Автор Тема: Выход одного компьютера в Интернет минуя Squid [решено] (Прочитано 4274 раз)

Yaroslavskiy · « : 03.06.2011 15:40:40 »

Есть локальная сеть. Есть прокси сервер Squid. Все выходят в Интернет с авторизацией на проксе. Как сделать, чтоб один компьютер, с определённым IP выходил минуя Squid?

Пробовал такой вариант:

iptables -A FORWARD -i eth-lan -o eth-tt -j ACCEPT
iptables -t nat -A POSTROUTING -o eth-tt -s 192.168.50.48 -j MASQUERADE
iptables -A FORWARD -i eth-tt -o eth-lan -j REJECT
service iptables save

Не срабатывает. Что я не так делаю???

(eth-lan - внутренний, eth-tt - внешний)

ksa · « **Ответ #1 :** 03.06.2011 16:32:28 »

Возможно забыли INPUT/OUTPUT разрешить на одном из интерфейсов для вашего конкретного адреса.

Yaroslavskiy · « **Ответ #2 :** 03.06.2011 17:02:08 »

Прошу прощения за наглость, ... а можно немного поконкретней?

ksa · « **Ответ #3 :** 03.06.2011 18:37:43 »

У вас правила только для форвардинга и маскарадинга. А правила для цепочкек INPUT/OUTPUT, что имеются на каждом из интерфесов и контролируют входящие\исходящие пакеты, у вас имеются ?

speccyfan · « **Ответ #4 :** 05.06.2011 20:36:02 »

А форвардинг включен? Что говорит команда:

Код: [Выделить]

cat /proc/sys/net/ipv4/ip_forward И настроен ли маршрут по умолчанию на том компе, который нужно выпустить напрямую?

lucefer · « **Ответ #5 :** 06.06.2011 07:08:45 »

Цитата: Yaroslavskiy от 03.06.2011 17:02:08

Прошу прощения за наглость, ... а можно немного поконкретней?

http://zamikt.ru/archives/92

asy · « **Ответ #6 :** 06.06.2011 10:50:06 »

Цитата: sb от 03.06.2011 18:37:43

У вас правила только для форвардинга и маскарадинга. А правила для цепочкек INPUT/OUTPUT, что имеются на каждом из интерфесов и контролируют входящие\исходящие пакеты, у вас имеются ?

INPUT/OUTPUT не влияют на то, что должно идти через FORWARD.

ksa · « **Ответ #7 :** 06.06.2011 11:02:36 »

Цитата: asy от 06.06.2011 10:50:06

INPUT/OUTPUT не влияют на то, что должно идти через FORWARD.

Если имеются правила INPUT\OUTPUT, блокирующие прохождение пакетов через интерфейс, то никакой FORWARD вам не поможет.

asy · « **Ответ #8 :** 06.06.2011 11:57:47 »

Цитата: sb от 06.06.2011 11:02:36

Цитата: asy от 06.06.2011 10:50:06
INPUT/OUTPUT не влияют на то, что должно идти через FORWARD.
Если имеются правила INPUT\OUTPUT, блокирующие прохождение пакетов через интерфейс, то никакой FORWARD вам не поможет.

INPUT\OUTPUT правила вообще никак не отразятся на транзитном трафике через шлюз. Попробуйте.
http://ebtables.sourceforge.net/br_fw_ia/bridge3b.png
На то, что эта схема из статьи про ebtables/bridge, внимания обращать не надо.

ksa · « **Ответ #9 :** 06.06.2011 12:20:29 »

На одном из интерфейсов стоит правило iptables -A INPUT -s 192.168.0.0/24 -j DROP или iptables -P INPUT DROP. Внимание вопрос. Будет ли хоть что-то из данной подсетки проходить дальше по цепочке правил?

asy · « **Ответ #10 :** 06.06.2011 12:22:07 »

Цитата: sb от 06.06.2011 12:20:29

На одном из интерфейсов стоит правило iptables -A INPUT -s 192.168.0.0/24 -j DROP или iptables -P INPUT DROP. Внимание вопрос. Будет ли хоть что-то из данной подсетки проходить дальше по цепочке правил?

По цепочке FORWARD ? Да, разумеется, будет. Транзитные пакеты в INPUT не попадают вообще.

ksa · « **Ответ #11 :** 06.06.2011 12:47:56 »

Хм, похоже действительно не попадают. В таком случае, зачем топикстартер запретил обратное прохождение пакетов ? Или тут отрабатывает "маскарад" (сам всегда пользовался SNAT\DNAT) ?

asy · « **Ответ #12 :** 06.06.2011 12:54:30 »

Цитата: sb от 06.06.2011 12:47:56

В таком случае, зачем топикстартер запретил обратное прохождение пакетов ? Или тут отрабатывает "маскарад" (сам всегда пользовался SNAT\DNAT) ?

У него там всё с цепочкой FORWARD. Но я ещё не вчитывался.

asy · « **Ответ #13 :** 06.06.2011 13:11:38 »

Цитата: Yaroslavskiy от 03.06.2011 15:40:40

iptables -A FORWARD -i eth-lan -o eth-tt -j ACCEPT
iptables -t nat -A POSTROUTING -o eth-tt -s 192.168.50.48 -j MASQUERADE
iptables -A FORWARD -i eth-tt -o eth-lan -j REJECT
service iptables save
Не срабатывает. Что я не так делаю???
(eth-lan - внутренний, eth-tt - внешний)

Я ссылку уже дал на схему прохождения пакетов. весь FORWARD срабатывает до POSTROUTING nat.
iptables -I FORWARD -s 192.168.50.48 -j ACCEPT спасёт ситуацию.

Mykola Grechukh · « **Ответ #14 :** 06.06.2011 13:28:56 »

Цитата: sb от 06.06.2011 11:02:36

Цитата: asy от 06.06.2011 10:50:06
INPUT/OUTPUT не влияют на то, что должно идти через FORWARD.
Если имеются правила INPUT\OUTPUT, блокирующие прохождение пакетов через интерфейс, то никакой FORWARD вам не поможет.

INPUT/OUTPUT таблицы filter блокируют не "прохождение пакетов через интерфейс", тут Вам не ipfw.

Вначале отрабатывают правила PREROUTING таблиц nat и mangle. При этом может случиться DNAT. Затем, принимается решение о маршрутизации. Пакет либо форвардится дальше (и на этот момент уже известно куда) либо предназначен для локальной системы. В первом случае пакет проходит цепочку FORWARD. Во втором - INPUT. В цепочку OUTPUT таблицы filter попадают только пакеты исходящие от локальной системы.

Форум сообщества
Альт Линукс