Форум русскоязычного сообщества Ubuntu


Увидели сообщение с непонятной ссылкой, спам, непристойность или оскорбление?
Воспользуйтесь ссылкой «Сообщить модератору» рядом с сообщением!

Автор Тема: Правила squid то работают, то нет  (Прочитано 1485 раз)

0 Пользователей и 1 Гость просматривают эту тему.

Оффлайн VKP28

  • Автор темы
  • Новичок
  • *
  • Сообщений: 8
    • Просмотр профиля
Правила squid то работают, то нет
« : 07 Октября 2014, 14:14:44 »
Всем доброго времени суток!
  Есть Ubuntu 11.10 (GNU/Linux 3.0.0-32-generic-pae i686)  на нем настроены iptables и squid 2.7.
  Если из lan c раб станции в браузере пишу  IP_Ubuntu:3128 - то в инет хожу через правила squid,
  если из lan c раб станции в браузере ставлю автомат. определение парвметров - то в инет хожу как будто правил squid нет.
  В настройках сети на раб. станции всегда GW = IP_Ubuntu.
В какую сторону копать ?

Оффлайн .ubuntufan

  • Активист
  • *
  • Сообщений: 638
    • Просмотр профиля
Re: Правила squid то работают, то нет
« Ответ #1 : 07 Октября 2014, 14:34:52 »
NAT отключен?

Можно глянуть правила iptables?

iptables-save
« Последнее редактирование: 07 Октября 2014, 14:36:39 от .ubuntufan »

Оффлайн VKP28

  • Автор темы
  • Новичок
  • *
  • Сообщений: 8
    • Просмотр профиля
Re: Правила squid то работают, то нет
« Ответ #2 : 07 Октября 2014, 14:55:46 »
====================== etc/init.d/rc.firewall ==================
(Нажмите, чтобы показать/скрыть)

Листинги и содержимое текстовых файлов следует добавлять в сообщение с помощью тега [spоiler]...[/spоiler], либо прикреплять к сообщению в виде отдельного файла.
--andrew_bye
« Последнее редактирование: 07 Октября 2014, 16:38:37 от andrew_bye »

Оффлайн ArcFi

  • Старожил
  • *
  • Сообщений: 15189
    • Просмотр профиля
    • aetera.net
Re: Правила squid то работают, то нет
« Ответ #3 : 07 Октября 2014, 15:01:14 »
Скрипты смотреть не нужно.
Нужно смотреть
ip a ; ip r ; sysctl net.ipv4.ip_forward ; sudo iptables-save

Оффлайн .ubuntufan

  • Активист
  • *
  • Сообщений: 638
    • Просмотр профиля
Re: Правила squid то работают, то нет
« Ответ #4 : 07 Октября 2014, 15:10:49 »
Мне кажется сути дела не меняет.
Еще бы вывод ifconfig, но думаю уже очевидно в чем дело.

Цитировать
iptables -A POSTROUTING -t nat -o eth2 -j MASQUERADE

Оффлайн ArcFi

  • Старожил
  • *
  • Сообщений: 15189
    • Просмотр профиля
    • aetera.net
Re: Правила squid то работают, то нет
« Ответ #5 : 07 Октября 2014, 15:24:15 »
Вообще говоря, реальные правила и загружаемые — это разные сущности.
Не надо на человека перекладывать работу интерпретатора скриптов.

Оффлайн VKP28

  • Автор темы
  • Новичок
  • *
  • Сообщений: 8
    • Просмотр профиля
Re: Правила squid то работают, то нет
« Ответ #6 : 07 Октября 2014, 15:40:30 »
Если я правильно понял строчка
iptables -A POSTROUTING -t nat -o eth2 -j MASQUERADE
и является причиной ?

Если ее убрать и перезагрузить iptables (pptpd restart) то изменяя настройки в браузере обойти squid будет нельзя ?

Оффлайн ArcFi

  • Старожил
  • *
  • Сообщений: 15189
    • Просмотр профиля
    • aetera.net
Re: Правила squid то работают, то нет
« Ответ #7 : 07 Октября 2014, 15:48:52 »
Это называется лечением головной боли через отрубание головы.

