forum.lan.md

[Andreyantix]

Всем здоровья.

Я ценю Тордвальдса за его разработку и настойчивость. И мне даже понравилось конфигить файл /etc/squid/squid.conf - интересно. Я настроил DHCPD, SQUID и все они работают в отличном состоянии, теперь основной моей головной болью стал iptable! - О БОЖЕ! Как он мне ДОРОГ! Чего я только в конфиг /etc/sysconfig/iptables не впихивал - и так и этак и перетак и взад и назад... Однако эта морковка - не хочет перенаправлять запросы с клиентких 80 на мой 3128! Сразу скажу - я не лентяй я месяц!!! уже пытаюсь его настроить и ровно месяц у меня ничего не выходит. Ну разве это хорошо - таки я вас спрашиваю. Я не знаю может у меня на сервере у iptable'а собственное сознание появилось, что он так ко мне настроен. Но факт остается фактом. Мне просто необходима помощь знающих людей.

Теперь главное указать причину моей головной боли - мне нужно настроить ip tables так что бы клиенты подключенные к нему по DHCPD (в котором уже прописаны и диапозон адресов и шлюз и адрес днс сервера) смогли бы без указания прокси сервера (чтобы любой юзер включил комп и думал что он работает с интернет напрямую а не через прокси) работали в интеренте, читали почту дрявым Экспресс оутлуком (25, 125 порты), общались через аську и др.

Далее описываю конструкцию сети:
+++++++++++++++++++++++++++++++++++++++++++++++++++

1. Иммется Сервер (REDHAT 9)
eth0 192.168.0.3 (локалка)
255.255.255.0
шлюз 82.162.159.65

eth1 82.162.159.67 (интренте через ДСЛ)
255.255.255.240
шлюз 82.162.159.65

2. Хаб

3. Точка беспроводного доступа
192.168.0.100

x. клиенты которые получают адреса (я приложил конфиг DHCP) с 52-99,
но которым очень нужен противогемарройных интернет

++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++

А теперь приступим к описанию того что у меня есть:

1. есть интернет для всех кто входит в сеть - будьто вайфай или ланка
(однако гемморой - нужно прописывать прокси и порт - то от чего мне
нужно избавиться!!!)
2. все правила DHCP работают отлично и безошибочно
3. Squid настроен гармотно - его весь конфиг я думаю будет очень накладно
сюда впихивать - скажу что каждую опцию пролазил и натсроил включая
proxy, virtual, acl правила и т.д. - http_port 8080

Во первых - может я идиот и помимо указанного выше файла и команд iptables есть еще какие то способы его конфигурации.

Во вторых - уже месяц я брожу в инете в поисках свещенного грааля - конфига для iptables. Но как я убеждаюсь - он потерен в веках среди красивых программ под Виндроусе.

В третьих - вот содержание моего файла "/etc/sysconfig/iptables":

------------------------->
*filter
:INPUT ACCEPT [0:0]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]
-A INPUT -i eth0 -j ACCEPT
-A INPUT -s 127.0.0.0/255.0.0.0 -i ! eth0 -j DROP
-A INPUT -i eth0 -p tcp -m tcp --sport 80 --dport 8080 -j ACCEPT
:RH-Lokkit-0-50-INPUT - [0:0]
-A INPUT -j RH-Lokkit-0-50-INPUT
-A FORWARD -j RH-Lokkit-0-50-INPUT
-A RH-Lokkit-0-50-INPUT -p tcp -m tcp --dport 25 --syn -j ACCEPT
-A RH-Lokkit-0-50-INPUT -p tcp -m tcp --dport 80 --syn -j ACCEPT
-A RH-Lokkit-0-50-INPUT -p tcp -m tcp --dport 21 --syn -j ACCEPT
-A RH-Lokkit-0-50-INPUT -p tcp -m tcp --dport 22 --syn -j ACCEPT
-A RH-Lokkit-0-50-INPUT -p tcp -m tcp --dport 23 --syn -j ACCEPT
-A RH-Lokkit-0-50-INPUT -p udp -m udp -s 0/0 --sport 67:68 -d 0/0 --dport 67:68 -i eth0 -j ACCEPT
-A RH-Lokkit-0-50-INPUT -p udp -m udp -s 0/0 --sport 67:68 -d 0/0 --dport 67:68 -i eth1 -j ACCEPT
-A RH-Lokkit-0-50-INPUT -i lo -j ACCEPT
-A RH-Lokkit-0-50-INPUT -i eth0 -j ACCEPT
-A RH-Lokkit-0-50-INPUT -i eth1 -j ACCEPT
-A RH-Lokkit-0-50-INPUT -p tcp -m tcp --dport 0:1023 --syn -j REJECT
-A RH-Lokkit-0-50-INPUT -p tcp -m tcp --dport 2049 --syn -j REJECT
-A RH-Lokkit-0-50-INPUT -p udp -m udp --dport 0:1023 -j REJECT
-A RH-Lokkit-0-50-INPUT -p udp -m udp --dport 2049 -j REJECT
-A RH-Lokkit-0-50-INPUT -p tcp -m tcp --dport 6000:6009 --syn -j REJECT
-A RH-Lokkit-0-50-INPUT -p tcp -m tcp --dport 7100 --syn -j REJECT

