ALT Linux Community general discussions
 help / color / mirror / Atom feed
* Re: [Comm] iptables
  2004-04-06  9:01 [Comm] iptables Polovnikov Denis
@ 2004-04-06  9:01 ` Nikita Semenov
  2004-04-06  9:09   ` Gennadiy Redko
  2004-04-06 11:55 ` Alexey Morsov
  1 sibling, 1 reply; 21+ messages in thread
From: Nikita Semenov @ 2004-04-06  9:01 UTC (permalink / raw)
  To: Polovnikov Denis

Здравствуйте.


Tuesday, April 6, 2004, 1:01:43 PM, вы писали:

PD> привет всем,

PD> поделитесь плиз конфигом для iptables с настроеным натом, или дайте
PD> ссылку на хороший мануал на русском. А то чего-то по не получается
PD> настроить :-(

http://gazette.linux.ru.net/rus/articles/iptables-tutorial.html





-- 
Best regards,
Nikita Semenov
System Administer
InterStep
+7(812)324-8020
nikita@inter-step.ru
ICQ: 3939833



^ permalink raw reply	[flat|nested] 21+ messages in thread

* [Comm] iptables
@ 2004-04-06  9:01 Polovnikov Denis
  2004-04-06  9:01 ` Nikita Semenov
  2004-04-06 11:55 ` Alexey Morsov
  0 siblings, 2 replies; 21+ messages in thread
From: Polovnikov Denis @ 2004-04-06  9:01 UTC (permalink / raw)
  To: community

привет всем,

поделитесь плиз конфигом для iptables с настроеным натом, или дайте
ссылку на хороший мануал на русском. А то чего-то по не получается
настроить :-(



-- 
С уважением,
 Polovnikov                          mailto:altlinux@lg-support.ru



^ permalink raw reply	[flat|nested] 21+ messages in thread

* Re: [Comm] iptables
  2004-04-06  9:01 ` Nikita Semenov
@ 2004-04-06  9:09   ` Gennadiy Redko
  0 siblings, 0 replies; 21+ messages in thread
From: Gennadiy Redko @ 2004-04-06  9:09 UTC (permalink / raw)
  To: community

Nikita Semenov пишет:
> Здравствуйте.
> 
> 
> Tuesday, April 6, 2004, 1:01:43 PM, вы писали:
> 
> PD> привет всем,
> 
> PD> поделитесь плиз конфигом для iptables с настроеным натом, или дайте
> PD> ссылку на хороший мануал на русском. А то чего-то по не получается
> PD> настроить :-(
> 
> http://gazette.linux.ru.net/rus/articles/iptables-tutorial.html
> 
И еще:
http://www.opennet.ru/docs/RUS/iptables/



^ permalink raw reply	[flat|nested] 21+ messages in thread

* Re: [Comm] iptables
  2004-04-06  9:01 [Comm] iptables Polovnikov Denis
  2004-04-06  9:01 ` Nikita Semenov
@ 2004-04-06 11:55 ` Alexey Morsov
  2004-04-06 13:35   ` Re[2]: " Polovnikov Denis
  1 sibling, 1 reply; 21+ messages in thread
From: Alexey Morsov @ 2004-04-06 11:55 UTC (permalink / raw)
  To: community



Polovnikov Denis wrote:

> привет всем,
> 
> поделитесь плиз конфигом для iptables с настроеным натом, или дайте
> ссылку на хороший мануал на русском. А то чего-то по не получается
> настроить :-(

#!/bin/sh
# объявим переменные
FW="/sbin/iptables"

LAN_NET="192.168.130.0/24"
LAN_IP="192.168.130.2"
LAN_ETH="eth0"

INET_IP="192.168.1.2"
INET_ETH="eth1"

# локалка
LH="127.0.0.1"
PROXY_PORT="3128"

modprobe ip_nat_ftp

# все прочистим
$FW -t nat -F
$FW -F
$FW -X

# наведем маскарад
$FW -t nat -A POSTROUTING -s $LAN_NET -o $INET_ETH -j SNAT 
--to-source $INET_IP

# все всем запретить
$FW -P INPUT DROP
$FW -P FORWARD DROP
$FW -P OUTPUT ACCEPT

# для INPUT
$FW -A INPUT -m state --state ESTABLISHED,RELATED -j IN_SORTING
$FW -A INPUT -m state --state NEW -i ! $INET_ETH -j ACCEPT
$FW -A INPUT -i $INET_ETH -d $INET_IP -j ACCEPT


Этот скрипт (ну я тут выкинул много чего специфичного для моей 
сетки + для подсчета трафика) у меня и работает - замечательно 
так работает 8-)


-- 
С наилучшими пожеланиями,
Алексей.


