[root@meloman log]# iptables -A FORWARD -m state --state ESTABLISHED,RELATED,NEW -j ACCEPT
4.Вы меня запутали.
Давай те так
какие правила надо прописать для работы squid в не прозрачном режиме
НА сколько я понял надо следующее (дополните или поправьте)
#!/bin/bash
iptables="/sbin/iptables"
$iptables -F
$iptables -X
$iptables -t nat -F
$iptables -P INPUT DROP
$iptables -P OUTPUT DROP
$iptables -P FORWARD DROP
$iptables -A INPUT -m state --state ESTABLISHED,RELATED
$iptables -A INPUT -s 127.0.0.1/24 -j ACCEPT
$iptables -A INPUT -p udp --dport 53 -j ACCEPT
$iptables -A INPUT -p tcp --dport 53 -j ACCEPT
$iptables -A INPUT -p tcp --dport 80 -j ACCEPT
$iptables -A INPUT -p tcp --dport 3128 -j ACCEPT
#OUTPUT цепочка
$iptables -A OUTPUT -m state --state ESTABLISHED,RELATED
$iptables -A OUTPUT -d 127.0.0.1/24 -j ACCEPT
$iptables -A OUTPUT -p udp --sport 53 -j ACCEPT
$iptables -A OUTPUT -p tcp --sport 53 -j ACCEPT
$iptables -A OUTPUT -p tcp --sport 80 -j ACCEPT
$iptables -A OUTPUT -p tcp --sport 3128 -j ACCEPT
$iptables -A OUTPUT -p tcp --sport 32768:65535 -j ACCEPT
$iptables -A OUTPUT -p udp --sport 32768:65535 -j ACCEPT
Для прозрачного режима надо
добавить перехват пакетов порта 80 из локальной сети
$iptables -t nat -A PREROUTING -i eth1 -p tcp --dport 80 -j REDIRECT --to-port 3128 #где eth1 сетвуха смотрящая в лок сеть
ответить
цитировать
Ср, 25/04/2007 — 09:55 — Meloman
Meloman аватар
НАстройки IPtables для Squid #7
На первый взгяд все правильно.
Ответы....
Re: НАстройки IPtables для Squid #11
goav писал(а):
$iptables -A OUTPUT -p udp --sport 53 -j ACCEPT
$iptables -A OUTPUT -p tcp --sport 53 -j ACCEPT
$iptables -A OUTPUT -p tcp --sport 80 -j ACCEPT
$iptables -A OUTPUT -p tcp --sport 3128 -j ACCEPT
$iptables -A OUTPUT -p tcp --sport 32768:65535 -j ACCEPT
$iptables -A OUTPUT -p udp --sport 32768:65535 -j ACCEPT
sport надо заменить на dport ибо БРЕД!!! Сами подумайте что написали! Улыбка
goav писал(а):
$iptables -t nat -A PREROUTING -i eth1 -p tcp --dport 80 -j REDIRECT --to-port 3128 #где eth1 сетвуха
Я же вам написал, что замена порта ничего не даст! Надо DNATом перенаправлять пакеты на свой комп:
iptables -t nat -A PREROUTING -s 192.168.7.131 -p tcp --dport 80 -j DNAT --to-destination 127.0.0.1
И на 80тый порт повесить squid.
Что непонятного?
Ответ…
Re: НАстройки IPtables для Squid #12
Вообщем всем большое спасибо !
Заработало всё вот с таким набором правил почему-то!
$iptables -P INPUT DROP
$iptables -P OUTPUT DROP
$iptables -P FORWARD DROP
#INPUT цепочка
$iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
$iptables -A INPUT -i lo -j ACCEPT #разрешить внутренний интерфейс
$iptables -A INPUT -p icmp -j ACCEPT #разрешить пинг
$iptables -A INPUT -p tcp -i eth1 --dport 3128 -j ACCEPT #Squid
#OUTPUT цепочка
$iptables -A OUTPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
$iptables -A OUTPUT -o lo -j ACCEPT
$iptables -A OUTPUT -p icmp -j ACCEPT # Разрешаем пинг
$iptables -A OUTPUT -p tcp --dport 80 -j ACCEPT #Доступ к web
$iptables -A OUTPUT -p udp --dport 53 -j ACCEPT
$iptables -A OUTPUT -p tcp --dport 53 -j ACCEPT
5. Re: Настройка IPTABLES ???
так все таки куда это чтоб каждый раз не подымать?
