HOWTO: Iptables для новичков

[Bkmz]

Всем доброго времени суток.
Есть шлюз на базе ubuntu server 8.04.1 настроен squid в режиме прозрачного через iptables
Интернет разрешен всем. Нужно найти способ довольно быстро изменять список тех кто блокирует. Если в squid прописывать ip клиента для запрещения, этот продолжает иметь доступ в нет...
Ведь к сквиду обращается сам сервер. Как можно реализовать запрет доступа через сквид? Или придется мутить в сторону iptables?
Скрипт для редактирования я сам напишу, но проблема, куда писать адреса....

[pehser]

а покажи свой acl и сами разрешения и запреты?

возможна у тебя местами перпутаны правила должно быть типа так

acl our_networks src 192.168.0.0/24 # твоя подсеть
acl bloc src "/file" #Фаил с ip которые банить

http_access deny bloc
http_access allow our_networks

[Cleric]

Доброго всем времени суток!
Помогите, пожалуйста, разобраться в слудующей ситуации:
В Лине уже освоился, но вот с iptables был незнаком, и по неопытности закрыл 80 порт (последствия понятны ) и вместе с ним 21, 23
Почитал маны, вроде лучше разобрался в iptables, попытался открыть сам:

sudo iptables -I OUTPUT -p tcp --dport 80 -j ACCEPT
(то же проделывал с 21 и 23 портами)

Правило вроде добавилось, но после перезагрузки все вернулось к изначальному.

Пробывал также:
sudo iptables -A OUTPUT -p tcp --dport 80 -j ACCEPT
sudo iptables -A INPUT -p tcp --dport 80 -j ACCEPT
sudo iptables -A OUTPUT -p tcp --sport 80 -j ACCEPT
sudo iptables -A INPUT -p tcp --sport 80 -j ACCEPT

-p udp пытался делать, вместо -I ставить -A...
Под конец сделал даже sudo iptables --flush и перезагрузился...
Итог: пока работаю в интернете на масдае... Торрент и все остальное - на убунте. Долго я так не протяну.
Вобщем чувствую себя очень глупым Пожалуйста, помогите!

В данный момент мои iptables выглядят так (firestarter поставил на всякий, но наверно он мне незачем):

(Нажмите, чтобы показать/скрыть)

Код: [Выделить]

sudo  iptables -L -v  --line-numbers -n

Chain INPUT (policy DROP 9 packets, 1284 bytes)
num   pkts bytes target     prot opt in     out     source               destination         
1       42  3602 ACCEPT     tcp  --  *      *       127.0.0.1            0.0.0.0/0           tcp flags:!0x17/0x02
2       16   960 ACCEPT     udp  --  *      *       127.0.0.1            0.0.0.0/0           
3        8   352 ACCEPT     all  --  lo     *       0.0.0.0/0            0.0.0.0/0           
4        0     0 ACCEPT     icmp --  *      *       0.0.0.0/0            0.0.0.0/0           limit: avg 10/sec burst 5
5        0     0 DROP       all  --  eth2   *       0.0.0.0/0            255.255.255.255     
6       28  2018 DROP       all  --  *      *       0.0.0.0/0            192.168.1.255       
7        0     0 DROP       all  --  *      *       224.0.0.0/8          0.0.0.0/0           
8        7   196 DROP       all  --  *      *       0.0.0.0/0            224.0.0.0/8         
9        0     0 DROP       all  --  *      *       255.255.255.255      0.0.0.0/0           
10       0     0 DROP       all  --  *      *       0.0.0.0/0            0.0.0.0             
11       0     0 DROP       all  --  *      *       0.0.0.0/0            0.0.0.0/0           state INVALID
12       0     0 LSI        all  -f  *      *       0.0.0.0/0            0.0.0.0/0           limit: avg 10/min burst 5
13       1    78 INBOUND    all  --  eth2   *       0.0.0.0/0            0.0.0.0/0           
14      20  1200 INBOUND    all  --  eth0   *       0.0.0.0/0            192.168.0.51       
15       0     0 INBOUND    all  --  eth0   *       0.0.0.0/0            192.168.1.2         
16      45  5715 INBOUND    all  --  eth0   *       0.0.0.0/0            192.168.0.255       
17       9  1284 LOG_FILTER  all  --  *      *       0.0.0.0/0            0.0.0.0/0           
18       9  1284 LOG        all  --  *      *       0.0.0.0/0            0.0.0.0/0           LOG flags 0 level 6 prefix `Unknown Input'

