Заворот трафика с NAT на проксю для разрешенных юзеров iptables

[KDEX]

Всем привет.
Для приведенного ниже скрипта iptables нужно только для пользователей которым разрешен доступ в инет, заворачивать их трафик на прокси. Подскажите пример скрипта

Скрипт:

(Нажмите, чтобы показать/скрыть)

iptables -A INPUT -i lo -j ACCEPT

iptables -A INPUT -i eth0 -j ACCEPT
iptables -A INPUT -p icmp -j ACCEPT

iptables -A INPUT -p udp --sport 53 -j ACCEPT
iptables -A INPUT -p udp --dport 53 -j ACCEPT

iptables -A INPUT -i eth1 -p tcp --sport 80 -j ACCEPT
iptables -A INPUT -i eth1 -p tcp --sport 8080 -j ACCEPT
iptables -A INPUT -i eth1 -p tcp --sport 443 -j ACCEPT


iptables -N test_port
iptables -A test_port -p icmp -j ACCEPT
iptables -A test_port -p udp --dport 53 -j ACCEPT
iptables -A test_port -p tcp --dport 21 -j ACCEPT
iptables -A test_port -p tcp --dport 25 -j ACCEPT
iptables -A test_port -p tcp --dport 80 -j ACCEPT
iptables -A test_port -p tcp --dport 110 -j ACCEPT
iptables -A test_port -p tcp --dport 137 -j ACCEPT
iptables -A test_port -p tcp --dport 443 -j ACCEPT
iptables -A test_port -p tcp --dport 445 -j ACCEPT
iptables -A test_port -p tcp --dport 666 -j ACCEPT
iptables -A test_port -p tcp --dport 670 -j ACCEPT
iptables -A test_port -p tcp --dport 1024 -j ACCEPT
iptables -A test_port -p tcp --dport 1992 -j ACCEPT
iptables -A test_port -p tcp --dport 3389 -j ACCEPT
iptables -A test_port -p tcp --dport 5190 -j ACCEPT
iptables -A test_port -p tcp --dport 8080 -j ACCEPT
iptables -A test_port -j REJECT

iptables -N lan_to_ext
iptables -A lan_to_ext -i eth0   -s  10.0.0.80/32 -j test_port
iptables -A lan_to_ext -i eth0   -s  10.0.0.82/32 -j test_port
iptables -A lan_to_ext -i eth0   -s  10.0.0.83/32 -j test_port

iptables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A FORWARD -i eth0 -o eth1 -j lan_to_ext
iptables -A FORWARD -i eth0 -o eth1 -j REJECT
iptables -A FORWARD -i eth1 -j DROP
iptables -P FORWARD DROP
iptables -P OUTPUT ACCEPT

iptables -t nat -A POSTROUTING -o eth1 -s 10.0.0.0/24 -j SNAT --to-source внешний ip

[AnrDaemon]

Мы вам не онлайн-интерпретаторы скриптов.
Показывайте iptables-save

[KDEX]

Результаты iptables-save

(Нажмите, чтобы показать/скрыть)

# Generated by iptables-save v1.4.12 on Mon Jan 28 08:36:56 2013
*nat
:PREROUTING ACCEPT [9424:637580]
:INPUT ACCEPT [1850:174127]
:OUTPUT ACCEPT [1195:78144]
:POSTROUTING ACCEPT [1195:78144]
-A POSTROUTING -s 10.0.0.0/24 -o eth1 -j SNAT --to-source 91.212.4.166
COMMIT
# Completed on Mon Jan 28 08:36:56 2013
# Generated by iptables-save v1.4.12 on Mon Jan 28 08:36:56 2013
*filter
:INPUT DROP [479:19918]
:FORWARD DROP [0:0]
:OUTPUT ACCEPT [14741:5879650]
:lan_to_ext - [0:0]
:test_port - [0:0]
-A INPUT -i lo -j ACCEPT
-A INPUT -i eth1 -p tcp -m tcp --dport 3128 -j LOG
-A INPUT -i eth1 -p tcp -m tcp --dport 3389 -j LOG
-A INPUT -i eth1 -p tcp -m tcp --dport 3128 -j DROP
-A INPUT -i eth0 -j ACCEPT
-A INPUT -p icmp -j ACCEPT
-A INPUT -p udp -m udp --sport 53 -j ACCEPT
-A INPUT -p udp -m udp --dport 53 -j ACCEPT
-A INPUT -i eth1 -p tcp -m tcp --sport 80 -j ACCEPT
-A INPUT -i eth1 -p tcp -m tcp --sport 8080 -j ACCEPT
-A INPUT -i eth1 -p tcp -m tcp --sport 443 -j ACCEPT

