squid + iptables один компьютер в обход

[mikoline]

Подскажите, пожалуйста. Есть такая вот ерунда:

-P INPUT DROP
-P FORWARD DROP
-P OUTPUT ACCEPT
-A INPUT -i lo -j ACCEPT
-A INPUT -i eth0 -j ACCEPT
-A INPUT -i eth0 -p udp -m udp --dport 67 -j REJECT --reject-with icmp-port-unreachable
-A INPUT -i eth0 -p udp -m udp --dport 53 -j REJECT --reject-with icmp-port-unreachable
-A INPUT -i eth0 -p tcp -m tcp --dport 0:1023 -j DROP
-A INPUT -i eth0 -p udp -m udp --dport 0:1023 -j DROP
-A INPUT -s 10.10.160.13/32 -i eth1 -j ACCEPT
-A INPUT -s 10.10.160.1/32 -i eth1 -j ACCEPT
-A INPUT -s 172.16.0.11/32 -i eth1 -j ACCEPT
-A INPUT -s XXX.XXX.XXX.0/24 -i ppp0 -j ACCEPT
-A INPUT -s 192.168.1.0/24 -i eth0 -j ACCEPT
-A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
-A INPUT -s 192.168.1.0/24 -i ppp0 -j ACCEPT
-A FORWARD -d 192.168.1.0/24 -i eth0 -j DROP
-A FORWARD -s 192.168.1.0/24 -i eth0 -j ACCEPT
-A FORWARD -d 192.168.1.0/24 -i ppp0 -j ACCEPT

Т.е. в сети браузеры ходят в интернет если у них в настройках указан прокси 192.168.1.1:3128
Необходимо сделать так чтобы компьютер 192.168.1.111 ходил в инет без всяких настроек прокси, чтобы всё работало напрямую. Как сделать? что добавить необходимо? Заранее спасибо.

[fisher74]

в выхлопе только таблица filter, да и не совсем понятно ху ис ху.
Причём правило

Код: [Выделить]

-A INPUT -i eth0 -j ACCEPTпросто перечёркивает кучку следующих правил

-A INPUT -i eth0 -p udp -m udp --dport 67 -j REJECT --reject-with icmp-port-unreachable
-A INPUT -i eth0 -p udp -m udp --dport 53 -j REJECT --reject-with icmp-port-unreachable
-A INPUT -i eth0 -p tcp -m tcp --dport 0:1023 -j DROP
-A INPUT -i eth0 -p udp -m udp --dport 0:1023 -j DROP

кроме того, судя по описанию проблемы, сеть 192.168.1.0/24 - локальная, что вроде бы даже подтверждается правилом

Код: [Выделить]

-A INPUT -s 192.168.1.0/24 -i eth0 -j ACCEPT(правда оно тоже аннулируется правилом описанным выше).
Но если смотреть дальше, то становится непонятно
-A INPUT -s 192.168.1.0/24 -i ppp0 -j ACCEPT
как они вдруг оказываются за ppp0? VPN для доступа в сеть?

И почему
-A FORWARD -d 192.168.1.0/24 -i eth0 -j DROP
то есть к шлюзу никто не должен иметь доступ? У него же есть адрес из этой сети? Ну да, 192.168.1.1 - кальмар на нём крутится. Или нет? Но здесь ситуацию "спасает" то самое правило, которое половину цепочки перечёркивает.

Так где же находится сеть 192.168.1.0/24

Предлагаю устранить дыры, а потом показать выхлоп (с применением тега спойлер)

Код: [Выделить]

ip a;ip r
sysctl net.ipv4.ip_forward
sudo iptables-saveпосле этого будет предметный разговор

[mikoline]

в выхлопе только таблица filter, да и не совсем понятно ху ис ху.
Причём правило

Код: [Выделить]

-A INPUT -i eth0 -j ACCEPTпросто перечёркивает кучку следующих правил

-A INPUT -i eth0 -p udp -m udp --dport 67 -j REJECT --reject-with icmp-port-unreachable
-A INPUT -i eth0 -p udp -m udp --dport 53 -j REJECT --reject-with icmp-port-unreachable
-A INPUT -i eth0 -p tcp -m tcp --dport 0:1023 -j DROP
-A INPUT -i eth0 -p udp -m udp --dport 0:1023 -j DROP

кроме того, судя по описанию проблемы, сеть 192.168.1.0/24 - локальная, что вроде бы даже подтверждается правилом

Код: [Выделить]

-A INPUT -s 192.168.1.0/24 -i eth0 -j ACCEPT(правда оно тоже аннулируется правилом описанным выше).
Но если смотреть дальше, то становится непонятно
-A INPUT -s 192.168.1.0/24 -i ppp0 -j ACCEPT
как они вдруг оказываются за ppp0? VPN для доступа в сеть?

И почему
-A FORWARD -d 192.168.1.0/24 -i eth0 -j DROP
то есть к шлюзу никто не должен иметь доступ? У него же есть адрес из этой сети? Ну да, 192.168.1.1 - кальмар на нём крутится. Или нет? Но здесь ситуацию "спасает" то самое правило, которое половину цепочки перечёркивает.

Так где же находится сеть 192.168.1.0/24

Предлагаю устранить дыры, а потом показать выхлоп (с применением тега спойлер)

Код: [Выделить]

ip a;ip r
sysctl net.ipv4.ip_forward
sudo iptables-saveпосле этого будет предметный разговор

Дело в том, что это осталось после прошлого "админа", а мои знания linux весьма ничтожны и близки к нулю. Адреса в локальной сети имеют вид 192.168.1.100, комп с Ubuntu Server имеет адрес 192.168.1.1, с него же и раздается интернет. Но раздаётся так, что необходимо в браузерах прописывать прокси 192.168.1.1:3128. Как же сделать так, чтобы всё так и осталось работать, но всё-таки добавить один комп в обход этих правил? Или как всё правильно настроить?

[fisher74]

Думаете мне интересны Ваши объяснения? А руководству? Вы являетесь текущим "админ"ом, потому весь спрос с Вас.
Что Вам делать я написал. Сделайте хотя бы то, что можете.
И начинайте уже изучать систему. По iptables не устаю рекомендовать статью

[mikoline]

Думаете мне интересны Ваши объяснения? А руководству? Вы являетесь текущим "админ"ом, потому весь спрос с Вас.
Что Вам делать я написал. Сделайте хотя бы то, что можете.
И начинайте уже изучать систему. По iptables не устаю рекомендовать статью

Являюсь всего лишь экономистом ))) Статью почитаю, спасибо.

[fisher74]

Тогда зовите нового админа. Не гоже в чужом огороде тяпкой махать.