Доступ через шлюз по IP

[Seaman25]

Всем привет!
ubuntu server 9.10, sams squid ; eth0 смотрит в инет, eth2 в локалку

Подскажите пожалуйста как настроить доступ пользователей интернета по IP адресу - сейчас стоит SAMS, но все равно те кто не в списке базы данных SAMS может пинговать, сидеть через аську.

Понимаю что через iptables, у меня сейчас инет трафик заворачивается так:
стартует скрипт при запуске системы

Код: [Выделить]

#!/bin/sh
echo 1 > /proc/sys/net/ipv4/ip_forward
iptables -A INPUT -i lo -j ACCEPT
iptables -t nat -A POSTROUTING -o eth0 -j SNAT --to-source инет_IP_шлюза
iptables -t nat -A PREROUTING -i eth2 -p tcp -m multiport --dport 80,8080 -j REDIRECT --to-port 3128

решил сделать сегодня

Код: [Выделить]

iptables -A FORWARD -s 192.168.2.2 -i eth2 -j ACCEPT
iptables -A FORWARD -o eth2 -j DROP
где 192.168.2.2 мой IP (для проверки)
Но инет трафик сразу пропадает.
Я так понял нужно отменять предыдущее правило? Как тогда завернуть порты на прозрачный порт сквида?

Вообще задумка такая что нужно сделать подсчет трафика по IP адресу, т.к. стали несходится данные провайдера и данные free-sa и sams-а, походу траф утекает в обход, решил начать с ограничения доступа по IP оставить только те которые есть в списках.

Код: [Выделить]

inetserver:~$ sudo iptables-save
# Generated by iptables-save v1.4.4 on Fri Feb 24 16:31:59 2012
*mangle
:PREROUTING ACCEPT [11958293:4095031679]
:INPUT ACCEPT [6233039:3083491100]
:FORWARD ACCEPT [5200283:945895168]
:OUTPUT ACCEPT [6270485:3358877737]
:POSTROUTING ACCEPT [11559493:4311204879]
COMMIT
# Completed on Fri Feb 24 16:31:59 2012
# Generated by iptables-save v1.4.4 on Fri Feb 24 16:31:59 2012
*nat
:PREROUTING ACCEPT [798449:93440089]
:POSTROUTING ACCEPT [8317:517270]
:OUTPUT ACCEPT [245055:15471745]
-A PREROUTING -i eth2 -p tcp -m multiport --dports 80,8080 -j REDIRECT --to-ports 3128
-A POSTROUTING -o eth0 -j SNAT --to-source инет_IP_шлюза
COMMIT
# Completed on Fri Feb 24 16:31:59 2012
# Generated by iptables-save v1.4.4 on Fri Feb 24 16:31:59 2012
*filter
:INPUT ACCEPT [6233048:3083491460]
:FORWARD ACCEPT [5196897:945681390]
:OUTPUT ACCEPT [6270496:3358880036]
-A INPUT -s 70.89.115.93/32 -d инет_IP_шлюза -i eth0 -j REJECT --reject-with icmp-port-unreachable #спамеры с этого IP достали
COMMIT
# Completed on Fri Feb 24 16:31:59 2012


[metal_mania]

...sams squid...
...стоит SAMS, но все равно те кто не в списке базы данных SAMS может пинговать, сидеть через аську...

iptables -t nat -A PREROUTING -i eth2 -p tcp -m multiport --dport 80,8080 -j REDIRECT --to-port 3128

Между прочим Squid у нас является ВЕБ-прокси. Вы и заворачиваете на него протокол TCP, в частности порты 80 и 8080.
А Ping это какой протокол? А в аське по какому порту сидят? )

Так что в вашем случае именно через iptables и иже с ним.

[koshev]

Для ICQ нужен или NAT поднимать или ставить дополнительный proxy, тот, который умеет пропускать OSCAR.

[AnrDaemon]

ICQ нормально работает через CONNECT, но надо ручками указывать в настройках.

[fisher74]

Поддерживаю предыдущего оратора. Уже много лет аськаюсь и жаблюсь через прокси.

[Seaman25]

да я тоже через прокси сижу в аське, я только не пойму как завернуть трафик чтобы были только определенные порты, а не все.

[fisher74]

Непонятен вопрос. У Вас же есть заворот 80 и 8080 портов. Ну поверните туда же ещё и 5190 (правда признаться не знаю будет ли работать через прозрачный прокси)

[koshev]

Прозрачно работать не будет. В своем посте в этом треде я об этом и сказал, не уточнил правда что именно в прозрачном режим, а вы сразу набросились

[Seaman25]

решил проблему следующим образом:
fprobe, flow-capture
выявил негодяя, один IP флудил нехило причем в самсе его и небыло но все равно юзал инет трафик по полной.
вылечил комп, сегодня тишина и покой с провайдером все сходится с офигенной точностью.
Касперский не рулит Пока не запустил полную проверку хрен что нашел... Печаль...