COMMIT
<---------------------------------------

Не хочу обидеть авторов конфигурации - вообще ничего не могу осознать, кроме первых 5 строк.. ибо если делается инпут или аут то указываются соответственно вх. исх. адреса и порты...

В четвертых - вот конфиг DHCP:

---------------------------------------->

ddns-update-style ad-hoc;

subnet 192.168.0.0 netmask 255.255.255.0 {
option routers 192.168.0.3;
option subnet-mask 255.255.255.0;
option domain-name "wifios";
option broadcast-address 192.168.0.255;
option ip-forwarding on;
server-identifier wifios;
option domain-name-servers 192.168.0.3;
range 192.168.0.52 192.168.0.99;
default-lease-time 21600;
max-lease-time 28800;
option netbios-name-servers 192.168.0.3;
option netbios-dd-server 192.168.0.3;
option netbios-node-type 8;

}


host tux-server {
hardware ethernet xx:xx:xx:xx:xx:xx;
fixed-address 192.168.0.3;
}

host andrew_admin {
hardware ethernet xx:xx:xx:xx:xx:xx;
fixed-address 192.168.0.50;
}

host alexey_admin {
hardware ethernet xx:xx:xx:xx:xx:xx;
fixed-address 192.168.0.51;
}

Может можно как нибудь в DHCP прописывать прокси для хотябы ВЕБ?

Кстати ДНС сервар не натсроен, если это имеет значение.
<----------------------------------------

А теперь для более не формального диалога скажу чего хочу добиться:

Тыкните меня рожей какие, куда и зачем вписывать правила для выполнения этой задачи.
Прошу не ссылайтесь на мегабайтные ХАУ-ТУ я там был и это мне точно не поможет.
Эти файлы PDF уже снятся мне в кашмарах!!!

ПОЖАЛУЙСТА ПОМОГИТЕ КТО СКОЛЬКО МОЖЕТ... ДАЛЬШЕ ЛЬСТИТЬ НЕ БУДУ... А ТО ГЛУПО ПОЛУЧАЕТСЯ...

P.S. потратте немного времени и напишите, мне достаточно интересно работать в ТЮКСАХ и не хотелось бы иметь от этого плохие воспоминания...

[Nick Beleacov]

goto linux.md
Имхо там больше спецов в этой области.

[Igoras]

Так все просто.... ну DHCP сразу отбросим, он к прозрачному проксированию ничего не имеет... а в конфиге фаерволла я совсем не вижу у тебя форвардинга... а без него пакеты на сквид не попадут... в общем не знаю, где ты искал, но поиск по opennet.ru в первых двух ответах выдал мне то, что требовалось.... даже не сильно разбираясь в линуксе и его фаерволле я понял, что это то, что надо

http://www.opennet.ru/base/net/iptables2squid.txt.html

кстати НАТ я у тебя тоже не вижу... это специально так сделано, чтобы у юзеров бедных только хттп и тот через прокси? я бы убил тогда админа