Форум русскоязычного сообщества Ubuntu


Хотите сделать посильный вклад в развитие Ubuntu и русскоязычного сообщества?
Помогите нам с документацией!

Автор Тема: Заворот трафика с NAT на проксю для разрешенных юзеров iptables  (Прочитано 1065 раз)

0 Пользователей и 1 Гость просматривают эту тему.

Оффлайн KDEX

  • Автор темы
  • Участник
  • *
  • Сообщений: 105
    • Просмотр профиля
Всем привет.
Для приведенного ниже скрипта iptables нужно только для пользователей которым разрешен доступ в инет, заворачивать их трафик на прокси. Подскажите пример скрипта

Скрипт:
(Нажмите, чтобы показать/скрыть)
« Последнее редактирование: 28 Январь 2013, 00:23:02 от KDEX »

Оффлайн AnrDaemon

  • Заслуженный пользователь
  • Старожил
  • *
  • Сообщений: 27364
    • Просмотр профиля
Мы вам не онлайн-интерпретаторы скриптов.
Показывайте iptables-save
Хотите получить помощь? Потрудитесь представить запрошенную информацию в полном объёме.

Прежде чем [Отправить], нажми [Просмотр] и прочти собственное сообщение. Сам-то понял, что написал?…

Оффлайн KDEX

  • Автор темы
  • Участник
  • *
  • Сообщений: 105
    • Просмотр профиля
Результаты iptables-save
(Нажмите, чтобы показать/скрыть)

Оффлайн fisher74

  • Заслуженный пользователь
  • Старожил
  • *
  • Сообщений: 13750
    • Просмотр профиля
Вам нужен NAT или прокси? В вашем вопросе каша, а в правилах чистый NAT с фильтрацией по портам.
Принимаю благодарности в WMR и WMZ на кошельки:
R158160676909 и Z313280060764

Оффлайн KDEX

  • Автор темы
  • Участник
  • *
  • Сообщений: 105
    • Просмотр профиля
fisher74,
Цитировать
Вам нужен NAT или прокси?
Нужен и нат и прокси.
Мне нужно чтобы трафик от указанных пользователей в NATе заворачивался на локальный прокси. Чтобы не бегать по пользователям чтобы прописать настройки прокси в браузерах (в примере 3 пользователя на самом деле больше).
Squid нужен для кеширования, урезания полосы пропускания, ограничения доступа к ресурсам.

в правилах чистый NAT с фильтрацией по портам.
Мне нужно для этой структуры правил дописать перенаправление на прокси. Просто затрудняюсь как это реализовать лаконично.
Понимаю что тут нужена таблица nat цепочка PREROUTING, но тогда у меня не будет проверки по пользователям.


Оффлайн fisher74

  • Заслуженный пользователь
  • Старожил
  • *
  • Сообщений: 13750
    • Просмотр профиля
netfilter проверять по пользователям (в том контексте, что Вы имеете ввиду) не умеет. Только ip, mac.
По пользователям домена, как и по ip и mac можно и на уровне прокси рулить.
Я не совсем понимаю какую именно задачу Вы хотите решить? Сделать так, чтобы себе или сопровождающему админу мозги набекрень свернуть?
Принимаю благодарности в WMR и WMZ на кошельки:
R158160676909 и Z313280060764

Оффлайн KDEX

  • Автор темы
  • Участник
  • *
  • Сообщений: 105
    • Просмотр профиля
Цитировать
Я не совсем понимаю какую именно задачу Вы хотите решить?
Squid нужен для кеширования, урезания полосы пропускания, ограничения доступа к ресурсам.
А редирект с НАТа на прокси для того чтобы всё было в одном месте (все настройки касаемо раздачи трафика) и бегать прописывать не нужно.

Оффлайн fisher74

  • Заслуженный пользователь
  • Старожил
  • *
  • Сообщений: 13750
    • Просмотр профиля
Вы, судя по всему, не совсем корректно понимаете задачи NAT.
Если Вы хотите использовать прокси, то можете смело убирать все существующие правила касающиеся портов которые будете заворачивать на него. Все пакеты из локальной сети с нужными портами поворачивать на прокси. А уже средствами прокси рулить ааа.
А вот с портами, которые не подходят под прокси - придётся повозиться.
А повернуть траффик на прокси легко и просто. Это описано в iptables tutorial
Принимаю благодарности в WMR и WMZ на кошельки:
R158160676909 и Z313280060764

Оффлайн KDEX

  • Автор темы
  • Участник
  • *
  • Сообщений: 105
    • Просмотр профиля
А вот с портами, которые не подходят под прокси - придётся повозиться.
В каком плане повозиться? Их ведь надо будет через NAT организовывать да?

Оффлайн fisher74

  • Заслуженный пользователь
  • Старожил
  • *
  • Сообщений: 13750
    • Просмотр профиля
Да. Ведь Вы хотите запрещать и считать...
Принимаю благодарности в WMR и WMZ на кошельки:
R158160676909 и Z313280060764

 

Страница сгенерирована за 0.262 секунд. Запросов: 24.