URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID10
Нить номер: 1641
[ Назад ]
Исходное сообщение
"как заставить squid работать через iptables"
Отправлено kazak , 05-Окт-04 19:14 
Подскажите как решить проблему:
Пользователи в инет выходят из локалки через squid.
Сейчас нужно открыть форвардинг, для этого использую iptables.
Что теоретически нужно разрешить в iptables, чтобы выйти в инет через squid?
Как я делал:
1)Разрешить пользователям из локали обращаться к порту 3128 на файрволе:
iptables -A INPUT -p tcp -i eth0 -s 0/0 --dport 3128 -j ACCEPT

2)Для возможности аутентификации на сквиде через ncsa_auth из локалки:
iptables -A INPUT -p tcp -i eth0 -s 192.170.30.0/24 -j ACCEPT

3)Политика по умолчанию INPUT DROP, OUTPUT и FORWARD ACCEPT(временно)  

После этого в инет выйти не могу, судя по логам я да же на проксе
не могу зарегится:
192.170.30.25 TCP_DENIED/407 1327 GET http://www.ya.ru/ - NONE/- -
или
192.170.30.25 TCP_MISS/000 0 GET http://www.ya.ru/ - NONE/- -
Подскажите, чего не хватает?

Содержание
Сообщения в этом обсуждении
"как заставить squid работать через iptables"
Отправлено mutronix , 06-Окт-04 05:50 
проверь /etc/sysctl.conf
там форвардинг разрешен?
"как заставить squid работать через iptables"
Отправлено kazak , 06-Окт-04 10:27 
>проверь /etc/sysctl.conf
>там форвардинг разрешен?

А причем здесь форвардинг?
Я же в инет через проксю попадаю, а не на прямую.

"как заставить squid работать через iptables"
Отправлено Beginner , 06-Окт-04 13:40 
>>проверь /etc/sysctl.conf
>>там форвардинг разрешен?
>
>А причем здесь форвардинг?
>Я же в инет через проксю попадаю, а не на прямую.

Насчет зарегится на проксе - попробуй пока разрешить все на INPUT с локалки и посмотреть что получится. Если потечет - отследи чего не хватает.
И еще есть на INPUT по умолчанию все дропится, то прокся на получит ничего из инета, так как будет все дропить.