From mboxrd@z Thu Jan  1 00:00:00 1970
Return-Path: <ra@iop.kiev.ua>
Message-ID: <442D04F9.10106@iop.kiev.ua>
Date: Fri, 31 Mar 2006 13:31:21 +0300
From: Andrey Rybak <ra@iop.kiev.ua>
User-Agent: Mozilla/5.0 (X11; U; Linux i686; en-US;
	rv:1.8.0.1) Gecko/20060130 SeaMonkey/1.0
MIME-Version: 1.0
To: ALT Linux Community <community@lists.altlinux.org>
References: <442BE9A5.6030803@iop.kiev.ua> <442CD05C.8020604@tnu.ru>
	<bf3ff7bc0603302332g6b6824f2j83cb58f80c6a3152@mail.gmail.com>
In-Reply-To: <bf3ff7bc0603302332g6b6824f2j83cb58f80c6a3152@mail.gmail.com>
Content-Type: text/plain; charset=KOI8-R; format=flowed
Content-Transfer-Encoding: 8bit
X-Virus-Scanned: ClamAV 0.88/1364/Thu Mar 30 20:05:50 2006 on
	rmaile.iop.kiev.ua
X-Virus-Status: Clean
X-Spam-Status: No, score=-3.9 required=4.0 tests=ALL_TRUSTED,BAYES_00,
	MIME_CHARSET_FARAWAY autolearn=ham version=3.1.1
X-Spam-Checker-Version: SpamAssassin 3.1.1 (2006-03-10) on rmaile.iop.kiev.ua
Subject: Re: [Comm] iptables rules?
X-BeenThere: community@lists.altlinux.org
X-Mailman-Version: 2.1.7
Precedence: list
Reply-To: ALT Linux Community <community@lists.altlinux.org>
List-Id: ALT Linux Community <community.lists.altlinux.org>
List-Unsubscribe: <https://lists.altlinux.org/mailman/listinfo/community>,
	<mailto:community-request@lists.altlinux.org?subject=unsubscribe>
List-Archive: <http://lists.altlinux.org/pipermail/community>
List-Post: <mailto:community@lists.altlinux.org>
List-Help: <mailto:community-request@lists.altlinux.org?subject=help>
List-Subscribe: <https://lists.altlinux.org/mailman/listinfo/community>,
	<mailto:community-request@lists.altlinux.org?subject=subscribe>
X-List-Received-Date: Fri, 31 Mar 2006 10:30:02 -0000
Archived-At: <http://lore.altlinux.org/community/442D04F9.10106@iop.kiev.ua/>
List-Archive: <http://lore.altlinux.org/community/>
List-Post: <mailto:mandrake-russian@linuxteam.iplabs.ru>

Kaydannik Axel пишет:
> Вывод.
> Сделать что бы именно с этой машины порты ни на какой сквид не форвардились
>
> На будущее: мог бы и представить правила настроек файрвола, сквида и
> примерную топологию, а то - ей богу...
>
>   
Предоставлял, но почему-то не дошло. Наверное рисунок схемы в аттачменте 
размером больше допустимого. Попробую псевдографикой.
Правда, вижу, я в ней не силен. Посмотрю, как в рассылке будет. Надеюсь 
переделывать не надо будет.

Схема в атачменте

На шлюзе (1.1.1.1)
в фаерволле
iptables -t nat -A PREROUTING -p TCP -d 3.3.3.3 --dport 80 -j DNAT 
--to-destination 10.10.10.10:80
iptables -A FORWARD -p TCP -d 10.10.10.10/32 --dport 80 -j ACCEPT
iptables -A FORWARD -p TCP -s 10.10.10.1/32 --sport 80 -j ACCEPT

На сервере (серые адреса не за натом), через который проброс делается и 
на котором прозрачный сквид (2.2.2.2)
в фаерволле
iptables -t nat -p TCP -A PREROUTING -s 0/0 -d 10.10.10.10/32 --dport 80 
-j ACCEPT
iptables -p TCP -A INPUT -d 10.10.10.10/32 --dport 80 -j ACCEPT
iptables -p TCP -A OUTPUT -d 10.10.10.10/32 --dport 80 -j ACCEPT

в конфигурации сквида
acl myacl dst 10.10.10.10/32
http_access  allow myacl




мир
|
---------------------------------------
шлюз
iptables
1.1.1.1
-----------------------------------------
|                                          |
|                                          |
------------------------                       ------------------------
3.3.3.3                                               2.2.2.2
то, что переносим                      Здесь у меня iptables&squid
----------------------------------                       
-------------------------------
                                                  |
                                                  |
                                                              
------------------------------
                                                                      
Серый адрес, куда надо перенести
                                                                10.10.10.10
                                                                 
-----------------------------