* [Comm] iptables
@ 2004-04-06 9:01 Polovnikov Denis
2004-04-06 9:01 ` Nikita Semenov
2004-04-06 11:55 ` Alexey Morsov
0 siblings, 2 replies; 21+ messages in thread
From: Polovnikov Denis @ 2004-04-06 9:01 UTC (permalink / raw)
To: community
привет всем,
поделитесь плиз конфигом для iptables с настроеным натом, или дайте
ссылку на хороший мануал на русском. А то чего-то по не получается
настроить :-(
--
С уважением,
Polovnikov mailto:altlinux@lg-support.ru
^ permalink raw reply [flat|nested] 21+ messages in thread
* Re: [Comm] iptables
2004-04-06 9:01 [Comm] iptables Polovnikov Denis
@ 2004-04-06 9:01 ` Nikita Semenov
2004-04-06 9:09 ` Gennadiy Redko
2004-04-06 11:55 ` Alexey Morsov
1 sibling, 1 reply; 21+ messages in thread
From: Nikita Semenov @ 2004-04-06 9:01 UTC (permalink / raw)
To: Polovnikov Denis
Здравствуйте.
Tuesday, April 6, 2004, 1:01:43 PM, вы писали:
PD> привет всем,
PD> поделитесь плиз конфигом для iptables с настроеным натом, или дайте
PD> ссылку на хороший мануал на русском. А то чего-то по не получается
PD> настроить :-(
http://gazette.linux.ru.net/rus/articles/iptables-tutorial.html
--
Best regards,
Nikita Semenov
System Administer
InterStep
+7(812)324-8020
nikita@inter-step.ru
ICQ: 3939833
^ permalink raw reply [flat|nested] 21+ messages in thread
* Re: [Comm] iptables
2004-04-06 9:01 [Comm] iptables Polovnikov Denis
2004-04-06 9:01 ` Nikita Semenov
@ 2004-04-06 11:55 ` Alexey Morsov
2004-04-06 13:35 ` Re[2]: " Polovnikov Denis
1 sibling, 1 reply; 21+ messages in thread
From: Alexey Morsov @ 2004-04-06 11:55 UTC (permalink / raw)
To: community
Polovnikov Denis wrote:
> привет всем,
>
> поделитесь плиз конфигом для iptables с настроеным натом, или дайте
> ссылку на хороший мануал на русском. А то чего-то по не получается
> настроить :-(
#!/bin/sh
# объявим переменные
FW="/sbin/iptables"
LAN_NET="192.168.130.0/24"
LAN_IP="192.168.130.2"
LAN_ETH="eth0"
INET_IP="192.168.1.2"
INET_ETH="eth1"
# локалка
LH="127.0.0.1"
PROXY_PORT="3128"
modprobe ip_nat_ftp
# все прочистим
$FW -t nat -F
$FW -F
$FW -X
# наведем маскарад
$FW -t nat -A POSTROUTING -s $LAN_NET -o $INET_ETH -j SNAT
--to-source $INET_IP
# все всем запретить
$FW -P INPUT DROP
$FW -P FORWARD DROP
$FW -P OUTPUT ACCEPT
# для INPUT
$FW -A INPUT -m state --state ESTABLISHED,RELATED -j IN_SORTING
$FW -A INPUT -m state --state NEW -i ! $INET_ETH -j ACCEPT
$FW -A INPUT -i $INET_ETH -d $INET_IP -j ACCEPT
Этот скрипт (ну я тут выкинул много чего специфичного для моей
сетки + для подсчета трафика) у меня и работает - замечательно
так работает 8-)
--
С наилучшими пожеланиями,
Алексей.
^ permalink raw reply [flat|nested] 21+ messages in thread
* Re[2]: [Comm] iptables
2004-04-06 11:55 ` Alexey Morsov
@ 2004-04-06 13:35 ` Polovnikov Denis
2004-04-06 13:56 ` Alexey Morsov
2004-04-07 4:24 ` Re[2]: " Mike Lykov
0 siblings, 2 replies; 21+ messages in thread
From: Polovnikov Denis @ 2004-04-06 13:35 UTC (permalink / raw)
To: Alexey Morsov
Здравствуйте, Alexey.
