Решено: Вопрос по iptables

[parel77]

Имеем

eth1- 192.168.0.0/24 смотрит в локалку
eth0- 192.168.1.35 инет (ADSL)

на шлюзе стоит squid

Возник вопрос...

как скажем, пользователю из локальной сети... с адресом 192.168.0.55 дать инет в обход прокси сервера ?

скажите куда копать?

[sash-kan]

как скажем, пользователю из локальной сети... с адресом 192.168.0.55 дать инет в обход прокси сервера ?

подправьте под свои требования: как раздать интернет в локальную сеть

[parel77]

как скажем, пользователю из локальной сети... с адресом 192.168.0.55 дать инет в обход прокси сервера ?

подправьте под свои требования: как раздать интернет в локальную сеть

получается так


iptables -t nat -A POSTROUTING -s 192.168.0.55 -o eth0 -j SNAT --to-source 192.168.1.35

?

[sash-kan]

получается так

вам виднее, через какой интерфейс у вас интернет получается и какой ip-адрс закреплён за этим интерфейсом.

p.s. ну и форвардинг не забудьте.
p.p.s. это, как вы понимаете, только начало. чтоб проверить, заработает или нет.

[parel77]

В общем запутался я, не могу дать машине 192.168.0.55 выход в инет в обход SQUID

подскажите где я не прав

Код: Выделить всё

iptables-save
# Generated by iptables-save v1.4.6 on Wed Sep 22 09:59:14 2010
*nat
:PREROUTING ACCEPT [202:10052]
:POSTROUTING ACCEPT [0:0]
:OUTPUT ACCEPT [151:9402]
:L - [0:0]
-A PREROUTING -d 192.168.0.5/32 -p tcp -m tcp --dport 5580 -j DNAT --to-destination xx.xx.xx.xx:5580
-A POSTROUTING -o eth0 -j SNAT --to-source 192.168.1.35
-A POSTROUTING -s 192.168.0.55/32 -d 192.168.0.0/16 -j SNAT --to-source 192.168.1.35
-A POSTROUTING -s 192.168.0.55/32 -d 192.168.0.0/16 -j SNAT --to-source 192.168.1.35
COMMIT
# Completed on Wed Sep 22 09:59:14 2010
# Generated by iptables-save v1.4.6 on Wed Sep 22 09:59:14 2010
*filter
:INPUT ACCEPT [22248:18034344]
:FORWARD DROP [303:14544]
:OUTPUT ACCEPT [24195:18381291]
:L - [0:0]
-A FORWARD -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
-A FORWARD -p udp -m udp --dport 53 -j ACCEPT
-A FORWARD -p tcp -m multiport --dports 25,110 -j ACCEPT
-A FORWARD -d 192.168.0.55/32 -p tcp -m state --state RELATED,ESTABLISHED -j ACCEPT
-A FORWARD -d 192.168.0.55/32 -p tcp -m state --state INVALID,NEW -j DROP
COMMIT

[oper777]

В обход SQUID - это цепочка FORWARD.

У вас там политика DROP.

Нужно разрешить входящие пакеты от 192.168.0.55.

iptables -I FORWARD -s 192.168.0.55 -j ACCEPT

[parel77]

В обход SQUID - это цепочка FORWARD.

У вас там политика DROP.

Нужно разрешить входящие пакеты от 192.168.0.55.

iptables -I FORWARD -s 192.168.0.55 -j ACCEPT

Именно в этом было дело.

Поясните чайнику

Схема цепи

с локальной машины передается в Forward оттуда в SNAT и отправляется на eth1 те инет ?

Вообще кроме поиска где можно прочитать сносный man по iptables ?

[taaroa]

Схема цепи

с локальной машины передается в Forward оттуда в SNAT и отправляется на eth1 те инет ?

http://ru.wikipedia.org/wiki/Файл:Iptables-traversal.svg

Вообще кроме поиска где можно прочитать сносный man по iptables ?

{man,info} iptables
Есть мнение, что самая лучшая документация по предмету расположена на сайте http://netfilter.org.
p.s. на худой конец, можно wiki воспользоваться

[pelmen]

Вот еще, если интересно:
Брандмауэр - шлюз в интернет для локальной сети (iptables)
Брандмауэр - внешняя защита компьютера (iptables)

[dangerous3]

Именно в этом было дело.

Поясните чайнику

Схема цепи

с локальной машины передается в Forward оттуда в SNAT и отправляется на eth1 те инет ?

Вообще кроме поиска где можно прочитать сносный man по iptables ?

Вот неоднократно упоминавшийся источник информации с ответом на ваш вопрос:

Порядок прохождения пакетов в iptables

[parel77]

Код: Выделить всё

iptables-save
# Generated by iptables-save v1.4.6 on Wed Sep 22 09:59:14 2010
*nat
:PREROUTING ACCEPT [202:10052]
:POSTROUTING ACCEPT [0:0]
:OUTPUT ACCEPT [151:9402]
:L - [0:0]
-A PREROUTING -d 192.168.0.5/32 -p tcp -m tcp --dport 5580 -j DNAT --to-destination xx.xx.xx.xx:5580
-A POSTROUTING -o eth0 -j SNAT --to-source 192.168.1.35
-A POSTROUTING -s 192.168.0.55/32 -d 192.168.0.0/16 -j SNAT --to-source 192.168.1.35
-A POSTROUTING -s 192.168.0.55/32 -d 192.168.0.0/16 -j SNAT --to-source 192.168.1.35
COMMIT
# Completed on Wed Sep 22 09:59:14 2010
# Generated by iptables-save v1.4.6 on Wed Sep 22 09:59:14 2010
*filter
:INPUT ACCEPT [22248:18034344]
:FORWARD DROP [303:14544]
:OUTPUT ACCEPT [24195:18381291]
:L - [0:0]
-A FORWARD -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
-A FORWARD -p udp -m udp --dport 53 -j ACCEPT
-A FORWARD -p tcp -m multiport --dports 25,110 -j ACCEPT
-A FORWARD -d 192.168.0.55/32 -p tcp -m state --state RELATED,ESTABLISHED -j ACCEPT
-A FORWARD -d 192.168.0.55/32 -p tcp -m state --state INVALID,NEW -j DROP
COMMIT

[quote]

и еще один вопрос остался не решенным, не могу с 192.168.0.5 порт 5580 достучаться до внешнего IP 5580?

