Помогите настроить iptables

[EnMaN]

Сервер ubuntu 12.04.2.
Проблема такая запутался в построении iptables
1) как удалить все правила и начать с нуля.
2) помогите нормально его настроить.. что бы после перезагрузки всё работало.
что имеется:
Иетернет берётся с ppp0 (3g Modem)
eth1 192.168.1.1 подключён к роутеру dir-620 IP 192.168.1.2 (для раздачи интернета по wifi)
dir-620 выдаёт в сети адреса DHCP с 192.168.0.1 до 155
eth0 192.168.0.3 он уже в сети является интерфейсом для файловой помойки samba.

Вопрос как построить правила для проброса из локальной сети в интернет, но при этом проходили через squid 192.168.1.1 на порт 3120

Уже кучу правил перепробовал не чего не выходит, всё что нужно будет предоставить просите дам)))

Код: [Выделить]

Голова идёт кругом от правил.

[ArcFi]

1) начать пользоваться iptables-save/iptables-restore

2) https://www.google.ru/search?q=iptables+%D0%B0%D0%B2%D1%82%D0%BE%D0%B7%D0%B0%D0%B3%D1%80%D1%83%D0%B7%D0%BA%D0%B0&sitesearch=ubuntu.ru

3) https://help.ubuntu.ru/wiki/sharing_internet?#%D0%BF%D1%80%D0%BE%D0%BA%D1%81%D0%B8-%D1%81%D0%B5%D1%80%D0%B2%D0%B5%D1%80_squid

[EnMaN]

Пробовал построить по инструкции не чего не выходит.
На сервере есть интернет проверка путём ping ya.ru пакеты идут,
На клиентской машине приписываю адрес сервера 192.168.1.1:3128.
Пишет ошибка доступ запрещён....
Не могу понять почему не работает.

[ArcFi]

Код: [Выделить]

ip a ; ip r ; sysctl net.ipv4.ip_forward ; sudo iptables-save
ss -lnpt | grep 3128 ; grep -Ev '^#|^$' /etc/squid/squid.conf?

[jura12]

Удалено модератором. Жалоба участников форума на флуд. Предупреждение 10%
#truegeek

[EnMaN]

ArcFi,
Вот))

(Нажмите, чтобы показать/скрыть)

ip a

Код: [Выделить]

1: lo: <LOOPBACK,UP,LOWER_UP> mtu 16436 qdisc noqueue state UNKNOWN
    link/loopback 00:00:00:00:00:00 brd 00:00:00:00:00:00
    inet 127.0.0.1/8 scope host lo
2: eth0: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc pfifo_fast state UP qlen 1000
    link/ether 00:27:0e:13:99:0e brd ff:ff:ff:ff:ff:ff
    inet 192.168.0.3/24 brd 192.168.0.255 scope global eth0
3: eth1: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc pfifo_fast state UP qlen 1000
    link/ether 00:80:48:44:3d:1a brd ff:ff:ff:ff:ff:ff
    inet 192.168.1.1/24 brd 192.168.1.255 scope global eth1
4: ppp0: <POINTOPOINT,MULTICAST,NOARP,UP,LOWER_UP> mtu 1500 qdisc pfifo_fast state UNKNOWN qlen 3
    link/ppp
    inet 10.68.207.237 peer 10.64.64.64/32 scope global ppp0
ip r

Код: [Выделить]

default dev ppp0  scope link
10.64.64.64 dev ppp0  proto kernel  scope link  src 10.68.207.237
192.168.0.0/24 dev eth0  proto kernel  scope link  src 192.168.0.3
192.168.1.0/24 dev eth1  proto kernel  scope link  src 192.168.1.1
sysctl net.ipv4.ip_forward

Код: [Выделить]

net.ipv4.ip_forward = 1
sudo iptables-save ss -lnpt | grep 3128 ; grep -Ev '^#|^$' /etc/squid3/squid.conf

