помогите с настройками iptables

[maslonax]

Есть шлюз ubuntu 12.04
сетевые:
p2p1 - интернет
p4p1 - локалка (192.168.121.0/24)
алиас:
p4p1:1 - локалка (192.168.1.0/24)
связка squid3+dansguardian+sarg
настройка squid3:

(Нажмите, чтобы показать/скрыть)

acl manager proto cache_object
acl localhost src 127.0.0.1/32 ::1
acl to_localhost dst 127.0.0.0/8 0.0.0.0/32 ::1
acl localnet src 192.168.0.0/16 # RFC1918 possible internal network
acl SSL_ports port 443
acl Safe_ports port 80          # http
acl Safe_ports port 21          # ftp
acl Safe_ports port 443         # https
acl Safe_ports port 70          # gopher
acl Safe_ports port 210         # wais
acl Safe_ports port 1025-65535  # unregistered ports
acl Safe_ports port 280         # http-mgmt
acl Safe_ports port 488         # gss-http
acl Safe_ports port 591         # filemaker
acl Safe_ports port 777         # multiling http
acl CONNECT method CONNECT
http_access allow manager localhost
http_access deny manager
http_access deny !Safe_ports
http_access deny CONNECT !SSL_ports
http_access allow localnet
http_access allow localhost
http_access deny all
http_port 3128 intercept
cache_dir ufs /var/spool/squid3 4096 32 256
coredump_dir /var/spool/squid3
refresh_pattern ^ftp:           1440    20%     10080
refresh_pattern ^gopher:        1440    0%      1440
refresh_pattern -i (/cgi-bin/|\?) 0     0%      0
refresh_pattern (Release|Packages(.gz)*)$      0       20%     2880
refresh_pattern .               0       20%     4320
error_directory /usr/share/squid3/errors/Russian-koi8-r
dns_v4_first on
memory_pools on
memory_pools_limit 50 MB

настройка dansguardian

(Нажмите, чтобы показать/скрыть)

reportinglevel = 3
languagedir = '/etc/dansguardian/languages'
language = 'russian-koi8-r'
loglevel = 2
logexceptionhits = 2
logfileformat = 1
loglocation = '/var/log/dansguardian/access.log'
filterip = 192.168.121.151
filterport = 8081
proxyip = 127.0.0.1
proxyport = 3128
accessdeniedaddress = 'http://YOURSERVER.YOURDOMAIN/cgi-bin/dansguardian.pl'
nonstandarddelimiter = on
usecustombannedimage = on
custombannedimagefile = '/usr/share/dansguardian/transparent1x1.gif'
filtergroups = 1
filtergroupslist = '/etc/dansguardian/lists/filtergroupslist'
bannediplist = '/etc/dansguardian/lists/bannediplist'
exceptioniplist = '/etc/dansguardian/lists/exceptioniplist'
showweightedfound = on
weightedphrasemode = 2
urlcachenumber = 1000
urlcacheage = 900
scancleancache = on
phrasefiltermode = 2
preservecase = 0
hexdecodecontent = off
forcequicksearch = off
reverseaddresslookups = off
reverseclientiplookups = off
logclienthostnames = off
createlistcachefiles = on
maxuploadsize = -1
maxcontentfiltersize = 256
maxcontentramcachescansize = 2000
maxcontentfilecachescansize = 20000
filecachedir = '/tmp'
deletedownloadedtempfiles = on
initialtrickledelay = 20
trickledelay = 10
downloadmanager = '/etc/dansguardian/downloadmanagers/fancy.conf'
downloadmanager = '/etc/dansguardian/downloadmanagers/default.conf'
contentscannertimeout = 60
contentscanexceptions = off
recheckreplacedurls = off
forwardedfor = off
usexforwardedfor = off
logconnectionhandlingerrors = on
logchildprocesshandling = off
maxchildren = 120
minchildren = 8
minsparechildren = 4
preforkchildren = 6
maxsparechildren = 32
maxagechildren = 500
maxips = 0
ipcfilename = '/tmp/.dguardianipc'
urlipcfilename = '/tmp/.dguardianurlipc'
ipipcfilename = '/tmp/.dguardianipipc'
nodaemon = off
nologger = off
logadblocks = off
loguseragent = off
softrestart = off
mailer = '/usr/sbin/sendmail -t'

