URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID1
Нить номер: 49056
[ Назад ]

Исходное сообщение
"iptables"
Отправлено kazak , 06-Окт-04 10:29

Я конечно извеняюсь за беспокойство по одному и тому же вопросу, однако исчерповающего ответа я так и не получил.
Подскажите как решить проблему:
Пользователи в инет выходят из локалки через squid.
Сейчас нужно открыть форвардинг, для этого использую iptables.
Что теоретически нужно разрешить в iptables, чтобы выйти в инет через squid?
Как я делал:
1)Разрешить пользователям из локали обращаться к порту 3128 на файрволе:
iptables -A INPUT -p tcp -i eth0 -s 0/0 --dport 3128 -j ACCEPT
2)Для возможности аутентификации на сквиде через ncsa_auth из локалки:
iptables -A INPUT -p tcp -i eth0 -s 192.170.30.0/24 -j ACCEPT
3)Политика по умолчанию INPUT DROP, OUTPUT и FORWARD ACCEPT(временно)
После этого в инет выйти не могу, судя по логам я да же на проксе
не могу зарегится:
192.170.30.25 TCP_DENIED/407 1327 GET http://www.ya.ru/ - NONE/- -
или
192.170.30.25 TCP_MISS/000 0 GET http://www.ya.ru/ - NONE/- -
Подскажите, чего не хватает?

Содержание

iptables,nrvalex, 11:05 , 06-Окт-04
- iptables,kazak, 12:37 , 06-Окт-04
  - iptables,Loky, 13:11 , 06-Окт-04

Сообщения в этом обсуждении

"iptables"
Отправлено nrvalex , 06-Окт-04 11:05

>Я конечно извеняюсь за беспокойство по одному и тому же вопросу, однако
>исчерповающего ответа я так и не получил.
>Подскажите как решить проблему:
>Пользователи в инет выходят из локалки через squid.
>Сейчас нужно открыть форвардинг, для этого использую iptables.
>Что теоретически нужно разрешить в iptables, чтобы выйти в инет через squid?
>
>Как я делал:
>1)Разрешить пользователям из локали обращаться к порту 3128 на файрволе:
>iptables -A INPUT -p tcp -i eth0 -s 0/0 --dport 3128 -j
>ACCEPT
>2)Для возможности аутентификации на сквиде через ncsa_auth из локалки:
>iptables -A INPUT -p tcp -i eth0 -s 192.170.30.0/24 -j ACCEPT
>
>3)Политика по умолчанию INPUT DROP, OUTPUT и FORWARD ACCEPT(временно)
>
>После этого в инет выйти не могу, судя по логам я да
>же на проксе
>не могу зарегится:
>192.170.30.25 TCP_DENIED/407 1327 GET http://www.ya.ru/ - NONE/- -
>или
>192.170.30.25 TCP_MISS/000 0 GET http://www.ya.ru/ - NONE/- -
>Подскажите, чего не хватает?
iptables -I INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
http://www.opennet.me/docs/RUS/iptables/

"iptables"
Отправлено kazak , 06-Окт-04 12:37

>>Я конечно извеняюсь за беспокойство по одному и тому же вопросу, однако
>>исчерповающего ответа я так и не получил.
>>Подскажите как решить проблему:
>>Пользователи в инет выходят из локалки через squid.
>>Сейчас нужно открыть форвардинг, для этого использую iptables.
>>Что теоретически нужно разрешить в iptables, чтобы выйти в инет через squid?
>>
>>Как я делал:
>>1)Разрешить пользователям из локали обращаться к порту 3128 на файрволе:
>>iptables -A INPUT -p tcp -i eth0 -s 0/0 --dport 3128 -j
>>ACCEPT
>>2)Для возможности аутентификации на сквиде через ncsa_auth из локалки:
>>iptables -A INPUT -p tcp -i eth0 -s 192.170.30.0/24 -j ACCEPT
>>
>>3)Политика по умолчанию INPUT DROP, OUTPUT и FORWARD ACCEPT(временно)
>>
>>После этого в инет выйти не могу, судя по логам я да
>>же на проксе
>>не могу зарегится:
>>192.170.30.25 TCP_DENIED/407 1327 GET http://www.ya.ru/ - NONE/- -
>>или
>>192.170.30.25 TCP_MISS/000 0 GET http://www.ya.ru/ - NONE/- -
>>Подскажите, чего не хватает?
>
>iptables -I INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
>
>http://www.opennet.me/docs/RUS/iptables/
А какой смысл несет это правило я не до конца понимаю, ведь я же разрешил вхоядящие пакеты для сквида и ncsa_auth?

"iptables"
Отправлено Loky , 06-Окт-04 13:11

>А какой смысл несет это правило я не до конца понимаю, ведь
>я же разрешил вхоядящие пакеты для сквида и ncsa_auth?
Для начала почитай про стек протокола TCP/IP, тогда многое понятно станет. Какой смысл объяснять если тебя не понимают?