Шлюз Интернета на базе Ubuntu-Server / Internet Connection Sharing + Squid

[MAKAPOH]

Код: [Выделить]

iptables -t nat -A PREROUTING -i eth0 -d ! 192.168.0.0/24,192.168.15.0/24 -p tcp -m multiport --dport 80,8080 -j DNAT --to 192.168.0.1:3128или, если адресация позволяет, расширяем маску

Код: [Выделить]

iptables -t nat -A PREROUTING -i eth0 -d ! 192.168.0.0/23 -p tcp -m multiport --dport 80,8080 -j DNAT --to 192.168.0.1:3128

о спасиб, про запятую не знал )

[Mam(O)n]

Код: [Выделить]

iptables -t nat -A PREROUTING -i eth0 -d ! 192.168.0.0/24,192.168.15.0/24 -p tcp -m multiport --dport 80,8080 -j DNAT --to 192.168.0.1:3128

Это как?

Код: [Выделить]

sudo iptables -t nat -A PREROUTING -i eth0 -d ! 192.168.0.0/24,192.168.15.0/24 -p tcp -m multiport --dport 80,8080 -j DNAT --to 192.168.0.1:3128
Using intrapositioned negation (`--option ! this`) is deprecated in favor of extrapositioned (`! --option this`).
iptables v1.4.4: host/network `192.168.0.0/24,192.168.15.0' not found
Try `iptables -h' or 'iptables --help' for more information.


[MAKAPOH]

Это как?

Код: [Выделить]

iptables -t nat -A PREROUTING -i eth0 ! -d 192.168.0.0/24,192.168.15.0/24 -p tcp -m multiport --dport 80,8080 -j DNAT --to 192.168.0.1:3128а вот на запятую у мя ругается.. может еще что то добавить нужно? как например multiport если портов несколько?

[fisher74]

Ага, спотыкается... Хотя вроде и должно.
Можт тогда проще

Код: [Выделить]

iptables -t nat -A PREROUTING -i eth0 -o ppp0 -p tcp -m multiport --dport 80,8080 -j DNAT --to 192.168.0.1:3128

[CHIM.86]

Да. Так как сети разделены физически и в каждую на несколько компов нужно будет подать нэт.

Что-то твой ответ не относится к вопросу.
Фильтруешь ты по IP, смысл в отдельных сетевых?

Дело в том что изначально в целях безопасности разные сегменты сотрудников разделены в группы и физически по подсетям, так как необходимо хранить конфиденциальность.  Но это действительно не совсем относится к теме.
Фильтрование по IP я выбрал так как не хочу чтобы каждый раз когда сотрудник(или например директор) открывает мазилу с кучей вкладок, то ему приходилось вводить для каждой вкладки пользователь и пароль. Конечно можно запомнить в мазиле их, но это тоже не удобно каждый раз подтверждать(директор нервный). В общем говорю так как был уже горький опыт с этим делом, по этому и хочу "тихую авторизацию" которую потом можно будет фильтровать и резать по ширине канала.

[hackerochek]

Доброе время суток....

Проблема с интернетом на Ubuntu Server 10.04.1 LTS (CPU-3Ghz Ram-2Gb(free 1Gb-0.5Gb))

интернет получаю из 4-х dsl-модемов (D-Link 2500U - свежая прошивка), каждый модем выдаёт как минимум 15Мб/с Down и 1,5Мб/с Up
использую биллинг traffpro.provider
один модем подключён напрямую к серверу, остальные находятся в сети с клиентами. подправив скрип запуска трафф добавив в iptables сетевую и сеть на модемы
на мозговал скрипт распределения модемов на каждого активного клиента https://forum.ubuntu.ru/index.php?topic=89246.msg843732#msg843732
в сети около 40 клиентов, постоянно активны до 20 из них качают по статистике до 5, ограничение интернета D1Мб/с U256Кб/с на каждого клиента
,,,,,,,,,
инет не стабильный, большие закачки зависают не докачавшись, инет выжимает чаще всего до 40-60Кб/с - редко когда бывает 1Мб,
сегодня утром в сети было активно 6 клиентов, у меня ограничений на скорость нет, обновление Ubuntu шло при скорости 30-40Кб - хотя при подключение напрямую к модему не отключая модем от сервера скорость обновления шла 300-500Кб/с.
Подскажите помогите в чём бока?