на всякий настройки sarg

(Нажмите, чтобы показать/скрыть)

access_log /var/log/squid3/access.log
graphs yes
graph_days_bytes_bar_color orange
title "Squid User Access Reports"
font_face Tahoma,Verdana,Arial
header_color darkblue
header_bgcolor blanchedalmond
font_size 9px
background_color white
text_color #000000
text_bgcolor lavender
title_color green
temporary_dir /tmp
output_dir /var/www/html/squid-reports
output_dir /var/lib/sarg
resolve_ip
user_ip no
topuser_sort_field BYTES reverse
user_sort_field BYTES reverse
exclude_users /etc/sarg/exclude_users
exclude_hosts /etc/sarg/exclude_hosts
date_format u
lastlog 0
remove_temp_files yes
index yes
index_tree file
overwrite_report yes
records_without_userid ip
use_comma yes
mail_utility mailx
topsites_num 100
topsites_sort_order CONNECT D
index_sort_order D
exclude_codes /etc/sarg/exclude_codes
max_elapsed 28800000
report_type topusers topsites sites_users users_sites date_time denied auth_failures site_user_time_date downloads
usertab /etc/sarg/usertab
long_url no
date_time_by bytes
charset UTF-8
show_successful_message no
show_read_statistics no
topuser_fields NUM DATE_TIME USERID CONNECT BYTES %BYTES IN-CACHE-OUT USED_TIME MILISEC %TIME TOTAL AVERAGE
user_report_fields CONNECT BYTES %BYTES IN-CACHE-OUT USED_TIME MILISEC %TIME TOTAL AVERAGE
topuser_num 0
download_suffix "zip,arj,bzip,gz,ace,doc,iso,adt,bin,cab,com,dot,drv$,lha,lzh,mdb,mso,ppt,rtf,src,shs,sys,exe,dll,mp3,avi,mpg,mpeg"

пытаюсь прописать нормально правила iptables с последующим перенаправлением трафика 80 и 8080 на порт 8081, и нормальным отображением в отчетах о посещенных сайтах каждого пользователя, а не получаю в отчетах 127.0.0.1.
правила iptables:

(Нажмите, чтобы показать/скрыть)

iptables -F
iptables -t nat -F
iptables -P FORWARD DROP
iptables -A FORWARD -p tcp --dport 443 -j ACCEPT
iptables -A FORWARD -p udp --dport 443 -j ACCEPT
iptables -A FORWARD -p tcp --dport 53 -j ACCEPT
iptables -A FORWARD -p udp --dport 53 -j ACCEPT
iptables -t nat -A POSTROUTING -o p2p1 -j MASQUERADE
iptables -t nat -A PREROUTING -i p4p1 -p tcp -m multiport --dports 80,8080 -j REDIRECT --to-ports 8081

при таких правилах у пользователя сразу блокируется доступ к интернету.
iptables-save

(Нажмите, чтобы показать/скрыть)

# Generated by iptables-save v1.4.12 on Tue Mar 11 11:56:00 2014
*nat
:PREROUTING ACCEPT [531:90910]
:INPUT ACCEPT [109:11436]
:OUTPUT ACCEPT [88:5838]
:POSTROUTING ACCEPT [35:2480]
-A PREROUTING -i p4p1 -p tcp -m multiport --dports 80,8080 -j REDIRECT --to-ports 8081
-A POSTROUTING -o p2p1 -j MASQUERADE
COMMIT
# Completed on Tue Mar 11 11:56:00 2014
# Generated by iptables-save v1.4.12 on Tue Mar 11 11:56:00 2014
*filter
:INPUT ACCEPT [1437:683118]
:FORWARD DROP [91:7857]
:OUTPUT ACCEPT [1315:951836]
-A FORWARD -p tcp -m tcp --dport 443 -j ACCEPT
-A FORWARD -p udp -m udp --dport 443 -j ACCEPT
-A FORWARD -p tcp -m tcp --dport 53 -j ACCEPT
-A FORWARD -p udp -m udp --dport 53 -j ACCEPT
COMMIT
# Completed on Tue Mar 11 11:56:00 2014

nslookup ya.ru с шлюза

(Нажмите, чтобы показать/скрыть)

Server:         127.0.0.1
Address:        127.0.0.1#53

Non-authoritative answer:
Name:   ya.ru
Address: 213.180.204.3
Name:   ya.ru
Address: 93.158.134.3
Name:   ya.ru
Address: 213.180.193.3

nslookup ya.ru с пользователя

(Нажмите, чтобы показать/скрыть)

╤хЁтхЁ:  UnKnown
Address:  192.168.121.151

Не заслуживающий доверия ответ:
╚ь :     ya.ru
Addresses:  213.180.193.3
          93.158.134.3
          213.180.204.3

ах да еще забыл настройки interfaces

(Нажмите, чтобы показать/скрыть)