Вы писали 6 апреля 2004 г., 15:55:59:
AM> Polovnikov Denis wrote:
>> привет всем,
>>
>> поделитесь плиз конфигом для iptables с настроеным натом, или дайте
>> ссылку на хороший мануал на русском. А то чего-то по не получается
>> настроить :-(
Вот что у меня щас . И нефига нат не работает.
eth0 это локалка
eth1 это инет.
*mangle
:PREROUTING ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]
#-A PREROUTING -p tcp --dport 22 -j TOS --set-tos 0x10
COMMIT
*filter
:FORWARD ACCEPT [0:0]
:INPUT ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]
:net - [0:0]
COMMIT
*nat
:PREROUTING ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]
:POSTROUTING ACCEPT [0:0]
-A POSTROUTING -s 192.168.12.0/24 -o eth1 -j SNAT --to-source 195.124.1.1
COMMIT
--
С уважением,
Polovnikov mailto:altlinux@lg-support.ru
^ permalink raw reply [flat|nested] 21+ messages in thread
* Re: [Comm] iptables
2004-04-06 13:35 ` Re[2]: " Polovnikov Denis
@ 2004-04-06 13:56 ` Alexey Morsov
2004-04-07 4:24 ` Re[2]: " Mike Lykov
1 sibling, 0 replies; 21+ messages in thread
From: Alexey Morsov @ 2004-04-06 13:56 UTC (permalink / raw)
To: community
Polovnikov Denis wrote:
> Здравствуйте, Alexey.
>
> Вы писали 6 апреля 2004 г., 15:55:59:
>
> Вот что у меня щас . И нефига нат не работает.
> eth0 это локалка
> eth1 это инет.
>
> *mangle
> :PREROUTING ACCEPT [0:0]
> :OUTPUT ACCEPT [0:0]
> #-A PREROUTING -p tcp --dport 22 -j TOS --set-tos 0x10
Вот это вообще не понял?
Зачем?
> COMMIT
> *filter
> :FORWARD ACCEPT [0:0]
> :INPUT ACCEPT [0:0]
> :OUTPUT ACCEPT [0:0]
> :net - [0:0]
> COMMIT
Ох... ну не люблю я формат iptables-save - тяжко читать его ;-)
>
> *nat
> :PREROUTING ACCEPT [0:0]
> :OUTPUT ACCEPT [0:0]
> :POSTROUTING ACCEPT [0:0]
> -A POSTROUTING -s 192.168.12.0/24 -o eth1 -j SNAT --to-source 195.124.1.1
> COMMIT
ну вроде так должно работать
а дайте вывод команд
route
и
cat /proc/sys/net/ipv4/ip_forward
А еще лучше вбейте свои iptables в скрипт и на нем отлаживайте а
то через командную строку все время вбивать - или редактировать
то что насейвил iptables-save - заколебаетесь
> http://lists.altlinux.ru/mailman/listinfo/community
--
С наилучшими пожеланиями,
Алексей.
^ permalink raw reply [flat|nested] 21+ messages in thread
* Re: Re[2]: [Comm] iptables
2004-04-06 13:35 ` Re[2]: " Polovnikov Denis
2004-04-06 13:56 ` Alexey Morsov
@ 2004-04-07 4:24 ` Mike Lykov
2004-04-07 9:22 ` Re[4]: " Polovnikov Denis
2004-04-07 10:20 ` Polovnikov Denis
1 sibling, 2 replies; 21+ messages in thread
From: Mike Lykov @ 2004-04-07 4:24 UTC (permalink / raw)
To: community
В сообщении от Вторник 06 Апрель 2004 18:35 Polovnikov Denis написал:
> Вот что у меня щас . И нефига нат не работает.
> -A POSTROUTING -s 192.168.12.0/24 -o eth1 -j SNAT --to-source 195.124.1.1
три раза одно и то же можно не посылать, вышеуказанной строки должно быть
достаточно, если включен форвард пакетов в /etc/sysctl.conf
--
Mike
^ permalink raw reply [flat|nested] 21+ messages in thread
* Re[4]: [Comm] iptables
2004-04-07 4:24 ` Re[2]: " Mike Lykov
@ 2004-04-07 9:22 ` Polovnikov Denis
2004-04-07 10:20 ` Polovnikov Denis
1 sibling, 0 replies; 21+ messages in thread
From: Polovnikov Denis @ 2004-04-07 9:22 UTC (permalink / raw)
To: Mike Lykov
Здравствуйте, Mike.
