iptables + squid

[daax]

после какого-то обновления (Ubuntu 10.04) перестал работать интернет-шлюз. Стоит Squid2 и на него принудительно заворот трафика
iptables -t nat -A PREROUTING -i eth1 -d ! 192.168.0.0/24 -p tcp -m multiport --dport 80, 8080 -j NAT --to 192.168.0.1:3128
при этом достучаться телнетом на порт прокси не получается. Если эту строчку закомментировать, то через нат в интернет пускает, но и прокся нормально работает. Если опять это правило включить, снова HTTP не пролазит. Помогите кто чем может) раньше всё работало как в сказкке...

[MaratSh]

Хочешь чтобы мы сидел и угадывали после какого обновления у тебя перестало работать?

[daax]

не помню) кажись от 13 сентября

[fisher74]

а точно -j NAT пользуется? Вроде везде писано, что редиректить надо

iptables -t nat -A PREROUTING -i eth1 -d ! 192.168.0.0/24 -p tcp -m multiport --dport 80, 8080 -j REDIRECT --to-port 3128

[daax]

прошу прощения, опечатка) у нас было -j DNAT а не -j NAT
впрочем, твой вариант работает) но всё-таки в чём разница и что могло перестать работать?

[fisher74]

Покажите iptables-save, где-то вы лукавите
Пользователь решил продолжить мысль 20 Сентября 2010, 12:23:07:В том, что таблесы в действии DNAT гавкается на "--to 192.168.0.1:3128", потому как мимо синтаксиса

[daax]

(Нажмите, чтобы показать/скрыть)

