Отправляет email-рассылки с помощью сервиса Sendsay

Linux: разрешение вопросов, перспективы и общение

Подписаться Бесплатный дискуссионный лист Подписчиков 997
  Сентябрь 2008  
 1
 2
 3
 4
 5
 6
06.09.2008
00:04:07
10:06:40
 7
 8
 9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
24.09.2008
21:17:30
22:05:01
25
26
27
28
29
30


За последние 60 дней ни разу не выходила


Сайт листа: http://www.linuxrsp.ru
Открыт: 25-07-2003
Пре-модерация: Нет
Адрес для писем в лист: comp.soft.linux.discuss-list@subscribe.ru
Адрес модератора: comp.soft.linux.discuss-owner@subscribe.ru

Модератор
Фёдор Сорекс

Статистика

997 подписчиков
0 за неделю

iptables, шлюз, web через squid

Доброго времени суток, уже долгое время пытаюсь разобраться с iptables
итд итп
Сегодня приперло, студенты вернулись и забрали у сестры комп с хранения
и меня будут периодически выгонять из-за компа что бы посидеть вконтакте
и поиграть в пасьянс. А качать торренты ой как хочется. На этом лирика
вроде вся.
Суть, небольшая локалка, три компа плюс "типа сервер", первый пень 128
оперативки, убунту на борту (8,04 с последними обновлениями, ля простоты
на 64килобитном, на десктопе тоже самое).
Никак не могу организовать шлюз в инет, что бы просто, указал айпи,
маску, шлюз, днс и вперед.
Настроил dhcp, всё получает вроде как надо, но пока прокси явно не
пропишешь увы, облом.
Ни шлюза, ни переброса запросов на 80й порт в прокси.
Конфиг iptables мне писал знакомый, но что то пошло не так... Сюда их не
включаю ибо всё вместе с порезаными комментами 10к.

dhcp http://paste.org.ru/?3hnerq
iptables http://paste.org.ru/?xkhfte
squid http://paste.org.ru/?u5gr2y

-*Название листа "Linux: разрешение вопросов, перспективы и общение";
Написать в лист: mailto:comp.soft.linux.discuss-list@subscribe.ru
Адрес правил листа http://subscribe.ru/catalog/comp.soft.linux.discuss/rules
Номер письма: 34912; Возраст листа: 1876; Участников: 1506
Адрес сайта рассылки: http://www.linuxrsp.ru
Адрес этого письма в архиве: http://subscribe.ru/archive/comp.soft.linux.discuss/msg/774579

Ответить  
MrFree
Fri, 12 Sep 2008 18:53:16 +1100 (#774579)

 

Ответы:

В сообщении от 12 сентября 2008 10:53 MrFree написал(a):

Пожалуй самая странная конфигурация фаервола, которую мне приходилось
видеть.

Вопрос такой: если верить конфигу дхцп то там еще днс сервер должен
виесть, он работает нормально?

Если да, то на каком именно этапе происходит проблема? В логах сквида
отражаются попытки соединения с ним или нет?

-*Название листа "Linux: разрешение вопросов, перспективы и общение";
Написать в лист: mailto:comp.soft.linux.discuss-list@subscribe.ru
Адрес правил листа http://subscribe.ru/catalog/comp.soft.linux.discuss/rules
Номер письма: 34916; Возраст листа: 1876; Участников: 1506
Адрес сайта рассылки: http://www.linuxrsp.ru
Адрес этого письма в архиве: http://subscribe.ru/archive/comp.soft.linux.discuss/msg/774717

Ответить  
Amper
Fri, 12 Sep 2008 17:35:38 +0300 (#774717)

 

Amper пишет:

Да вроде натыкался в инете, но если есть что от лучше и главное
правильней....

Честно? Не уверен, но ip выдается, dns тоже, (dnsmasq вроде работает), маршрут
тоже проставляется через... ладно...

