Форум русскоязычного сообщества Ubuntu


Считаете, что Ubuntu недостаточно дружелюбна к новичкам?
Помогите создать новое Руководство для новичков!

Автор Тема: squid3 на другой машине  (Прочитано 2387 раз)

0 Пользователей и 1 Гость просматривают эту тему.

Оффлайн Avolon

  • Автор темы
  • Любитель
  • *
  • Сообщений: 94
    • Просмотр профиля
squid3 на другой машине
« : 06 Апрель 2016, 11:16:57 »
Доброе время суток
Есть шлюз на нем Squid 

в iptables  172.20.1.1
*nat
:PREROUTING ACCEPT [0:0]
:POSTROUTING ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]

-A PREROUTING -i eth0 -s 172.20.1.1 -p tcp -m multiport --dport 80,8080 -j REDIRECT --to-port 3128

-A POSTROUTING  -o eth1 -j MASQUERADE

*filter
:INPUT DROP [0:0]
:FORWARD DROP [0:0]
:OUTPUT ACCEPT [0:0]

-A FORWARD -s 172.20.1.1 -j ACCEPT
-A FORWARD -d 172.20.1.1 -j ACCEPT
#Default  Rule
-A FORWARD -m state --state RELATED,ESTABLISHED -j ACCEPT
-A INPUT -m conntrack --ctstate ESTABLISHED,RELATED -j ACCEPT
-A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
-A OUTPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
#lan
-A FORWARD -s 172.20.1.0/24 -j ACCEPT
-A FORWARD -d 172.20.1.0/24 -j ACCEPT

Все норм все работает все редиректится

Но вот решил перенести squid  на др машинку 172.20.1.220
на шлюзе прописал
-A PREROUTING -s 172.20.1.1 -p tcp -m multiport --dport 80 -j DNAT --to-destination 172.20.1.220:3128Сведенье squid 172.20.1.220
usr/sbin/squid -v
Squid Cache: Version 3.5.16-20160402-r14019
Service Name: squid
configure options:  '--prefix=/usr' '--localstatedir=/var' '--libexecdir=/lib/squid' '--srcdir=.' '--datadir=/share/squid' '--sysconfdir=/etc/squid' '--with-default-user=proxy' '--with-logdir=/var/log' '--with-pidfile=/var/run/squid.pid' '--enable-ssl' '--enable-ssl-crtd' '--enable-linux-netfilter' '--with-openssl' '--enable-icap-client' --enable-ltdl-convenience


acl localnet src 172.20.1.0/24

acl SSL_ports port 443
acl Safe_ports port 80          # http
acl Safe_ports port 21          # ftp
acl Safe_ports port 443         # https
acl Safe_ports port 70          # gopher
acl Safe_ports port 210         # wais
acl Safe_ports port 1025-65535  # unregistered ports
acl Safe_ports port 280         # http-mgmt
acl Safe_ports port 488         # gss-http
acl Safe_ports port 591         # filemaker
acl Safe_ports port 777         # multiling http
acl CONNECT method CONNECT

http_access deny !Safe_ports

http_access allow localhost manager
http_access deny manager

http_access allow localnet
http_access allow localhost


http_access deny all

# Squid normally listens to port 3128
http_port 127.0.0.1:3128 intercept
http_port 172.20.1.220:3128
cache_dir ufs /var/cache/squid 100 16 256
coredump_dir /var/cache/squid
refresh_pattern ^ftp:           1440    20%     10080
refresh_pattern ^gopher:        1440    0%      1440
refresh_pattern -i (/cgi-bin/|\?) 0     0%      0
refresh_pattern .               0       20%     4320
Не редиректится (( Но если я в ручную пропишу прокси то все ок.

