Правила squid то работают, то нет

[VKP28]

Всем доброго времени суток!
  Есть Ubuntu 11.10 (GNU/Linux 3.0.0-32-generic-pae i686)  на нем настроены iptables и squid 2.7.
  Если из lan c раб станции в браузере пишу  IP_Ubuntu:3128 - то в инет хожу через правила squid,
  если из lan c раб станции в браузере ставлю автомат. определение парвметров - то в инет хожу как будто правил squid нет.
  В настройках сети на раб. станции всегда GW = IP_Ubuntu.
В какую сторону копать ?

[.ubuntufan]

NAT отключен?

Можно глянуть правила iptables?

Код: [Выделить]

iptables-save


[VKP28]

====================== etc/init.d/rc.firewall ==================

(Нажмите, чтобы показать/скрыть)

#!/bin/bash


/sbin/depmod -a

/sbin/modprobe ip_tables
/sbin/modprobe ip_conntrack
/sbin/modprobe iptable_filter
/sbin/modprobe iptable_mangle
/sbin/modprobe iptable_nat
/sbin/modprobe ipt_LOG
/sbin/modprobe ipt_limit
/sbin/modprobe ipt_state

echo "1" > /proc/sys/net/ipv4/ip_forward

echo "Modules loaded"

iptables -F
iptables -F INPUT
iptables -F OUTPUT
iptables -F FORWARD

iptables -t nat -F

iptables -P INPUT ACCEPT
iptables -P OUTPUT ACCEPT
iptables -P FORWARD DROP

echo "Flush OK"

iptables -A INPUT -p tcp --tcp-flags SYN,ACK SYN,ACK -m state --state NEW -j REJECT --reject-with tcp-reset
iptables -A INPUT -p tcp ! --syn -m state --state NEW -j LOG --log-prefix "New not syn:"
iptables -A INPUT -p tcp ! --syn -m state --state NEW -j DROP

iptables -A INPUT -p tcp -s 127.0.0.1 -j ACCEPT
iptables -A INPUT -p TCP -s 192.168.0.0/24 -m multiport --dport 21,22,25,110,995,8080,3128,1723 -j ACCEPT
iptables -A INPUT -p TCP -s 192.168.0.0/24 -m multiport --dport 22,3128,80 -j ACCEPT

iptables -A INPUT -p TCP -s 192.168.0.0/24 -m multiport --dport 22,3128,80 -j ACCEPT


iptables -A INPUT -p UDP -s 192.168.0.0/24 --dport ! 53 -j DROP
iptables -A INPUT -p UDP -s 192.168.0.241/32 -m multiport --destination-port ! 123,53 -j DROP

iptables -A FORWARD -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
iptables -A FORWARD -s 192.168.0.0/24 -i eth0 -m conntrack --ctstate NEW -j ACCEPT
iptables -A POSTROUTING -t nat -o eth2 -j MASQUERADE

iptables -A FORWARD -p TCP -s 192.168.0.0/24 -m multiport --dport 21,25,160,110,995,587,993,1024,87,9080,9443,8470,465,1723,1$
iptables -A FORWARD -p TCP -s 192.168.0.0/24 -m multiport --dport 143,587,9443,1110 -j ACCEPT # Promsvyazbank


################################ N T P #########################
iptables -A FORWARD -p udp --dport 123 -j ACCEPT
iptables -A FORWARD -p udp -s 192.168.0.2  --dport 123 -j ACCEPT
iptables -A FORWARD -p udp -s 192.168.0.3  --dport 123 -j ACCEPT
iptables -A FORWARD -p udp -s 192.168.0.5  --dport 123 -j ACCEPT
iptables -A FORWARD -p udp -s 192.168.0.50  --dport 123 -j ACCEPT
iptables -A FORWARD -p udp -s 192.168.0.80  --dport 123 -j ACCEPT
iptables -A FORWARD -p udp -s 192.168.0.244  --dport 123 -j ACCEPT
iptables -A FORWARD -p udp -s 192.168.0.250  --dport 123 -j ACCEPT
echo "NTP OK"


################################### R e d i r e c t   t o   S r v ####################################
iptables -t nat -A PREROUTING -p TCP --dst 192.168.0.241 --dport 80 -j DNAT --to-destination 192.168.0.72

iptables -A FORWARD -p tcp -i eth2 -d 192.168.0.72 --dport 80  -j ACCEPT
echo "PrjSrv OK"



######################################## VPN  U s e r s ##########################3
iptables -A FORWARD -p TCP -s 192.168.0.20 -m multiport --dport 3389,1723,4899,139,5500,160,53 -j ACCEPT
iptables -A FORWARD -p TCP -s 192.168.0.21 -m multiport --dport 3389,1723,4899,139,5500,160,53 -j ACCEPT
iptables -A FORWARD -p TCP -s 192.168.0.22 -m multiport --dport 3389,1723,4899,139,5500,160,53 -j ACCEPT


iptables -A FORWARD -p TCP -s 192.168.0.21 -m multiport --dport 3389,1723,4899,139,5500,160,53 -j ACCEPT
iptables -A FORWARD -p TCP -s 192.168.0.22 -m multiport --dport 3389,1723,4899,139,5500,160,53 -j ACCEPT
iptables -A FORWARD -p TCP -s 192.168.0.23 -m multiport --dport 3389,1723,4899,139,5500,160,53 -j ACCEPT
iptables -A FORWARD -p TCP -s 192.168.0.24 -m multiport --dport 3389,1723,4899,139,5500,160,53 -j ACCEPT