Нет, пока явно не пропишешь.
с "сервера" пинги идут, wget качает.

с моего компа, клиента.
$ifconfig eth0
eth0 Link encap:Ethernet HWaddr 00:e0:4c:0a:b3:d2
inet addr:192.168.105.1 Bcast:192.168.105.255 Mask:255.255.255.0
inet6 addr: fe80::2e0:4cff:fe0a:b3d2/64 Диапазон:Ссылка
ВВЕРХ BROADCAST RUNNING MULTICAST MTU:1500 Metric:1
RX packets:76725 errors:0 dropped:0 overruns:0 frame:0
TX packets:64484 errors:0 dropped:0 overruns:0 carrier:0
коллизии:0 txqueuelen:1000
RX bytes:21914164 (20.8 MB) TX bytes:45184156 (43.0 MB)
Прервано:19 Base address:0xb800

$route -v -e -n
Таблица маршутизации ядра протокола IP
Destination Gateway Genmask Flags MSS Window irtt Iface
192.168.105.0 0.0.0.0 255.255.255.0 U 0 0 0
eth0
169.254.0.0 0.0.0.0 255.255.0.0 U 0 0 0
eth0
0.0.0.0 192.168.105.10 0.0.0.0 UG 0 0 0
eth0

$ping ya.ru
PING ya.ru (213.180.204.8) 56(84) bytes of data.
ping: sendmsg: Operation not permitted

$cat /etc/resolv.conf
nameserver 192.168.105.10
search portonet

-*Название листа "Linux: разрешение вопросов, перспективы и общение";
Написать в лист: mailto:comp.soft.linux.discuss-list@subscribe.ru
Адрес правил листа http://subscribe.ru/catalog/comp.soft.linux.discuss/rules
Номер письма: 34927; Возраст листа: 1877; Участников: 1506
Адрес сайта рассылки: http://www.linuxrsp.ru
Адрес этого письма в архиве: http://subscribe.ru/archive/comp.soft.linux.discuss/msg/774825

Ответить  
MrFree
Sat, 13 Sep 2008 10:54:06 +1100 (#774825)

 

В сообщении от 13 сентября 2008 02:54 MrFree написал(a):

В качестве бонуса за странный фаервол предложу свой вариант:

#!/bin/bash
#вначале сбросим что было до нас
iptables -F
iptables -X
iptables -t nat -F
iptables -t nat -X
iptables -P INPUT ACCEPT
iptables -P OUTPUT ACCEPT
iptables -P FORWARD DROP
#разрешаем ходить локалке куда угодно, в частности в мир
iptables -A FORWARD -s 192.168.105.0/24 -j ACCEPT
iptables -A FORWARD -d 192.168.105.0/24 -j ACCEPT
#все что на 80 порт получает сквид
iptables -t nat -A PREROUTING -s 192.168.105.0/24 -j REDIRECT \
--to-ports 3128
#все что идет в мир - маскарадим
iptables -t nat -A POSTROUTING -o ppp0 -j MASQUERADE
#вот собственно и все

.....

очень похоже что на клиенте еще и SELinux стоит в пароноидальном режиме,
что совершенно не нужно в 99,9% случаев

кстати те строчки в фаерволе непонятного назначения предназначались
сквиду на тот случай, если он сразу не поймет что от него хотят (старые
версии не понимали)

-*Название листа "Linux: разрешение вопросов, перспективы и общение";
Написать в лист: mailto:comp.soft.linux.discuss-list@subscribe.ru
Адрес правил листа http://subscribe.ru/catalog/comp.soft.linux.discuss/rules
Номер письма: 34928; Возраст листа: 1877; Участников: 1506
Адрес сайта рассылки: http://www.linuxrsp.ru
Адрес этого письма в архиве: http://subscribe.ru/archive/comp.soft.linux.discuss/msg/774829

Ответить  
Amper
Sat, 13 Sep 2008 04:32:05 +0300 (#774829)