Настройка iptables для proxy в режиме моста

[pashich-ssd]

Доброго времени. Есть стандартная сеть: шлюз -> свитч -> рабочие станции. Нужно настроить фильтрацию урлов. Решение - прокси сервер между свитчем и шлюзом в режиме моста. Звучит дико, поэтому чтобы представить вот картинка   (сори за корявость).

Адрес сети, к примеру, 192.168.1.0  суть такова, что фильтрацию трафика нужно сделать примерно так: к диапазону 192.168.1.1-99 - не применять правила фильтрации, к диапазону 192.168.1.100-150 применять, к диапазону 192.168.1.151-254 не применять.

Соответственно, у меня вопрос (учитывая что у нас у проксика интерфейс типа бридж), точнее я вижу 2 варианта:

1. С помощью iptables заворачивать трафик нужного для фильтрации диапазона 192.168.1.100-150 на проксик, и в проксике уже acl-ками делать фильтрацию.
2. С помощью iptables завернуть весь трафик на проксик, а в проксике уже разбивать на диапазоны.

Мне кажется что более по уму использовать первый вариант, и трафик от диапазонов адресов, который не надо фильтровать, просто пропускать дальше.. Если я прав, помогите сделать правила для iptables. Если нет, то обоснуйте пожалуйста почему.

[fisher74]

Выглядит не менее дико, особенно в миниатюре )))
Непонятна причина использования прокси-сервера в качестве моста...
Вариант выбора - на самом деле пофигу, кому какой вкус фломастеров по нраву.
А вот диапазоны я бы всё же поделил ближе к сетевой маске 27, а не к математической красоте.

[pashich-ssd]

Дело в том, что статическая адресация в сети уже сделана, настроен шлюз. Заказчик не хочет менять ни адресацию, ни шлюз по умолчанию. Поэтому придумалось такое дикое решение. Помогите сделать цепочки правил для заворачивания нужных диапазонов адресов на проксик, а не нужных диапазонов - просто пропускать.

[fisher74]

А сделать проксик с адресом шлюза, а внешнюю сторону в новую подсеть?

А по правилам - как-то так:

Код: [Выделить]

sudo iptables -t nat -A PREROUTING -i eth0 -m iprange --src-range 192.168.1.100-192.168.1.150 -p tcp --dports 80,8080 -j REDIRECT 3128
Искренне сочувствую Вам. Работать с netfilter не зная основ управления им - героический поступок псевдоадмина. Прямой путь к бессоным ночам в поисках граблей

[victor00000]

pashich-ssd,
http://paste.ubuntu.com/7774788/

[pashich-ssd]

Искренне сочувствую Вам. Работать с netfilter не зная основ управления им - героический поступок псевдоадмина. Прямой путь к бессоным ночам в поисках граблей

Пасиба, Ваша логика ясна
Пользователь решил продолжить мысль 10 Июля 2014, 15:54:34:

pashich-ssd,
http://paste.ubuntu.com/7774788/

Вы правы. Но вопрос не стоит в топологии сети. Топология будет такая, как я накорябал на картинке в первом посте. Вопрос стоит о настройке iptables для заворачивания части трафика на проксик, а части пропускания до шлюза никуда не заворачивая.

[victor00000]

pashich-ssd,

pashich-ssd,
http://paste.ubuntu.com/7774788/

если прокси ненужно, прямой работает, похоже эти мои https://forum.ubuntu.ru/index.php?topic=246661.0

[ArcFi]

А сделать проксик с адресом шлюза, а внешнюю сторону в новую подсеть?

Поставить proxy на шлюз и не изобретать велосипед.

Чем извращённее хотелки, тем больших размеров костыли они требуют.

[fisher74]

Скорее всего в качестве шлюза выступает аппаратный роутер.
А вот заменить роутер на обсуждаемый комп с прокси в качестве шлюза - будет ещё лучшим решением