предпологаю, что опять же не прописал forward для 5580 порта ?
или при использовании DNAT его не надо прописывать?

ввел команду на

iptables -A FORWARD -p tcp --dport 5580 -j ACCEPT

нету результата

[oper777]

и еще один вопрос остался не решенным, не могу с 192.168.0.5 порт 5580 достучаться до внешнего IP 5580?

Расшифруйте подробнее.

[parel77]

и еще один вопрос остался не решенным, не могу с 192.168.0.5 порт 5580 достучаться до внешнего IP 5580?

Расшифруйте подробнее.

есть машина в локальной сети с адресом 192.168.0.5 надо открыть доступ машине на внешний ip адрес xx.xx.xx.xx порт 5580, проброс порта сделать
вроде прописал в preroute и postroute

[alex_suse]

Вы бы все-таки ясней говорили.
Если только 192.168.0.5 надо дать доступ на внешнку по порту 5580, то пропишите это в FORWARD, городить отдельный POSTROUTING не надо, PREROUTING тем более.
Если же надо, чтобы из внешки 192.168.0.5 была доступна, то тогда PREROUTING нужен.

[parel77]

Вы бы все-таки ясней говорили.
Если только 192.168.0.5 надо дать доступ на внешнку по порту 5580, то пропишите это в FORWARD, городить отдельный POSTROUTING не надо, PREROUTING тем более.
Если же надо, чтобы из внешки 192.168.0.5 была доступна, то тогда PREROUTING нужен.

из внешки тоже видимо надо, ибо клиент-банк

подскажите такой прстяцкий вопрос, как убрать отдельные правила из iptables?
простите за нубство)

странно, я форвард прописал вроде, но не работает

Код: Выделить всё

-A FORWARD -p tcp -m tcp --dport 5580 -j ACCEPT

для полной картины привожу :

Код: Выделить всё

iptables-save
# Generated by iptables-save v1.4.6 on Mon Sep 27 10:11:44 2010
*nat
:PREROUTING ACCEPT [3217266:168581411]
:POSTROUTING ACCEPT [3482:210488]
:OUTPUT ACCEPT [190174:12031027]
:L - [0:0]
-A PREROUTING -d 192.168.0.5/32 -p tcp -m tcp --dport 5580 -j DNAT --to-destination xx.xx.xx.xx:5580
-A POSTROUTING -d 85.173.112.146/32 -p tcp -m tcp --dport 5580 -j SNAT --to-source 192.168.0.5
-A POSTROUTING -o eth0 -j SNAT --to-source 192.168.1.35
COMMIT
# Completed on Mon Sep 27 10:11:44 2010
# Generated by iptables-save v1.4.6 on Mon Sep 27 10:11:44 2010
*filter
:INPUT ACCEPT [2022031:1373680048]
:FORWARD DROP [66834:3224036]
:OUTPUT ACCEPT [2244966:1434422662]
:L - [0:0]
-A FORWARD -s 192.168.0.4/32 -j ACCEPT
-A FORWARD -s 192.168.0.55/32 -j ACCEPT
-A FORWARD -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
-A FORWARD -p udp -m udp --dport 53 -j ACCEPT
-A FORWARD -p tcp -m multiport --dports 25,110 -j ACCEPT
-A FORWARD -d 192.168.0.55/32 -p tcp -m state --state RELATED,ESTABLISHED -j ACCEPT
-A FORWARD -d 192.168.0.55/32 -p tcp -m state --state INVALID,NEW -j DROP
-A FORWARD -p tcp -m tcp --dport 5580 -j ACCEPT
COMMIT
# Completed on Mon Sep 27 10:11:44 2010

[alex_suse]

Клиент банку маловероятно, что нужен доступ извне, должно хватить FORWARD.
iptables -h выводит справку вполне доступным языком.
И вообще, там есть такая хорошая вещь как запись в лог, что-то не идет именно туда и надо смотреть.

[parel77]

подскажите, как логирование врубить? на отдельных цепях?

ФОРВАРД прописан

Код: Выделить всё

-A FORWARD -d 192.168.0.5/32 -p tcp -m tcp --dport 5580 -j ACCEPT

Такое ощущение, что косяк в самом клиент банке, те в программе указан в настройках шлюз наш те 192.168.0.2 с портом 5580

и в настройках сетевого соединения на компе шлюзом именно стоит 192.168.0.2

[alex_suse]

iptables

[oper777]

Код: Выделить всё

-A FORWARD -d 192.168.0.5/32 -p tcp -m tcp --dport 5580 -j ACCEPT

-d 192.168.0.5 <-- тут должен стоять ip-адрес сервера банка

Возможно вы хотели указать вместо этого

-s 192.168.0.5

?

[parel77]

Код: Выделить всё

-A FORWARD -d 192.168.0.5/32 -p tcp -m tcp --dport 5580 -j ACCEPT

-d 192.168.0.5 <-- тут должен стоять ip-адрес сервера банка

Возможно вы хотели указать вместо этого

-s 192.168.0.5

?

вы правы, после прописания этого правила заработало