^ permalink raw reply	[flat|nested] 21+ messages in thread

* Re[2]: [Comm] iptables
  2004-04-06 11:55 ` Alexey Morsov
@ 2004-04-06 13:35   ` Polovnikov Denis
  2004-04-06 13:56     ` Alexey Morsov
  2004-04-07  4:24     ` Re[2]: " Mike Lykov
  0 siblings, 2 replies; 21+ messages in thread
From: Polovnikov Denis @ 2004-04-06 13:35 UTC (permalink / raw)
  To: Alexey Morsov

Здравствуйте, Alexey.

Вы писали 6 апреля 2004 г., 15:55:59:



AM> Polovnikov Denis wrote:

>> привет всем,
>> 
>> поделитесь плиз конфигом для iptables с настроеным натом, или дайте
>> ссылку на хороший мануал на русском. А то чего-то по не получается
>> настроить :-(
Вот что у меня щас . И нефига нат не работает.
eth0 это локалка
eth1 это инет.

*mangle
:PREROUTING ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]
#-A PREROUTING -p tcp --dport 22 -j TOS --set-tos 0x10
COMMIT
*filter
:FORWARD ACCEPT [0:0]
:INPUT ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]
:net - [0:0]
COMMIT

*nat
:PREROUTING ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]
:POSTROUTING ACCEPT [0:0]
-A POSTROUTING -s 192.168.12.0/24 -o eth1 -j SNAT --to-source 195.124.1.1
COMMIT




-- 
С уважением,
 Polovnikov                          mailto:altlinux@lg-support.ru



^ permalink raw reply	[flat|nested] 21+ messages in thread

* Re: [Comm] iptables
  2004-04-06 13:35   ` Re[2]: " Polovnikov Denis
@ 2004-04-06 13:56     ` Alexey Morsov
  2004-04-07  4:24     ` Re[2]: " Mike Lykov
  1 sibling, 0 replies; 21+ messages in thread
From: Alexey Morsov @ 2004-04-06 13:56 UTC (permalink / raw)
  To: community


Polovnikov Denis wrote:
> Здравствуйте, Alexey.
> 
> Вы писали 6 апреля 2004 г., 15:55:59:
> 
> Вот что у меня щас . И нефига нат не работает.
> eth0 это локалка
> eth1 это инет.
> 
> *mangle
> :PREROUTING ACCEPT [0:0]
> :OUTPUT ACCEPT [0:0]
> #-A PREROUTING -p tcp --dport 22 -j TOS --set-tos 0x10
Вот это вообще не понял?
Зачем?

> COMMIT
> *filter
> :FORWARD ACCEPT [0:0]
> :INPUT ACCEPT [0:0]
> :OUTPUT ACCEPT [0:0]
> :net - [0:0]
> COMMIT
Ох... ну не люблю я формат iptables-save - тяжко читать его ;-)

> 
> *nat
> :PREROUTING ACCEPT [0:0]
> :OUTPUT ACCEPT [0:0]
> :POSTROUTING ACCEPT [0:0]
> -A POSTROUTING -s 192.168.12.0/24 -o eth1 -j SNAT --to-source 195.124.1.1
> COMMIT
ну вроде так должно работать

а дайте вывод команд
route
и
cat /proc/sys/net/ipv4/ip_forward

А еще лучше вбейте свои iptables в скрипт и на нем отлаживайте а 
то через командную строку все время вбивать - или редактировать 
то что насейвил iptables-save - заколебаетесь
> http://lists.altlinux.ru/mailman/listinfo/community

-- 
С наилучшими пожеланиями,
Алексей.


^ permalink raw reply	[flat|nested] 21+ messages in thread

* Re: Re[2]: [Comm] iptables
  2004-04-06 13:35   ` Re[2]: " Polovnikov Denis
  2004-04-06 13:56     ` Alexey Morsov
@ 2004-04-07  4:24     ` Mike Lykov
  2004-04-07  9:22       ` Re[4]: " Polovnikov Denis
  2004-04-07 10:20       ` Polovnikov Denis
  1 sibling, 2 replies; 21+ messages in thread
From: Mike Lykov @ 2004-04-07  4:24 UTC (permalink / raw)
  To: community

В сообщении от Вторник 06 Апрель 2004 18:35 Polovnikov Denis написал:

> Вот что у меня щас . И нефига нат не работает.

