Шлюз Интернета на базе Ubuntu-Server / Internet Connection Sharing + Squid

[Lourens]

Мне нужно пропускать через сервер запросы по 10000 порту это надо для работы на хабе DC++

У меня сейчас прописана вот эта конструкция
iptables -t nat -A PREROUTING -i eth0 -d ! 192.168.0.0/24 -p tcp -m multiport --dport 80,8080 -j DNAT --to 192.168.0.1:3128
ну соответственно по 80,8080 портам все пашет, а чтобы мне переадресовать 10000 порт можно ли вот так прописать
iptables -t nat -A PREROUTING -i eth0 -d ! 192.168.0.0/24 -p tcp -m multiport --dport 80,8080,10000 -j DNAT --to 192.168.0.1:3128 ?

[Vadim Bilalov]

Месье знает толк в извращениях!

[Acristi]

Добрый день.
Почитал тему, попробовал совет из первого поста.
Систему выбрал Ubuntu 8.04 Desctop (необходимо иногда за ней еще работать, все-таки домашняя же сеть), вот ситуация с интерфейсами сетевыми:
 eth0 -   районная сеть с халявой 10.0.0.0/8
 eth1 -   локальная сеть 172.6.0.0/24
 ppp0 -    выход в инет через PPPoE со статическим внешним IP, работает поверх eth0.
 политика по умолчанию - DROP для всех таблиц, кроме OUTPUT - изнутри можно все.
После установки по рецепту из первого поста - в правилах iptables поднималась пересылка в том числе и из eth0 в eth1 и много чего еще странного. Пришлось снести  ipmasq и dnsmasq и создать файлик с правилами для iptables вручную.
Все вроде писал как в разных статьях и мануалах, прописал и в /etc/sysctl.conf  ipforward = 1, и в echo "1" > /proc/sys/net/ipv4/ip_forward
но не работает форвардинг пакетов. Сам сервер всех видит, компы из eth1 тоже его видят, но в интернет/сеть он никого не пускает. В чем косяк? Что почитать еще?
Вот команды, которые ввожу  сейчас:

#Удалить все из таблиц:
sudo iptables -X   # пользовательские цепочки
sudo iptables -F    #стандартные цепочки
sudo iptables -t nat -F
sudo iptables -t nat -X
sudo iptables -t mangle -X
sudo iptables -t mangle -F

#  Установка политик по умолчанию
sudo iptables -P INPUT DROP
sudo iptables -P FORWARD DROP
sudo iptables -P OUTPUT ACCEPT

iptables -A INPUT -i lo -j ACCEPT                               

#включить форвардинг(выполнять только в режиме root):
echo "1" > /proc/sys/net/ipv4/ip_forward

#приемка пакетов для уже существующих соединений из всех сетей:
sudo iptables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT
sudo iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT


#Настройка работа eth1:

# Разрешаем работать с локальной сетью в режиме полный доступ:
sudo iptables -A INPUT -i eth1 --source 172.16.0.0/24 -j ACCEPT

#Разрешаем работу форвардинга в локальную сеть и из нее:
sudo iptables -A FORWARD -i eth1 --source 172.16.0.0/24  -j ACCEPT
sudo iptables -A FORWARD -i eth0 --destination 172.16.0.0/24 --match state  --state ESTABLISHED,RELATED -j ACCEPT
sudo iptables -A FORWARD -i ppp0 --destination 172.16.0.0/24 --match state  --state ESTABLISHED,RELATED -j ACCEPT

# Включаем маскарадинг (для сетей eth0, ppp0 должен работать NAT, т.е. как будто сети eth1 не существует):
sudo iptables -t nat -A POSTROUTING -o -ppp0 -s 172.16.0.0/24 -j MASQUERADE
sudo iptables -t nat -A POSTROUTING -o -eth0 -s 172.16.0.0/24 -j MASQUERADE

Спасибо!

[vovan1982]

Привет всем!!

Народ если кто сталкивался подскажите пожалуйста, вообщем ситуация следующая:
Имеется такая схема

локалка-------------------------шлюз(Ubuntu8.04 Server, shorewall, vpn_client(vtund))--------------------------пров(vpn_server)
                           |
почтовый сервер---

Инет раздаётся через впн, в итоге получаем 3-и интерфейса
loc     eth1 - локалка
rem   eth0 - пров
net   tun0(фиксированный ип) - интернет, поверх eth0

Shorewall настроил, инет раздаётся нормально, но доступ к почтовику из инета получить не получается,
правило типа
DNAT        net               loc:почтовый сервер                 tcp            110,25
не срабатывает, точнее срабатывает но куда оно перенаправляет так и не понял, но точно не туда куда надо, из локалки на почтовик захожу спокойно.