LOG
tail -f /var/log/cache.log 
2016/04/06 11:11:04 kid1| Store logging disabled
2016/04/06 11:11:04 kid1| DNS Socket created at [::], FD 9
2016/04/06 11:11:04 kid1| DNS Socket created at 0.0.0.0, FD 10
2016/04/06 11:11:04 kid1| Adding nameserver 172.20.1.1 from /etc/resolv.conf
2016/04/06 11:11:04 kid1| helperOpenServers: Starting 5/5 'ssl_crtd' processes
2016/04/06 11:11:04 kid1| HTCP Disabled.
2016/04/06 11:11:04 kid1| Finished loading MIME types and icons.
2016/04/06 11:11:04 kid1| Accepting NAT intercepted HTTP Socket connections at local=127.0.0.1:3128 remote=[::] FD 32 flags=41
2016/04/06 11:11:04 kid1| Accepting HTTP Socket connections at local=172.20.1.220:3128 remote=[::] FD 33 flags=9
B притом в  tail -f /var/log/access.log  не чего не летит просто браузер кричит конект тайм аут
Немогу понять почему нехочет переноправлять

Оффлайн fisher74

  • Заслуженный пользователь
  • Старожил
  • *
  • Сообщений: 13750
    • Просмотр профиля
Re: squid3 на другой машине
« Ответ #1 : 06 Апрель 2016, 14:23:15 »
Может покажете все правила netfilter, а нет только свои безобразия?
sudo iptables-save
Принимаю благодарности в WMR и WMZ на кошельки:
R158160676909 и Z313280060764

Оффлайн Avolon

  • Автор темы
  • Любитель
  • *
  • Сообщений: 94
    • Просмотр профиля
Re: squid3 на другой машине
« Ответ #2 : 06 Апрель 2016, 15:04:25 »
Это на шлюзе 172.20.1.254


sudo iptables-save
# Generated by iptables-save v1.4.7 on Wed Apr  6 14:57:23 2016
*filter
:INPUT DROP [30491:2206821]
:FORWARD DROP [0:0]
:OUTPUT ACCEPT [3001:200298]
:fail2ban-SSH - [0:0]
-A INPUT -p tcp -m tcp --dport 22 -j fail2ban-SSH
-A INPUT -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
-A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
-A INPUT -d 127.0.0.1/32 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 22 -m state --state NEW -m recent --set --name DEFAULT --rsource
-A INPUT -p tcp -m tcp --dport 22 -m state --state NEW -m recent --update --seconds 180 --hitcount 5 --name DEFAULT --rsource -j DROP
-A INPUT -p tcp -m tcp --dport 223 -m state --state NEW -m recent --set --name DEFAULT --rsource
-A INPUT -p tcp -m tcp --dport 223 -m state --state NEW -m recent --update --seconds 180 --hitcount 5 --name DEFAULT --rsource -j DROP
-A INPUT -p tcp -m tcp --dport 22 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 1194 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 1195 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 1196 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 1197 -j ACCEPT
-A INPUT -d 172.20.1.254/32 -p tcp -m tcp --dport 9102 -j ACCEPT
-A INPUT -p icmp -m icmp --icmp-type any -j ACCEPT
-A INPUT -i eth0 -p udp -m udp --dport 53 -j ACCEPT
-A INPUT -d 172.20.1.254/32 -p udp -m udp --dport 53 -j ACCEPT
-A INPUT -d 172.20.2.253/32 -p udp -m udp --dport 53 -j ACCEPT
-A INPUT -i eth0 -p tcp -m tcp --dport 80 -j ACCEPT
-A INPUT -d 172.20.1.254/32 -p tcp -m tcp --dport 80 -j ACCEPT
-A INPUT -d 172.20.2.253/32 -p tcp -m tcp --dport 80 -j ACCEPT
-A INPUT -i eth0 -p udp -m udp --dport 123 -j ACCEPT
-A INPUT -d 172.20.1.254/32 -p udp -m udp --dport 123 -j ACCEPT
-A INPUT -d 172.20.2.253/32 -p udp -m udp --dport 123 -j ACCEPT
-A INPUT -d 172.20.1.254/32 -p tcp -m tcp --dport 3128 -j ACCEPT
-A INPUT -d 172.20.1.220/32 -p tcp -m tcp --dport 3128 -j ACCEPT
-A INPUT -d 172.20.1.254/32 -p tcp -m tcp --dport 3129 -j ACCEPT
-A INPUT -d 172.20.1.220/32 -p tcp -m tcp --dport 3129 -j ACCEPT
-A FORWARD -s 172.20.1.0/24 -p tcp -m multiport --dports 80 -j DROP
-A FORWARD -d 172.20.1.0/24 -p tcp -m multiport --dports 80 -j DROP
-A FORWARD -m state --state RELATED,ESTABLISHED -j ACCEPT
-A FORWARD -s 172.20.1.0/24 -j ACCEPT
-A FORWARD -d 172.20.1.0/24 -j ACCEPT