root@inetsrv:~# cat 111.txt
# Generated by iptables-save v1.4.4 on Mon Sep 20 11:27:03 2010
*mangle
:PREROUTING ACCEPT [5233277:2146075674]
:INPUT ACCEPT [560495:122687155]
:FORWARD ACCEPT [4670459:2023175251]
:OUTPUT ACCEPT [580912:140044202]
:POSTROUTING ACCEPT [5251499:2163239617]
-A PREROUTING -s 192.168.0.160/32 -j MARK --set-xmark 0x65/0xffffffff
-A PREROUTING -s 192.168.0.160/32 -j RETURN
-A PREROUTING -s 192.168.0.178/32 -j MARK --set-xmark 0x65/0xffffffff
-A PREROUTING -s 192.168.0.178/32 -j RETURN
-A PREROUTING -s 192.168.0.88/32 -j MARK --set-xmark 0x65/0xffffffff
-A PREROUTING -s 192.168.0.88/32 -j RETURN
-A PREROUTING -s 192.168.0.74/32 -j MARK --set-xmark 0x65/0xffffffff
-A PREROUTING -s 192.168.0.74/32 -j RETURN
-A PREROUTING -s 192.168.0.76/32 -j MARK --set-xmark 0x65/0xffffffff
-A PREROUTING -s 192.168.0.76/32 -j RETURN
-A PREROUTING -s 192.168.0.157/32 -j MARK --set-xmark 0x65/0xffffffff
-A PREROUTING -s 192.168.0.157/32 -j RETURN
-A PREROUTING -s 192.168.0.59/32 -j MARK --set-xmark 0x65/0xffffffff
-A PREROUTING -s 192.168.0.59/32 -j RETURN
-A PREROUTING -s 192.168.0.126/32 -j MARK --set-xmark 0x65/0xffffffff
-A PREROUTING -s 192.168.0.126/32 -j RETURN
-A PREROUTING -s 192.168.0.86/32 -j MARK --set-xmark 0x65/0xffffffff
-A PREROUTING -s 192.168.0.86/32 -j RETURN
-A PREROUTING -s 192.168.0.105/32 -j MARK --set-xmark 0x65/0xffffffff
-A PREROUTING -s 192.168.0.105/32 -j RETURN
-A PREROUTING -s 192.168.0.182/32 -j MARK --set-xmark 0x65/0xffffffff
-A PREROUTING -s 192.168.0.182/32 -j RETURN
-A PREROUTING -s 192.168.0.78/32 -j MARK --set-xmark 0x65/0xffffffff
-A PREROUTING -s 192.168.0.78/32 -j RETURN
-A PREROUTING -s 192.168.0.73/32 -j MARK --set-xmark 0x65/0xffffffff
-A PREROUTING -s 192.168.0.73/32 -j RETURN
-A PREROUTING -s 192.168.0.104/32 -j MARK --set-xmark 0x65/0xffffffff
-A PREROUTING -s 192.168.0.104/32 -j RETURN
-A PREROUTING -s 192.168.0.209/32 -j MARK --set-xmark 0x65/0xffffffff
-A PREROUTING -s 192.168.0.209/32 -j RETURN
-A PREROUTING -s 192.168.0.210/32 -j MARK --set-xmark 0x65/0xffffffff
-A PREROUTING -s 192.168.0.210/32 -j RETURN
-A PREROUTING -s 192.168.0.211/32 -j MARK --set-xmark 0x65/0xffffffff
-A PREROUTING -s 192.168.0.211/32 -j RETURN
-A PREROUTING -s 192.168.0.212/32 -j MARK --set-xmark 0x65/0xffffffff
-A PREROUTING -s 192.168.0.212/32 -j RETURN
-A PREROUTING -s 192.168.0.99/32 -j MARK --set-xmark 0x66/0xffffffff
-A PREROUTING -s 192.168.0.99/32 -j RETURN
-A PREROUTING -s 192.168.0.89/32 -j MARK --set-xmark 0x66/0xffffffff
-A PREROUTING -s 192.168.0.89/32 -j RETURN
-A PREROUTING -s 192.168.0.102/32 -j MARK --set-xmark 0x66/0xffffffff
-A PREROUTING -s 192.168.0.102/32 -j RETURN
-A PREROUTING -s 192.168.0.7/32 -j MARK --set-xmark 0x66/0xffffffff
-A PREROUTING -s 192.168.0.7/32 -j RETURN
-A PREROUTING -s 192.168.0.205/32 -j MARK --set-xmark 0x66/0xffffffff
-A PREROUTING -s 192.168.0.205/32 -j RETURN
-A PREROUTING -s 192.168.0.206/32 -j MARK --set-xmark 0x66/0xffffffff
-A PREROUTING -s 192.168.0.206/32 -j RETURN
-A PREROUTING -s 192.168.0.207/32 -j MARK --set-xmark 0x66/0xffffffff
-A PREROUTING -s 192.168.0.207/32 -j RETURN
-A PREROUTING -s 192.168.0.208/32 -j MARK --set-xmark 0x66/0xffffffff
-A PREROUTING -s 192.168.0.208/32 -j RETURN
-A PREROUTING -s 192.168.0.242/32 -j MARK --set-xmark 0x66/0xffffffff
-A PREROUTING -s 192.168.0.242/32 -j RETURN
-A PREROUTING -s 192.168.0.232/32 -j MARK --set-xmark 0x67/0xffffffff
-A PREROUTING -s 192.168.0.232/32 -j RETURN
-A PREROUTING -s 192.168.0.57/32 -j MARK --set-xmark 0x67/0xffffffff
-A PREROUTING -s 192.168.0.57/32 -j RETURN
-A PREROUTING -s 192.168.0.61/32 -j MARK --set-xmark 0x67/0xffffffff
-A PREROUTING -s 192.168.0.61/32 -j RETURN
-A PREROUTING -s 192.168.0.186/32 -j MARK --set-xmark 0x67/0xffffffff
-A PREROUTING -s 192.168.0.186/32 -j RETURN
-A PREROUTING -s 192.168.0.93/32 -j MARK --set-xmark 0x68/0xffffffff
-A PREROUTING -s 192.168.0.93/32 -j RETURN
-A PREROUTING -s 192.168.0.118/32 -j MARK --set-xmark 0x68/0xffffffff
-A PREROUTING -s 192.168.0.118/32 -j RETURN
-A PREROUTING -s 192.168.0.60/32 -j MARK --set-xmark 0x68/0xffffffff
-A PREROUTING -s 192.168.0.60/32 -j RETURN
-A PREROUTING -s 192.168.0.199/32 -j MARK --set-xmark 0x68/0xffffffff
-A PREROUTING -s 192.168.0.199/32 -j RETURN
-A PREROUTING -s 192.168.0.201/32 -j MARK --set-xmark 0x69/0xffffffff
-A PREROUTING -s 192.168.0.201/32 -j RETURN
-A PREROUTING -s 192.168.0.202/32 -j MARK --set-xmark 0x69/0xffffffff
-A PREROUTING -s 192.168.0.202/32 -j RETURN
-A PREROUTING -s 192.168.0.203/32 -j MARK --set-xmark 0x69/0xffffffff
-A PREROUTING -s 192.168.0.203/32 -j RETURN
-A PREROUTING -s 192.168.0.204/32 -j MARK --set-xmark 0x69/0xffffffff
-A PREROUTING -s 192.168.0.204/32 -j RETURN
COMMIT
# Completed on Mon Sep 20 11:27:03 2010
# Generated by iptables-save v1.4.4 on Mon Sep 20 11:27:03 2010
*nat
:PREROUTING ACCEPT [872521:50216645]
:POSTROUTING ACCEPT [14675:1287772]
:OUTPUT ACCEPT [14675:1287772]
-A POSTROUTING -s 192.168.0.0/24 -o eth0 -j MASQUERADE
COMMIT
# Completed on Mon Sep 20 11:27:03 2010
# Generated by iptables-save v1.4.4 on Mon Sep 20 11:27:03 2010
*filter
:INPUT ACCEPT [52721:10673419]
:FORWARD ACCEPT [4670466:2023178535]
:OUTPUT ACCEPT [54699:11348036]
-A FORWARD -i eth1 -o eth1 -m state --state RELATED,ESTABLISHED -j ACCEPT
-A FORWARD -i eth0 -o eth0 -j ACCEPT
COMMIT
# Completed on Mon Sep 20 11:27:03 2010
root@inetsrv:~#