# /sbin/iptables -t nat -A POSTROUTING -s 192.168.0.2 -j MASQUERADE
# /sbin/iptables -F FORWARD
(0.2 — вроде инет)
6.
Запрет качать по формату
есть прозрачный squid
в нем есть пара acl для запрета скачивания "запрещенных" файлов — *.exe, *.mp3, etc
acl banned_ext urlpath_regex .mp3$ .asf$ .wma$ .wmv$ .mpg$ .mpeg$ .mov$ .dll$ .exe$ .pif$ .scr$ .avi$ .bat$ .cmd$ .flv$ .sis$
и
http_access deny banned_ext
7. Еще большая какая -то настройка ИНет вроде
от что уменя:
вот мои правила…
#!/bin/sh -e
#
# rc.local
#
# This script is executed at the end of each multiuser runlevel.
# Make sure that the script will "exit 0" on success or any other
# value on error.
#
# In order to enable or disable this script just change the execution
# bits.
#
# By default this script does nothing.
#
#eth1=INET
#eth0=LAN
echo 1 > /proc/sys/net/ipv4/ip_forward
iptables -t nat -F
iptables -t filter -F
iptables -t mangle -F
iptables -t nat -A POSTROUTING -o eth1 -j MASQUERADE
#Пробросс 80 порта с LAN на 3128
iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 80 -j REDIRECT --to-port 3128
#По умолчанию запрещаем весь транзит
iptables -P FORWARD DROP
iptables -P INPUT DROP
#iptables -P OUTPUT ACCEPT
#Разрешить уже установленое соединение
iptables -A FORWARD -m state --state RELATED,ESTABLISHED -j ACCEPT
#iptables -A INPUT -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
iptables -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
iptables -A INPUT -i lo -j ACCEPT
#Режим SYN Флуд
iptables -A FORWARD -p tcp --syn -m connlimit --connlimit-above 10 -j REJECT
################################################################################
#iptables -A INPUT -s ip -m mac --mac-source 00:00:000:00:00:00 -j ACCEPT
#
##############################################################################
#Разрешаем себе пинг наружу — нас же не пропингуешь- пакеты отбрасываются
iptables -A INPUT -p icmp -m icmp -i eth1 --icmp-type echo-reply -j ACCEPT
iptables -A FORWARD -p icmp -m icmp -o eth1 --icmp-type echo-request -j ACCEPT
#Открываем порт для DNS
iptables -A INPUT -i eth0 -p udp -m udp --dport 53 -m state --state NEW -j ACCEPT
#Открываем порты для почты
iptables -A FORWARD -o eth1 -m state --state NEW -p tcp --dport 25 -j ACCEPT
iptables -A INPUT -p tcp --dport 25 -m state --state NEW -j ACCEPT
iptables -A FORWARD -o eth1 -m state --state NEW -p tcp --dport 110 -j ACCEPT
iptables -A INPUT -p tcp --dport 110 -m state --state NEW -j ACCEPT
#ICQ/Miranda
iptables -A FORWARD -o eth1 -m state --state NEW -p tcp --dport 5190 -j ACCEPT
#Разрешить DNAT Трафик
iptables -A FORWARD -m conntrack --ctstate DNAT -j ACCEPT
exit 0
iptables -A INPUT -s ip -m mac --mac-source 00:00:00:00:00:00 -j ACCEPT
когда я прописываю это я могу пропинговать роутер.
но как только я убераю это правело пинг пропадает но порты 5190.3389.25.110 работают
как сделать так что бы порты работали только у это го мак адресса Cool или у диапазона мак адресов…
как закрыть ICQ отдельному пользователю.....
************************