Chain FORWARD (policy DROP 0 packets, 0 bytes)
num   pkts bytes target     prot opt in     out     source               destination         
1        0     0 ACCEPT     icmp --  *      *       0.0.0.0/0            0.0.0.0/0           limit: avg 10/sec burst 5
2        0     0 TCPMSS     tcp  --  *      *       0.0.0.0/0            0.0.0.0/0           tcp flags:0x06/0x02 TCPMSS clamp to PMTU
3        0     0 OUTBOUND   all  --  eth0   *       0.0.0.0/0            0.0.0.0/0           
4        0     0 ACCEPT     tcp  --  *      *       0.0.0.0/0            192.168.0.0/24      state RELATED,ESTABLISHED
5        0     0 ACCEPT     udp  --  *      *       0.0.0.0/0            192.168.0.0/24      state RELATED,ESTABLISHED
6        0     0 LOG_FILTER  all  --  *      *       0.0.0.0/0            0.0.0.0/0           
7        0     0 LOG        all  --  *      *       0.0.0.0/0            0.0.0.0/0           LOG flags 0 level 6 prefix `Unknown Forward'

Chain OUTPUT (policy DROP 13 packets, 2000 bytes)
num   pkts bytes target     prot opt in     out     source               destination         
1        0     0 ACCEPT     tcp  --  *      *       192.168.1.2          127.0.0.1           tcp dpt:53
2        0     0 ACCEPT     udp  --  *      *       192.168.1.2          127.0.0.1           udp dpt:53
3       66  4914 ACCEPT     all  --  *      lo      0.0.0.0/0            0.0.0.0/0           
4        0     0 DROP       all  --  *      *       224.0.0.0/8          0.0.0.0/0           
5       15  2681 DROP       all  --  *      *       0.0.0.0/0            224.0.0.0/8         
6        0     0 DROP       all  --  *      *       255.255.255.255      0.0.0.0/0           
7        0     0 DROP       all  --  *      *       0.0.0.0/0            0.0.0.0             
8        0     0 DROP       all  --  *      *       0.0.0.0/0            0.0.0.0/0           state INVALID
9        1    74 OUTBOUND   all  --  *      eth2    0.0.0.0/0            0.0.0.0/0           
10       1    74 OUTBOUND   all  --  *      eth0    0.0.0.0/0            0.0.0.0/0           
11      13  2000 LOG_FILTER  all  --  *      *       0.0.0.0/0            0.0.0.0/0           
12      13  2000 LOG        all  --  *      *       0.0.0.0/0            0.0.0.0/0           LOG flags 0 level 6 prefix `Unknown Output'

Chain INBOUND (4 references)
num   pkts bytes target     prot opt in     out     source               destination         
1        0     0 ACCEPT     tcp  --  *      *       0.0.0.0/0            0.0.0.0/0           state RELATED,ESTABLISHED
2        0     0 ACCEPT     udp  --  *      *       0.0.0.0/0            0.0.0.0/0           state RELATED,ESTABLISHED
3        0     0 ACCEPT     tcp  --  *      *       0.0.0.0/0            0.0.0.0/0           tcp dpt:80
4        0     0 ACCEPT     udp  --  *      *       0.0.0.0/0            0.0.0.0/0           udp dpt:80
5        0     0 ACCEPT     tcp  --  *      *       0.0.0.0/0            0.0.0.0/0           tcp dpts:20:21
6        0     0 ACCEPT     udp  --  *      *       0.0.0.0/0            0.0.0.0/0           udp dpts:20:21
7        0     0 ACCEPT     tcp  --  *      *       0.0.0.0/0            0.0.0.0/0           tcp dpt:23
8        0     0 ACCEPT     udp  --  *      *       0.0.0.0/0            0.0.0.0/0           udp dpt:23
9       66  6993 LSI        all  --  *      *       0.0.0.0/0            0.0.0.0/0           