Вы писали 7 апреля 2004 г., 8:24:19:
ML> В сообщении от Вторник 06 Апрель 2004 18:35 Polovnikov Denis написал:
>> Вот что у меня щас . И нефига нат не работает.
>> -A POSTROUTING -s 192.168.12.0/24 -o eth1 -j SNAT --to-source 195.124.1.1
ML> три раза одно и то же можно не посылать, вышеуказанной строки должно быть
ML> достаточно, если включен форвард пакетов в /etc/sysctl.conf
Извеняюсь это чегото мыша сглючила :-(
Включил форвардинг и все заработало :-)
--
С уважением,
Polovnikov mailto:altlinux@lg-support.ru
^ permalink raw reply [flat|nested] 21+ messages in thread
* Re[4]: [Comm] iptables
2004-04-07 4:24 ` Re[2]: " Mike Lykov
2004-04-07 9:22 ` Re[4]: " Polovnikov Denis
@ 2004-04-07 10:20 ` Polovnikov Denis
2004-04-07 10:29 ` Mike Lykov
2004-04-07 10:55 ` Re[5]: " Nikita Semenov
1 sibling, 2 replies; 21+ messages in thread
From: Polovnikov Denis @ 2004-04-07 10:20 UTC (permalink / raw)
To: Mike Lykov
Здравствуйте, Mike.
Вы писали 7 апреля 2004 г., 8:24:19:
Спасибо всем за помощь с натом заработало :-) Теперь остается вопрос с
тем как перенаправить пакеты с 80 порта на 3128 для прозрачного
прокси. Порылся в архиве рассылки и нашол что надо прописать следуещее
iptables -t nat -A PREROUTING -p tcp --dport 80 -j REDIRECT --to-ports 3128
Squid я уже настроил. Но почему то пакеты не перенаправляются :-(
--
С уважением,
Polovnikov mailto:altlinux@lg-support.ru
^ permalink raw reply [flat|nested] 21+ messages in thread
* Re: Re[4]: [Comm] iptables
2004-04-07 10:20 ` Polovnikov Denis
@ 2004-04-07 10:29 ` Mike Lykov
2004-04-07 10:36 ` Alexey Morsov
2004-04-07 10:55 ` Re[5]: " Nikita Semenov
1 sibling, 1 reply; 21+ messages in thread
From: Mike Lykov @ 2004-04-07 10:29 UTC (permalink / raw)
To: community
В сообщении от Среда 07 Апрель 2004 15:20 Polovnikov Denis написал:
> Squid я уже настроил. Но почему то пакеты не перенаправляются :-(
читать bog.pp.ru насчет особенностей прозрачного проксирования
--
Mike
^ permalink raw reply [flat|nested] 21+ messages in thread
* Re: [Comm] iptables
2004-04-07 10:29 ` Mike Lykov
@ 2004-04-07 10:36 ` Alexey Morsov
0 siblings, 0 replies; 21+ messages in thread
From: Alexey Morsov @ 2004-04-07 10:36 UTC (permalink / raw)
To: community
Mike Lykov wrote:
> В сообщении от Среда 07 Апрель 2004 15:20 Polovnikov Denis написал:
>
>
>>Squid я уже настроил. Но почему то пакеты не перенаправляются :-(
>
>
> читать bog.pp.ru насчет особенностей прозрачного проксирования
Да просто гляньте в squid.conf - там так все обкоментированно
Намек - для прозрачки нужно включить в squid.conf опцию
transparent_proxy и еще опции с virtual_host...
а вообще я себе в прозрачку не настраивал - меньше возможностей
(имхо), перенаправляеться тока http траффик (он конечно самый
большой но все же). Я просто запретил трафик через FORWARD - тока
через squid (т.е. INPUT OUTPUT) -
>
>
>
> ------------------------------------------------------------------------
>
> _______________________________________________
> Community mailing list
> Community@altlinux.ru
> http://lists.altlinux.ru/mailman/listinfo/community
--
С наилучшими пожеланиями,
Алексей.
^ permalink raw reply [flat|nested] 21+ messages in thread
* Re[5]: [Comm] iptables
2004-04-07 10:20 ` Polovnikov Denis
2004-04-07 10:29 ` Mike Lykov
@ 2004-04-07 10:55 ` Nikita Semenov
2004-04-08 5:55 ` Re[6]: " Polovnikov Denis
1 sibling, 1 reply; 21+ messages in thread
From: Nikita Semenov @ 2004-04-07 10:55 UTC (permalink / raw)
To: Polovnikov Denis
Здравствуйте.
