HOWTO: Iptables для новичков

[byte916]

ну команда sudo iptables... , если поместить это в автозагрузку, то каждый раз при включении будет появлятся командная строка, в которую надо будет ввести пароль. Я правильно понял?

[MadKox]

2 byte916 - есть такой файлик /etc/rc.local так вот, все что туда напишешь - выполнится при загрузке от root-а.

[AnrDaemon]

ну команда sudo iptables... , если поместить это в автозагрузку, то каждый раз при включении будет появлятся командная строка, в которую надо будет ввести пароль. Я правильно понял?

ЗАЧЕМ?
Ты сказал, что ты прочитал мой пост. Что ты из него понял?
Делал ли ты
man iptables-save
man iptables-restore
?

[zdughi]

здравствуйте, такой вопрос, есть 2 кома, один Ubuntu 9,04, другой вин икспи, на первом установлено 2 сетевые карточки, они определяются всё норма, только вот на компе с виндой пишет что кабель не подключен, хотя на Ubuntu пишет что подключен, а вот вопрос, как мне раздавать интернет второму компу?

[AnrDaemon]

Проблема с BIOS сетевой карты на второй машине.
Ответ на второй вопрос - этот топик.

[alexandrm80]

Если на машине только одна сетевая, можно ли перенаправить все запросы с 80 порта на 3128 порт? То есть что бы все http шли через прокси.

[AnrDaemon]

Конечно можно. Потому что не может быть одной сетевой на машине, подключенной к интернету. Минимум две.
lo и что-там-у-тебя-еще.

[alexandrm80]

Конечно можно. Потому что не может быть одной сетевой на машине, подключенной к интернету. Минимум две.
lo и что-там-у-тебя-еще.

Опыта мало, помоги. Сетевая eth0 смотрит в инет, IP статический. Правильно ли я понимаю что нужно:
iptables -t nat -A PREROUTING -i eth0 -p tcp -dport 80 -j REDIRECT --to-ports 127.0.0.1:3128
В squid'е параметр http_port ---> 127.0.0.1:3128
alex@ubuntu:~$ cat /etc/hosts
127.0.0.1   localhost
127.0.1.1   ubuntu
А здесь ни чего не трогать?

[terrible_user]

Конечно можно. Потому что не может быть одной сетевой на машине, подключенной к интернету. Минимум две.
lo и что-там-у-тебя-еще.

Опыта мало, помоги. Сетевая eth0 смотрит в инет, IP статический. Правильно ли я понимаю что нужно:
iptables -t nat -A PREROUTING -i eth0 -p tcp -dport 80 -j REDIRECT --to-ports 127.0.0.1:3128
В squid'е параметр http_port ---> 127.0.0.1:3128
alex@ubuntu:~$ cat /etc/hosts
127.0.0.1   localhost
127.0.1.1   ubuntu
А здесь ни чего не трогать?

Код: [Выделить]

iptables -t nat -A PREROUTING  -i eth0 -p tcp --dport 80 -j REDIRECT --to-port 3128Или так

Код: [Выделить]

iptables -t nat -A PREROUTING  -i eth0 -p tcp --dport 80 -d '!' $MASK_LAN -j REDIRECT --to-port 3128

Код: [Выделить]

# Squid normally listens to port 3128
http_port 3128 transparent

[alexandrm80]

Код: [Выделить]

iptables -t nat -A PREROUTING  -i eth0 -p tcp --dport 80 -j REDIRECT --to-port 3128Или так

Код: [Выделить]

iptables -t nat -A PREROUTING  -i eth0 -p tcp --dport 80 -d '!' $MASK_LAN -j REDIRECT --to-port 3128

Код: [Выделить]

# Squid normally listens to port 3128
http_port 3128 transparent

Если я добавляю это правило:

Код: [Выделить]

iptables -t nat -A PREROUTING  -i eth0 -p tcp --dport 80 -j REDIRECT --to-port 3128то по команде iptables -t nat -vL

(Нажмите, чтобы показать/скрыть)

Chain PREROUTING (policy ACCEPT 382K packets, 39M bytes)
 pkts bytes target     prot opt in     out     source               destination         
    0     0 REDIRECT   tcp  --  eth0   any     anywhere             anywhere            tcp dpt:www redir ports 3128

Chain POSTROUTING (policy ACCEPT 292K packets, 26M bytes)
 pkts bytes target     prot opt in     out     source               destination         

Chain OUTPUT (policy ACCEPT 292K packets, 26M bytes)
 pkts bytes target     prot opt in     out     source               destination

пакетов - 0, байт - 0. Почему же так?
При добавлении только этого правила инета нет. Вот мои правила таблицы filters:

(Нажмите, чтобы показать/скрыть)

Chain INPUT (policy DROP 36047 packets, 4150K bytes)
num   pkts bytes target     prot opt in     out     source               destination         
1      271 29229 DROP       all  --  any    any     anywhere             anywhere            state INVALID
2     271K   27M ACCEPT     all  --  any    any     anywhere             anywhere            state RELATED,ESTABLISHED
3        0     0 DROP       all  --  !lo    any     localhost            anywhere           
4      156  9360 ACCEPT     tcp  --  any    any     anywhere             anywhere            tcp dpt:3128
5     2850  150K ACCEPT     tcp  --  any    any     anywhere             anywhere            tcp dpt:6881
6       92  5520 ACCEPT     tcp  --  any    any     anywhere             anywhere            tcp dpt:8112
7        9   540 ACCEPT     all  --  any    any     anywhere             localhost           

Chain FORWARD (policy DROP 0 packets, 0 bytes)
num   pkts bytes target     prot opt in     out     source               destination         

Chain OUTPUT (policy ACCEPT 3909K packets, 5030M bytes)
num   pkts bytes target     prot opt in     out     source               destination         
1     6404 6288K ACCEPT     all  --  any    any     anywhere             localhost

Правильно ли сделал?

[terrible_user]

Если на машине только одна сетевая, можно ли перенаправить все запросы с 80 порта на 3128 порт? То есть что бы все http шли через прокси.

Извиняюсь не удивил, что тебе надо перенаправлять исходящий трафик с локальной машины, это другие правила

[alexandrm80]

Извиняюсь не удивил, что тебе надо перенаправлять исходящий трафик с локальной машины, это другие правила

Правильно ли я составил правило для iptables:

Код: [Выделить]

iptables -t nat -A POSTROUTING  -p tcp --dst 92.243.178.101 --dport 80 -j SNAT --to-source 127.0.0.1:3128
Подскажите, если не так, то как. Нужно при этом добавить правила в таблицу filters?

[terrible_user]

Вот правило которое перебросит исходящие соединение на порт 3128 локального прокси

Код: [Выделить]

iptables -t nat -A OUTPUT -p tcp --dport 80 -j REDIRECT --to-ports 3128но самый прикольный момент, что трафик от самого прокси так же будет переброшен

[AnrDaemon]

Смысла в нем тогда никакого... мертвая петля получается.

[alexandrm80]

Вот правило которое перебросит исходящие соединение на порт 3128 локального прокси

Код: [Выделить]

iptables -t nat -A OUTPUT -p tcp --dport 80 -j REDIRECT --to-ports 3128но самый прикольный момент, что трафик от самого прокси так же будет переброшен

Как же входящий трафик по 80 порту завернуть на прокси, если в системе только eth0 который смотрит в инет и lo на котором висит Squid.