Firewall

[crez]

Сэры, мне стыдно, но что-то совсем крыша съехала!
Установил прокси и попутался - не доходит, как завернуть на него пакеты.
Вот кусок rc.firewall:

Код: Выделить всё

$IPTABLES -P INPUT DROP
$IPTABLES -P OUTPUT DROP
$IPTABLES -P FORWARD DROP
.....
пропущено
.....
# FORWARD chain

$IPTABLES -A FORWARD -p tcp -j bad_tcp_packets

$IPTABLES -A FORWARD -i $LAN_IFACE -j ACCEPT - вот здесь я должен что-то другое написать, а что?
$IPTABLES -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT

$IPTABLES -A FORWARD -m limit --limit 3/minute --limit-burst 3 -j LOG \
--log-level DEBUG --log-prefix "IPT FORWARD packet died: "


# bad_tcp_packets chain

$IPTABLES -A bad_tcp_packets -p tcp --tcp-flags SYN,ACK SYN,ACK \
-m state --state NEW -j REJECT --reject-with tcp-reset
$IPTABLES -A bad_tcp_packets -p tcp ! --syn -m state --state NEW -j LOG \
--log-prefix "New not syn:"
$IPTABLES -A bad_tcp_packets -p tcp ! --syn -m state --state NEW -j DROP

Прошу помощи - наведите на нужную мысль

[vidok]

тебе надо с локалки открыть в INPUT доступ к 3128 или какой там у тебя порт прокси слушает
типа
iptables -A INPUT -p tcp --dport 3128 -i eth0 -j ACCEPT, где eth0 твоя локалка
в насройках клиента соответственно прописываешь шлюз и порт
где то на форуме я читал уже про эту проблему, поищи

[crez]

Спасибо за мысль! :thumbsup: А то что-то заработался...
Разрулил я это дело таким образом:

Код: Выделить всё

$IPTABLES -A INPUT -p ALL -i $LAN_IFACE -s $LAN_IP_RANGE -j ACCEPT

а чтоб ходила почта на внешние сервера в цепочке FORWARD добавил такие записи

Код: Выделить всё

$IPTABLES -A FORWARD -p TCP --dport 25 -i $LAN_IFACE -j ACCEPT
$IPTABLES -A FORWARD -p TCP --dport 110 -i $LAN_IFACE -j ACCEPT
$IPTABLES -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT

забыл - для аськи еще портик открыл:

Код: Выделить всё

$IPTABLES -A FORWARD -p TCP --dport 5190 -i $LAN_IFACE -j ACCEPT

[Badfile]

А еще можно настроить прозрачный прокси:

iptables -t nat -A PREROUTING -p tcp -m multiport --dport 80,81,82,83,88,8000,8001,8002,8080,8081 -j REDIRECT --to-port 3128

Это если порт сквида стоит по умолчанию.
Еще, конечно, нужно добавить в squid.conf

httpd_accel_host virtual
httpd_accel_port 80
httpd_accel_with_proxy on httpd_accel_uses_host_header on

[vidok]

я очень не рекомендовал бы тебе открывать с локалки сервак до такой степени, это по крайней мере не безопасно, на мой взгляд следует открыть только порты которые реально слушает сервак (в твоём случае я как понял это проксёвый), а остальное закрыть
я писал примерный конфиг для этого выше
у меня вообще на серваке открыто (в INPUT) только 2 порта с локалки, для прокси и ssh (причём доступ на ssh только с моей машины), остальное всё заперто

[sash-kan]

iptables -t nat -A PREROUTING -p tcp -m multiport --dport 80,81,82,83,88,8000,8001,8002,8080,8081 -j REDIRECT --to-port 3128

↑

вот интересно, кто-нибудь мне все-таки расскажет, работает ли _реально_ данная конструкция для доступа к портам, отличным от 80? будет ли инициировано соединение, например, на порту 8080, если в браузере, находящимся за подобным образом настроенном шлюзом, набрать http://some.host:8080 (естественно, если some.host слушает на 8080)?

[vidok]

http://www.opennet.ru/docs/RUS/iptables/#REDIRECTTARGET
судя по всему Badfile уже юзал, раз пишет

[sash-kan]

http://www.opennet.ru/docs/RUS/iptables/#REDIRECTTARGET

↑

а это-то тут причем???
редирект с _одного_ порта на один/несколько - это одно.
а запихивание соединений с _нескольких_ портов в одну кучу - imho, несколько другое.

судя по всему Badfile уже юзал, раз пишет

↑

вот-вот, интересно бы услышать, _работает_ ли приведенная конструкция.
пример машины, слушающей и на 80 и на 8080-м портах здесь:
NAT + перенаправление пакетов на прокси провайдера (#96383)

[Badfile]

судя по всему Badfile уже юзал, раз пишет

Уже только что ответил - все действительно заворачивает на 80й порт. Если прописать редирект, обе странички выходят одинаковыми.