> -A POSTROUTING -s 192.168.12.0/24 -o eth1 -j SNAT --to-source 195.124.1.1

три раза одно и то же можно не посылать, вышеуказанной строки должно быть 
достаточно, если включен форвард пакетов в /etc/sysctl.conf

-- 
Mike



^ permalink raw reply	[flat|nested] 21+ messages in thread

* Re[4]: [Comm] iptables
  2004-04-07  4:24     ` Re[2]: " Mike Lykov
@ 2004-04-07  9:22       ` Polovnikov Denis
  2004-04-07 10:20       ` Polovnikov Denis
  1 sibling, 0 replies; 21+ messages in thread
From: Polovnikov Denis @ 2004-04-07  9:22 UTC (permalink / raw)
  To: Mike Lykov

Здравствуйте, Mike.

Вы писали 7 апреля 2004 г., 8:24:19:

ML> В сообщении от Вторник 06 Апрель 2004 18:35 Polovnikov Denis написал:

>> Вот что у меня щас . И нефига нат не работает.

>> -A POSTROUTING -s 192.168.12.0/24 -o eth1 -j SNAT --to-source 195.124.1.1

ML> три раза одно и то же можно не посылать, вышеуказанной строки должно быть
ML> достаточно, если включен форвард пакетов в /etc/sysctl.conf
Извеняюсь это чегото мыша сглючила :-(
Включил форвардинг и все заработало :-)



-- 
С уважением,
 Polovnikov                          mailto:altlinux@lg-support.ru



^ permalink raw reply	[flat|nested] 21+ messages in thread

* Re[4]: [Comm] iptables
  2004-04-07  4:24     ` Re[2]: " Mike Lykov
  2004-04-07  9:22       ` Re[4]: " Polovnikov Denis
@ 2004-04-07 10:20       ` Polovnikov Denis
  2004-04-07 10:29         ` Mike Lykov
  2004-04-07 10:55         ` Re[5]: " Nikita Semenov
  1 sibling, 2 replies; 21+ messages in thread
From: Polovnikov Denis @ 2004-04-07 10:20 UTC (permalink / raw)
  To: Mike Lykov

Здравствуйте, Mike.

Вы писали 7 апреля 2004 г., 8:24:19:

Спасибо всем за помощь с натом заработало :-) Теперь остается вопрос с
тем как перенаправить пакеты с 80 порта на 3128 для прозрачного
прокси. Порылся в архиве рассылки и нашол что надо прописать следуещее

iptables -t nat -A PREROUTING -p tcp --dport 80 -j REDIRECT --to-ports 3128

Squid я уже настроил. Но почему то пакеты не перенаправляются :-(

-- 
С уважением,
 Polovnikov                          mailto:altlinux@lg-support.ru



^ permalink raw reply	[flat|nested] 21+ messages in thread

* Re: Re[4]: [Comm] iptables
  2004-04-07 10:20       ` Polovnikov Denis
@ 2004-04-07 10:29         ` Mike Lykov
  2004-04-07 10:36           ` Alexey Morsov
  2004-04-07 10:55         ` Re[5]: " Nikita Semenov
  1 sibling, 1 reply; 21+ messages in thread
From: Mike Lykov @ 2004-04-07 10:29 UTC (permalink / raw)
  To: community

В сообщении от Среда 07 Апрель 2004 15:20 Polovnikov Denis написал:

> Squid я уже настроил. Но почему то пакеты не перенаправляются :-(

читать bog.pp.ru насчет особенностей прозрачного проксирования

-- 
Mike



^ permalink raw reply	[flat|nested] 21+ messages in thread

* Re: [Comm] iptables
  2004-04-07 10:29         ` Mike Lykov
@ 2004-04-07 10:36           ` Alexey Morsov
  0 siblings, 0 replies; 21+ messages in thread
From: Alexey Morsov @ 2004-04-07 10:36 UTC (permalink / raw)
  To: community


Mike Lykov wrote:
> В сообщении от Среда 07 Апрель 2004 15:20 Polovnikov Denis написал:
> 
> 
>>Squid я уже настроил. Но почему то пакеты не перенаправляются :-(
> 
> 
> читать bog.pp.ru насчет особенностей прозрачного проксирования
Да просто гляньте в squid.conf - там так все обкоментированно

Намек - для прозрачки нужно включить в squid.conf опцию 
transparent_proxy и еще опции с virtual_host...
а вообще я себе в прозрачку не настраивал - меньше возможностей 
(имхо), перенаправляеться тока http траффик (он конечно самый 
большой но все же). Я просто запретил трафик через FORWARD - тока 
через squid (т.е. INPUT OUTPUT) -
> 
> 
> 
> ------------------------------------------------------------------------
> 
> _______________________________________________
> Community mailing list
> Community@altlinux.ru
> http://lists.altlinux.ru/mailman/listinfo/community

-- 
С наилучшими пожеланиями,
Алексей.