iptables -A FORWARD -p TCP -s 192.168.0.19 -m multiport --dport 3389,1723,4899,139,5500,160,53,445 -j ACCEPT
iptables -A FORWARD -s 192.168.0.18 -j ACCEPT

iptables -A FORWARD -s 192.168.0.26 -j ACCEPT
iptables -A FORWARD -p TCP -s 192.168.0.27 -m multiport --dport 3389,1723,4899,139,5500,160,53 -j ACCEPT
iptables -A FORWARD -p TCP -s 192.168.0.28 -m multiport --dport 3389,1723,4899,139,5500,160,53 -j ACCEPT
iptables -A FORWARD -s 192.168.0.29 -j ACCEPT

iptables -A FORWARD -p TCP -s 192.168.0.65 -m multiport --dport 3389,139,160,53 -j ACCEPT
iptables -A FORWARD -p TCP -s 192.168.0.66 -m multiport --dport 3389,139,160,53 -j ACCEPT


iptables -A FORWARD -p UDP -s 192.168.0.0/24 --dport 53 -j ACCEPT
echo "VPN rules OK"




###################################### Free WiFi clients ######################
iptables -A FORWARD -s 192.168.0.16 -m multiport --dport 80,3128 -j ACCEPT

echo "Wifi internet clients OK"

Листинги и содержимое текстовых файлов следует добавлять в сообщение с помощью тега [spоiler]...[/spоiler], либо прикреплять к сообщению в виде отдельного файла.
--andrew_bye

[ArcFi]

Скрипты смотреть не нужно.
Нужно смотреть

Код: [Выделить]

ip a ; ip r ; sysctl net.ipv4.ip_forward ; sudo iptables-save

[.ubuntufan]

Мне кажется сути дела не меняет.
Еще бы вывод ifconfig, но думаю уже очевидно в чем дело.

iptables -A POSTROUTING -t nat -o eth2 -j MASQUERADE

[ArcFi]

Вообще говоря, реальные правила и загружаемые — это разные сущности.
Не надо на человека перекладывать работу интерпретатора скриптов.

[VKP28]

Если я правильно понял строчка
iptables -A POSTROUTING -t nat -o eth2 -j MASQUERADE
и является причиной ?

Если ее убрать и перезагрузить iptables (pptpd restart) то изменяя настройки в браузере обойти squid будет нельзя ?

[ArcFi]

Это называется лечением головной боли через отрубание головы.

[VKP28]

Поскольку я совсем новичок в Ubuntu подскажите, пожалуйста, правильный путь.

[.ubuntufan]

Если вы хотите вообще отключить NAT то да.
Но можно поступить по другому, разрешив форвард только для определенных IP адресов:

Код: [Выделить]

iptables -A FORWARD -s 192.168.1.10 -i eth0 -m conntrack --ctstate NEW -j ACCEPT
iptables -A FORWARD -s 192.168.1.20 -i eth0 -m conntrack --ctstate NEW -j ACCEPT

Либо наоборот, дропая для определенных IP адресов:

Код: [Выделить]

iptables -A FORWARD -s 192.168.1.30 -i eth0 -m conntrack --ctstate NEW -j DROP

Вместо второй строки:

...
iptables -A FORWARD -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
iptables -A FORWARD -s 192.168.0.0/24 -i eth0 -m conntrack --ctstate NEW -j ACCEPT
iptables -A POSTROUTING -t nat -o eth2 -j MASQUERADE
...

[ArcFi]

подскажите, пожалуйста, правильный путь.

Фильтрация по портам/протоколам выполняется в цепочке FORWARD таблицы filter.
Таблица nat тут не при чём.

[VKP28]

Т.Е строка
iptables -A FORWARD -s 192.168.0.0/24 -i eth0 -m conntrack --ctstate NEW -j ACCEPT
разрешает выход с любого IP из сети 192.168.0.0/24

а поставленная вместо нее строка
iptables -A FORWARD -s 192.168.0.10 -i eth0 -m conntrack --ctstate NEW -j ACCEPT
разрешает выход только с IP 192.168.0.10
Я правильно понял?
Под словом "выход" я подразумеваю возможность настройками браузера "обойти" правила squid.

[.ubuntufan]

Ага, ну и соответственно

Код: [Выделить]

iptables -A FORWARD -s 192.168.0.0/24 -i eth0 -m conntrack --ctstate NEW -j DROP

Запретит форвард для всех участников сети 192.168.0.0/24

[ArcFi]

iptables -A INPUT -p UDP -s 192.168.0.0/24 --dport ! 53 -j DROP

Это разве работает?

[VKP28]

сделал:

sudo iptables -A FORWARD -s 192.168.0.0/24 -i eth0 -m conntrack --ctstate NEW -j DROP
iptables -A FORWARD -s 192.168.0.1 -i eth0 -m conntrack --ctstate NEW -j ACCEPT

проверил:
sudo iptables -L -n
...
DROP      all  --  192.168.0.0/24        0.0.0.0/0           ctstate NEW
ACCEPT    all  --  192.168.0.1           0.0.0.0/0           ctstate NEW
...

и с 192.168.0.XX  браузер на автомате все равно обходит squid !