Подскажите в чём косяк, уже 3-и дня над этим бьюсь.

[nextlife]

vovan1982,

http://www.shorewall.net/standalone_ru.html
http://www.shorewall.net/two-interface_ru.html
http://man.chinaunix.net/network/shorewall-docs-html-3.0.8/three-interface_ru.html

и вообще поищи по форуме и почитай, всё ж просто.

[vovan1982]

Samba,

Это всё я уже читал и не один раз, перерыл весь интернет, но так ничего и не нашёл.
Самое интересное, пробовал следующую схему, в качестве net использовал eth0 подключил к нему(eth0) комп, попробовал соедениться всё ок, но с tun0 форвард не идёт.

[vovan1982]

В masq прописано следующее:

eth1                     tun0
tun0                     eth1
eth0                     tun0
eth0                     eth1

[Belcanzor]

Простите, если уже спрашивали.

Как забанить в сквиде отдельно взятого юзера по IP+MAC адресу, что бы он в интернет не ходил.

Есть ли способы обойти запрет? Понятно, что мак-адрес можно поменять, но меня интересуют случаи, скажем так, не намеренного обхода прокси.

[S.Tokarev]

acl banned_user_IP src 1.2.3.4/32
acl banned_user_MAC mac-address 11:22:33:44:55:66
http_access deny banned_user_IP
http_access deny banned_user_MAC

Из "ненамеренных" способов возможно получение карточкой другого мак-адреса при загрузке и, как следствие, получение другого IP-адреса от DHCP-сервера

[Belcanzor]

Отлично, спасибо!

[z0m8ie]

Здравствуйте. Переискал весь форум и не нашёл, решил написать в этой теме, она вроде подходит, но если что не так, пост прошу удалить. 
Есть сервер под управлением Ubuntu 7,10. Настроен сквид, фтп, SARG....Вопрос: как можно получить статистику не только по 80 порту, а по всем, т.е. сколько, кем, по какому порту и когда была скачана информация?хотелось бы видеть ссылку вида:
пользователь____адрес откуда скачивали(до последнего, не как показывает сарг)______размер______время
Заранее спасибо

[Vadim Bilalov]

z0m8ie
Ключевое слово: биллинг

[z0m8ie]

спасибо. и ещё вопросик. Поставил вебмин, когда делаю изменения допустим в веб интерфейсе в меню SARG, то он ничего не сохраняет. что может быть? права?

[AxCel]

Господа здравствуйте,

Возник следующий вопрос. Установил на сервер систему Kubuntu 7.04. Здесь же поставил связку сквид и самс. Застрял на настройке Iptables... Пока там всего 2 правила:

iptables -t nat -R PREROUTING 1 -s 192.168.10.0/24 -d ! 192.168.10.0/24 -p tcp -m multiport --dport 21,22,25,80,110,143,443,5190,8080 -j DNAT --to 192.168.1.212:3128
iptables -t nat -A PREROUTING -s 192.168.10.0/24 -d ! 192.168.10.0/24 -p icmp -j DNAT --to 192.168.1.212:3128

Теперь собственно вопрос: icq и skype при таких раскладах работать не хотят ((( но при этом если вбить им прокси чудесно подключаются... сквид настраивался, как описано в первом посте...
Может кто с чем то подобным сталкивался

[johny87]

Собственно, установка шлюза на базе Ubuntu-Server занимает не больше 10-15 минут. Что я и проделал не так давно.

1. Устанавливаем систему (с ставил ubuntu-6.06-server-i386.iso)
2. У меня подключение по локальной сети с использованием PPPoE. Для этого просто-напросто было запущено
Код:

sudo pppoeconf

и даны ответы на вопросы. По окончании работы pppoeconf соединение было установлено, о чем свидетельствовал положительный вывод на команду
Код:

ifconfig ppp0

3. На установленной машине Интернет появился. Теперь надо добавить включить все репозитарии в /etc/apt/source.list и выполнить
Код:

sudo apt-get update

4. Для доступа с других машин вашей локальной сети необходимо поставить всего лишь навсего два малюсеньких пакета: dnsmasq - чтобы переправлслись ваши DNS-запросы и ipmasq - собственно для NAT'a.
5. На машинках локальной сети получаем IP по DHCP от dnsmasq либо прописываем шлюз по умолчанию ручками.

Да поможет Вам данная инструкция! Ура!

Это вообще может называться инструкцией ? Где написано как настраивать ipmasq & dnsmasq ?