В Dnsmasq.conf данная настройка относится к ipv6, в моем случае клиентские машины получают в качестве ДНС-адреса адрес, заданный здесь
listen-address=127.0.0.1,192.168.1.1
Прочитал манул по IPTABLES, основы понятны, как и ясен тот факт, что одноразового чтения этих основ мало и нужно глубже разбираться (раньше настраивал Mikrotik ROS, там тоже с IPTABLES дело имел).
Возникли новые вопросы:
1. Кто как поступил с HTTPS? Делали ли вы это через Squid, или же без его участия? Если без его участия, то каким образом ведете подсчет трафика? Какой-то инструмент для этого существуют? (я так понимаю, в IPTABLES делается маркировка и дальше все это дело отслеживается и подсчитывается).
2. В попытках освоить IPTABLES, пытаюсь разрешить забирать и отправлять почту по pop/smtp
#!/bin/sh
#Включаем форвардинг пакетов
echo 1 > /proc/sys/net/ipv4/ip_forward
#Разрешаем трафик на loopback-интерфейсе
iptables -A INPUT -i lo -j ACCEPT
iptables -A INPUT -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
#Разрешаем доступ из внутренней сети наружу
iptables -A FORWARD -i eth1 -o eth0 -j ACCEPT
#Разрешаем почтовые порты pop/smtp
iptables -A FORWARD -p tcp -s 192.168.1.0/24 -m multiport --dports 25 -j ACCEPT
iptables -A FORWARD -p tcp -d 192.168.1.0/24 -m multiport --dports 25 -j ACCEPT
iptables -A FORWARD -p tcp -s 192.168.1.0/24 -m multiport --dports 110 -j ACCEPT
iptables -A FORWARD -p tcp -d 192.168.1.0/24 -m multiport --dports 110 -j ACCEPT
#Включаем NAT
iptables -t nat -A POSTROUTING -o eth0 -s 192.168.1.0/24 -j MASQUERADE
#Запрещаем доступ снаружи во внутреннюю сеть
iptables -A FORWARD -i eth0 -o eth1 -j REJECT
#Заворачивем порты на прокси
iptables -t nat -A PREROUTING -i eth1 ! -d 192.168.1.0/24 -p tcp -m multiport --dport 80,8080 -j REDIRECT --to 3128
iptables-save
root@proxy:~# iptables-save
# Generated by iptables-save v1.4.12 on Fri Jul 12 18:01:33 2013
*nat
:PREROUTING ACCEPT [298:17114]
:INPUT ACCEPT [220:12850]
:OUTPUT ACCEPT [263:16169]
:POSTROUTING ACCEPT [263:16169]
-A PREROUTING ! -d 192.168.1.0/24 -i eth1 -p tcp -m multiport --dports 80,8080 -j REDIRECT --to-ports 3128
-A POSTROUTING -s 192.168.1.0/24 -o eth0 -j MASQUERADE
COMMIT
# Completed on Fri Jul 12 18:01:33 2013
# Generated by iptables-save v1.4.12 on Fri Jul 12 18:01:33 2013
*filter
:INPUT ACCEPT [294:18320]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [4576:1176920]
-A INPUT -i lo -j ACCEPT
-A INPUT -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
-A FORWARD -i eth1 -o eth0 -j ACCEPT
-A FORWARD -s 192.168.1.0/24 -p tcp -m multiport --dports 25 -j ACCEPT
-A FORWARD -d 192.168.1.0/24 -p tcp -m multiport --dports 25 -j ACCEPT
-A FORWARD -s 192.168.1.0/24 -p tcp -m multiport --dports 110 -j ACCEPT
-A FORWARD -d 192.168.1.0/24 -p tcp -m multiport --dports 110 -j ACCEPT
-A FORWARD -i eth0 -o eth1 -j REJECT --reject-with icmp-port-unreachable
COMMIT
# Completed on Fri Jul 12 18:01:33 2013
root@proxy:~#
Тема: ЧЯДНТ? Apache, IPTABLES, Ssquid, Zentyal & etc (Прочитано 6653 раз)