это вот сейчас выгрузил живые правила когда исправил на redirect
что-то я не пойму где мой редирект...

[fisher74]

ну и где редиректор?

P.S. под спойлер спрячь простынку

[daax]

да я сам не пойму куда он делся, вот скрипт

(Нажмите, чтобы показать/скрыть)

root@inetsrv:~# cat /etc/init.d/iptables.sh
#!/bin/bash
#created by nixCraft - wwcyberciti.biz
#eth0 -- Inet
#eth1 -- Lan
IPT="/sbin/iptables"
MOD="/sbin/modprobe"

# clean old fw
echo "Clearing old firewall rules..."
#Nat Install Begin
iptables -F
iptables -X
iptables -t nat -F
iptables -t nat -X
iptables -t mangle -F
iptables -t mangle -X
iptables -P INPUT ACCEPT
iptables -P OUTPUT ACCEPT
iptables -A FORWARD -i eth1 -o eth1  -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A FORWARD -i eth0 -o eth0 -j ACCEPT
#iptables -A FORWARD -s 192.168.0.77 -j ACCEPT
#iptables -A FORWARD -d 192.168.0.77 -j ACCEPT
#iptables -A FORWARD -j LOG
iptables -t nat -A POSTROUTING -o eth0 -s 192.168.0.0/24 -j MASQUERADE
echo 1 > /proc/sys/net/ipv4/ip_forward

#Nat is done


#iptables -t nat -A PREROUTING -i eth1 -d ! 192.168.0.0/24 -p tcp -m multiport --dport 80,8080 -j DNAT --to 192.168.0.1:3128

iptables -t nat -A PREROUTING -i eth1 -d ! 192.168.0.0/24 -p tcp -m multiport --dport 80,8080 -j REDIRECT --to-port 192.168.0.1:3128