^ permalink raw reply	[flat|nested] 21+ messages in thread

* Re[5]: [Comm] iptables
  2004-04-07 10:20       ` Polovnikov Denis
  2004-04-07 10:29         ` Mike Lykov
@ 2004-04-07 10:55         ` Nikita Semenov
  2004-04-08  5:55           ` Re[6]: " Polovnikov Denis
  1 sibling, 1 reply; 21+ messages in thread
From: Nikita Semenov @ 2004-04-07 10:55 UTC (permalink / raw)
  To: Polovnikov Denis

Здравствуйте.
А непрозрачно работает?


Wednesday, April 7, 2004, 2:20:18 PM, вы писали:

PD> Здравствуйте, Mike.

PD> Вы писали 7 апреля 2004 г., 8:24:19:

PD> Спасибо всем за помощь с натом заработало :-) Теперь остается вопрос с
PD> тем как перенаправить пакеты с 80 порта на 3128 для прозрачного
PD> прокси. Порылся в архиве рассылки и нашол что надо прописать следуещее

PD> iptables -t nat -A PREROUTING -p tcp --dport 80 -j REDIRECT --to-ports 3128

PD> Squid я уже настроил. Но почему то пакеты не перенаправляются :-(





-- 
Best regards,
Nikita Semenov
System Administer
InterStep
+7(812)324-8020
nikita@inter-step.ru
ICQ: 3939833



^ permalink raw reply	[flat|nested] 21+ messages in thread

* Re[6]: [Comm] iptables
  2004-04-07 10:55         ` Re[5]: " Nikita Semenov
@ 2004-04-08  5:55           ` Polovnikov Denis
  2004-04-08  6:21             ` Re[7]: " Nikita Semenov
  0 siblings, 1 reply; 21+ messages in thread
From: Polovnikov Denis @ 2004-04-08  5:55 UTC (permalink / raw)
  To: Nikita Semenov

Здравствуйте, Nikita.

Вы писали 7 апреля 2004 г., 14:55:00:

NS> Здравствуйте.
NS> А непрозрачно работает?

Напрямую Squid работает. Не работает переброс.

В сквиде все прописано как положено, но почемуто мануалы по настройке
все для ipchaшns а iptables нефига нет. :-(

http_port 3128
httpd_accel_host virtual
httpd_accel_port 80
httpd_accel_with_proxy on
httpd_accel_uses_host_header on 


NS> Wednesday, April 7, 2004, 2:20:18 PM, вы писали:

PD>> Здравствуйте, Mike.

PD>> Вы писали 7 апреля 2004 г., 8:24:19:

PD>> Спасибо всем за помощь с натом заработало :-) Теперь остается вопрос с
PD>> тем как перенаправить пакеты с 80 порта на 3128 для прозрачного
PD>> прокси. Порылся в архиве рассылки и нашол что надо прописать следуещее

PD>> iptables -t nat -A PREROUTING -p tcp --dport 80 -j REDIRECT --to-ports 3128

PD>> Squid я уже настроил. Но почему то пакеты не перенаправляются :-(








-- 
С уважением,
 Polovnikov                          mailto:altlinux@lg-support.ru



^ permalink raw reply	[flat|nested] 21+ messages in thread

* Re[7]: [Comm] iptables
  2004-04-08  5:55           ` Re[6]: " Polovnikov Denis
@ 2004-04-08  6:21             ` Nikita Semenov
  2004-04-08  9:57               ` Re[8]: " Polovnikov Denis
  0 siblings, 1 reply; 21+ messages in thread
From: Nikita Semenov @ 2004-04-08  6:21 UTC (permalink / raw)
  To: Polovnikov Denis

Здравствуйте.
У меня вот так:

$IPTABLES -t nat -A PREROUTING -i eth0 -p tcp --dport 80 -j DNAT --to-destination 192.168.1.66


Thursday, April 8, 2004, 9:55:38 AM, вы писали:

PD> Здравствуйте, Nikita.

PD> Вы писали 7 апреля 2004 г., 14:55:00:

NS>> Здравствуйте.
NS>> А непрозрачно работает?

PD> Напрямую Squid работает. Не работает переброс.