# The loopback network interface
auto lo
iface lo inet loopback

# The primary network interface
auto p2p1
iface p2p1 inet static
        address 192.168.121.150
        netmask 255.255.255.0
        gateway 192.168.121.253
        dns-nameservers 8.8.8.8 8.8.4.4

auto p4p1
iface p4p1 inet static
        address 192.168.121.151
        netmask 255.255.255.0

auto p4p1:1
iface p4p1:1 inet static
        address 192.168.1.151
        netmask 255.255.255.0

ifconfig -a

(Нажмите, чтобы показать/скрыть)

lo        Link encap:Local Loopback
          inet addr:127.0.0.1  Mask:255.0.0.0
          inet6 addr: ::1/128 Scope:Host
          UP LOOPBACK RUNNING  MTU:65536  Metric:1
          RX packets:5280 errors:0 dropped:0 overruns:0 frame:0
          TX packets:5280 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:0
          RX bytes:9180744 (9.1 MB)  TX bytes:9180744 (9.1 MB)

p2p1      Link encap:Ethernet  HWaddr ac:22:0b:c4:57:97
          inet addr:192.168.121.150  Bcast:192.168.121.255  Mask:255.255.255.0
          inet6 addr: fe80::ae22:bff:fec4:5797/64 Scope:Link
          UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1
          RX packets:10002 errors:0 dropped:10 overruns:0 frame:0
          TX packets:3977 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:1000
          RX bytes:8632312 (8.6 MB)  TX bytes:452033 (452.0 KB)

p4p1      Link encap:Ethernet  HWaddr 90:94:e4:81:d9:c1
          inet addr:192.168.121.151  Bcast:192.168.121.255  Mask:255.255.255.0
          inet6 addr: fe80::9294:e4ff:fe81:d9c1/64 Scope:Link
          UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1
          RX packets:5235 errors:0 dropped:0 overruns:0 frame:0
          TX packets:7404 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:1000
          RX bytes:582708 (582.7 KB)  TX bytes:9049703 (9.0 MB)

p4p1:1    Link encap:Ethernet  HWaddr 90:94:e4:81:d9:c1
          inet addr:192.168.1.151  Bcast:192.168.1.255  Mask:255.255.255.0
          UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1

route -n

(Нажмите, чтобы показать/скрыть)

Destination     Gateway         Genmask         Flags Metric Ref    Use Iface
0.0.0.0         192.168.121.253 0.0.0.0         UG    0      0        0 p2p1
169.254.0.0     0.0.0.0         255.255.0.0     U     1000   0        0 p4p1
192.168.1.0     0.0.0.0         255.255.255.0   U     0      0        0 p4p1
192.168.121.0   0.0.0.0         255.255.255.0   U     0      0        0 p4p1
192.168.121.0   0.0.0.0         255.255.255.0   U     0      0        0 p2p1

Пользователь решил продолжить мысль 11 Марта 2014, 09:05:34:забыл добавить при попытке зайти на заблокированный сайт сразу выводится шаблон блокировки от dansguardiana а вот уже разрешенные сайты не открываются.

[fisher74]

p4p1 и p2p1 Вы так и держите в одной подсети?
Тогда уж метрику что ли снизьте маршруту или оставьте только один маршрут на шлюз

Код: [Выделить]

sudo route del -net 192.168.121.0 netmask 255.255.255.0 dev p2p1
sudo route add -host 192.168.121.253 dev p2p1

[maslonax]

хорошо уговорили увел p2p1 на другую подсеть терь:
interfaces

(Нажмите, чтобы показать/скрыть)

# The loopback network interface
auto lo
iface lo inet loopback

# The primary network interface
auto p2p1
iface p2p1 inet static
        address 192.168.5.43
        netmask 255.255.255.0
        gateway 192.168.5.253
        dns-nameservers 8.8.8.8 8.8.4.4

auto p4p1
iface p4p1 inet static
        address 192.168.121.151
        netmask 255.255.255.0

auto p4p1:1
iface p4p1:1 inet static
        address 192.168.1.151
        netmask 255.255.255.0

ifconfig -a

(Нажмите, чтобы показать/скрыть)

lo        Link encap:Local Loopback
          inet addr:127.0.0.1  Mask:255.0.0.0
          inet6 addr: ::1/128 Scope:Host
          UP LOOPBACK RUNNING  MTU:65536  Metric:1
          RX packets:93885 errors:0 dropped:0 overruns:0 frame:0
          TX packets:93885 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:0
          RX bytes:114659154 (114.6 MB)  TX bytes:114659154 (114.6 MB)