#IP For 1 na 1
iptables -t mangle -A PREROUTING -s 192.168.0.160 -j MARK --set-mark 101
iptables -t mangle -A PREROUTING -s 192.168.0.160 -j RETURN

iptables -t mangle -A PREROUTING -s 192.168.0.178 -j MARK --set-mark 101
iptables -t mangle -A PREROUTING -s 192.168.0.178 -j RETURN

iptables -t mangle -A PREROUTING -s 192.168.0.88 -j MARK --set-mark 101
iptables -t mangle -A PREROUTING -s 192.168.0.88 -j RETURN

iptables -t mangle -A PREROUTING -s 192.168.0.74 -j MARK --set-mark 101
iptables -t mangle -A PREROUTING -s 192.168.0.74 -j RETURN

iptables -t mangle -A PREROUTING -s 192.168.0.76 -j MARK --set-mark 101
iptables -t mangle -A PREROUTING -s 192.168.0.76 -j RETURN

iptables -t mangle -A PREROUTING -s 192.168.0.157 -j MARK --set-mark 101
iptables -t mangle -A PREROUTING -s 192.168.0.157 -j RETURN

iptables -t mangle -A PREROUTING -s 192.168.0.59 -j MARK --set-mark 101
iptables -t mangle -A PREROUTING -s 192.168.0.59 -j RETURN

iptables -t mangle -A PREROUTING -s 192.168.0.126 -j MARK --set-mark 101
iptables -t mangle -A PREROUTING -s 192.168.0.126 -j RETURN

iptables -t mangle -A PREROUTING -s 192.168.0.86 -j MARK --set-mark 101
iptables -t mangle -A PREROUTING -s 192.168.0.86 -j RETURN

iptables -t mangle -A PREROUTING -s 192.168.0.105 -j MARK --set-mark 101
iptables -t mangle -A PREROUTING -s 192.168.0.105 -j RETURN

iptables -t mangle -A PREROUTING -s 192.168.0.182 -j MARK --set-mark 101
iptables -t mangle -A PREROUTING -s 192.168.0.182 -j RETURN

iptables -t mangle -A PREROUTING -s 192.168.0.78 -j MARK --set-mark 101
iptables -t mangle -A PREROUTING -s 192.168.0.78 -j RETURN

iptables -t mangle -A PREROUTING -s 192.168.0.73 -j MARK --set-mark 101
iptables -t mangle -A PREROUTING -s 192.168.0.73 -j RETURN

iptables -t mangle -A PREROUTING -s 192.168.0.104 -j MARK --set-mark 101
iptables -t mangle -A PREROUTING -s 192.168.0.104 -j RETURN

iptables -t mangle -A PREROUTING -s 192.168.0.209 -j MARK --set-mark 101
iptables -t mangle -A PREROUTING -s 192.168.0.209 -j RETURN

iptables -t mangle -A PREROUTING -s 192.168.0.210 -j MARK --set-mark 101
iptables -t mangle -A PREROUTING -s 192.168.0.210 -j RETURN

iptables -t mangle -A PREROUTING -s 192.168.0.211 -j MARK --set-mark 101
iptables -t mangle -A PREROUTING -s 192.168.0.211 -j RETURN

iptables -t mangle -A PREROUTING -s 192.168.0.212 -j MARK --set-mark 101
iptables -t mangle -A PREROUTING -s 192.168.0.212 -j RETURN
##############################################################################

#####IP For 2 na 2

iptables -t mangle -A PREROUTING -s 192.168.0.99 -j MARK --set-mark 102
iptables -t mangle -A PREROUTING -s 192.168.0.99 -j RETURN

iptables -t mangle -A PREROUTING -s 192.168.0.89 -j MARK --set-mark 102
iptables -t mangle -A PREROUTING -s 192.168.0.89 -j RETURN

iptables -t mangle -A PREROUTING -s 192.168.0.102 -j MARK --set-mark 102
iptables -t mangle -A PREROUTING -s 192.168.0.102 -j RETURN

iptables -t mangle -A PREROUTING -s 192.168.0.7 -j MARK --set-mark 102
iptables -t mangle -A PREROUTING -s 192.168.0.7 -j RETURN

iptables -t mangle -A PREROUTING -s 192.168.0.205 -j MARK --set-mark 102
iptables -t mangle -A PREROUTING -s 192.168.0.205 -j RETURN

iptables -t mangle -A PREROUTING -s 192.168.0.206 -j MARK --set-mark 102
iptables -t mangle -A PREROUTING -s 192.168.0.206 -j RETURN

