Форум русскоязычного сообщества Ubuntu


Хотите сделать посильный вклад в развитие Ubuntu и русскоязычного сообщества?
Помогите нам с документацией!

Автор Тема: Интернет-шлюз настройка  (Прочитано 58726 раз)

0 Пользователей и 1 Гость просматривают эту тему.

Оффлайн Rydj

  • Автор темы
  • Участник
  • *
  • Сообщений: 158
    • Просмотр профиля
Интернет-шлюз настройка
« : 03 Февраль 2012, 11:41:54 »
Настраиваю на работе новый сервер, можете помочь правильно iptables сделать. Задача такая в организации много копьютеров поэтому настроен прозрачный прокси-сервер, на нескольких ip должны быть открыты все порты.
это настройки со старого сервера:
-A PREROUTING -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
-A PREROUTING -i eth0 -p tcp -m tcp --dport 80 -j DNAT --to-destination 172.16.6.33:80
-A PREROUTING -i eth1 -p tcp -m multiport --dports 80,8080 -j REDIRECT --to-ports 3128
-A PREROUTING -i eth0 -p tcp -m tcp --dport 8080 -j DNAT --to-destination 172.16.0.4:80
-A PREROUTING -i eth0 -p tcp -m tcp --dport 5900 -j DNAT --to-destination 172.16.0.4:5900
-A PREROUTING -i eth0 -p tcp -m tcp --dport 5901 -j DNAT --to-destination 172.16.0.5:5901
-A PREROUTING -i eth0 -p tcp -m tcp --dport 5902 -j DNAT --to-destination 172.16.6.162:5900
-A PREROUTING -i eth0 -p tcp -m tcp --dport 5903 -j DNAT --to-destination 172.16.0.5:22
-A PREROUTING -i eth0 -p tcp -m tcp --dport 5904 -j DNAT --to-destination 172.16.6.165:5900
-A PREROUTING -i eth0 -p tcp -m tcp --dport 4695 -j DNAT --to-destination 172.16.5.135:4695
-A PREROUTING -i eth0 -p tcp -m tcp --dport 3690 -j DNAT --to-destination 172.16.0.2:3690
-A PREROUTING -i eth0 -p tcp -m tcp --dport 5905 -j DNAT --to-destination 172.16.0.2:22
-A POSTROUTING -o eth0 -j SNAT --to-source x.x.x.x
-A FORWARD -m conntrack --ctstate DNAT -j ACCEPT

-A POSTROUTING -s 172.16.0.7/32 ! -d 172.16.0.7/32 -j MASQUERADE

Пользователи в последнее время стали часто пользоваться торрентами  и нужно это пресечь.
Настроил прозрачный прокси и заблокировал порты:
iptables -P FORWARD DROP
iptables -I FORWARD -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
iptables -t nat-A PREROUTING -i eth1 -p tcp -m multiport --dports 80,8080 -j REDIRECT --to-ports 3128
а как открыть все порты ip 172.16.0.7?

Оффлайн fisher74

  • Заслуженный пользователь
  • Старожил
  • *
  • Сообщений: 13750
    • Просмотр профиля
Re: Интернет-шлюз настройка
« Ответ #1 : 03 Февраль 2012, 15:37:54 »
sudo iptables -A FORWARD -s 172.16.0.7 -o eth0 -j ACCEPT
Принимаю благодарности в WMR и WMZ на кошельки:
R158160676909 и Z313280060764

Оффлайн Rydj

  • Автор темы
  • Участник
  • *
  • Сообщений: 158
    • Просмотр профиля
Re: Интернет-шлюз настройка
« Ответ #2 : 07 Февраль 2012, 10:14:35 »
не помогло, порты по прежнему заблокированы, я ведь правильно понял надо прописать вот эти правила:
iptables -P FORWARD DROP
iptables -I FORWARD -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
iptables -t nat-A PREROUTING -i eth1 -p tcp -m multiport --dports 80,8080 -j REDIRECT --to-ports 3128
iptables -A FORWARD -s 172.16.0.7 -o eth0 -j ACCEPT

Оффлайн metal_mania

  • Любитель
  • *
  • Сообщений: 60
    • Просмотр профиля
Re: Интернет-шлюз настройка
« Ответ #3 : 07 Февраль 2012, 10:27:18 »
Немного не понятен вопрос. Если вам надо, чтобы ip 172.16.0.7 ходил в инет мимо прокси, то можно изменить правило слегка:

iptables -t nat-A PREROUTING -i eth1 ! -s 172.16.0.7 -p tcp -m multiport --dports 80,8080 -j REDIRECT --to-ports 3128

Оффлайн Rydj

  • Автор темы
  • Участник
  • *
  • Сообщений: 158
    • Просмотр профиля
Re: Интернет-шлюз настройка
« Ответ #4 : 07 Февраль 2012, 16:38:56 »
Немного не понятен вопрос. Если вам надо, чтобы ip 172.16.0.7 ходил в инет мимо прокси, то можно изменить правило слегка:

iptables -t nat-A PREROUTING -i eth1 ! -s 172.16.0.7 -p tcp -m multiport --dports 80,8080 -j REDIRECT --to-ports 3128
Есть программы в которых нельзя настроить что подключения идет через прокси и для таких пользователей надо открыть доступ в интернет по всем портам. Вы дали правило что 172.16.0.7 не пойдет на прокси но если он туда не пойдет то получается у него вообще интернета нет) 

Гарри Кашпировский

  • Гость
Re: Интернет-шлюз настройка
« Ответ #5 : 07 Февраль 2012, 17:19:46 »
подумай что бы был.