А непрозрачно работает?
Wednesday, April 7, 2004, 2:20:18 PM, вы писали:
PD> Здравствуйте, Mike.
PD> Вы писали 7 апреля 2004 г., 8:24:19:
PD> Спасибо всем за помощь с натом заработало :-) Теперь остается вопрос с
PD> тем как перенаправить пакеты с 80 порта на 3128 для прозрачного
PD> прокси. Порылся в архиве рассылки и нашол что надо прописать следуещее
PD> iptables -t nat -A PREROUTING -p tcp --dport 80 -j REDIRECT --to-ports 3128
PD> Squid я уже настроил. Но почему то пакеты не перенаправляются :-(
--
Best regards,
Nikita Semenov
System Administer
InterStep
+7(812)324-8020
nikita@inter-step.ru
ICQ: 3939833
^ permalink raw reply [flat|nested] 21+ messages in thread
* Re[6]: [Comm] iptables
2004-04-07 10:55 ` Re[5]: " Nikita Semenov
@ 2004-04-08 5:55 ` Polovnikov Denis
2004-04-08 6:21 ` Re[7]: " Nikita Semenov
0 siblings, 1 reply; 21+ messages in thread
From: Polovnikov Denis @ 2004-04-08 5:55 UTC (permalink / raw)
To: Nikita Semenov
Здравствуйте, Nikita.
Вы писали 7 апреля 2004 г., 14:55:00:
NS> Здравствуйте.
NS> А непрозрачно работает?
Напрямую Squid работает. Не работает переброс.
В сквиде все прописано как положено, но почемуто мануалы по настройке
все для ipchaшns а iptables нефига нет. :-(
http_port 3128
httpd_accel_host virtual
httpd_accel_port 80
httpd_accel_with_proxy on
httpd_accel_uses_host_header on
NS> Wednesday, April 7, 2004, 2:20:18 PM, вы писали:
PD>> Здравствуйте, Mike.
PD>> Вы писали 7 апреля 2004 г., 8:24:19:
PD>> Спасибо всем за помощь с натом заработало :-) Теперь остается вопрос с
PD>> тем как перенаправить пакеты с 80 порта на 3128 для прозрачного
PD>> прокси. Порылся в архиве рассылки и нашол что надо прописать следуещее
PD>> iptables -t nat -A PREROUTING -p tcp --dport 80 -j REDIRECT --to-ports 3128
PD>> Squid я уже настроил. Но почему то пакеты не перенаправляются :-(
--
С уважением,
Polovnikov mailto:altlinux@lg-support.ru
^ permalink raw reply [flat|nested] 21+ messages in thread
* Re[7]: [Comm] iptables
2004-04-08 5:55 ` Re[6]: " Polovnikov Denis
@ 2004-04-08 6:21 ` Nikita Semenov
2004-04-08 9:57 ` Re[8]: " Polovnikov Denis
0 siblings, 1 reply; 21+ messages in thread
From: Nikita Semenov @ 2004-04-08 6:21 UTC (permalink / raw)
To: Polovnikov Denis
Здравствуйте.
У меня вот так:
$IPTABLES -t nat -A PREROUTING -i eth0 -p tcp --dport 80 -j DNAT --to-destination 192.168.1.66
Thursday, April 8, 2004, 9:55:38 AM, вы писали:
PD> Здравствуйте, Nikita.
PD> Вы писали 7 апреля 2004 г., 14:55:00:
NS>> Здравствуйте.
NS>> А непрозрачно работает?
PD> Напрямую Squid работает. Не работает переброс.
PD> В сквиде все прописано как положено, но почемуто мануалы по настройке
PD> все для ipchaшns а iptables нефига нет. :-(
PD> http_port 3128
PD> httpd_accel_host virtual
PD> httpd_accel_port 80
PD> httpd_accel_with_proxy on
PD> httpd_accel_uses_host_header on
NS>> Wednesday, April 7, 2004, 2:20:18 PM, вы писали:
PD>>> Здравствуйте, Mike.