iptables -t mangle -A PREROUTING -s 192.168.0.207 -j MARK --set-mark 102
iptables -t mangle -A PREROUTING -s 192.168.0.207 -j RETURN

iptables -t mangle -A PREROUTING -s 192.168.0.208 -j MARK --set-mark 102
iptables -t mangle -A PREROUTING -s 192.168.0.208 -j RETURN

iptables -t mangle -A PREROUTING -s 192.168.0.242 -j MARK --set-mark 102
iptables -t mangle -A PREROUTING -s 192.168.0.242 -j RETURN

#############################################################################

#IP For 2 na 1
iptables -t mangle -A PREROUTING -s 192.168.0.232 -j MARK --set-mark 103
iptables -t mangle -A PREROUTING -s 192.168.0.232 -j RETURN

iptables -t mangle -A PREROUTING -s 192.168.0.57 -j MARK --set-mark 103
iptables -t mangle -A PREROUTING -s 192.168.0.57 -j RETURN

iptables -t mangle -A PREROUTING -s 192.168.0.61 -j MARK --set-mark 103
iptables -t mangle -A PREROUTING -s 192.168.0.61 -j RETURN

iptables -t mangle -A PREROUTING -s 192.168.0.186 -j MARK --set-mark 103
iptables -t mangle -A PREROUTING -s 192.168.0.186 -j RETURN
############################################################################

#IP for MAX
iptables -t mangle -A PREROUTING -s 192.168.0.93 -j MARK --set-mark 104
iptables -t mangle -A PREROUTING -s 192.168.0.93 -j RETURN

iptables -t mangle -A PREROUTING -s 192.168.0.118 -j MARK --set-mark 104
iptables -t mangle -A PREROUTING -s 192.168.0.118 -j RETURN

iptables -t mangle -A PREROUTING -s 192.168.0.60 -j MARK --set-mark 104
iptables -t mangle -A PREROUTING -s 192.168.0.60 -j RETURN

iptables -t mangle -A PREROUTING -s 192.168.0.199 -j MARK --set-mark 104
iptables -t mangle -A PREROUTING -s 192.168.0.199 -j RETURN
###########################################################################

#IP for 256 na 256

iptables -t mangle -A PREROUTING -s 192.168.0.201 -j MARK --set-mark 105
iptables -t mangle -A PREROUTING -s 192.168.0.201 -j RETURN

iptables -t mangle -A PREROUTING -s 192.168.0.202 -j MARK --set-mark 105
iptables -t mangle -A PREROUTING -s 192.168.0.202 -j RETURN

iptables -t mangle -A PREROUTING -s 192.168.0.203 -j MARK --set-mark 105
iptables -t mangle -A PREROUTING -s 192.168.0.203 -j RETURN

iptables -t mangle -A PREROUTING -s 192.168.0.204 -j MARK --set-mark 105
iptables -t mangle -A PREROUTING -s 192.168.0.204 -j RETURN
###########################################################################
exit
#
iptables -A INPUT -i eth1 -s 192.168.0.0/24 -p tcp --dport 445 -j DROP
iptables -A INPUT -i eth1 -s 192.168.0.0/24 -p tcp --dport 1900 -j DROP
iptables -A INPUT -i eth1 -s 192.168.0.0/24 -j ACCEPT
iptables -A INPUT -i eth0 -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A INPUT -i eth0 -p tcp -j REJECT --reject-with tcp-reset