Chain LOG_FILTER (5 references)
num   pkts bytes target     prot opt in     out     source               destination         

Chain LSI (2 references)
num   pkts bytes target     prot opt in     out     source               destination         
1       66  6993 LOG_FILTER  all  --  *      *       0.0.0.0/0            0.0.0.0/0           
2       20  1200 LOG        tcp  --  *      *       0.0.0.0/0            0.0.0.0/0           tcp flags:0x17/0x02 limit: avg 1/sec burst 5 LOG flags 0 level 6 prefix `Inbound '
3       20  1200 DROP       tcp  --  *      *       0.0.0.0/0            0.0.0.0/0           tcp flags:0x17/0x02
4        0     0 LOG        tcp  --  *      *       0.0.0.0/0            0.0.0.0/0           tcp flags:0x17/0x04 limit: avg 1/sec burst 5 LOG flags 0 level 6 prefix `Inbound '
5        0     0 DROP       tcp  --  *      *       0.0.0.0/0            0.0.0.0/0           tcp flags:0x17/0x04
6        0     0 LOG        icmp --  *      *       0.0.0.0/0            0.0.0.0/0           icmp type 8 limit: avg 1/sec burst 5 LOG flags 0 level 6 prefix `Inbound '
7        0     0 DROP       icmp --  *      *       0.0.0.0/0            0.0.0.0/0           icmp type 8
8       40  5049 LOG        all  --  *      *       0.0.0.0/0            0.0.0.0/0           limit: avg 5/sec burst 5 LOG flags 0 level 6 prefix `Inbound '
9       46  5793 DROP       all  --  *      *       0.0.0.0/0            0.0.0.0/0           

Chain LSO (0 references)
num   pkts bytes target     prot opt in     out     source               destination         
1        0     0 LOG_FILTER  all  --  *      *       0.0.0.0/0            0.0.0.0/0           
2        0     0 LOG        all  --  *      *       0.0.0.0/0            0.0.0.0/0           limit: avg 5/sec burst 5 LOG flags 0 level 6 prefix `Outbound '
3        0     0 REJECT     all  --  *      *       0.0.0.0/0            0.0.0.0/0           reject-with icmp-port-unreachable

Chain OUTBOUND (3 references)
num   pkts bytes target     prot opt in     out     source               destination         
1        0     0 ACCEPT     icmp --  *      *       0.0.0.0/0            0.0.0.0/0           
2        0     0 ACCEPT     tcp  --  *      *       0.0.0.0/0            0.0.0.0/0           state RELATED,ESTABLISHED
3        0     0 ACCEPT     udp  --  *      *       0.0.0.0/0            0.0.0.0/0           state RELATED,ESTABLISHED
4        2   148 ACCEPT     all  --  *      *       0.0.0.0/0            0.0.0.0/0           

[dementiy]

Добрый день. Писал в Шлюз Интернета на базе Ubuntu-Server / Internet Connection Sharing + Squid но так и не ответил никто
Есть сервер с eth0 (192.168.2.1) внешним и eth1 (192.168.1.111) внутренними.
Завернул в IPtables на squid 3.0
iptables -t nat -A POSTROUTING -o $INET_IFACE -j SNAT --to-source $INET_IP
и
iptables -t nat -A PREROUTING -p tcp --dport 80 -i $LAN_IFACE -j REDIRECT --to-ports 3128
 После этого естественно перестал отвечать на запросы из локалки Apache.
Какое правило прописать в IPtables чтобы заставить Apache на 192.168.1.111 отзывался на 80 порту, но при этом сохранить работоспособность прокси (т.е. чтобы при обращении именно к 192.168.1.111:80 перехватывал apache, а squid брал положенное).