Оффлайн metal_mania

  • Любитель
  • *
  • Сообщений: 60
    • Просмотр профиля
Re: Интернет-шлюз настройка
« Ответ #6 : 07 Февраль 2012, 18:08:54 »
Вы дали правило что 172.16.0.7 не пойдет на прокси но если он туда не пойдет то получается у него вообще интернета нет)

Почему нет? Вам же товарищ fisher74 дал правило как раз для этого IP.

Оффлайн Rydj

  • Автор темы
  • Участник
  • *
  • Сообщений: 158
    • Просмотр профиля
Re: Интернет-шлюз настройка
« Ответ #7 : 08 Февраль 2012, 09:31:22 »
так я и писал выше что с этим правилом ничего не изменилось

Оффлайн metal_mania

  • Любитель
  • *
  • Сообщений: 60
    • Просмотр профиля
Re: Интернет-шлюз настройка
« Ответ #8 : 08 Февраль 2012, 10:41:00 »
так я и писал выше что с этим правилом ничего не изменилось
Так вы попробовали или нет? По логике при таком раскладе
iptables -P FORWARD DROP
iptables -I FORWARD -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
iptables -t nat-A PREROUTING -i eth1 -p tcp -m multiport --dports 80,8080 -j REDIRECT --to-ports 3128
iptables -A FORWARD -s 172.16.0.7 -o eth0 -j ACCEPT
клиент 172.16.0.7 срезался в таблице nat, т.к. её пакеты проходят раньше, чем filter.
А если написать
1iptables -P FORWARD DROP
iptables -I FORWARD -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
iptables -t nat-A PREROUTING ! -s 172.16.0.7 -i eth1 -p tcp -m multiport --dports 80,8080 -j REDIRECT --to-ports 3128
iptables -A FORWARD -s 172.16.0.7 -o eth0 -j ACCEPT
то по идее клиент пролетит таблицу nat и зафорвардится последним правилом.

Оффлайн fisher74

  • Заслуженный пользователь
  • Старожил
  • *
  • Сообщений: 13750
    • Просмотр профиля
Re: Интернет-шлюз настройка
« Ответ #9 : 08 Февраль 2012, 10:46:54 »
Так надо смотреть все правила.
Может Вы траффик от этого IP сначала более щироким правилом на прокси завернули, а потом пытаетесь заставить его профорварлиться (слово-то какое сляпал)
Принимаю благодарности в WMR и WMZ на кошельки:
R158160676909 и Z313280060764

Оффлайн Rydj

  • Автор темы
  • Участник
  • *
  • Сообщений: 158
    • Просмотр профиля
Re: Интернет-шлюз настройка
« Ответ #10 : 08 Февраль 2012, 12:34:29 »
iptables-save
# Generated by iptables-save v1.4.4 on Wed Feb  8 12:22:33 2012
*nat
:PREROUTING ACCEPT [8338:464042]
:POSTROUTING ACCEPT [185:13684]
:OUTPUT ACCEPT [185:13684]
-A PREROUTING ! -s 172.16.0.10/32 -i eth1 -p tcp -m multiport --dports 80,8080 -j REDIRECT --to-ports 3128
COMMIT
# Completed on Wed Feb  8 12:22:33 2012
# Generated by iptables-save v1.4.4 on Wed Feb  8 12:22:33 2012
*filter
:INPUT ACCEPT [4539:348398]
:FORWARD DROP [0:0]
:OUTPUT ACCEPT [4324:328323]
-A FORWARD -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
-A FORWARD -s 172.16.0.10/32 -o eth0 -j ACCEPT
COMMIT
# Completed on Wed Feb  8 12:22:33 2012
metal_mania, по логике правило перенаправляет запросы поступающие на порты 80 и 8080, оно не должно мешать следующему правилу. т.е. если даже ip 172.16.0.7 не добавлять в исключения то пользователь по http будут идти через прокси а https будет уже в обход (конечно если в браузере его явно не указывать) так как порту 443 мы редирект не задавали. Если на ип порты были бы открыты работал бы торент и я бы мог заходить на https но этого пока нет((

Оффлайн fisher74

  • Заслуженный пользователь
  • Старожил
  • *
  • Сообщений: 13750
    • Просмотр профиля
Re: Интернет-шлюз настройка
« Ответ #11 : 08 Февраль 2012, 12:45:29 »
А маскарад где?
Принимаю благодарности в WMR и WMZ на кошельки:
R158160676909 и Z313280060764

Оффлайн Rydj

  • Автор темы
  • Участник
  • *
  • Сообщений: 158
    • Просмотр профиля
Re: Интернет-шлюз настройка
« Ответ #12 : 08 Февраль 2012, 14:47:02 »
как его нужно прописать?

Пользователь решил продолжить мысль 08 Февраль 2012, 15:08:04:
Все получилось, спасибо большое=)
« Последнее редактирование: 08 Февраль 2012, 15:08:04 от Rydj »

 

Страница сгенерирована за 0.101 секунд. Запросов: 24.