forum.opennet.ru - "ASP 9.2 Интернет для локалки" (9)

форумы

помощь

поиск

регистрация

майллист

ВХОД

слежка

"ASP 9.2 Интернет для локалки"

Форумы OpenNET: Виртуальная конференция (Public)
Вариант для распечатки		Архивированная нить - только для чтения! Пред. тема \| След. тема
Изначальное сообщение		[Проследить за развитием треда]

"ASP 9.2 Интернет для локалки"
Сообщение от Rio (ok) on 31-Авг-04, 17:45 (MSK)
Народ, буду очень признателен если поможете советом. Промблема такая: нужен выход в инет из локальной сети... Есть: ISDN Lucent 192.168.1.1 с поднятым NAT ASP 9.2 с двумя сетевухами 1 - 192.168.1.20 - ISDN, 2 - 192.168.0.20 - ЛВС Вопрос1: как построить выход в инет (желательно squid) с наибольшей безопасностью, +настроить ICQ ? как в этом случае применять iptables для фильтрации пакетов? Вопрос2: почему при следующей настройке, юзер (192.168.0.10) не пингует 192.168.1.20 ? iptables -t nat -A POSTROUTING -s 192.168.0.0/24 -d 192.168.1.20 -j SNAT --to-source 192.168.1.100 юзер подключен напрямую к ASP 192.168.0.10 <-> 192.168.0.20 Спасибо.
	Рекомендовать в FAQ \| Cообщить модератору \| Наверх

Оглавление

ASP 9.2 Интернет для локалки, Maxim A.Kuznetcov, 20:03 , 31-Авг-04, (1)
- ASP 9.2 Интернет для локалки, Rio, 00:15 , 01-Сен-04, (2)
  - ASP 9.2 Интернет для локалки, Maxim A.Kuznetcov, 02:12 , 01-Сен-04, (3)
    - ASP 9.2 Интернет для локалки, Rio, 14:56 , 01-Сен-04, (4)
      - ASP 9.2 Интернет для локалки, Maxim Kuznetsov, 19:29 , 01-Сен-04, (5)
        
        ASP 9.2 Интернет для локалки, Rio, 09:33 , 02-Сен-04, (6)
        
        ASP 9.2 Интернет для локалки, Rio, 09:41 , 02-Сен-04, (7)
        
        ASP 9.2 Интернет для локалки, Maxim A.Kuznetcov, 13:12 , 02-Сен-04, (8)
        
        ASP 9.2 Интернет для локалки, Rio, 14:11 , 02-Сен-04, (9)

Индекс форумов | Темы | Пред. тема | След. тема

Сообщения по теме

1. "ASP 9.2 Интернет для локалки"

Сообщение от Maxim A.Kuznetcov on 31-Авг-04, 20:03  (MSK)

Исходные данные :
eth0 192.168.1.20 ISDN
eth1 192.168.0.20 LAN
Решение :
(маскируем весь LAN под себя)
iptables -t nat -A POSTROUTING -o eth0 -j SNAT --to-source 192.168.1.20

Рекомендовать в FAQ | Cообщить модератору | Наверх

2. "ASP 9.2 Интернет для локалки"

Сообщение от Rio (ok) on 01-Сен-04, 00:15  (MSK)

>Исходные данные :
>eth0 192.168.1.20 ISDN
>eth1 192.168.0.20 LAN
>
>Решение :
>(маскируем весь LAN под себя)
>iptables -t nat -A POSTROUTING -o eth0 -j SNAT --to-source 192.168.1.20
Спасибо конечно, а поподробней можно?