-A OUTPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
-A fail2ban-SSH -s 58.218.211.244/32 -j REJECT --reject-with icmp-port-unreachable
-A fail2ban-SSH -j RETURN
COMMIT
# Completed on Wed Apr  6 14:57:23 2016
# Generated by iptables-save v1.4.7 on Wed Apr  6 14:57:23 2016
*nat
:PREROUTING ACCEPT [2112568:147405565]
:POSTROUTING ACCEPT [163538:16241929]
:OUTPUT ACCEPT [98628:6605491]

-A PREROUTING -s 172.20.1.1/32 -p tcp -m multiport --dports 80 -j DNAT --to-destination 172.20.1.220:3128
-A PREROUTING -s 172.20.1.1/32 -p tcp -m multiport --dports 443 -j DNAT --to-destination 172.20.1.220:3129
-A POSTROUTING -o eth1 -j MASQUERADE
COMMIT
# Completed on Wed Apr  6 14:57:23 2016




Оффлайн fisher74

  • Заслуженный пользователь
  • Старожил
  • *
  • Сообщений: 13750
    • Просмотр профиля
Re: squid3 на другой машине
« Ответ #3 : 06 Апрель 2016, 15:26:21 »
Так Вы же сами проксе закрыли интернет
-A FORWARD -s 172.20.1.0/24 -p tcp -m multiport --dports 80 -j DROP
-A FORWARD -d 172.20.1.0/24 -p tcp -m multiport --dports 80 -j DROP
Принимаю благодарности в WMR и WMZ на кошельки:
R158160676909 и Z313280060764

Оффлайн Avolon

  • Автор темы
  • Любитель
  • *
  • Сообщений: 94
    • Просмотр профиля
Re: squid3 на другой машине
« Ответ #4 : 06 Апрель 2016, 15:42:56 »
убрал нечего не изменилось ((( просто даже в access.log не пишет нечего ((((
А в ручную пропишу все ок!

Оффлайн fisher74

  • Заслуженный пользователь
  • Старожил
  • *
  • Сообщений: 13750
    • Просмотр профиля
Re: squid3 на другой машине
« Ответ #5 : 06 Апрель 2016, 15:47:08 »
Он у Вас на этом интерефейсе и не должен быть прозначным
Сами же указали
Цитировать
http_port 172.20.1.220:3128
Принимаю благодарности в WMR и WMZ на кошельки:
R158160676909 и Z313280060764