p2p1      Link encap:Ethernet  HWaddr ac:22:0b:c4:57:97
          inet addr:192.168.5.43  Bcast:192.168.5.255  Mask:255.255.255.0
          inet6 addr: fe80::ae22:bff:fec4:5797/64 Scope:Link
          UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1
          RX packets:95243 errors:0 dropped:96 overruns:0 frame:0
          TX packets:45663 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:1000
          RX bytes:100123435 (100.1 MB)  TX bytes:5662923 (5.6 MB)

p4p1      Link encap:Ethernet  HWaddr 90:94:e4:81:d9:c1
          inet addr:192.168.121.151  Bcast:192.168.121.255  Mask:255.255.255.0
          inet6 addr: fe80::9294:e4ff:fe81:d9c1/64 Scope:Link
          UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1
          RX packets:90499 errors:0 dropped:3 overruns:0 frame:0
          TX packets:110563 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:1000
          RX bytes:11480917 (11.4 MB)  TX bytes:117241887 (117.2 MB)

p4p1:1    Link encap:Ethernet  HWaddr 90:94:e4:81:d9:c1
          inet addr:192.168.1.151  Bcast:192.168.1.255  Mask:255.255.255.0
          UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1

[fisher74]

блокирует пользователю кто? кальмар или просто отказывается показывать?

[maslonax]

просто отказывается открывать страницу после долгих раздумий открывания страницы выдает вэб-страница недоступна.
с компьютера пользователя:
C:\Users\iya>nslookup ya.ru
╤хЁтхЁ:  UnKnown
Address:  192.168.121.151

Не заслуживающий доверия ответ:
╚ь :     ya.ru
Addresses:  213.180.204.3
          93.158.134.3
          213.180.193.3


C:\Users\iya>ping ya.ru

Обмен пакетами с ya.ru [213.180.193.3] с 32 байтами данных:
Превышен интервал ожидания для запроса.
Превышен интервал ожидания для запроса.
Превышен интервал ожидания для запроса.
Превышен интервал ожидания для запроса.

Статистика Ping для 213.180.193.3:
    Пакетов: отправлено = 4, получено = 0, потеряно = 4
    (100% потерь)

[fisher74]

ИМХО, dansguardian-у кальмар отказывает.
На сколько я помню из прошлых тем, если использовать кальмар не как прозрачный, то сайты открываются. А в таком случае на какой порт натравливаете браузер? на 8081 или 3128?

То что ping не работает - это нормально, он у Вас тоже перекрыт. Если хотите разрешить добавьте правила

Код: [Выделить]

sudo iptables -A FORWARD -i p4p1 -p icmp -j ACCEPT
sudo iptables -A FORWARD -m state --state RELATED,ESTABLISHED -j ACCEPT

[maslonax]

пытаюсь натравить на 8081 правилом:
iptables -t nat -A PREROUTING -i p4p1 -p tcp -m multiport --dports 80,8080 -j REDIRECT --to-ports 8081
а в кальмаре прописал как вычитал что для прозрачности 3 версии вместо transparent пишется intercept
в итоге в конфиге прописал:
http_port 3128 intercept
Пользователь решил продолжить мысль 11 Марта 2014, 13:09:14:хм каким то образом прописав в правилах
sudo iptables -A FORWARD -i p4p1 -p icmp -j ACCEPT
sudo iptables -A FORWARD -m state --state RELATED,ESTABLISHED -j ACCEPT
сделав очередной ребут проверяю инет у пользователя и что я вижу страница благополучно открывается, запрещенные не открываются, а разрешенные спокойно открываются...
Пользователь решил продолжить мысль 11 Марта 2014, 13:40:29:По поводу анализатора логов sarg он настроен на вывод логов кальмара, по идее пользователь обращается к контент-фильтру тот в свою очередь принимает решение пропустить или нет если да то он передает кальмару что 127.0.0.1 запрашивает такой та сайт если у кальмара разрешено то запрос дальше проходит. А вот в логах остается что 127.0.0.1 прошел на такой та сайт и sarg в свою очередь выдает этот сайт под ip 127.0.0.1. Я правильно понимаю? dansguardian так же формирует логи доступа и посещения сайтов, так может проще поставить анализатор логов его чем кальмара? А не городит коромысло пытаясь получить от кальмара нормальные ip пользователей сидящие через dansguardian? Только вопрос а есть ли он и можно ли ссылку на него, и мануал по конфигурации?

[maslonax]

по поводу анализатора лога разобрался там все легко и просто оказывается, в конфиге dansguardian указывается что он логи делает в формате кальмара, а после в конфиге sarg меняем место логов на dansguard (/var/log/dansguardian/access.log) сохраняем перезапускаем dansguardian и радуемся в логах отображается каждый ip компьютера куда он лазил.

[fisher74]

пользак - это .... продолжите, а лучше замените нормальным словом