PD> В сквиде все прописано как положено, но почемуто мануалы по настройке
PD> все для ipchaшns а iptables нефига нет. :-(

PD> http_port 3128
PD> httpd_accel_host virtual
PD> httpd_accel_port 80
PD> httpd_accel_with_proxy on
PD> httpd_accel_uses_host_header on 


NS>> Wednesday, April 7, 2004, 2:20:18 PM, вы писали:

PD>>> Здравствуйте, Mike.

PD>>> Вы писали 7 апреля 2004 г., 8:24:19:

PD>>> Спасибо всем за помощь с натом заработало :-) Теперь остается вопрос с
PD>>> тем как перенаправить пакеты с 80 порта на 3128 для прозрачного
PD>>> прокси. Порылся в архиве рассылки и нашол что надо прописать следуещее

PD>>> iptables -t nat -A PREROUTING -p tcp --dport 80 -j REDIRECT --to-ports 3128

PD>>> Squid я уже настроил. Но почему то пакеты не перенаправляются :-(












-- 
Best regards,
Nikita Semenov
System Administer
InterStep
+7(812)324-8020
nikita@inter-step.ru
ICQ: 3939833



^ permalink raw reply	[flat|nested] 21+ messages in thread

* Re[8]: [Comm] iptables
  2004-04-08  6:21             ` Re[7]: " Nikita Semenov
@ 2004-04-08  9:57               ` Polovnikov Denis
  2004-04-08 11:15                 ` Alexey Morsov
  0 siblings, 1 reply; 21+ messages in thread
From: Polovnikov Denis @ 2004-04-08  9:57 UTC (permalink / raw)
  To: Nikita Semenov

Здравствуйте, Nikita.

Вы писали 8 апреля 2004 г., 10:21:55:


Добил я всетаки iptables пакеты он теперь перекидывает на Сквид
:-)Всем спасибо за советы.

Трабла с правами доступа у сквида написал ACL не пущает... разрешаю
доступ для всех пущает. Подскажите в чем я не прав.

acl clients src 192.168.12.0/255.255.255.0
http_access allow clients



NS> Здравствуйте.
NS> У меня вот так:

NS> $IPTABLES -t nat -A PREROUTING -i eth0 -p tcp --dport 80 -j
NS> DNAT --to-destination 192.168.1.66


NS> Thursday, April 8, 2004, 9:55:38 AM, вы писали:

PD>> Здравствуйте, Nikita.

PD>> Вы писали 7 апреля 2004 г., 14:55:00:

NS>>> Здравствуйте.
NS>>> А непрозрачно работает?

PD>> Напрямую Squid работает. Не работает переброс.

PD>> В сквиде все прописано как положено, но почемуто мануалы по настройке
PD>> все для ipchaшns а iptables нефига нет. :-(

PD>> http_port 3128
PD>> httpd_accel_host virtual
PD>> httpd_accel_port 80
PD>> httpd_accel_with_proxy on
PD>> httpd_accel_uses_host_header on 


NS>>> Wednesday, April 7, 2004, 2:20:18 PM, вы писали:

PD>>>> Здравствуйте, Mike.

PD>>>> Вы писали 7 апреля 2004 г., 8:24:19:

PD>>>> Спасибо всем за помощь с натом заработало :-) Теперь остается вопрос с
PD>>>> тем как перенаправить пакеты с 80 порта на 3128 для прозрачного
PD>>>> прокси. Порылся в архиве рассылки и нашол что надо прописать следуещее

PD>>>> iptables -t nat -A PREROUTING -p tcp --dport 80 -j REDIRECT --to-ports 3128

PD>>>> Squid я уже настроил. Но почему то пакеты не перенаправляются :-(















-- 
С уважением,
 Polovnikov                          mailto:altlinux@lg-support.ru



^ permalink raw reply	[flat|nested] 21+ messages in thread

* Re: [Comm] iptables
  2004-04-08  9:57               ` Re[8]: " Polovnikov Denis
@ 2004-04-08 11:15                 ` Alexey Morsov
  2004-04-08 12:38                   ` Re[2]: " Polovnikov Denis
  0 siblings, 1 reply; 21+ messages in thread
From: Alexey Morsov @ 2004-04-08 11:15 UTC (permalink / raw)
  To: community