PD>>> Вы писали 7 апреля 2004 г., 8:24:19:
PD>>> Спасибо всем за помощь с натом заработало :-) Теперь остается вопрос с
PD>>> тем как перенаправить пакеты с 80 порта на 3128 для прозрачного
PD>>> прокси. Порылся в архиве рассылки и нашол что надо прописать следуещее
PD>>> iptables -t nat -A PREROUTING -p tcp --dport 80 -j REDIRECT --to-ports 3128
PD>>> Squid я уже настроил. Но почему то пакеты не перенаправляются :-(
--
Best regards,
Nikita Semenov
System Administer
InterStep
+7(812)324-8020
nikita@inter-step.ru
ICQ: 3939833
^ permalink raw reply [flat|nested] 21+ messages in thread
* Re[8]: [Comm] iptables
2004-04-08 6:21 ` Re[7]: " Nikita Semenov
@ 2004-04-08 9:57 ` Polovnikov Denis
2004-04-08 11:15 ` Alexey Morsov
0 siblings, 1 reply; 21+ messages in thread
From: Polovnikov Denis @ 2004-04-08 9:57 UTC (permalink / raw)
To: Nikita Semenov
Здравствуйте, Nikita.
Вы писали 8 апреля 2004 г., 10:21:55:
Добил я всетаки iptables пакеты он теперь перекидывает на Сквид
:-)Всем спасибо за советы.
Трабла с правами доступа у сквида написал ACL не пущает... разрешаю
доступ для всех пущает. Подскажите в чем я не прав.
acl clients src 192.168.12.0/255.255.255.0
http_access allow clients
NS> Здравствуйте.
NS> У меня вот так:
NS> $IPTABLES -t nat -A PREROUTING -i eth0 -p tcp --dport 80 -j
NS> DNAT --to-destination 192.168.1.66
NS> Thursday, April 8, 2004, 9:55:38 AM, вы писали:
PD>> Здравствуйте, Nikita.
PD>> Вы писали 7 апреля 2004 г., 14:55:00:
NS>>> Здравствуйте.
NS>>> А непрозрачно работает?
PD>> Напрямую Squid работает. Не работает переброс.
PD>> В сквиде все прописано как положено, но почемуто мануалы по настройке
PD>> все для ipchaшns а iptables нефига нет. :-(
PD>> http_port 3128
PD>> httpd_accel_host virtual
PD>> httpd_accel_port 80
PD>> httpd_accel_with_proxy on
PD>> httpd_accel_uses_host_header on
NS>>> Wednesday, April 7, 2004, 2:20:18 PM, вы писали:
PD>>>> Здравствуйте, Mike.
PD>>>> Вы писали 7 апреля 2004 г., 8:24:19:
PD>>>> Спасибо всем за помощь с натом заработало :-) Теперь остается вопрос с
PD>>>> тем как перенаправить пакеты с 80 порта на 3128 для прозрачного
PD>>>> прокси. Порылся в архиве рассылки и нашол что надо прописать следуещее
PD>>>> iptables -t nat -A PREROUTING -p tcp --dport 80 -j REDIRECT --to-ports 3128
PD>>>> Squid я уже настроил. Но почему то пакеты не перенаправляются :-(
--
С уважением,
Polovnikov mailto:altlinux@lg-support.ru
^ permalink raw reply [flat|nested] 21+ messages in thread
* Re: [Comm] iptables
2004-04-08 9:57 ` Re[8]: " Polovnikov Denis
@ 2004-04-08 11:15 ` Alexey Morsov
2004-04-08 12:38 ` Re[2]: " Polovnikov Denis
0 siblings, 1 reply; 21+ messages in thread
From: Alexey Morsov @ 2004-04-08 11:15 UTC (permalink / raw)
To: community
Polovnikov Denis wrote:
> Здравствуйте, Nikita.
>
> Вы писали 8 апреля 2004 г., 10:21:55:
>
>
> Добил я всетаки iptables пакеты он теперь перекидывает на Сквид
> :-)Всем спасибо за советы.
А не скажите в чем было дело - интересно 8-)
>
> Трабла с правами доступа у сквида написал ACL не пущает... разрешаю
> доступ для всех пущает. Подскажите в чем я не прав.