[dementiy]

Доброго всем времени суток!
Помогите, пожалуйста, разобраться в слудующей ситуации:
В Лине уже освоился, но вот с iptables был незнаком, и по неопытности закрыл 80 порт (последствия понятны ) и вместе с ним 21, 23
Почитал маны, вроде лучше разобрался в iptables, попытался открыть сам:

sudo iptables -I OUTPUT -p tcp --dport 80 -j ACCEPT
(то же проделывал с 21 и 23 портами)

Правило вроде добавилось, но после перезагрузки все вернулось к изначальному.

Пробывал также:
sudo iptables -A OUTPUT -p tcp --dport 80 -j ACCEPT
sudo iptables -A INPUT -p tcp --dport 80 -j ACCEPT
sudo iptables -A OUTPUT -p tcp --sport 80 -j ACCEPT
sudo iptables -A INPUT -p tcp --sport 80 -j ACCEPT

-p udp пытался делать, вместо -I ставить -A...
Под конец сделал даже sudo iptables --flush и перезагрузился...
Итог: пока работаю в интернете на масдае... Торрент и все остальное - на убунте. Долго я так не протяну.
Вобщем чувствую себя очень глупым Пожалуйста, помогите!

IPTables сбрасывает конфигурацию при перезагрузке. Курить тут https://help.ubuntu.com/community/IptablesHowTo

[Heroin]

Код: [Выделить]

$IPTABLES -t nat -A PREROUTING -p UDP -i eth0 -d $INET_IP --dport 1194 -j DNAT --to-destination $ORA_IP:1194

Возможно тут ошибка...

Насчёт 3389 вообще никаких мнений нет... ИП неизвестно, и ориентироваться тяжело...

Кроме того, никто здесь искать ошибку за тебя не будет. Посоветовать могут. Но скрипты править - самим.
Могу посоветовать для вылавливания капризной строки юзать печатные пометки (echo "пометка 1")
Например:

Код: [Выделить]

$IPTABLES -t nat -A PREROUTING -p TCP -i eth0 -s $COMSERV -d $INET_IP --dport 10000 -j DNAT --to-destination $ORA_IP:1526
$IPTABLES -t nat -A PREROUTING -p TCP -i eth0 -s $COMSERV -d $INET_IP --dport 1521 -j DNAT --to-destination $ORA_IP:1521
$IPTABLES -t nat -A PREROUTING -p TCP -i eth0 -s $COMSERV -d $INET_IP --dport 137 -j DNAT --to-destination $ORA_IP:137
$IPTABLES -t nat -A PREROUTING -p TCP -i eth0 -s $COMSERV -d $INET_IP --dport 138 -j DNAT --to-destination $ORA_IP:138
echo "Проверяю отсюда..."
$IPTABLES -t nat -A PREROUTING -p TCP -i eth0 -s $COMSERV -d $INET_IP --dport 139 -j DNAT --to-destination $ORA_IP:139
$IPTABLES -t nat -A PREROUTING -p TCP -i eth0 -s $MEZHD -d $INET_IP --dport 1526 -j DNAT --to-destination $ORA_IP:1526
echo "... и сюда"
$IPTABLES -t nat -A PREROUTING -p TCP -i eth0 -s $MEZHD -d $INET_IP --dport 1521 -j DNAT --to-destination $ORA_IP:1521
$IPTABLES -t nat -A PREROUTING -p TCP -i eth0 -s $MEZHD -d $INET_IP --dport 137 -j DNAT --to-destination $ORA_IP:137

При загрузке скрипта будет видно, ошибка до-, после-, или между метками.

