2 локалки на одном сервере

[unnamed56]

Вечер добрый.

Дано: сервер с 3мя сетевыми картами(одна во внешку 2 других в локалки(192.168.Х.Х и 10.10.Х.Х).
На 192.168 висит настроенный непрозачный прокси Сквид.

Вопрос:Как подключить пользователей 10.10 к Интернету в обход Сквида?
После настройки айпитаблесов для 10.10.Х.Х. инет появляется и у пользователей 192.168.Х.Х(Могут выходить без прокси).
Как разделить эти 2 сети?
Спасибо

[Yuriy_Y]

Хай через сквид и ходят. Он же позволяет нехило экономить трафик.

[unnamed56]

Дело в том, что мне нужно построить маленькую сеть для бухгалтерии без проксей. Они юзают банк клиенты, которые не хотят дружить со сквидом.(с портами прямо беда)  Поэтому других решений пока нет 

[fisher74]

"sudo iptables -nvL FORWARD" в студию
Но чую, что ни одно из нижеописанных правил мы там не увидим

Код: [Выделить]

sudo iptables -P FORWARD DROP
sudo iptables -A FORWARD -s 192.168.0.0/16 -j DROP
P.S. Сразу оговорюсь, что должны были увидеть там одно из них

[unnamed56]

Да, Вы правы.

Я так понимаю нужно запретить Input/output с eth1 на eth2?
Не могли бы вы в качестве примера написать как это реализовать?

Если первая локалка 192.168.0.0/24 а вторая 10.0.0.0/8?

Т.е оставляем 192.168 только на сквиде(нет возможности доступа в интернет без прокси), а на 10.0 пользователи имеют прямой доступ без сквида. И как в таком случае будут обстоять дела с портами? Через сквид банк-клиент работать не хочет, но стоит прописать айпитаблес в виде

Код: [Выделить]

iptables -A FORWARD -i eth0 -o eth1 -s 192.168.0.0/24 -m conntrack --ctstate NEW -j ACCEPT
iptables -A FORWARD -m conntrack --ctstate ESTABLISHED,RELATED -j ACCEPT
iptables -A POSTROUTING -t nat -j MASQUERADE
Ява-апплет банка сразу начинает работать.
Это когда нет локалки 10.0. Когда прописываю на нее, все также работает, но юзеры из 192.168 могут хапать инет без прокси.

[fisher74]

Определитесь с концепцией файерволла.
Одной из рекомендаций является запрет по умолчанию всех пакетов через цепочку FORWARD(т.е. проходящего потока пакетов), а потом разрешать кому НАДО. Т.е. Для вашего случая, цепочка правил FORWARD будет выглядеть примерно так:

Код: [Выделить]

sudo iptables -P FORWARD DROP # Если пакет при прохождении цепочки не попадёт ни под какое правило, то он убивается
sudo iptables -A FORWARD -s 10.0.0.0/8 -j ACCEPT #  всем пакетам исходящим от хостов из сети 10.0.0.0/8 разрешить проход цепочки

[unnamed56]

Т.е полная схема выглядит так?

Код: [Выделить]

sudo iptables -P FORWARD DROP
sudo iptables -A FORWARD -s 10.0.0.0/8 -j ACCEPT
sudo iptables -A FORWARD -i eth0 -o eth2 -s 10.0.0.0/8 -m conntrack --ctstate NEW -j ACCEPT
sudo iptables -A FORWARD -m conntrack --ctstate ESTABLISHED,RELATED -j ACCEPT
sudo iptables -A POSTROUTING -t nat -j MASQUERADE
А как же быть с 192.168, которые сидят через проксю? Их же не пропустит?
И еще вопрос: обмен между сетевыми интерфейсами нужно перекрывать или уже по первому правилу он не пройдут?

[AnrDaemon]

В обратном порядке.

-A FORWARD -m conntrack --ctstate ESTABLISHED,RELATED -j ACCEPT
-A FORWARD -i eth0 -o eth2 -s 10.0.0.0/8 -m conntrack --ctstate NEW -j ACCEPT
-A FORWARD -s 10.0.0.0/8 -j ACCEPT

Если спросишь почему - мухобойкой по лбу заработаешь.

[unnamed56]

Понял, спасибо!
а как же быть с пакетами из сети 192.168? Их фаервол пропустит?

[AnrDaemon]

Смотря, куда...

[unnamed56]

Из 192.168 на eth0 внешний интерфейс? Тогда как же быть со сквидом? Он же будет пропускать в инет без прокси.....

[fisher74]

Из 192.168 на eth0 внешний интерфейс?

-P FORWARD DROP

Тогда как же быть со сквидом? Он же будет пропускать в инет без прокси.....

Сам-то понял что сказал?

[unnamed56]

Просто я в никсах совсем еще зеленый, и многие вещи пока для меня не совсем понятны(поэтому прощу не судить меня строго  )
Т.е при настройке айпитейблс вида

Код: [Выделить]

-P FORWARD DROP
-A FORWARD -m conntrack --ctstate ESTABLISHED,RELATED -j ACCEPT
-A FORWARD -i eth0 -o eth2 -s 10.0.0.0/8 -m conntrack --ctstate NEW -j ACCEPT
-A FORWARD -s 10.0.0.0/8 -j ACCEPT
-A POSTROUTING -t nat -j MASQUERADE
Сеть 192.168 сможет выходить только через сквид, сеть 10.0. будет выходить без прокси и при этом данные сети видеть друг-друга не будут?
Спасибо!

[fisher74]

Почитай
"Лучше день потерять, а потом за 5 минут долететь"  ©

[unnamed56]

Читаю третий день....Но много еще непонятного 

Но вопрос про правила остается актуальным