#
iptables -A INPUT -p tcp ! --syn -m state --state NEW -j DROP
iptables -A OUTPUT -p tcp ! --syn -m state --state NEW -j DROP
iptables -A INPUT -p UDP -s 0/0 --destination-port 138 -j DROP
iptables -A INPUT -p UDP -s 0/0 --destination-port 113 -j REJECT
iptables -A INPUT -p UDP -s 0/0 --source-port 67 --destination-port 68 -j ACCEPT 
iptables -A INPUT -p UDP -j RETURN
iptables -A OUTPUT -p UDP -s 0/0 -j ACCEPT
iptables -A INPUT --fragment -p ICMP -j DROP
iptables -A OUTPUT --fragment -p ICMP -j DROP
iptables -A INPUT -p icmp -m icmp -i eth0 --icmp-type source-quench -j ACCEPT
iptables -A OUTPUT -p icmp -m icmp -o eth0 --icmp-type source-quench -j ACCEPT
iptables -A INPUT -p icmp -m icmp -i eth0 --icmp-type echo-reply -j ACCEPT
iptables -A OUTPUT -p icmp -m icmp -o eth0 --icmp-type echo-request -j ACCEPT
iptables -A INPUT -p icmp -m icmp -i eth0 --icmp-type parameter-problem -j ACCEPT
iptables -A OUTPUT -p icmp -m icmp -o eth0 --icmp-type parameter-problem -j ACCEPT
iptables -A INPUT -p tcp -m tcp -i eth0 --dport 6000:6063 -j DROP --syn
#iptables-save > /etc/sysconfig/iptables
exit

root@inetsrv:~#

[fisher74]

Ещё раз повторяю: спрячьте под спойлер (выглядит вот так )
Предполагаю, что если вы строку
iptables -t nat -A PREROUTING -i eth1 -d ! 192.168.0.0/24 -p tcp -m multiport --dport 80,8080 -j REDIRECT --to-port 192.168.0.1:3128
введёте в консоли, то увидите, что таблесы на вас снова ругнутся, потому как должн быть так, как я писал выше. Зачем же вы в параметре порта указываете IP-адресс.
Мало того, с какого-то момента (не могу сказать с какого) разработчики всё-таки исключили устаревшую опцию "-d ! x.x.x.x/x" и теперь действует только "! -d x.x.x.x/x"

В ранних версиях iptables восклицательный знак можно было ставить между названием критерия и значением, например, -s ! 127.0.0.1, однако последние версии iptables (в частности, 1.4.3.2 и выше), уже не поддерживают этот синтаксис

[daax]

(Нажмите, чтобы показать/скрыть)