я сделал так
RDP_PORT="3389"
везде в правилах прописал $RDP_PORT
но при перезапуске он так и ругается на 3389

так же ругается на LAN_IP="192.168.1.3"
пишет бед аргумет

[Cleric]

Помогите, пожалуйста!
Не окрываются никакие соединения через 80 порт, т.е. все что связано с http : интернет, шары в samba (торрент и другие пашут в штатном режиме)
Сначала накосячил в iptables, сейчас сбросил, теперь это в таком виде:

Код: [Выделить]

# Generated by iptables-save v1.4.1.1 on Thu Dec 11 19:04:27 2008
*nat
:PREROUTING ACCEPT [26:1742]
:POSTROUTING ACCEPT [141:10153]
:OUTPUT ACCEPT [141:10153]
-A POSTROUTING -s 192.168.0.0/24 -o eth2 -j MASQUERADE
-A POSTROUTING -s 192.168.2.0/24 -o eth2 -j MASQUERADE
COMMIT
# Completed on Thu Dec 11 19:04:27 2008
# Generated by iptables-save v1.4.1.1 on Thu Dec 11 19:04:27 2008
*mangle
:PREROUTING ACCEPT [1283:138570]
:INPUT ACCEPT [1283:138570]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [1020:136825]
:POSTROUTING ACCEPT [1107:150205]
COMMIT
# Completed on Thu Dec 11 19:04:27 2008
# Generated by iptables-save v1.4.1.1 on Thu Dec 11 19:04:27 2008
*filter
:INPUT DROP [0:0]
:FORWARD DROP [0:0]
:OUTPUT DROP [0:0]
-A INPUT -i lo -j ACCEPT
-A INPUT -s 127.0.0.0/8 -i ! lo -j LOG
-A INPUT -s 127.0.0.0/8 -i ! lo -j DROP
-A INPUT -d 255.255.255.255/32 -i eth0 -j ACCEPT
-A INPUT -d 255.255.255.255/32 -i eth1 -j ACCEPT
-A INPUT -s 192.168.0.0/24 -i eth0 -j ACCEPT
-A INPUT -s 192.168.2.0/24 -i eth1 -j ACCEPT
-A INPUT -d 224.0.0.0/4 -i eth0 -p ! tcp -j ACCEPT
-A INPUT -d 224.0.0.0/4 -i eth1 -p ! tcp -j ACCEPT
-A INPUT -s 192.168.0.0/24 -i eth2 -j LOG
-A INPUT -s 192.168.0.0/24 -i eth2 -j DROP
-A INPUT -s 192.168.2.0/24 -i eth2 -j LOG
-A INPUT -s 192.168.2.0/24 -i eth2 -j DROP
-A INPUT -d 255.255.255.255/32 -i eth2 -j ACCEPT
-A INPUT -d 192.168.1.2/32 -i eth2 -j ACCEPT
-A INPUT -d 192.168.1.255/32 -i eth2 -j ACCEPT
-A INPUT -d 224.0.0.1/32 -j DROP
-A INPUT -j LOG
-A INPUT -j DROP
-A FORWARD -s 192.168.2.0/24 -d 192.168.0.0/24 -j ACCEPT
-A FORWARD -s 192.168.0.0/24 -d 192.168.2.0/24 -j ACCEPT
-A FORWARD -s 192.168.0.0/24 -i eth0 -o eth2 -j ACCEPT
-A FORWARD -s 192.168.2.0/24 -i eth1 -o eth2 -j ACCEPT
-A FORWARD -m state --state RELATED,ESTABLISHED -j ACCEPT
-A FORWARD -d 192.168.0.0/24 -o eth2 -j LOG
-A FORWARD -d 192.168.0.0/24 -o eth2 -j DROP
-A FORWARD -d 192.168.2.0/24 -o eth2 -j LOG
-A FORWARD -d 192.168.2.0/24 -o eth2 -j DROP
-A FORWARD -d 224.0.0.1/32 -j DROP
-A FORWARD -j LOG
-A FORWARD -j DROP
-A OUTPUT -o lo -j ACCEPT
-A OUTPUT -d 255.255.255.255/32 -o eth0 -j ACCEPT
-A OUTPUT -d 255.255.255.255/32 -o eth1 -j ACCEPT
-A OUTPUT -d 192.168.0.0/24 -o eth0 -j ACCEPT
-A OUTPUT -d 192.168.2.0/24 -o eth1 -j ACCEPT
-A OUTPUT -d 224.0.0.0/4 -o eth0 -p ! tcp -j ACCEPT
-A OUTPUT -d 224.0.0.0/4 -o eth1 -p ! tcp -j ACCEPT
-A OUTPUT -d 192.168.0.0/24 -o eth2 -j LOG
-A OUTPUT -d 192.168.0.0/24 -o eth2 -j DROP
-A OUTPUT -d 192.168.2.0/24 -o eth2 -j LOG
-A OUTPUT -d 192.168.2.0/24 -o eth2 -j DROP
-A OUTPUT -d 255.255.255.255/32 -o eth2 -j ACCEPT
-A OUTPUT -s 192.168.1.2/32 -o eth2 -j ACCEPT
-A OUTPUT -s 192.168.1.255/32 -o eth2 -j ACCEPT
-A OUTPUT -d 224.0.0.1/32 -j DROP
-A OUTPUT -j LOG
-A OUTPUT -j DROP
COMMIT
# Completed on Thu Dec 11 19:04:27 2008