Оффлайн Avolon

  • Автор темы
  • Любитель
  • *
  • Сообщений: 94
    • Просмотр профиля
Re: squid3 на другой машине
« Ответ #6 : 06 Апрель 2016, 15:59:24 »
http_port 172.20.1.220:3128 intercept
http_port 3130
Делал поразному  ((
tail -f /var/log/cache.log       
2016/04/06 16:57:48 kid1| Squid plugin modules loaded: 0
2016/04/06 16:57:48 kid1| Adaptation support is off.
2016/04/06 16:57:48 kid1| Store logging disabled
2016/04/06 16:57:48 kid1| DNS Socket created at [::], FD 9
2016/04/06 16:57:48 kid1| DNS Socket created at 0.0.0.0, FD 10
2016/04/06 16:57:48 kid1| Adding nameserver 172.20.1.1 from /etc/resolv.conf
2016/04/06 16:57:48 kid1| HTCP Disabled.
2016/04/06 16:57:48 kid1| Finished loading MIME types and icons.
2016/04/06 16:57:48 kid1| Accepting NAT intercepted HTTP Socket connections at local=172.20.1.220:3128 remote=[::] FD 11 flags=41
2016/04/06 16:57:48 kid1| Accepting HTTP Socket connections at local=[::]:3130 remote=[::] FD 12 flags=9Не работает!

Пользователь добавил сообщение 06 Апрель 2016, 16:10:51:
Добился всетаки чтоб заработало !! Ща просто пишет Доступ запрещен !!
убтл route на сервере где стоит Squid
« Последнее редактирование: 06 Апрель 2016, 16:10:51 от Avolon »

Оффлайн fisher74

  • Заслуженный пользователь
  • Старожил
  • *
  • Сообщений: 13750
    • Просмотр профиля
Re: squid3 на другой машине
« Ответ #7 : 06 Апрель 2016, 16:35:09 »
Добился всетаки чтоб заработало !! Ща просто пишет Доступ запрещен !!
Ищите почему блочит

убтл route на сервере где стоит Squid
Что? Какой route?
Принимаю благодарности в WMR и WMZ на кошельки:
R158160676909 и Z313280060764

Оффлайн Avolon

  • Автор темы
  • Любитель
  • *
  • Сообщений: 94
    • Просмотр профиля
Re: squid3 на другой машине
« Ответ #8 : 06 Апрель 2016, 20:02:24 »
сори спешил
просто там где сквид я просто убил route del -net 172.20.1.0/24

Оффлайн fisher74

  • Заслуженный пользователь
  • Старожил
  • *
  • Сообщений: 13750
    • Просмотр профиля
Re: squid3 на другой машине
« Ответ #9 : 06 Апрель 2016, 20:13:31 »
Зачем убили? Как Вы его убили? В системе ДОЛЖЕН быть маршрут на присоединённую сеть.
Этот маршрут формируется системой автоматически при поднятии интерфейса, подключенного в эту сеть.
Такое ощущение, что Вы уже не просто топором машете не думая - вдруг попадёте?
Принимаю благодарности в WMR и WMZ на кошельки:
R158160676909 и Z313280060764

Оффлайн Avolon

  • Автор темы
  • Любитель
  • *
  • Сообщений: 94
    • Просмотр профиля
Re: squid3 на другой машине
« Ответ #10 : 07 Апрель 2016, 20:43:05 »
Вот притако route  там где стоит squid
route -n
Таблица маршутизации ядра протокола IP
Destination Gateway Genmask Flags Metric Ref Use Iface
0.0.0.0         172.20.1.254    0.0.0.0         UG    0      0        0 eth0
172.20.1.0      0.0.0.0         255.255.255.0   U     0      0        0 eth0