Polovnikov Denis wrote:
> Здравствуйте, Nikita.
> 
> Вы писали 8 апреля 2004 г., 10:21:55:
> 
> 
> Добил я всетаки iptables пакеты он теперь перекидывает на Сквид
> :-)Всем спасибо за советы.
А не скажите в чем было дело - интересно 8-)
> 
> Трабла с правами доступа у сквида написал ACL не пущает... разрешаю
> доступ для всех пущает. Подскажите в чем я не прав.
Правила (естественно) обрабатывають до первого совпадения,
т.е. скажем если написано

acl src mynet 192.168.130.0/28
http_access allow mynet
http_access deny all

то все из mynet сетки пройдут - остальные нет
А вот если написать
http_access deny all
http_access allow mynet - то конено (посколько all = 0/0) mynet 
тоже удйет курить бамбук

Могу поделить примерами если надо - работает именно как и должно

> 
> acl clients src 192.168.12.0/255.255.255.0
> http_access allow clients
> 
> 
> 
> NS> Здравствуйте.
> NS> У меня вот так:
> 
> NS> $IPTABLES -t nat -A PREROUTING -i eth0 -p tcp --dport 80 -j
> NS> DNAT --to-destination 192.168.1.66
> 
> 
> NS> Thursday, April 8, 2004, 9:55:38 AM, вы писали:
> 
> PD>> Здравствуйте, Nikita.
> 
> PD>> Вы писали 7 апреля 2004 г., 14:55:00:
> 
> NS>>> Здравствуйте.
> NS>>> А непрозрачно работает?
> 
> PD>> Напрямую Squid работает. Не работает переброс.
> 
> PD>> В сквиде все прописано как положено, но почемуто мануалы по настройке
> PD>> все для ipchaшns а iptables нефига нет. :-(
> 
> PD>> http_port 3128
> PD>> httpd_accel_host virtual
> PD>> httpd_accel_port 80
> PD>> httpd_accel_with_proxy on
> PD>> httpd_accel_uses_host_header on 
> 
> 
> NS>>> Wednesday, April 7, 2004, 2:20:18 PM, вы писали:
> 
> PD>>>> Здравствуйте, Mike.
> 
> PD>>>> Вы писали 7 апреля 2004 г., 8:24:19:
> 
> PD>>>> Спасибо всем за помощь с натом заработало :-) Теперь остается вопрос с
> PD>>>> тем как перенаправить пакеты с 80 порта на 3128 для прозрачного
> PD>>>> прокси. Порылся в архиве рассылки и нашол что надо прописать следуещее
> 
> PD>>>> iptables -t nat -A PREROUTING -p tcp --dport 80 -j REDIRECT --to-ports 3128
> 
> PD>>>> Squid я уже настроил. Но почему то пакеты не перенаправляются :-(
> 
> 
> 
> 
> 
> 
> 
> 
> 
> 
> 
> 
> 
> 
> 
> 
> 
> ------------------------------------------------------------------------
> 
> _______________________________________________
> Community mailing list
> Community@altlinux.ru
> http://lists.altlinux.ru/mailman/listinfo/community

-- 
С наилучшими пожеланиями,
Алексей.


^ permalink raw reply	[flat|nested] 21+ messages in thread

* Re[2]: [Comm] iptables
  2004-04-08 11:15                 ` Alexey Morsov
@ 2004-04-08 12:38                   ` Polovnikov Denis
  2004-04-08 12:46                     ` Alexey Morsov
  0 siblings, 1 reply; 21+ messages in thread
From: Polovnikov Denis @ 2004-04-08 12:38 UTC (permalink / raw)
  To: Alexey Morsov

Здравствуйте, Alexey.

Вы писали 8 апреля 2004 г., 15:15:14:



AM> Polovnikov Denis wrote:
>> Здравствуйте, Nikita.
>> 
>> Вы писали 8 апреля 2004 г., 10:21:55:
>> 
>> 
>> Добил я всетаки iptables пакеты он теперь перекидывает на Сквид
>> :-)Всем спасибо за советы.
AM> А не скажите в чем было дело - интересно 8-)
В iptables 2 страки следующего содержания прописать надо было.

-A PREROUTING -s 192.168.12.0/24 -d ! 192.168.12.1 -p tcp -m multiport --dport 80 -j REDIRECT --to-port 3128
-A PREROUTING -s 192.168.12.0/24 -d ! 192.168.12.1 -p udp -m multiport --dport 80 -j REDIRECT --to-port 3128

>> 
>> Трабла с правами доступа у сквида написал ACL не пущает... разрешаю
>> доступ для всех пущает. Подскажите в чем я не прав.
AM> Правила (естественно) обрабатывають до первого совпадения,
AM> т.е. скажем если написано

AM> acl src mynet 192.168.130.0/28
AM> http_access allow mynet
AM> http_access deny all