Правила (естественно) обрабатывають до первого совпадения,
т.е. скажем если написано
acl src mynet 192.168.130.0/28
http_access allow mynet
http_access deny all
то все из mynet сетки пройдут - остальные нет
А вот если написать
http_access deny all
http_access allow mynet - то конено (посколько all = 0/0) mynet
тоже удйет курить бамбук
Могу поделить примерами если надо - работает именно как и должно
>
> acl clients src 192.168.12.0/255.255.255.0
> http_access allow clients
>
>
>
> NS> Здравствуйте.
> NS> У меня вот так:
>
> NS> $IPTABLES -t nat -A PREROUTING -i eth0 -p tcp --dport 80 -j
> NS> DNAT --to-destination 192.168.1.66
>
>
> NS> Thursday, April 8, 2004, 9:55:38 AM, вы писали:
>
> PD>> Здравствуйте, Nikita.
>
> PD>> Вы писали 7 апреля 2004 г., 14:55:00:
>
> NS>>> Здравствуйте.
> NS>>> А непрозрачно работает?
>
> PD>> Напрямую Squid работает. Не работает переброс.
>
> PD>> В сквиде все прописано как положено, но почемуто мануалы по настройке
> PD>> все для ipchaшns а iptables нефига нет. :-(
>
> PD>> http_port 3128
> PD>> httpd_accel_host virtual
> PD>> httpd_accel_port 80
> PD>> httpd_accel_with_proxy on
> PD>> httpd_accel_uses_host_header on
>
>
> NS>>> Wednesday, April 7, 2004, 2:20:18 PM, вы писали:
>
> PD>>>> Здравствуйте, Mike.
>
> PD>>>> Вы писали 7 апреля 2004 г., 8:24:19:
>
> PD>>>> Спасибо всем за помощь с натом заработало :-) Теперь остается вопрос с
> PD>>>> тем как перенаправить пакеты с 80 порта на 3128 для прозрачного
> PD>>>> прокси. Порылся в архиве рассылки и нашол что надо прописать следуещее
>
> PD>>>> iptables -t nat -A PREROUTING -p tcp --dport 80 -j REDIRECT --to-ports 3128
>
> PD>>>> Squid я уже настроил. Но почему то пакеты не перенаправляются :-(
>
>
>
>
>
>
>
>
>
>
>
>
>
>
>
>
>
> ------------------------------------------------------------------------
>
> _______________________________________________
> Community mailing list
> Community@altlinux.ru
> http://lists.altlinux.ru/mailman/listinfo/community
--
С наилучшими пожеланиями,
Алексей.
^ permalink raw reply [flat|nested] 21+ messages in thread
* Re[2]: [Comm] iptables
2004-04-08 11:15 ` Alexey Morsov
@ 2004-04-08 12:38 ` Polovnikov Denis
2004-04-08 12:46 ` Alexey Morsov
0 siblings, 1 reply; 21+ messages in thread
From: Polovnikov Denis @ 2004-04-08 12:38 UTC (permalink / raw)
To: Alexey Morsov
Здравствуйте, Alexey.
Вы писали 8 апреля 2004 г., 15:15:14:
AM> Polovnikov Denis wrote:
>> Здравствуйте, Nikita.
>>
>> Вы писали 8 апреля 2004 г., 10:21:55:
>>
>>
>> Добил я всетаки iptables пакеты он теперь перекидывает на Сквид
>> :-)Всем спасибо за советы.
AM> А не скажите в чем было дело - интересно 8-)
В iptables 2 страки следующего содержания прописать надо было.
-A PREROUTING -s 192.168.12.0/24 -d ! 192.168.12.1 -p tcp -m multiport --dport 80 -j REDIRECT --to-port 3128
-A PREROUTING -s 192.168.12.0/24 -d ! 192.168.12.1 -p udp -m multiport --dport 80 -j REDIRECT --to-port 3128
>>
>> Трабла с правами доступа у сквида написал ACL не пущает... разрешаю
>> доступ для всех пущает. Подскажите в чем я не прав.
