Форум русскоязычного сообщества Ubuntu


Следите за новостями русскоязычного сообщества Ubuntu в Twitter-ленте @ubuntu_ru_loco

Автор Тема: помогите с правилом iptables  (Прочитано 760 раз)

0 Пользователей и 1 Гость просматривают эту тему.

Оффлайн kolesov

  • Автор темы
  • Участник
  • *
  • Сообщений: 196
    • Просмотр профиля
помогите с правилом iptables
« : 20 Января 2014, 11:19:17 »
Всем доброго времени!
есть такое правило:
iptables -t nat -A PREROUTING -s 172.16.11.0/24 -i br1 -p tcp --dport 80  \
       -j REDIRECT --to-ports 3128
т.е. трафик из сети 172.16.11.0/24 заворачивется на порт squid.
но есть одна деталь -  трафик из 172.16.11.0/24 адресованный в сеть  172.16.10.0/24 с того же интерфейса, по тому же порту, не должен заворачиваться на сквид, а идти прямо в означенную сеть. при этом указанное выше правило тоже должно работать. как должно писаться правило?
пробовал:
iptables -A PREROUTING -s 172.16.11.0/24 -d 172.16.10.0/24 -j ACCEPTне работает.

Оффлайн koshev

  • Старожил
  • *
  • Сообщений: 1709
  • חתול המדען
    • Просмотр профиля
Re: помогите с правилом iptables
« Ответ #1 : 20 Января 2014, 12:30:52 »
(Нажмите, чтобы показать/скрыть)
OpenWrt 19.07

Оффлайн fisher74

  • Заслуженный пользователь
  • Старожил
  • *
  • Сообщений: 13756
    • Просмотр профиля
Re: помогите с правилом iptables
« Ответ #2 : 20 Января 2014, 12:32:01 »
пробовал:
iptables -A PREROUTING -s 172.16.11.0/24 -d 172.16.10.0/24 -j ACCEPTне работает.
Естественно, таблица-то другая

Может лучше так?
Цитировать
iptables -t nat -A PREROUTING -s 172.16.11.0/24 ! -d 172.16.11.0/24 -p tcp --dport 80 -j REDIRECT --to-ports 3128


Оффлайн kolesov

  • Автор темы
  • Участник
  • *
  • Сообщений: 196
    • Просмотр профиля
Re: помогите с правилом iptables
« Ответ #3 : 20 Января 2014, 13:36:58 »
fisher74, пробую ваше правило но того что хотел получить, не получается. проблема в том, что в сети 172.16.10.0/24 находятся разные web ресурсы конторы, и при редиректе в ту сеть сквид ругается: Невозможно определить IP-адрес по имени узла "бла-бла-бла". Поэтому я и хотел пустить запросы из 172.16.11.0 в 172.16.10.0/24 мимо сквида.   
« Последнее редактирование: 20 Января 2014, 14:06:55 от kolesov »

Оффлайн AnrDaemon

  • Заслуженный пользователь
  • Старожил
  • *
  • Сообщений: 28365
    • Просмотр профиля
Re: помогите с правилом iptables
« Ответ #4 : 20 Января 2014, 16:27:55 »
Явно squid смотрит на какой-то левый DNS сервер. Лечите его в первую очередь. Потом будете лечить редиректы.
Хотите получить помощь? Потрудитесь представить запрошенную информацию в полном объёме.

Прежде чем [Отправить], нажми [Просмотр] и прочти собственное сообщение. Сам-то понял, что написал?…

Оффлайн kolesov

  • Автор темы
  • Участник
  • *
  • Сообщений: 196
    • Просмотр профиля
Re: помогите с правилом iptables
« Ответ #5 : 20 Января 2014, 17:11:31 »
в моем squid.conf dns нигде не прописан.
(Нажмите, чтобы показать/скрыть)

где еще можно увидеть куда смотрит сквид?
задача в том, чтобы локальные ресурсы нормально отображались.
мне казалось, что заворот локальных запросов мимо сквида должно решать проблему.
« Последнее редактирование: 20 Января 2014, 17:13:34 от kolesov »

Оффлайн AnrDaemon

  • Заслуженный пользователь
  • Старожил
  • *
  • Сообщений: 28365
    • Просмотр профиля
Re: помогите с правилом iptables
« Ответ #6 : 20 Января 2014, 17:13:21 »
в моем squid.conf dns нигде не прописан.
(Нажмите, чтобы показать/скрыть)

где еще можно увидеть куда смотрит сквид?

В системе... очевидно...

Цитировать
задача в том, чтобы локальные ресурсы нормально отображались.
мне казалось, что заворот локальных запросов мимо сквида должно решать проблему.
- Доктор, когда я делаю вот так - у меня болит тут.
- А вы "вот так" не делайте.
Хотите получить помощь? Потрудитесь представить запрошенную информацию в полном объёме.

Прежде чем [Отправить], нажми [Просмотр] и прочти собственное сообщение. Сам-то понял, что написал?…

Оффлайн kolesov

  • Автор темы
  • Участник
  • *
  • Сообщений: 196
    • Просмотр профиля
Re: помогите с правилом iptables
« Ответ #7 : 22 Января 2014, 21:23:05 »
ну да...  проблема была в указании DNS, прописал в интерфейсах (соответственно resolve.conf) и все стало ок.

 

Страница сгенерирована за 0.218 секунд. Запросов: 26.