Всем привет! Парни подскажите про такую ситуацию. Достался в "наследство" сервер на Ubuntu 16.04. две сетевухи, одна смотри в локальную сеть, другая - через МСЭ в итеренет. Сервер используется как прокси, на нем поднят squid. Локальные машины в интеренет заходят нормально, захотел подключиться с локального компьютера к МСЭ и ничего не получилось. Сам сервер на МСЭ заходит нормально.
С внешнего IP сервера пинг на локальный компьютер не проходит
Интерфейсы
eth0 на МСЭ
ip 172.1.1.2
bcast 172.1.1.3
msk 255.255.255.252
eth1 в локалку
ip 192.10.10.254
bcast 192.10.10.255
msk 255.255.255.0
Nat
#!/bin/sh
#пересылка пакетов
echo 1 > /proc/sys/net/ipv4/ip_forward
iptables -F # Очищаем все цепочки таблицы filter
#Разрешаем трафик
iptables -A INPUT -i lo -j ACCEPT
# Разрешаем пакеты по уже установленным соединениям
iptables -A INPUT -m conntrack --ctstate ESTABLISHED,RELATED -j ACCEPT
#SSH
iptables -A INPUT -s 192.10.10.10/32 -p tcp --dport 22 -j ACCEPT
# Всем остальным разрешаем доступ к нужным портам
iptables -A INPUT -p tcp -m multiport --dports 80,443,31 -j ACCEPT
iptables -A INPUT -p icmp --icmp-type 8 -j ACCEPT
# Принудительно закрыть порты
iptables -A INPUT -p tcp -m multiport --dports 139,445 -j DROP
# «Хорошим» хостам, обращающимся на неправильные TCP-порты, вежливо сообщаем об отказе
iptables -A INPUT -p tcp -j REJECT --reject-with tcp-reset
# Для всех остальных протоколов используем стандартный REJECT с icmp-port-unreachable
iptables -P INPUT REJECT
iptables -F FORWARD # На всякий случай очистим цепочку FORWARD
# Разрешаем проходить пакетам по уже установленным соединениям
iptables -A FORWARD -m conntrack --ctstate ESTABLISHED,RELATED -j ACCEPT
# Разрешаем исходящие соединения из локальной сети к интернет-хостам
iptables -A FORWARD -m conntrack --ctstate NEW -i eth0 -s 192.10.10.0/24 -j ACCEPT
iptables -P FORWARD DROP # Весь остальной транзитный трафик — запрещаем.
iptables -t nat -F POSTROUTING # На всякий случай очистим цепочку POSTROUTING таблицы nat
# Маскарадим весь трафик, идущий через eth1
iptables -t nat -A POSTROUTING -o eth1 -j MASQUERADE
#Заворачиваем http на прокси
iptables -t nat -A PREROUTING -i eth1 ! -d 192.10.10.0/24 -p tcp -m multuport --dport 80,443 -j DNAT --to 192.10.10.254:31
iptables -P OUTPUT ACCEPT
squid
acl ip1 src "/etc/squid/ip1.list"
acl ip2 src "/etc/squid/ip2.list"
acl cloud dst 12.12.12.0/8 #описываем подсеть 12.12.12.0/8
acl arm src "/etc/squid/ip3.list" #описываем машины c доступом к мсэ
acl mse dst 172.1.1.1/30 #мсэ
acl Safe_ports port 23 #TCP
acl Safe_ports port 22
acl Safe_ports port 25
acl SSL_ports port 443 #SSL
acl Safe_ports port 80 #HTTP
acl Safe_ports port 443 #HTTP
acl Safe_ports port 8080 #HTTP
acl Safe_ports port 53 #DNS
acl Safe_ports port 21 #FTP
acl Safe_ports port 70 #gopher
acl Safe_ports port 210 #wais
acl Safe_ports port 1025-65535 #незарегистрированные порты
acl Safe_ports port 280 #HTTP-mgmt
acl Safe_ports port 488 #gss-http
acl Safe_ports port 591 #filemaker
acl Safe_ports port 777 #multiling http
acl CONNECT method CONNECT
http_access allow arm mse
http_access deny all mse
#разрешить доступ к прокси из внутренней сети
http_access deny !Safe_ports
http_access deny CONNECT !SSL_ports
http_access allow localhost manager
http_access deny manager
http_access allow ip1 !cloud
http_access allow ip2
#http_access allow ip2cloud
http_access deny !ip1
http_access deny !ip2
#порт и IP адрес сервера
http_port 31
#доступный объем оперативной памяти ОЗУ
#cache_mem 3096 MB
#максимальный размер объекта в кэше
#maximum_object_size_in_memory 2048 KB
#memory_replacement_policy heap GDSF
#директория хранения кеш
#cache_dir ufs /var/spool/squid 7000 16 256
#максимальный и минимальный размер кэшируемого файла
#minimum_object_size 2 KB
#maximum_object_size 4096 KB
#записываем логи и храним их 31 день
access_log daemon:/var/log/squid/access.log squid
#cache_log daemon:/var/log/squid/cache.log
#cache_store_log daemon:/var/log/squid/store.log
debug_options ALL,1 # секция “ALL”, глубина отладки 1
logfile_rotate 31
coredump_dir /var/spool/squid
refresh_pattern ^ftp: 1440 20% 10080
refresh_pattern ^gopher: 1440 0% 1440
refresh_pattern -i (/cgi-bin/|\?) 0 0% 0
refresh_pattern (Release|Packages(.gz)*)$ 0 20% 2880
refresh_pattern . 0 20% 4320
ТС не появлялся на Форуме более полугода по состоянию на 22/07/2019 (последняя явка: 31/07/2018). Модератором раздела принято решение закрыть тему.
--zg_nico
Тема: проблема с сетевыми настройками (Прочитано 547 раз)