AM> Правила (естественно) обрабатывають до первого совпадения,
AM> т.е. скажем если написано
AM> acl src mynet 192.168.130.0/28
AM> http_access allow mynet
AM> http_access deny all
AM> то все из mynet сетки пройдут - остальные нет
AM> А вот если написать
AM> http_access deny all
AM> http_access allow mynet - то конено (посколько all = 0/0) mynet
AM> тоже удйет курить бамбук
Спасибо что разьяснил этого нюанса я не знал :-)))
AM> Могу поделить примерами если надо - работает именно как и должно
--
С уважением,
Polovnikov mailto:altlinux@lg-support.ru
^ permalink raw reply [flat|nested] 21+ messages in thread
* Re: [Comm] iptables
2004-04-08 12:38 ` Re[2]: " Polovnikov Denis
@ 2004-04-08 12:46 ` Alexey Morsov
2004-04-08 15:40 ` Roman Savochenko
0 siblings, 1 reply; 21+ messages in thread
From: Alexey Morsov @ 2004-04-08 12:46 UTC (permalink / raw)
To: community
Polovnikov Denis wrote:
> Здравствуйте, Alexey.
>
> Вы писали 8 апреля 2004 г., 15:15:14:
>
>
>
> AM> Polovnikov Denis wrote:
>
>>>Здравствуйте, Nikita.
>>>
>>>Вы писали 8 апреля 2004 г., 10:21:55:
>>>
>>>
>>>Добил я всетаки iptables пакеты он теперь перекидывает на Сквид
>>>:-)Всем спасибо за советы.
>
> AM> А не скажите в чем было дело - интересно 8-)
> В iptables 2 страки следующего содержания прописать надо было.
>
> -A PREROUTING -s 192.168.12.0/24 -d ! 192.168.12.1 -p tcp -m multiport --dport 80 -j REDIRECT --to-port 3128
> -A PREROUTING -s 192.168.12.0/24 -d ! 192.168.12.1 -p udp -m multiport --dport 80 -j REDIRECT --to-port 3128
>
Млин - Логично - squid же еще и dns сам обрабатывает (и кеширует
слегка)
>
>>>Трабла с правами доступа у сквида написал ACL не пущает... разрешаю
>>>доступ для всех пущает. Подскажите в чем я не прав.
>
> AM> Правила (естественно) обрабатывають до первого совпадения,
> AM> т.е. скажем если написано
>
> AM> acl src mynet 192.168.130.0/28
> AM> http_access allow mynet
> AM> http_access deny all
>
> AM> то все из mynet сетки пройдут - остальные нет
> AM> А вот если написать
> AM> http_access deny all
> AM> http_access allow mynet - то конено (посколько all = 0/0) mynet
> AM> тоже удйет курить бамбук
>
> Спасибо что разьяснил этого нюанса я не знал :-)))
>
> AM> Могу поделить примерами если надо - работает именно как и должно
>
>
>
> ------------------------------------------------------------------------
>
> _______________________________________________
> Community mailing list
> Community@altlinux.ru
> http://lists.altlinux.ru/mailman/listinfo/community
--
С наилучшими пожеланиями,
Алексей.
^ permalink raw reply [flat|nested] 21+ messages in thread
* Re: [Comm] iptables
2004-04-08 12:46 ` Alexey Morsov
@ 2004-04-08 15:40 ` Roman Savochenko
2004-04-09 3:38 ` Mike Lykov
2004-05-06 9:09 ` Alexey Morsov
0 siblings, 2 replies; 21+ messages in thread
From: Roman Savochenko @ 2004-04-08 15:40 UTC (permalink / raw)
To: community
Alexey Morsov пишет:
>
>>
>> AM> А не скажите в чем было дело - интересно 8-)
>> В iptables 2 страки следующего содержания прописать надо было.
>>
>> -A PREROUTING -s 192.168.12.0/24 -d ! 192.168.12.1 -p tcp -m
>> multiport --dport 80 -j REDIRECT --to-port 3128
>> -A PREROUTING -s 192.168.12.0/24 -d ! 192.168.12.1 -p udp -m
>> multiport --dport 80 -j REDIRECT --to-port 3128
>>
Интересно!
А что в squid для этого нужно прописать?
У меня настроена авторизация и выборочный доступ машин из списка.
Если захожу как обычно то спрашивает пароль и пускает.
Если захожу неявно тупо говорит что доступа нет, почему?
С уважением Роман!
^ permalink raw reply [flat|nested] 21+ messages in thread
* Re: [Comm] iptables
2004-04-08 15:40 ` Roman Savochenko
@ 2004-04-09 3:38 ` Mike Lykov
2004-05-06 9:09 ` Alexey Morsov
1 sibling, 0 replies; 21+ messages in thread
From: Mike Lykov @ 2004-04-09 3:38 UTC (permalink / raw)
To: community
В сообщении от Четверг 08 Апрель 2004 20:40 Roman Savochenko написал:
> У меня настроена авторизация и выборочный доступ машин из списка.