root@inetsrv:~# cat 111.txt
# Generated by iptables-save v1.4.4 on Mon Sep 20 11:46:43 2010
*mangle
:PREROUTING ACCEPT [6406769:2825417467]
:INPUT ACCEPT [628970:129496750]
:FORWARD ACCEPT [5775291:2695688007]
:OUTPUT ACCEPT [649807:147489679]
:POSTROUTING ACCEPT [6425236:2843199670]
-A PREROUTING -s 192.168.0.160/32 -j MARK --set-xmark 0x65/0xffffffff
-A PREROUTING -s 192.168.0.160/32 -j RETURN
-A PREROUTING -s 192.168.0.178/32 -j MARK --set-xmark 0x65/0xffffffff
-A PREROUTING -s 192.168.0.178/32 -j RETURN
-A PREROUTING -s 192.168.0.88/32 -j MARK --set-xmark 0x65/0xffffffff
-A PREROUTING -s 192.168.0.88/32 -j RETURN
-A PREROUTING -s 192.168.0.74/32 -j MARK --set-xmark 0x65/0xffffffff
-A PREROUTING -s 192.168.0.74/32 -j RETURN
-A PREROUTING -s 192.168.0.76/32 -j MARK --set-xmark 0x65/0xffffffff
-A PREROUTING -s 192.168.0.76/32 -j RETURN
-A PREROUTING -s 192.168.0.157/32 -j MARK --set-xmark 0x65/0xffffffff
-A PREROUTING -s 192.168.0.157/32 -j RETURN
-A PREROUTING -s 192.168.0.59/32 -j MARK --set-xmark 0x65/0xffffffff
-A PREROUTING -s 192.168.0.59/32 -j RETURN
-A PREROUTING -s 192.168.0.126/32 -j MARK --set-xmark 0x65/0xffffffff
-A PREROUTING -s 192.168.0.126/32 -j RETURN
-A PREROUTING -s 192.168.0.86/32 -j MARK --set-xmark 0x65/0xffffffff
-A PREROUTING -s 192.168.0.86/32 -j RETURN
-A PREROUTING -s 192.168.0.105/32 -j MARK --set-xmark 0x65/0xffffffff
-A PREROUTING -s 192.168.0.105/32 -j RETURN
-A PREROUTING -s 192.168.0.182/32 -j MARK --set-xmark 0x65/0xffffffff
-A PREROUTING -s 192.168.0.182/32 -j RETURN
-A PREROUTING -s 192.168.0.78/32 -j MARK --set-xmark 0x65/0xffffffff
-A PREROUTING -s 192.168.0.78/32 -j RETURN
-A PREROUTING -s 192.168.0.73/32 -j MARK --set-xmark 0x65/0xffffffff
-A PREROUTING -s 192.168.0.73/32 -j RETURN
-A PREROUTING -s 192.168.0.104/32 -j MARK --set-xmark 0x65/0xffffffff
-A PREROUTING -s 192.168.0.104/32 -j RETURN
-A PREROUTING -s 192.168.0.209/32 -j MARK --set-xmark 0x65/0xffffffff
-A PREROUTING -s 192.168.0.209/32 -j RETURN
-A PREROUTING -s 192.168.0.210/32 -j MARK --set-xmark 0x65/0xffffffff
-A PREROUTING -s 192.168.0.210/32 -j RETURN
-A PREROUTING -s 192.168.0.211/32 -j MARK --set-xmark 0x65/0xffffffff
-A PREROUTING -s 192.168.0.211/32 -j RETURN
-A PREROUTING -s 192.168.0.212/32 -j MARK --set-xmark 0x65/0xffffffff
-A PREROUTING -s 192.168.0.212/32 -j RETURN
-A PREROUTING -s 192.168.0.99/32 -j MARK --set-xmark 0x66/0xffffffff
-A PREROUTING -s 192.168.0.99/32 -j RETURN
-A PREROUTING -s 192.168.0.89/32 -j MARK --set-xmark 0x66/0xffffffff
-A PREROUTING -s 192.168.0.89/32 -j RETURN
-A PREROUTING -s 192.168.0.102/32 -j MARK --set-xmark 0x66/0xffffffff
-A PREROUTING -s 192.168.0.102/32 -j RETURN
-A PREROUTING -s 192.168.0.7/32 -j MARK --set-xmark 0x66/0xffffffff
-A PREROUTING -s 192.168.0.7/32 -j RETURN
-A PREROUTING -s 192.168.0.205/32 -j MARK --set-xmark 0x66/0xffffffff
-A PREROUTING -s 192.168.0.205/32 -j RETURN
-A PREROUTING -s 192.168.0.206/32 -j MARK --set-xmark 0x66/0xffffffff
-A PREROUTING -s 192.168.0.206/32 -j RETURN
-A PREROUTING -s 192.168.0.207/32 -j MARK --set-xmark 0x66/0xffffffff
-A PREROUTING -s 192.168.0.207/32 -j RETURN
-A PREROUTING -s 192.168.0.208/32 -j MARK --set-xmark 0x66/0xffffffff
-A PREROUTING -s 192.168.0.208/32 -j RETURN
-A PREROUTING -s 192.168.0.242/32 -j MARK --set-xmark 0x66/0xffffffff
-A PREROUTING -s 192.168.0.242/32 -j RETURN
-A PREROUTING -s 192.168.0.232/32 -j MARK --set-xmark 0x67/0xffffffff
-A PREROUTING -s 192.168.0.232/32 -j RETURN
-A PREROUTING -s 192.168.0.57/32 -j MARK --set-xmark 0x67/0xffffffff
-A PREROUTING -s 192.168.0.57/32 -j RETURN
-A PREROUTING -s 192.168.0.61/32 -j MARK --set-xmark 0x67/0xffffffff
-A PREROUTING -s 192.168.0.61/32 -j RETURN
-A PREROUTING -s 192.168.0.186/32 -j MARK --set-xmark 0x67/0xffffffff
-A PREROUTING -s 192.168.0.186/32 -j RETURN
-A PREROUTING -s 192.168.0.93/32 -j MARK --set-xmark 0x68/0xffffffff
-A PREROUTING -s 192.168.0.93/32 -j RETURN
-A PREROUTING -s 192.168.0.118/32 -j MARK --set-xmark 0x68/0xffffffff
-A PREROUTING -s 192.168.0.118/32 -j RETURN
-A PREROUTING -s 192.168.0.60/32 -j MARK --set-xmark 0x68/0xffffffff
-A PREROUTING -s 192.168.0.60/32 -j RETURN
-A PREROUTING -s 192.168.0.199/32 -j MARK --set-xmark 0x68/0xffffffff
-A PREROUTING -s 192.168.0.199/32 -j RETURN
-A PREROUTING -s 192.168.0.201/32 -j MARK --set-xmark 0x69/0xffffffff
-A PREROUTING -s 192.168.0.201/32 -j RETURN
-A PREROUTING -s 192.168.0.202/32 -j MARK --set-xmark 0x69/0xffffffff
-A PREROUTING -s 192.168.0.202/32 -j RETURN
-A PREROUTING -s 192.168.0.203/32 -j MARK --set-xmark 0x69/0xffffffff
-A PREROUTING -s 192.168.0.203/32 -j RETURN
-A PREROUTING -s 192.168.0.204/32 -j MARK --set-xmark 0x69/0xffffffff
-A PREROUTING -s 192.168.0.204/32 -j RETURN
COMMIT
# Completed on Mon Sep 20 11:46:43 2010
# Generated by iptables-save v1.4.4 on Mon Sep 20 11:46:43 2010
*nat
:PREROUTING ACCEPT [1000921:57696338]
:POSTROUTING ACCEPT [16101:1381124]
:OUTPUT ACCEPT [16093:1380740]
-A PREROUTING ! -d 192.168.0.0/24 -i eth1 -p tcp -m multiport --dports 80,8080 -j REDIRECT --to-ports 3128
-A POSTROUTING -s 192.168.0.0/24 -o eth0 -j MASQUERADE
COMMIT
# Completed on Mon Sep 20 11:46:43 2010
# Generated by iptables-save v1.4.4 on Mon Sep 20 11:46:43 2010
*filter
:INPUT ACCEPT [5916:539494]
:FORWARD ACCEPT [5775303:2695699685]
:OUTPUT ACCEPT [6509:702358]
-A FORWARD -i eth1 -o eth1 -m state --state RELATED,ESTABLISHED -j ACCEPT
-A FORWARD -i eth0 -o eth0 -j ACCEPT
COMMIT
# Completed on Mon Sep 20 11:46:43 2010
root@inetsrv:~#