Не зхотит работать
Даже в логе невидно чтоб  поподал запрос

Но если уберустрочку route del -n 172.20.1.0/24
то плучаю
root@squid:/home/avolon# tail -f /var/log/cache.log   
2016/04/07 21:52:32 kid1| DNS Socket created at [::], FD 9
2016/04/07 21:52:32 kid1| DNS Socket created at 0.0.0.0, FD 10
2016/04/07 21:52:32 kid1| Adding nameserver 172.20.1.1 from /etc/resolv.conf
2016/04/07 21:52:32 kid1| helperOpenServers: Starting 5/5 'ssl_crtd' processes
2016/04/07 21:52:32 kid1| HTCP Disabled.
2016/04/07 21:52:32 kid1| Finished loading MIME types and icons.
2016/04/07 21:52:32 kid1| Accepting NAT intercepted HTTP Socket connections at local=172.20.1.220:3128 remote=[::] FD 23 flags=41
2016/04/07 21:52:32 kid1| Accepting HTTP Socket connections at local=[::]:3130 remote=[::] FD 24 flags=9
2016/04/07 21:52:32 kid1| Accepting NAT intercepted SSL bumped HTTPS Socket connections at local=172.20.1.220:3129 remote=[::] FD 26 flags=41
2016/04/07 21:52:32 kid1| storeLateRelease: released 0 objects
2016/04/07 21:59:22 kid1| ERROR: NF getsockopt(ORIGINAL_DST) failed on local=172.20.1.220:3128 remote=172.20.1.1:54169 FD 7 flags=33: (92) Protocol not available
2016/04/07 21:59:22 kid1| ERROR: NAT/TPROXY lookup failed to locate original IPs on local=172.20.1.220:3128 remote=172.20.1.1:54169 FD 7 flags=33
2016/04/07 21:59:23 kid1| ERROR: NF getsockopt(ORIGINAL_DST) failed on local=172.20.1.220:3128 remote=172.20.1.1:54170 FD 7 flags=33: (92) Protocol not available
2016/04/07 21:59:23 kid1| ERROR: NAT/TPROXY lookup failed to locate original IPs on local=172.20.1.220:3128 remote=172.20.1.1:54170 FD 7 flags=33
2016/04/07 21:59:23 kid1| ERROR: NF getsockopt(ORIGINAL_DST) failed on local=172.20.1.220:3128 remote=172.20.1.1:54172 FD 7 flags=33: (92) Protocol not available
2016/04/07 21:59:23 kid1| ERROR: NAT/TPROXY lookup failed to locate original IPs on local=172.20.1.220:3128 remote=172.20.1.1:54172 FD 7 flags=33
2016/04/07 21:59:26 kid1| ERROR: NF getsockopt(ORIGINAL_DST) failed on local=172.20.1.220:3128 remote=172.20.1.1:54178 FD 7 flags=33: (92) Protocol not available
2016/04/07 21:59:26 kid1| ERROR: NAT/TPROXY lookup failed to locate original IPs on local=172.20.1.220:3128 remote=172.20.1.1:54178 FD 7 flags=33
2016/04/07 21:59:26 kid1| ERROR: NF getsockopt(ORIGINAL_DST) failed on local=172.20.1.220:3128 remote=172.20.1.1:54179 FD 7 flags=33: (92) Protocol not available
2016/04/07 21:59:26 kid1| ERROR: NAT/TPROXY lookup failed to locate original IPs on local=172.20.1.220:3128 remote=172.20.1.1:54179 FD 7 flags=33
2016/04/07 21:59:26 kid1| ERROR: NF getsockopt(ORIGINAL_DST) failed on local=172.20.1.220:3128 remote=172.20.1.1:54180 FD 7 flags=33: (92) Protocol not available
2016/04/07 21:59:26 kid1| ERROR: NAT/TPROXY lookup failed to locate original IPs on local=172.20.1.220:3128 remote=172.20.1.1:54180 FD 7 flags=33
2016/04/07 21:59:27 kid1| ERROR: NF getsockopt(ORIGINAL_DST) failed on local=172.20.1.220:3128 remote=172.20.1.1:54182 FD 7 flags=33: (92) Protocol not available
« Последнее редактирование: 07 Апрель 2016, 21:00:45 от Avolon »

Оффлайн fisher74

  • Заслуженный пользователь
  • Старожил
  • *
  • Сообщений: 13750
    • Просмотр профиля
Re: squid3 на другой машине
« Ответ #11 : 07 Апрель 2016, 23:18:38 »
ip ; ip r
с этой машины покажите
а заодно
sudo iptables-save

только после перезагрузки - без Вашего вмешательства.
Принимаю благодарности в WMR и WMZ на кошельки:
R158160676909 и Z313280060764