Рекомендовать в FAQ | Cообщить модератору | Наверх

3. "ASP 9.2 Интернет для локалки"

Сообщение от Maxim A.Kuznetcov on 01-Сен-04, 02:12  (MSK)

>>Исходные данные :
>>eth0 192.168.1.20 ISDN
>>eth1 192.168.0.20 LAN
>>
>>Решение :
>>(маскируем весь LAN под себя)
>>iptables -t nat -A POSTROUTING -o eth0 -j SNAT --to-source 192.168.1.20
>
>Спасибо конечно, а поподробней можно?
а еще правильнее :
iptables -t nat -A POSTROUTING -d ! 192.168.1.0/24 -o eth0 -j SNAT --to-source 192.168.1.20
смысл строки - все что выходит через eth0(в сторону ISDN),
и не адресованно в ближнюю сеть (то есть подлежит передаче ЧЕРЕЗ ISDN)
маскируем под свой адрес...
остается только фильтры/шейпы сделать и включить forward :
echo "1" > /proc/sys/net/ipv4/ipforward

Рекомендовать в FAQ | Cообщить модератору | Наверх

4. "ASP 9.2 Интернет для локалки"

Сообщение от Rio (ok) on 01-Сен-04, 14:56  (MSK)

>а еще правильнее :
>iptables -t nat -A POSTROUTING -d ! 192.168.1.0/24 -o eth0 -j SNAT
>--to-source 192.168.1.20
>смысл строки - все что выходит через eth0(в сторону ISDN),
>и не адресованно в ближнюю сеть (то есть подлежит передаче ЧЕРЕЗ ISDN)
>
>маскируем под свой адрес...
>остается только фильтры/шейпы сделать и включить forward :
>echo "1" > /proc/sys/net/ipv4/ipforward
Спасибо!
Только вот вопрос... ( :) задолбал, да?)
Без форвардинга это не работает?
просто если я во внешнем интерфейсе на ASP я прописываю шлюзом ISDN (192.168.1.1), то инет работает даже без этого правила, если шлюз не прописан, тогда фиг даже с правилом...(в /proc/sys/net/ipv4/ip_forward стоит 1)
И еще при работе через шлюз при FORWARD -P DROP (больше никаких правил нет вообще), все работает отлично... :( Значит форвардинг не включен?

Рекомендовать в FAQ | Cообщить модератору | Наверх

5. "ASP 9.2 Интернет для локалки"

Сообщение от Maxim Kuznetsov on 01-Сен-04, 19:29  (MSK)

>>а еще правильнее :
>>iptables -t nat -A POSTROUTING -d ! 192.168.1.0/24 -o eth0 -j SNAT
>>--to-source 192.168.1.20
>>смысл строки - все что выходит через eth0(в сторону ISDN),
>>и не адресованно в ближнюю сеть (то есть подлежит передаче ЧЕРЕЗ ISDN)
>>
>>маскируем под свой адрес...
>>остается только фильтры/шейпы сделать и включить forward :
>>echo "1" > /proc/sys/net/ipv4/ipforward
>
>Спасибо!
>Только вот вопрос... ( :) задолбал, да?)
>
>Без форвардинга это не работает?
>просто если я во внешнем интерфейсе на ASP я прописываю шлюзом ISDN
>(192.168.1.1), то инет работает даже без этого правила, если шлюз не
>прописан, тогда фиг даже с правилом...(в /proc/sys/net/ipv4/ip_forward стоит 1)
>И еще при работе через шлюз при FORWARD -P DROP (больше никаких
>правил нет вообще), все работает отлично... :( Значит форвардинг не включен?
>
если не стоит флажок ip_forward то ничего(в смысле сеть и nat) работать вообще не должно - если он "0" то Linux не занимается маршрутизацией..
Если он 1, то маршрутизирует - то что знает, в локальные сети, что не знает - в default_gw .. на всех хостах внутренней сети default_gw(192.168.0.20) ты, у тебя ISDN (192.168.1.1)
вот так работать должно...
если в этой конфигурации поставить iptables -I FORWARD -j DROP, всё - сеть встанет, но ты со своей машины всё равно будешь работать ( твои пакеты проходят по другой цепочке iptables - по OUTPUT исходящие, по INPUT входящие)

Рекомендовать в FAQ | Cообщить модератору | Наверх

6. "ASP 9.2 Интернет для локалки"

Сообщение от Rio (ok) on 02-Сен-04, 09:33  (MSK)