[Pashulkin]

в ходе настройки VPN на одной из машин в локалке вылезла прблема:
-с ubuntu-машины идет telnet 195.88.99.111 1888, а с машин в локальной сети - нет. то есть по ходу дела не работает  проброс портов через ubuntu-шлюз

как быть? настраивать iptables?

Все правила проброса портов имеют вид iptables -t nat -A PREROUTING [-p протокол] --dport [внешний порт маршрутизатора] -i ${WAN} -j DNAT --to [IP-адрес/порт для проброса]
попробуй завернуть весь трафик на squid
например так
iptables -t nat -A PREROUTING -i eth0 ! -d 192.168.0.0/24 -p tcp -m multiport --dport 80,8080 -j DNAT --to 192.168.0.1:3128

про iptables:
http://www.opennet.ru/docs/RUS/iptables/

[AxelD]

помогите с настройкой...стоит Ubuntu Server 10.04. DNS сервер и DHCP запускаются, все делал по четкому мануалу. Айпишники раздаются, инет на сервере есть, а на машинах нет..инет на сервер подается с роутера с dhcp.

[tarabo]

помогите с настройкой...стоит Ubuntu Server 10.04. DNS сервер и DHCP запускаются, все делал по четкому мануалу. Айпишники раздаются, инет на сервере есть, а на машинах нет..инет на сервер подается с роутера с dhcp.

Ололо. Сейчас телепатически подключусь к твоему серверу и посмотрю таблицы роутинга, iptables, настройки интерфейсов и все остальное.

[Unreg]

Код: [Выделить]

iptables -t nat -A PREROUTING -i eth0 -d ! 192.168.0.0/24,192.168.15.0/24 -p tcp -m multiport --dport 80,8080 -j DNAT --to 192.168.0.1:3128

Это как?

Код: [Выделить]

sudo iptables -t nat -A PREROUTING -i eth0 -d ! 192.168.0.0/24,192.168.15.0/24 -p tcp -m multiport --dport 80,8080 -j DNAT --to 192.168.0.1:3128
Using intrapositioned negation (`--option ! this`) is deprecated in favor of extrapositioned (`! --option this`).
iptables v1.4.4: host/network `192.168.0.0/24,192.168.15.0' not found
Try `iptables -h' or 'iptables --help' for more information.


есть такое дело с "!"
https://forum.ubuntu.ru/index.php?topic=114808.msg925747#msg925747

[Mam(O)n]

есть такое дело с "!"

Это deprecated и не критично, формат принимает любой. Ключевая фраза в моём посте была здесь: "iptables v1.4.4: host/network `192.168.0.0/24,192.168.15.0' not found", что говорит о невозможности перечислений подсетей назначения/источника...

[fisher74]

Боюсь соврать, но уже вроде критично и уже не принимается старый формат:

Код: [Выделить]

~$ sudo iptables -A INPUT -d ! 192.168.0.1 -j ACCEPT
Using intrapositioned negation (`--option ! this`) is deprecated in favor of extrapositioned (`! --option this`).
~$ iptables --version
iptables v1.4.4
Наврал. Ругается, но принимается.

Код: [Выделить]

~$ sudo iptables-save
# Generated by iptables-save v1.4.4 on Sat Nov 20 23:08:58 2010
*filter
:INPUT ACCEPT [0:0]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [476:57571]
-A INPUT ! -d 192.168.0.1/32 -j ACCEPT
COMMIT
# Completed on Sat Nov 20 23:08:58 2010

[Mam(O)n]

Боюсь соврать

Чтобы не бояться надо проверять, v1.4.4 принимает.

[fisher74]

Каюсь, не посмотрел в результат

[Unreg]

Боюсь соврать

Чтобы не бояться надо проверять

золотые слова

Это deprecated и не критично, формат принимает любой. Ключевая фраза в моём посте была здесь: "iptables v1.4.4: host/network `192.168.0.0/24,192.168.15.0' not found", что говорит о невозможности перечислений подсетей назначения/источника...

пока костылю используя -s и  -m iprange --src-range