10.0.0.0/24 -p tcp -m multiport --dport 80,8080 -j DNAT --to 10.0.0.1:3128Вы действительно думаете, что оно заворачивается, будь даже синтаксис команды верным? Почему сеть 10.0.0.0/24 исключена? Что, есть другие сети?
Пример того, как оно всё-таки должно быть.

Код: (text) [Выделить]

iptables -t nat -A PREROUTING -i eth1 ! -d 10.0.0.1/32 -s 10.0.0.0/24 -p tcp -m multiport --dport 80,8080 -j DNAT --to-destination 10.0.0.1:3128

[buloshnik]

Спасибо Вам огромное, не могли бы вы дать какие нить хорошие маны по iptables желательно на русском. После того как вписал ваш ответ на клиенте перестал работать интернет, сейчас все проверяю. Сетей больше нет, Сеть только та которая 10.0.0.0/24.просто все делал по мануалу, там было там написано, и особо не разбирался так как не было времени.
Пользователь решил продолжить мысль 03 Июня 2012, 23:57:45:Кстати забыл указать с клиента сайты пингуются, и после /etc/init.d/networking restart ошибка не появилась.

[fisher74]

Здесь почитайте

[buloshnik]

как я понял то правило которое вы мне дали исключает адреса командой ! -d 10.0.0.1/32 , если я убираю ! то значит я разрешаю им доступ, да вот только проблема в том, что все равно не через прокси все идет, или я не понимаю чего то. Я пробую открывать ftp и они открываются, хотя я не заворачивал ftp, как мне проверить через squid интернет идет или нет?

[fisher74]

Чтоы проверить - выключите кальмара и попробуйте.
А по правилам - почитайте статейку.
Поймите: В правилах задаётся условие срабатывания правила.
И ! -d 10.0.0.1/32 одно из условий, которое указывает, что "если пакет не направляется к 10.0.0.1/32". И кстати, это один единственный хост каковым является сам шлюз (потому к нему определение ИМ никак не подходит). KT315 добавил его в условия на тот случай, что на нём самом крутятся сервисы для локальной сети на порту(ах) 80(,8080).
Пользователь решил продолжить мысль 04 Июня 2012, 20:12:40:Про ftp
Да, ftp Вы не поворачивали на кальмара. НО...!!! Вы создали все условия для работы шлюза без прокси (разрешили ip_forward и маскарадинг внешнего интерфейса). Почему же не должен работать ftp и остальные протоколы/порты (кроме портов 80 и 8080)?

[censor]

*filter
:INPUT ACCEPT [2085:1554383]
:FORWARD ACCEPT [3791:4259456]
:OUTPUT ACCEPT [2353:357277]