Код: [Выделить]

iptables-save: invalid option -- 'l'
iptables-save: invalid option -- 'n'
iptables-save: invalid option -- 'p'
iptables-save: option requires an argument -- 't'
Unknown arguments found on commandline
acl manager proto cache_object
acl localhost src 127.0.0.1/32 ::1
acl to_localhost dst 127.0.0.0/8 0.0.0.0/32 ::1
acl localnet src 192.168.0.0/24 # RFC1918 possible internal network
acl SSL_ports port 443
acl Safe_ports port 80 # http
acl Safe_ports port 21 # ftp
acl Safe_ports port 443 # https
acl Safe_ports port 70 # gopher
acl Safe_ports port 210 # wais
acl Safe_ports port 1025-65535 # unregistered ports
acl Safe_ports port 280 # http-mgmt
acl Safe_ports port 488 # gss-http
acl Safe_ports port 591 # filemaker
acl Safe_ports port 777 # multiling http
acl CONNECT method CONNECT
http_access allow localhost
http_access deny manager
http_access deny !Safe_ports
http_access deny CONNECT !SSL_ports
http_access allow localhost
http_access deny all
http_port 3128
cache_dir ufs /var/spool/squid3 10240 16 256
maximum_object_size 10240 KB
access_log /var/log/squid3/access.log squid
pid_filename /var/run/squid3.pid
cache_log /var/log/squid3/cache.log
coredump_dir /var/spool/squid3
refresh_pattern \.bz2$          43200   100%    43200 override-lastmod override-expire ignore-reload ignore-no-cache
refresh_pattern \.exe$          43200   100%    43200 override-lastmod override-expire ignore-reload ignore-no-cache
refresh_pattern \.gif$          43200   100%    43200 override-lastmod override-expire ignore-reload ignore-no-cache
refresh_pattern \.gz$           43200   100%    43200 override-lastmod override-expire ignore-reload ignore-no-cache
refresh_pattern \.ico$          43200   100%    43200 override-lastmod override-expire ignore-reload ignore-no-cache
refresh_pattern \.jpg$          43200   100%    43200 override-lastmod override-expire ignore-reload ignore-no-cache
refresh_pattern \.mid$          43200   100%    43200 override-lastmod override-expire ignore-reload ignore-no-cache
refresh_pattern \.mp3$          43200   100%    43200 override-lastmod override-expire ignore-reload ignore-no-cache
refresh_pattern \.pdf$          43200   100%    43200 override-lastmod override-expire ignore-reload ignore-no-cache
refresh_pattern \.swf$          43200   100%    43200 override-lastmod override-expire ignore-reload ignore-no-cache
refresh_pattern \.tar$          43200   100%    43200 override-lastmod override-expire ignore-reload ignore-no-cache
refresh_pattern \.tgz$          43200   100%    43200 override-lastmod override-expire ignore-reload ignore-no-cache
refresh_pattern \.zip$          43200   100%    43200 override-lastmod override-expire ignore-reload ignore-no-cache
refresh_pattern http://ad\.                        43200   100%    43200 override-lastmod override-expire ignore-reload ignore-no-cache
refresh_pattern http://ads\.                       43200   100%    43200 override-lastmod override-expire ignore-reload ignore-no-cache
refresh_pattern http://adv\.                       43200   100%    43200 override-lastmod override-expire ignore-reload ignore-no-cache
refresh_pattern http://click\.                     43200   100%    43200 override-lastmod override-expire ignore-reload ignore-no-cache
refresh_pattern http://count\.                     43200   100%    43200 override-lastmod override-expire ignore-reload ignore-no-cache
refresh_pattern http://counter\.                   43200   100%    43200 override-lastmod override-expire ignore-reload ignore-no-cache
refresh_pattern http://engine\.                    43200   100%    43200 override-lastmod override-expire ignore-reload ignore-no-cache
refresh_pattern http://img\.readme\.ru             43200   100%    43200 override-lastmod override-expire ignore-reload ignore-no-cache
refresh_pattern http://userpic\.livejournal\.com   43200   100%    43200 override-lastmod override-expire ignore-reload ignore-no-cache
refresh_pattern \.ru/bf-analyze                    43200   100%    43200 override-lastmod override-expire ignore-reload ignore-no-cache
refresh_pattern \.ru/bf-si                         43200   100%    43200 override-lastmod override-expire ignore-reload ignore-no-cache
refresh_pattern /advs/                             43200   100%    43200 override-lastmod override-expire ignore-reload ignore-no-cache
refresh_pattern /banners/                          43200   100%    43200 override-lastmod override-expire ignore-reload ignore-no-cache
refresh_pattern /cgi-bin/iframe/                   43200   100%    43200 override-lastmod override-expire ignore-reload ignore-no-cache
refresh_pattern ^ftp: 1440 20% 10080
refresh_pattern ^gopher: 1440 0% 1440
refresh_pattern -i (/cgi-bin/|\?) 0 0% 0
refresh_pattern (Release|Packages(.gz)*)$      0       20%     2880
refresh_pattern . 0 80% 14400
visible_hostname UbuntuSquid
err_page_stylesheet /etc/squid3/errorpage.css
reload_into_ims on