Оффлайн VKP28

  • Автор темы
  • Новичок
  • *
  • Сообщений: 8
    • Просмотр профиля
Re: Правила squid то работают, то нет
« Ответ #8 : 07 Октября 2014, 15:51:51 »
Поскольку я совсем новичок в Ubuntu подскажите, пожалуйста, правильный путь.

Оффлайн .ubuntufan

  • Активист
  • *
  • Сообщений: 638
    • Просмотр профиля
Re: Правила squid то работают, то нет
« Ответ #9 : 07 Октября 2014, 15:58:08 »
Если вы хотите вообще отключить NAT то да.
Но можно поступить по другому, разрешив форвард только для определенных IP адресов:

iptables -A FORWARD -s 192.168.1.10 -i eth0 -m conntrack --ctstate NEW -j ACCEPT
iptables -A FORWARD -s 192.168.1.20 -i eth0 -m conntrack --ctstate NEW -j ACCEPT

Либо наоборот, дропая для определенных IP адресов:

iptables -A FORWARD -s 192.168.1.30 -i eth0 -m conntrack --ctstate NEW -j DROP

Вместо второй строки:

Цитировать
...
iptables -A FORWARD -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
iptables -A FORWARD -s 192.168.0.0/24 -i eth0 -m conntrack --ctstate NEW -j ACCEPT
iptables -A POSTROUTING -t nat -o eth2 -j MASQUERADE
...

Оффлайн ArcFi

  • Старожил
  • *
  • Сообщений: 15189
    • Просмотр профиля
    • aetera.net
Re: Правила squid то работают, то нет
« Ответ #10 : 07 Октября 2014, 16:01:30 »
подскажите, пожалуйста, правильный путь.
Фильтрация по портам/протоколам выполняется в цепочке FORWARD таблицы filter.
Таблица nat тут не при чём.

Оффлайн VKP28

  • Автор темы
  • Новичок
  • *
  • Сообщений: 8
    • Просмотр профиля
Re: Правила squid то работают, то нет
« Ответ #11 : 07 Октября 2014, 16:06:06 »
Т.Е строка
iptables -A FORWARD -s 192.168.0.0/24 -i eth0 -m conntrack --ctstate NEW -j ACCEPT
разрешает выход с любого IP из сети 192.168.0.0/24

а поставленная вместо нее строка
iptables -A FORWARD -s 192.168.0.10 -i eth0 -m conntrack --ctstate NEW -j ACCEPT
разрешает выход только с IP 192.168.0.10
Я правильно понял?
Под словом "выход" я подразумеваю возможность настройками браузера "обойти" правила squid.
« Последнее редактирование: 07 Октября 2014, 16:10:18 от VKP28 »

Оффлайн .ubuntufan

  • Активист
  • *
  • Сообщений: 638
    • Просмотр профиля
Re: Правила squid то работают, то нет
« Ответ #12 : 07 Октября 2014, 16:11:02 »
Ага, ну и соответственно

iptables -A FORWARD -s 192.168.0.0/24 -i eth0 -m conntrack --ctstate NEW -j DROP

Запретит форвард для всех участников сети 192.168.0.0/24

Оффлайн ArcFi

  • Старожил
  • *
  • Сообщений: 15189
    • Просмотр профиля
    • aetera.net
Re: Правила squid то работают, то нет
« Ответ #13 : 07 Октября 2014, 16:37:57 »
iptables -A INPUT -p UDP -s 192.168.0.0/24 --dport ! 53 -j DROP
Это разве работает?

Оффлайн VKP28

  • Автор темы
  • Новичок
  • *
  • Сообщений: 8
    • Просмотр профиля
Re: Правила squid то работают, то нет
« Ответ #14 : 07 Октября 2014, 20:54:15 »
сделал:

sudo iptables -A FORWARD -s 192.168.0.0/24 -i eth0 -m conntrack --ctstate NEW -j DROP
iptables -A FORWARD -s 192.168.0.1 -i eth0 -m conntrack --ctstate NEW -j ACCEPT

проверил:
sudo iptables -L -n
...
DROP      all  --  192.168.0.0/24        0.0.0.0/0           ctstate NEW
ACCEPT    all  --  192.168.0.1           0.0.0.0/0           ctstate NEW
...

и с 192.168.0.XX  браузер на автомате все равно обходит squid !

 

Страница сгенерирована за 0.017 секунд. Запросов: 21.