Оффлайн Avolon

  • Автор темы
  • Любитель
  • *
  • Сообщений: 94
    • Просмотр профиля
Re: squid3 на другой машине
« Ответ #12 : 08 Апрель 2016, 09:21:06 »
ip r
root@squid:/home/avolon# ip r
default via 172.20.1.254 dev eth0
172.20.1.0/24 dev eth0  proto kernel  scope link  src 172.20.1.220
root@squid:/home/avolon#

iptables-save
iptables-save
# Generated by iptables-save v1.4.21 on Fri Apr  8 10:20:33 2016
*filter
:INPUT ACCEPT [20946:1696308]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [301:24769]
COMMIT
# Completed on Fri Apr  8 10:20:33 2016

Это после reboot
Не работает не как!

Оффлайн fisher74

  • Заслуженный пользователь
  • Старожил
  • *
  • Сообщений: 13750
    • Просмотр профиля
Re: squid3 на другой машине
« Ответ #13 : 08 Апрель 2016, 09:29:08 »
Так, здесь ничего не трогайте. Здесь всё замечательно.
Как я понял текущую проблему, "прозрачный" трафик не идёт на прокси. Если в браузере задать прокси вручную, то всё работает.
Ещё раз покажите текущий конфиг кальмара:
sudo grep -v "^#\|^$" /etc/squid*/squid.conf
С шлюза
ip a; ip r
sudo iptables-save

И не плохо было бы ip a;ip r с клиента
Принимаю благодарности в WMR и WMZ на кошельки:
R158160676909 и Z313280060764

Оффлайн Avolon

  • Автор темы
  • Любитель
  • *
  • Сообщений: 94
    • Просмотр профиля
Re: squid3 на другой машине
« Ответ #14 : 08 Апрель 2016, 09:38:03 »
sudo grep -v "^#\|^$" /etc/squid*/squid.conf


sudo grep -v "^#\|^$" /etc/squid*/squid.conf
visible_hostname proxy
acl localnet src 172.20.1.0/24
acl SSL_ports port 443
acl Safe_ports port 80          # http
acl Safe_ports port 21          # ftp
acl Safe_ports port 443         # https
acl Safe_ports port 70          # gopher
acl Safe_ports port 210         # wais
acl Safe_ports port 1025-65535  # unregistered ports
acl Safe_ports port 280         # http-mgmt
acl Safe_ports port 488         # gss-http
acl Safe_ports port 591         # filemaker
acl Safe_ports port 777         # multiling http
acl CONNECT method CONNECT
acl lan src "/etc/squid/lan.acl"
http_access allow lan
http_access allow localnet
http_access allow localhost
http_access deny !Safe_ports
http_access deny CONNECT !SSL_ports
http_access allow localhost manager
http_access deny manager
http_access deny to_localhost
http_access deny all
http_port 172.20.1.220:3128 intercept
http_port 127.0.0.1:3128
https_port 172.20.1.220:3129 intercept ssl-bump generate-host-certificates=on dynamic_cert_mem_cache_size=4MB cert=/etc/squid/ssl/squid.pem key=/etc/squid/ssl/squid.key
cache_dir ufs /var/cache/squid 100 16 256
always_direct allow all
ssl_bump client-first all
sslproxy_cert_error allow all
sslproxy_flags DONT_VERIFY_PEER
sslcrtd_program /lib/squid/ssl_crtd -s /var/lib/ssl-db -M 4MB
sslcrtd_children 5
coredump_dir /var/cache/squid
refresh_pattern ^ftp:           1440    20%     10080
refresh_pattern ^gopher:        1440    0%      1440
refresh_pattern -i (/cgi-bin/|\?) 0     0%      0
refresh_pattern .               0       20%     4320

Пользователь добавил сообщение 08 Апрель 2016, 09:39:07:
Клиентт на Винеде !