вот, теперь так
но интернета нету
отключаю редирект - интернет есть
а с исправленным ! -d работает только гугл почему-то

[fisher74]

В squid.conf указано transparent?

[daax]

http_port 3128 transparent

[fisher74]

-A PREROUTING ! -d 192.168.0.0/24 -i eth1 -p tcp -m multiport --dports 80,8080 -j REDIRECT --to-ports 3128

Ручками правили iptables.rules?
Пользователь решил продолжить мысль 20 Сентября 2010, 13:09:04:показывайте не 111.txt, а

Код: [Выделить]

sudo iptables -t nat -L -nv

[daax]

Код: [Выделить]

root@inetsrv:~# iptables -t nat -L -nv
Chain PREROUTING (policy ACCEPT 74224 packets, 4631K bytes)
 pkts bytes target     prot opt in     out     source               destination        
28246 1358K DNAT       tcp  --  eth1   *       0.0.0.0/0           !192.168.0.0/24      multiport dports 80,8080 to:192.168.0.1:3128

Chain POSTROUTING (policy ACCEPT 28344 packets, 3405K bytes)
 pkts bytes target     prot opt in     out     source               destination        
29836 2069K MASQUERADE  all  --  *      eth0    192.168.0.0/24       0.0.0.0/0          

Chain OUTPUT (policy ACCEPT 28344 packets, 3405K bytes)
 pkts bytes target     prot opt in     out     source               destination        
root@inetsrv:~#

а гле вообще лежит iptables.rules?
вобщем я вернул как было правило с DNAT вместо REDIRECT только исправил ! -d

работает но скорость ужасная