-A FORWARD -m state --state RELATED,ESTABLISHED -j ACCEPT
-A FORWARD -i eth0 -o eth1 -j lan_to_ext
-A FORWARD -i eth0 -o eth1 -j REJECT --reject-with icmp-port-unreachable
-A FORWARD -i eth1 -j DROP
-A lan_to_ext -s 10.0.0.80/32 -i eth0 -j test_port
-A lan_to_ext -s 10.0.0.82/32 -i eth0 -j test_port
-A lan_to_ext -s 10.0.0.83/32 -i eth0 -j test_port

-A test_port -p icmp -j ACCEPT
-A test_port -p udp -m udp --dport 53 -j ACCEPT
-A test_port -p tcp -m tcp --dport 21 -j ACCEPT
-A test_port -p tcp -m tcp --dport 25 -j ACCEPT
-A test_port -p tcp -m tcp --dport 80 -j ACCEPT
-A test_port -p tcp -m tcp --dport 110 -j ACCEPT
-A test_port -p tcp -m tcp --dport 137:139 -j ACCEPT
-A test_port -p tcp -m tcp --dport 443 -j ACCEPT
-A test_port -p tcp -m tcp --dport 445 -j ACCEPT
-A test_port -p tcp -m tcp --dport 666 -j ACCEPT
-A test_port -p tcp -m tcp --dport 670 -j ACCEPT
-A test_port -p tcp -m tcp --dport 1024 -j ACCEPT
-A test_port -p tcp -m tcp --dport 1992 -j ACCEPT
-A test_port -p tcp -m tcp --dport 3389 -j ACCEPT
-A test_port -p tcp -m tcp --dport 5190 -j ACCEPT
-A test_port -p tcp -m tcp --dport 8080 -j ACCEPT
-A test_port -j REJECT --reject-with icmp-port-unreachable
COMMIT
# Completed on Mon Jan 28 08:36:56 2013

[fisher74]

Вам нужен NAT или прокси? В вашем вопросе каша, а в правилах чистый NAT с фильтрацией по портам.

[KDEX]

fisher74,

Вам нужен NAT или прокси?

Нужен и нат и прокси.
Мне нужно чтобы трафик от указанных пользователей в NATе заворачивался на локальный прокси. Чтобы не бегать по пользователям чтобы прописать настройки прокси в браузерах (в примере 3 пользователя на самом деле больше).
Squid нужен для кеширования, урезания полосы пропускания, ограничения доступа к ресурсам.

в правилах чистый NAT с фильтрацией по портам.

Мне нужно для этой структуры правил дописать перенаправление на прокси. Просто затрудняюсь как это реализовать лаконично.
Понимаю что тут нужена таблица nat цепочка PREROUTING, но тогда у меня не будет проверки по пользователям.

[fisher74]

netfilter проверять по пользователям (в том контексте, что Вы имеете ввиду) не умеет. Только ip, mac.
По пользователям домена, как и по ip и mac можно и на уровне прокси рулить.
Я не совсем понимаю какую именно задачу Вы хотите решить? Сделать так, чтобы себе или сопровождающему админу мозги набекрень свернуть?

[KDEX]

Я не совсем понимаю какую именно задачу Вы хотите решить?

Squid нужен для кеширования, урезания полосы пропускания, ограничения доступа к ресурсам.

А редирект с НАТа на прокси для того чтобы всё было в одном месте (все настройки касаемо раздачи трафика) и бегать прописывать не нужно.

[fisher74]

Вы, судя по всему, не совсем корректно понимаете задачи NAT.
Если Вы хотите использовать прокси, то можете смело убирать все существующие правила касающиеся портов которые будете заворачивать на него. Все пакеты из локальной сети с нужными портами поворачивать на прокси. А уже средствами прокси рулить ааа.
А вот с портами, которые не подходят под прокси - придётся повозиться.
А повернуть траффик на прокси легко и просто. Это описано в iptables tutorial

[KDEX]

А вот с портами, которые не подходят под прокси - придётся повозиться.

В каком плане повозиться? Их ведь надо будет через NAT организовывать да?

[fisher74]

Да. Ведь Вы хотите запрещать и считать...