AM> то все из mynet сетки пройдут - остальные нет
AM> А вот если написать
AM> http_access deny all
AM> http_access allow mynet - то конено (посколько all = 0/0) mynet 
AM> тоже удйет курить бамбук

Спасибо что разьяснил этого нюанса я не знал :-)))

AM> Могу поделить примерами если надо - работает именно как и должно

-- 
С уважением,
 Polovnikov                          mailto:altlinux@lg-support.ru



^ permalink raw reply	[flat|nested] 21+ messages in thread

* Re: [Comm] iptables
  2004-04-08 12:38                   ` Re[2]: " Polovnikov Denis
@ 2004-04-08 12:46                     ` Alexey Morsov
  2004-04-08 15:40                       ` Roman Savochenko
  0 siblings, 1 reply; 21+ messages in thread
From: Alexey Morsov @ 2004-04-08 12:46 UTC (permalink / raw)
  To: community


Polovnikov Denis wrote:
> Здравствуйте, Alexey.
> 
> Вы писали 8 апреля 2004 г., 15:15:14:
> 
> 
> 
> AM> Polovnikov Denis wrote:
> 
>>>Здравствуйте, Nikita.
>>>
>>>Вы писали 8 апреля 2004 г., 10:21:55:
>>>
>>>
>>>Добил я всетаки iptables пакеты он теперь перекидывает на Сквид
>>>:-)Всем спасибо за советы.
> 
> AM> А не скажите в чем было дело - интересно 8-)
> В iptables 2 страки следующего содержания прописать надо было.
> 
> -A PREROUTING -s 192.168.12.0/24 -d ! 192.168.12.1 -p tcp -m multiport --dport 80 -j REDIRECT --to-port 3128
> -A PREROUTING -s 192.168.12.0/24 -d ! 192.168.12.1 -p udp -m multiport --dport 80 -j REDIRECT --to-port 3128
> 
Млин - Логично - squid же еще и dns сам обрабатывает (и кеширует 
слегка)
> 
>>>Трабла с правами доступа у сквида написал ACL не пущает... разрешаю
>>>доступ для всех пущает. Подскажите в чем я не прав.
> 
> AM> Правила (естественно) обрабатывають до первого совпадения,
> AM> т.е. скажем если написано
> 
> AM> acl src mynet 192.168.130.0/28
> AM> http_access allow mynet
> AM> http_access deny all
> 
> AM> то все из mynet сетки пройдут - остальные нет
> AM> А вот если написать
> AM> http_access deny all
> AM> http_access allow mynet - то конено (посколько all = 0/0) mynet 
> AM> тоже удйет курить бамбук
> 
> Спасибо что разьяснил этого нюанса я не знал :-)))
> 
> AM> Могу поделить примерами если надо - работает именно как и должно
> 
> 
> 
> ------------------------------------------------------------------------
> 
> _______________________________________________
> Community mailing list
> Community@altlinux.ru
> http://lists.altlinux.ru/mailman/listinfo/community

-- 
С наилучшими пожеланиями,
Алексей.


^ permalink raw reply	[flat|nested] 21+ messages in thread

* Re: [Comm] iptables
  2004-04-08 12:46                     ` Alexey Morsov
@ 2004-04-08 15:40                       ` Roman Savochenko
  2004-04-09  3:38                         ` Mike Lykov
  2004-05-06  9:09                         ` Alexey Morsov
  0 siblings, 2 replies; 21+ messages in thread
From: Roman Savochenko @ 2004-04-08 15:40 UTC (permalink / raw)
  To: community

Alexey Morsov пишет:

>
>>
>> AM> А не скажите в чем было дело - интересно 8-)
>> В iptables 2 страки следующего содержания прописать надо было.
>>
>> -A PREROUTING -s 192.168.12.0/24 -d ! 192.168.12.1 -p tcp -m 
>> multiport --dport 80 -j REDIRECT --to-port 3128
>> -A PREROUTING -s 192.168.12.0/24 -d ! 192.168.12.1 -p udp -m 
>> multiport --dport 80 -j REDIRECT --to-port 3128
>>
Интересно!
А что в squid для этого нужно прописать?
У меня настроена авторизация и выборочный доступ машин из списка.
Если захожу как обычно то спрашивает пароль и пускает.
Если захожу неявно тупо говорит что доступа нет, почему?

С уважением Роман!