eth0 - подключен к WiFi точке доступа, ip компа 192.168.0.51
eth1 - через этот интерфейс поступает интернет, ip компа 192.168.1.2 (ADSL модем настроен в режим роутера)
eth2 -  Ethernet соединение с другим компом, ip компа 192.168.2.1

Помогите, пожалуйста, разобраться! Если дело не в iptables, то в чем еще может быть?

[InkVisitor]

я сделал так
RDP_PORT="3389"
везде в правилах прописал $RDP_PORT
но при перезапуске он так и ругается на 3389

А какая разница? Аргументом используется не переменная ($RDP_PORT), а порт (3389). Такой подход и не мог дать никакого результата.

так же ругается на LAN_IP="192.168.1.3"
пишет бед аргумет

Вот я и писал про использования echo для вылавливания этого аргумента.

[Bkmz]

а покажи свой acl и сами разрешения и запреты?

возможна у тебя местами перпутаны правила должно быть типа так

acl our_networks src 192.168.0.0/24 # твоя подсеть
acl bloc src "/file" #Фаил с ip которые банить

http_access deny bloc
http_access allow our_networks

Код: [Выделить]

acl EEEpc src 10.24.163.165
acl localnet src 10.24.163.176
acl local src 10.24.163.166
acl network src 192.168.0.0/24
http_access allow localnet
http_access allow EEEpc
http_access allow local
http_access allow network


[dementiy]

Добрый день. Писал в Шлюз Интернета на базе Ubuntu-Server / Internet Connection Sharing + Squid но так и не ответил никто
Есть сервер с eth0 (192.168.2.1) внешним и eth1 (192.168.1.111) внутренними.
Завернул в IPtables на squid 3.0
iptables -t nat -A POSTROUTING -o $INET_IFACE -j SNAT --to-source $INET_IP
и
iptables -t nat -A PREROUTING -p tcp --dport 80 -i $LAN_IFACE -j REDIRECT --to-ports 3128
 После этого естественно перестал отвечать на запросы из локалки Apache.
Какое правило прописать в IPtables чтобы заставить Apache на 192.168.1.111 отзывался на 80 порту, но при этом сохранить работоспособность прокси (т.е. чтобы при обращении именно к 192.168.1.111:80 перехватывал apache, а squid брал положенное).