[ArcFi]

EnMaN, у вас там 2 команды слиплись в одну:

Код: [Выделить]

sudo iptables-save
ss -lnpt | grep 3128

[EnMaN]

ArcFi,

(Нажмите, чтобы показать/скрыть)

Код: [Выделить]

[b]sudo iptables-save[/b]
[code]# Generated by iptables-save v1.4.12 on Sat Jun  8 19:12:45 2013
*nat
:PREROUTING ACCEPT [633:40109]
:INPUT ACCEPT [203:14603]
:OUTPUT ACCEPT [178:12097]
:POSTROUTING ACCEPT [22:2546]
-A POSTROUTING -o ppp0 -j MASQUERADE
COMMIT
# Completed on Sat Jun  8 19:12:45 2013
# Generated by iptables-save v1.4.12 on Sat Jun  8 19:12:45 2013
*filter
:INPUT ACCEPT [1826:176669]
:FORWARD ACCEPT [10310:3939049]
:OUTPUT ACCEPT [1662:233712]
:fail2ban-ssh - [0:0]
-A INPUT -p tcp -m multiport --dports 22 -j fail2ban-ssh
-A fail2ban-ssh -j RETURN
COMMIT
# Completed on Sat Jun  8 19:12:45 2013
ss -lnpt | grep 3128

Код: [Выделить]

LISTEN     0      128                      :::3128                    :::*[/code]

Пользователь решил продолжить мысль 08 Июня 2013, 17:18:01:ArcFi,
Интернет на машинках есть с помощью
iptables -t nat -A POSTROUTING -o ppp0 -j MASQUERADE
но мне нужно что бы именно через проксю т.к. настройки для фильтрации и экономии трафика т.к. он должен быть кэширующий

[ArcFi]

1) вы хотите делать прозрачный или непрозрачный прокси?
2) рекомендуется добавить следующие правила:

Код: [Выделить]

*mangle
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]
-A FORWARD -o <inet_if> -p tcp -m tcp --tcp-flags SYN,RST SYN -m tcpmss --mss 1300:1500 -j TCPMSS --clamp-mss-to-pmtu
-A OUTPUT -o <inet_if> -p tcp -m tcp --tcp-flags SYN,RST SYN -m tcpmss --mss 1300:1500 -j TCPMSS --clamp-mss-to-pmtu
COMMIT

[EnMaN]

OK, вы хотите делать прозрачный или непрозрачный прокси?

В данный момент работает как прозрачный сервер, и пишу через него.
Пробовал
iptables -t  nat -A PREROUTING -s 192.168.1.1/24 -i ppp0 -p tcp -m multiport --dport 80,8080 -j REDIRECT --to-ports 3128

Не получается подключиться с других машин.
Для большей настройки сквида нужен не прозрачный режим, вот его я не могу ни как включить.

[AnrDaemon]

OK, вы хотите делать прозрачный или непрозрачный прокси?

В данный момент работает как прозрачный сервер

Судя по вашему фаерволу, нифига он как прозрачный прокси не работает - простой NAT.

[EnMaN]

AnrDaemon,
Подскажи что бы он работал???

[gizomo]

Скачай firewall builder, собири конфиг для iptable, а потом загрузи на сервер.
В fwbuilder уже готовые шаблоны есть в справке. Только осталось скопировать и свои интерфейсы или ip прописать.

[ArcFi]

iptables -t  nat -A PREROUTING -s 192.168.1.1/24 -i ppp0 -p tcp -m multiport --dport 80,8080 -j REDIRECT --to-ports 3128

Входящим должен быть не внешний интерфейс:

Код: [Выделить]

! -i ppp0

[AnrDaemon]

gizomo, стена там ===>