https://www.opennet.dev/openforum/vsluhforumID10/3929.html В общем есть внутренняя сетка, сервак с SQUID IPTABLES стала необходимость локальным пользователям забирать почту с внешних хостов аля мейл ру. Что нужно добавить в этот скрипт что б работало. Если есть предложения по оптимизации скрипта буду рад услышать. Заранее спасибо.<br><br>#!/bin/sh<br>#<br>#<br>INET_IP="192.168.0.1"<br>INET_IFACE="eth1"<br>INET_BROADCAST="192.168.0.255"<br><br><br>LAN_IP="192.168.1.1"<br>LAN_IP_RANGE="192.168.1.0/24"<br>LAN_IFACE="eth0"<br><br>LO_IFACE="lo"<br>LO_IP="127.0.0.1"<br><br>IPTABLES="/sbin/iptables"<br><br>/sbin/depmod -a<br><br>/sbin/modprobe ip_tables<br>/sbin/modprobe ip_conntrack<br>/sbin/modprobe iptable_filter<br>/sbin/modprobe iptable_mangle<br>/sbin/modprobe iptable_nat<br>/sbin/modprobe ipt_LOG<br>/sbin/modprobe ipt_limit<br>/sbin/modprobe ipt_state<br><br>echo "1" &gt; /proc/sys/net/ipv4/ip_forward<br><br>$IPTABLES -P INPUT DROP<br>$IPTABLES -P OUTPUT DROP<br>$IPTABLES -P FORWARD DROP<br><br><br>$IPTABLES -N bad_tcp_packets<br>$IPTABLES -N allowed<br>$IPTABLES -N tcp_packets<br>$IPTABLES -N udp_packets<br>$IPTABLES -N icmp_packets<br><br>$IPTABLES -A https://www.opennet.dev/openforum/vsluhforumID10/3929.html#5 Mon, 18 Aug 2008 12:03:14 GMT &gt;&gt;&gt;Так вот в том то и проблема что вроде все есть но <br>&gt;&gt;&gt;не работает.. (( как только клиентскую часть не натсраивал <br>&gt;&gt;<br>&gt;&gt;что у клиентов шлюзом и DNS серверами прописано? <br>&gt;&gt;в -t nat -A POSTROUTING можно было бы указать порты назначения, что <br>&gt;&gt;бы народ мимо squid не пошел. <br>&gt;<br>&gt;1 Настроен внутренний DNS и 2 адрес сервера линухом. шлюзом он же. <br><br>а разрешение имен проверяли? nslookup opennet.ru и таблицу маршрутизации с клиента покажите.<br>&gt;<br>&gt;Самое интересное что мимо ничего не проходит доступ только через прокси <br><br>это пока, а потом с такими правилами смогут.<br><br> https://www.opennet.dev/openforum/vsluhforumID10/3929.html#4 Mon, 18 Aug 2008 09:34:46 GMT &gt;&gt;Так вот в том то и проблема что вроде все есть но <br>&gt;&gt;не работает.. (( как только клиентскую часть не натсраивал <br>&gt;<br>&gt;что у клиентов шлюзом и DNS серверами прописано? <br>&gt;в -t nat -A POSTROUTING можно было бы указать порты назначения, что <br>&gt;бы народ мимо squid не пошел. <br><br>1 Настроен внутренний DNS и 2 адрес сервера линухом. шлюзом он же.<br>Самое интересное что мимо ничего не проходит доступ только через прокси <br> https://www.opennet.dev/openforum/vsluhforumID10/3929.html#3 Fri, 15 Aug 2008 12:32:15 GMT &gt;Так вот в том то и проблема что вроде все есть но <br>&gt;не работает.. (( как только клиентскую часть не натсраивал <br><br>что у клиентов шлюзом и DNS серверами прописано?<br>в -t nat -A POSTROUTING можно было бы указать порты назначения, что бы народ мимо squid не пошел.<br> https://www.opennet.dev/openforum/vsluhforumID10/3929.html#2 Fri, 15 Aug 2008 10:08:41 GMT Так вот в том то и проблема что вроде все есть но не работает.. (( как только клиентскую часть не натсраивал<br> https://www.opennet.dev/openforum/vsluhforumID10/3929.html#1 Thu, 14 Aug 2008 14:10:53 GMT &gt;необходимость локальным пользователям забирать почту с внешних хостов аля мейл ру.<br>&gt;Что нужно добавить в этот скрипт что б работало.<br><br>У меня такое впечатление, что в этот скрипт - ничего не надо добавлять. То, что тебе надо, судя по этому скрипту "и так работает". Требуются, изменения "вне" скрипта: клиенты понастраивать, сетевого админа подучить...<br><br>Кстати, очень популярный скрипт из http://www.opennet.ru/docs/RUS/iptables/#EXAMPLESCRIPTS или одна из "вариаций на тему". В частности популярен в вопросах жанра "ой-ой, у меня не рабоает, вот скрипт, что делать??". Ответ, универсальный: читать http://www.opennet.ru/docs/RUS/iptables/ до полного понимания того, что в том самом скрипте написано и как это работает.<br><br>Если (и когда) всё в мануале и скрипте станет понятно, есть вариант упростить себе жизнь со скриптами iptables: http://www.opennet.ru/openforum/vsluhforumID1/81413.html#7 (по ссылкам - ещё пропаганда!).<br><br>А вот тут я переписал (в меру сил) какой-то из вариантов скрипта имени iptables/#EXAMPLESCR