Неужели никто не подскажет... Плиз.... 

[MadKox]

Вот для примера мой кусочек скрипта:

Код: [Выделить]

# 4.2 Таблица nat.
#
# 4.2.4 Цепочка PREROUTING.
#
# Принимаем те http пакеты, которые всегда разрешены и идут
# мимо сквида до того, как они уйдут в сквид.
$IPTABLES -t nat -A PREROUTING -i $LAN_IFACE -d $IP_FTP -j ACCEPT
$IPTABLES -t nat -A PREROUTING -i $LAN_IFACE -d $IP_BANK_1 -j ACCEPT
$IPTABLES -t nat -A PREROUTING -i $LAN_IFACE -d $IP_BANK_2 -j ACCEPT
$IPTABLES -t nat -A PREROUTING -i $LAN_IFACE -d $IP_BANK_2_2 -j ACCEPT
$IPTABLES -t nat -A PREROUTING -i $LAN_IFACE -d $IP_BANK_3_1 -j ACCEPT
$IPTABLES -t nat -A PREROUTING -i $LAN_IFACE -d $IP_BANK_3_2 -j ACCEPT
$IPTABLES -t nat -A PREROUTING -i $LAN_IFACE -d $IP_BANK_4_1 -j ACCEPT
$IPTABLES -t nat -A PREROUTING -i $LAN_IFACE -d $LAN_IP -j ACCEPT # Т.е. пакеты из сети на ЭТУ машину.
$IPTABLES -t nat -A PREROUTING -i $LAN_IFACE -d $IP_MAIL -j ACCEPT
$IPTABLES -t nat -A PREROUTING -i $LAN_IFACE -d $IP_MAIL1 -j ACCEPT
# Принимаем HTTPS пакеты до того, как они уйдут в сквид.
$IPTABLES -t nat -A PREROUTING -i $LAN_IFACE -p tcp --dport $HTTPS -j ACCEPT
# Перенаправляем все остальные пакеты на сквид.
$IPTABLES -t nat -A PREROUTING -i $LAN_IFACE -p tcp -j REDIRECT --to-ports $SQUID
Обрати внимание на

Код: [Выделить]

$IPTABLES -t nat -A PREROUTING -i $LAN_IFACE -d $LAN_IP -j ACCEPT # Т.е. пакеты из сети на ЭТУ машину.
Без этого правила будет как у тебя - сквид будет перехватывать пакеты.

[dementiy]

Обрати внимание на

Код: [Выделить]

$IPTABLES -t nat -A PREROUTING -i $LAN_IFACE -d $LAN_IP -j ACCEPT # Т.е. пакеты из сети на ЭТУ машину.
Без этого правила будет как у тебя - сквид будет перехватывать пакеты.

Премногоблагодарен. Всё завелось. Спасибище огромное.
Хм...  Тока чото перестали https загружатся. Подскажите плиз. 
УПС... И здесь вкурил... Ещё раз спасибо ------------

[MadKox]

Ну а в остальных таблицах какие правила? У меня, например в цепочке FORWARD:

Код: [Выделить]

$IPTABLES -A FORWARD -i $LAN_IFACE -p tcp --dport $HTTPS -j ACCEPT
Почти год назад я выкладывал отчет, о том, как настраивал свой шлюз.
Посмотри там, может быть, чего полезного найдешь.

[dementiy]

Почти год назад я выкладывал отчет, о том, как настраивал свой шлюз.
Посмотри там, может быть, чего полезного найдешь.

Извиняюсь за глупый вопрос. Куда вписать скриптик для автоматического конфигурирования iptables при загрузке???.

[pehser]

Почти год назад я выкладывал отчет, о том, как настраивал свой шлюз.
Посмотри там, может быть, чего полезного найдешь.

Извиняюсь за глупый вопрос. Куда вписать скриптик для автоматического конфигурирования iptables при загрузке???.

например в /etc/rc.local