iptables-save

 iptables-save
# Generated by iptables-save v1.4.7 on Fri Apr  8 09:55:55 2016
*filter
:INPUT DROP [290613:23382432]
:FORWARD DROP [14:1064]
:OUTPUT ACCEPT [31235:2116321]
:fail2ban-SSH - [0:0]
-A INPUT -p tcp -m tcp --dport 22 -j fail2ban-SSH
-A INPUT -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
-A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
-A INPUT -d 127.0.0.1/32 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 22 -m state --state NEW -m recent --set --name DEFAULT --rsource
-A INPUT -p tcp -m tcp --dport 22 -m state --state NEW -m recent --update --seconds 180 --hitcount 5 --name DEFAULT --rsource -j DROP
-A INPUT -p tcp -m tcp --dport 223 -m state --state NEW -m recent --set --name DEFAULT --rsource
-A INPUT -p tcp -m tcp --dport 223 -m state --state NEW -m recent --update --seconds 180 --hitcount 5 --name DEFAULT --rsource -j DROP
-A INPUT -p tcp -m tcp --dport 22 -j ACCEPT
-A INPUT -p icmp -m icmp --icmp-type any -j ACCEPT
-A INPUT -i eth0 -p udp -m udp --dport 53 -j ACCEPT
-A INPUT -d 172.20.1.254/32 -p udp -m udp --dport 53 -j ACCEPT
-A INPUT -d 172.20.2.253/32 -p udp -m udp --dport 53 -j ACCEPT
-A INPUT -i eth0 -p tcp -m tcp --dport 80 -j ACCEPT
-A INPUT -d 172.20.1.254/32 -p tcp -m tcp --dport 80 -j ACCEPT
-A INPUT -d 172.20.2.253/32 -p tcp -m tcp --dport 80 -j ACCEPT
-A INPUT -i eth0 -p udp -m udp --dport 123 -j ACCEPT
-A INPUT -d 172.20.1.254/32 -p udp -m udp --dport 123 -j ACCEPT
-A INPUT -d 172.20.2.253/32 -p udp -m udp --dport 123 -j ACCEPT
-A INPUT -d 172.20.1.254/32 -p tcp -m tcp --dport 3128 -j ACCEPT
-A INPUT -d 172.20.1.220/32 -p tcp -m tcp --dport 3128 -j ACCEPT
-A INPUT -d 172.20.1.254/32 -p tcp -m tcp --dport 3129 -j ACCEPT
-A INPUT -d 172.20.1.220/32 -p tcp -m tcp --dport 3129 -j ACCEPT
-A FORWARD -s 172.20.1.220/32 -j ACCEPT
-A FORWARD -d 172.20.1.220/32 -j ACCEPT
-A FORWARD -s 172.20.1.1/32 -j ACCEPT
-A FORWARD -d 172.20.1.1/32 -j ACCEPT
-A FORWARD -m state --state RELATED,ESTABLISHED -j ACCEPT
-A FORWARD -s 172.20.1.0/24 -j ACCEPT
-A FORWARD -d 172.20.1.0/24 -j ACCEPT
-A OUTPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
-A fail2ban-SSH -j RETURN
COMMIT
# Completed on Fri Apr  8 09:55:55 2016
# Generated by iptables-save v1.4.7 on Fri Apr  8 09:55:55 2016
*nat
:PREROUTING ACCEPT [3873582:246581099]
:POSTROUTING ACCEPT [439123:27563602]
:OUTPUT ACCEPT [50000:3457078]
-A PREROUTING -s 172.20.1.1/32 -p tcp -m multiport --dports 80 -j DNAT --to-destination 172.20.1.220:3128
-A PREROUTING -s 172.20.1.1/32 -p tcp -m multiport --dports 443 -j DNAT --to-destination 172.20.1.220:3129 
-A POSTROUTING -o eth1 -j MASQUERADE
COMMIT
# Completed on Fri Apr  8 09:55:55 2016
« Последнее редактирование: 08 Апрель 2016, 10:01:16 от Avolon »

 

Страница сгенерирована за 0.063 секунд. Запросов: 24.