^ permalink raw reply	[flat|nested] 21+ messages in thread

* Re: [Comm] iptables
  2004-04-08 15:40                       ` Roman Savochenko
@ 2004-04-09  3:38                         ` Mike Lykov
  2004-05-06  9:09                         ` Alexey Morsov
  1 sibling, 0 replies; 21+ messages in thread
From: Mike Lykov @ 2004-04-09  3:38 UTC (permalink / raw)
  To: community

В сообщении от Четверг 08 Апрель 2004 20:40 Roman Savochenko написал:

> У меня настроена авторизация и выборочный доступ машин из списка.
> Если захожу как обычно то спрашивает пароль и пускает.
> Если захожу неявно тупо говорит что доступа нет, почему?

читайте доки и факи.
авторизация и прозрачное проксирование одновременно не работают.

-- 
Mike



^ permalink raw reply	[flat|nested] 21+ messages in thread

* Re: [Comm] iptables
  2004-04-08 15:40                       ` Roman Savochenko
  2004-04-09  3:38                         ` Mike Lykov
@ 2004-05-06  9:09                         ` Alexey Morsov
  1 sibling, 0 replies; 21+ messages in thread
From: Alexey Morsov @ 2004-05-06  9:09 UTC (permalink / raw)
  To: community


Roman Savochenko wrote:

> Alexey Morsov пишет:
> 
>>
>>>
>>> AM> А не скажите в чем было дело - интересно 8-)
>>> В iptables 2 страки следующего содержания прописать надо было.
>>>
>>> -A PREROUTING -s 192.168.12.0/24 -d ! 192.168.12.1 -p tcp -m 
>>> multiport --dport 80 -j REDIRECT --to-port 3128
>>> -A PREROUTING -s 192.168.12.0/24 -d ! 192.168.12.1 -p udp -m 
>>> multiport --dport 80 -j REDIRECT --to-port 3128
>>>
> Интересно!
> А что в squid для этого нужно прописать?
> У меня настроена авторизация и выборочный доступ машин из списка.
> Если захожу как обычно то спрашивает пароль и пускает.
> Если захожу неявно тупо говорит что доступа нет, почему?
А авторизация на чем?

> 
> С уважением Роман!
> 
> 
> ------------------------------------------------------------------------
> 
> _______________________________________________
> Community mailing list
> Community@altlinux.ru
> http://lists.altlinux.ru/mailman/listinfo/community

-- 
С наилучшими пожеланиями,
Алексей.



^ permalink raw reply	[flat|nested] 21+ messages in thread

end of thread, other threads:[~2004-05-06  9:09 UTC | newest]

Thread overview: 21+ messages (download: mbox.gz / follow: Atom feed)
-- links below jump to the message on this page --
2004-04-06  9:01 [Comm] iptables Polovnikov Denis
2004-04-06  9:01 ` Nikita Semenov
2004-04-06  9:09   ` Gennadiy Redko
2004-04-06 11:55 ` Alexey Morsov
2004-04-06 13:35   ` Re[2]: " Polovnikov Denis
2004-04-06 13:56     ` Alexey Morsov
2004-04-07  4:24     ` Re[2]: " Mike Lykov
2004-04-07  9:22       ` Re[4]: " Polovnikov Denis
2004-04-07 10:20       ` Polovnikov Denis
2004-04-07 10:29         ` Mike Lykov
2004-04-07 10:36           ` Alexey Morsov
2004-04-07 10:55         ` Re[5]: " Nikita Semenov
2004-04-08  5:55           ` Re[6]: " Polovnikov Denis
2004-04-08  6:21             ` Re[7]: " Nikita Semenov
2004-04-08  9:57               ` Re[8]: " Polovnikov Denis
2004-04-08 11:15                 ` Alexey Morsov
2004-04-08 12:38                   ` Re[2]: " Polovnikov Denis
2004-04-08 12:46                     ` Alexey Morsov
2004-04-08 15:40                       ` Roman Savochenko
2004-04-09  3:38                         ` Mike Lykov
2004-05-06  9:09                         ` Alexey Morsov

ALT Linux Community general discussions

This inbox may be cloned and mirrored by anyone:

	git clone --mirror http://lore.altlinux.org/community/0 community/git/0.git

	# If you have public-inbox 1.1+ installed, you may
	# initialize and index your mirror using the following commands:
	public-inbox-init -V2 community community/ http://lore.altlinux.org/community \
		mandrake-russian@linuxteam.iplabs.ru community@lists.altlinux.org community@lists.altlinux.ru community@lists.altlinux.com
	public-inbox-index community

Example config snippet for mirrors.
Newsgroup available over NNTP:
	nntp://lore.altlinux.org/org.altlinux.lists.community


AGPL code for this site: git clone https://public-inbox.org/public-inbox.git