> Если захожу как обычно то спрашивает пароль и пускает.
> Если захожу неявно тупо говорит что доступа нет, почему?
читайте доки и факи.
авторизация и прозрачное проксирование одновременно не работают.
--
Mike
^ permalink raw reply [flat|nested] 21+ messages in thread
* Re: [Comm] iptables
2004-04-08 15:40 ` Roman Savochenko
2004-04-09 3:38 ` Mike Lykov
@ 2004-05-06 9:09 ` Alexey Morsov
1 sibling, 0 replies; 21+ messages in thread
From: Alexey Morsov @ 2004-05-06 9:09 UTC (permalink / raw)
To: community
Roman Savochenko wrote:
> Alexey Morsov пишет:
>
>>
>>>
>>> AM> А не скажите в чем было дело - интересно 8-)
>>> В iptables 2 страки следующего содержания прописать надо было.
>>>
>>> -A PREROUTING -s 192.168.12.0/24 -d ! 192.168.12.1 -p tcp -m
>>> multiport --dport 80 -j REDIRECT --to-port 3128
>>> -A PREROUTING -s 192.168.12.0/24 -d ! 192.168.12.1 -p udp -m
>>> multiport --dport 80 -j REDIRECT --to-port 3128
>>>
> Интересно!
> А что в squid для этого нужно прописать?
> У меня настроена авторизация и выборочный доступ машин из списка.
> Если захожу как обычно то спрашивает пароль и пускает.
> Если захожу неявно тупо говорит что доступа нет, почему?
А авторизация на чем?
>
> С уважением Роман!
>
>
> ------------------------------------------------------------------------
>
> _______________________________________________
> Community mailing list
> Community@altlinux.ru
> http://lists.altlinux.ru/mailman/listinfo/community
--
С наилучшими пожеланиями,
Алексей.
^ permalink raw reply [flat|nested] 21+ messages in thread
end of thread, other threads:[~2004-05-06 9:09 UTC | newest]
Thread overview: 21+ messages (download: mbox.gz / follow: Atom feed)
-- links below jump to the message on this page --
2004-04-06 9:01 [Comm] iptables Polovnikov Denis
2004-04-06 9:01 ` Nikita Semenov
2004-04-06 9:09 ` Gennadiy Redko
2004-04-06 11:55 ` Alexey Morsov
2004-04-06 13:35 ` Re[2]: " Polovnikov Denis
2004-04-06 13:56 ` Alexey Morsov
2004-04-07 4:24 ` Re[2]: " Mike Lykov
2004-04-07 9:22 ` Re[4]: " Polovnikov Denis
2004-04-07 10:20 ` Polovnikov Denis
2004-04-07 10:29 ` Mike Lykov
2004-04-07 10:36 ` Alexey Morsov
2004-04-07 10:55 ` Re[5]: " Nikita Semenov
2004-04-08 5:55 ` Re[6]: " Polovnikov Denis
2004-04-08 6:21 ` Re[7]: " Nikita Semenov
2004-04-08 9:57 ` Re[8]: " Polovnikov Denis
2004-04-08 11:15 ` Alexey Morsov
2004-04-08 12:38 ` Re[2]: " Polovnikov Denis
2004-04-08 12:46 ` Alexey Morsov
2004-04-08 15:40 ` Roman Savochenko
2004-04-09 3:38 ` Mike Lykov
2004-05-06 9:09 ` Alexey Morsov
ALT Linux Community general discussions
This inbox may be cloned and mirrored by anyone:
git clone --mirror http://lore.altlinux.org/community/0 community/git/0.git
# If you have public-inbox 1.1+ installed, you may
# initialize and index your mirror using the following commands:
public-inbox-init -V2 community community/ http://lore.altlinux.org/community \
mandrake-russian@linuxteam.iplabs.ru community@lists.altlinux.org community@lists.altlinux.ru community@lists.altlinux.com
public-inbox-index community
Example config snippet for mirrors.
Newsgroup available over NNTP:
nntp://lore.altlinux.org/org.altlinux.lists.community
AGPL code for this site: git clone https://public-inbox.org/public-inbox.git