>если не стоит флажок ip_forward то ничего(в смысле сеть и nat) работать
>вообще не должно - если он "0" то Linux не занимается
>маршрутизацией..
>Если он 1, то маршрутизирует - то что знает, в локальные сети,
>что не знает - в default_gw .. на всех хостах внутренней
>сети default_gw(192.168.0.20) ты, у тебя ISDN (192.168.1.1)
>вот так работать должно...
>если в этой конфигурации поставить iptables -I FORWARD -j DROP, всё -
>сеть встанет, но ты со своей машины всё равно будешь работать
>( твои пакеты проходят по другой цепочке iptables - по OUTPUT
>исходящие, по INPUT входящие)
Все отлично, только вот еще одна прамблема как теперь сделать так, чтобы со squid'ом все это работало. Если вместо шлюза по умолчанию на локальных машинах, поднять squid на ASP, то даже с iptables -I FORWARD -j DROP с локальных машин связь с инетом есть.
в ip_forward - 1
Таблица маршрутизации следующая:
[root@ASP /]# route
Kernel IP routing table
Destination     Gateway         Genmask         Flags Metric Ref    Use Iface
192.168.1.0     *               255.255.255.0   U     0      0        0 eth0
192.168.0.0     *               255.255.255.0   U     0      0        0 eth1
169.254.0.0     *               255.255.0.0     U     0      0        0 eth1
127.0.0.0       *               255.0.0.0       U     0      0        0 lo
default         192.168.1.1     0.0.0.0         UG    0      0        0 eth0
правила следующие:
[root@ASP]# iptables -L
chain INPUT (policy ACCEPT)
target     prot opt source               destination
Chain FORWARD (policy DROP)
target     prot opt source               destination
Chain OUTPUT (policy ACCEPT)
target     prot opt source               destination
[root@ASP]# iptables -L -t nat
Chain PREROUTING (policy ACCEPT)
target     prot opt source               destination
Chain POSTROUTING (policy ACCEPT)
target     prot opt source               destination
SNAT       all  --  anywhere            !192.168.1.0/24      to:192.168.1.20
Chain OUTPUT (policy ACCEPT)
target     prot opt source               destination

Рекомендовать в FAQ | Cообщить модератору | Наверх

7. "ASP 9.2 Интернет для локалки"

Сообщение от Rio (ok) on 02-Сен-04, 09:41  (MSK)

>>если не стоит флажок ip_forward то ничего(в смысле сеть и nat) работать
>>вообще не должно - если он "0" то Linux не занимается
>>маршрутизацией..
>>Если он 1, то маршрутизирует - то что знает, в локальные сети,
>>что не знает - в default_gw .. на всех хостах внутренней
>>сети default_gw(192.168.0.20) ты, у тебя ISDN (192.168.1.1)
>>вот так работать должно...
>
>>если в этой конфигурации поставить iptables -I FORWARD -j DROP, всё -
>>сеть встанет, но ты со своей машины всё равно будешь работать
>>( твои пакеты проходят по другой цепочке iptables - по OUTPUT
>>исходящие, по INPUT входящие)
>
>Все отлично, только вот еще одна прамблема как теперь сделать так, чтобы
>со squid'ом все это работало. Если вместо шлюза по умолчанию на
>локальных машинах, поднять squid на ASP, то даже с iptables -I
>FORWARD -j DROP с локальных машин связь с инетом есть.
>
>в ip_forward - 1
>
>Таблица маршрутизации следующая:
>
>[root@ASP /]# route
>Kernel IP routing table
>Destination     Gateway
>  Genmask
>Flags Metric Ref    Use Iface
>192.168.1.0     *
>        255.255.255.0
>U     0
>0        0 eth0
>192.168.0.0     *
>        255.255.255.0
>U     0
>0        0 eth1
>169.254.0.0     *
>        255.255.0.0
>  U     0
>  0        0
>eth1
>127.0.0.0       *
>          255.0.0.0
>      U
>0      0
>   0 lo
>default         192.168.1.1
>  0.0.0.0
>UG    0      0
>       0 eth0
>
>правила следующие:
>[root@ASP]# iptables -L
>chain INPUT (policy ACCEPT)
>target     prot opt source
>          destination
>
>
>Chain FORWARD (policy DROP)
>target     prot opt source
>          destination
>
>
>Chain OUTPUT (policy ACCEPT)
>target     prot opt source
>          destination
>
>
>[root@ASP]# iptables -L -t nat
>Chain PREROUTING (policy ACCEPT)
>target     prot opt source
>          destination
>
>
>Chain POSTROUTING (policy ACCEPT)
>target     prot opt source
>          destination
>
>SNAT       all  --  anywhere
>
>!192.168.1.0/24      to:192.168.1.20
>
>Chain OUTPUT (policy ACCEPT)
>target     prot opt source
>          destination
>

