Следите за новостями русскоязычного сообщества Ubuntu в Twitter-ленте @ubuntu_ru_loco
0 Пользователей и 1 Гость просматривают эту тему.
Цитата: fisher74 от 07 Апреля 2011, 08:36:46Кстати, опция -d позволяет перечисление IP-адресов/сетей через запятую.Ошибку выдаёт, типа сеть такая не найдена. Может там должно быть по аналогии с этим?
Кстати, опция -d позволяет перечисление IP-адресов/сетей через запятую.
# Пропускаем обратную петлюiptables -A INPUT -d 127.0.0.1 -j ACCEPT
iptables -P OUTPUT DROP. . .iptables - A OUTPUT -m owner --uid-owner proxy -j ACCEPT
UID числом напиши.
Цитата: AnrDaemon от 11 Апреля 2011, 14:23:46UID числом напиши.Пробовал. Да и к тому же iptables и эту запись понимает, ибо "iptables -nL" выдает именно числовое значение uid. Но при этом трафик прокси он не пропускает.
В цепочке output еще правила есть перед этим?Что в построуте?
iptables -P INPUT DROPiptables -P OUTPUT DROPiptables -P FORWARD DROP. . .# Пропускаем пакеты уже установленных соединенийiptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPTiptables -A OUTPUT -m state --state ESTABLISHED,RELATED -j ACCEPTiptables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT# Пропускаем сквидiptables -A OUTPUT -m owner --uid-owner squid -j ACCEPT# Поднимаем natiptables -t nat -A POSTROUTING -o eth0 -j SNAT --to-source $_WAN_IP. . .
Цитата: podkovyrsty от 11 Апреля 2011, 15:10:39В цепочке output еще правила есть перед этим?Что в построуте?ну вот всё из первого поста:
iptables-save показывайте.
root@server:~# iptables-save# Generated by iptables-save v1.4.4 on Wed Apr 13 09:21:37 2011*nat:PREROUTING ACCEPT [129862:15120394]:POSTROUTING ACCEPT [21:1331]:OUTPUT ACCEPT [548:36707]-A POSTROUTING -o eth0 -j SNAT --to-source $_WAN_IPCOMMIT# Completed on Wed Apr 13 09:21:37 2011# Generated by iptables-save v1.4.4 on Wed Apr 13 09:21:37 2011*filter:INPUT DROP [12:1409]:FORWARD DROP [0:0]:OUTPUT DROP [0:0]-A INPUT -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT-A INPUT -i lo -j ACCEPT-A INPUT -s 192.168.1.0/24 -j ACCEPT-A INPUT -p tcp -m tcp --dport 22 -j ACCEPT-A FORWARD -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT-A FORWARD -s 192.168.1.0/24 -p tcp -m multiport --dports 110,25,443,995 -j ACCEPT-A OUTPUT -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT-A OUTPUT -m owner --uid-owner proxy -j ACCEPTCOMMIT# Completed on Wed Apr 13 09:21:37 2011root@server:~#
ПРобросьте это все безобразие через xinetd!
Затем, что бы сЫкономить время и нервы
Страница сгенерирована за 0.024 секунд. Запросов: 21.