Кажется понял...
т.к. squid процесс локальный, то надо цепочки INPUT, OUTPUT править, так?
Если так, то можно ли мне squid прозрачным сделать? Как?
Спасибо!

Рекомендовать в FAQ | Cообщить модератору | Наверх

8. "ASP 9.2 Интернет для локалки"

Сообщение от Maxim A.Kuznetcov on 02-Сен-04, 13:12  (MSK)

>>>если не стоит флажок ip_forward то ничего(в смысле сеть и nat) работать
>>>вообще не должно - если он "0" то Linux не занимается
>>>маршрутизацией..
>>>Если он 1, то маршрутизирует - то что знает, в локальные сети,
>>>что не знает - в default_gw .. на всех хостах внутренней
>>>сети default_gw(192.168.0.20) ты, у тебя ISDN (192.168.1.1)
>>>вот так работать должно...
>>
>>>если в этой конфигурации поставить iptables -I FORWARD -j DROP, всё -
>>>сеть встанет, но ты со своей машины всё равно будешь работать
>>>( твои пакеты проходят по другой цепочке iptables - по OUTPUT
>>>исходящие, по INPUT входящие)
>>
>>Все отлично, только вот еще одна прамблема как теперь сделать так, чтобы
>>со squid'ом все это работало. Если вместо шлюза по умолчанию на
>>локальных машинах, поднять squid на ASP, то даже с iptables -I
>>FORWARD -j DROP с локальных машин связь с инетом есть.
>>
>>в ip_forward - 1
>>
>>Таблица маршрутизации следующая:
>>
>>[root@ASP /]# route
>>Kernel IP routing table
>>Destination     Gateway
>>  Genmask
>>Flags Metric Ref    Use Iface
>>192.168.1.0     *
>>        255.255.255.0
>>U     0
>>0        0 eth0
>>192.168.0.0     *
>>        255.255.255.0
>>U     0
>>0        0 eth1
>>169.254.0.0     *
>>        255.255.0.0
>>  U     0
>>  0        0
>>eth1
>>127.0.0.0       *
>>          255.0.0.0
>>      U
>>0      0
>>   0 lo
>>default         192.168.1.1
>>  0.0.0.0
>>UG    0      0
>>       0 eth0
>>
>>правила следующие:
>>[root@ASP]# iptables -L
>>chain INPUT (policy ACCEPT)
>>target     prot opt source
>>          destination
>>
>>
>>Chain FORWARD (policy DROP)
>>target     prot opt source
>>          destination
>>
>>
>>Chain OUTPUT (policy ACCEPT)
>>target     prot opt source
>>          destination
>>
>>
>>[root@ASP]# iptables -L -t nat
>>Chain PREROUTING (policy ACCEPT)
>>target     prot opt source
>>          destination
>>
>>
>>Chain POSTROUTING (policy ACCEPT)
>>target     prot opt source
>>          destination
>>
>>SNAT       all  --  anywhere
>>
>>!192.168.1.0/24      to:192.168.1.20
>>
>>Chain OUTPUT (policy ACCEPT)
>>target     prot opt source
>>          destination
>>
>
>
>Кажется понял...
>т.к. squid процесс локальный, то надо цепочки INPUT, OUTPUT править, так?
>Если так, то можно ли мне squid прозрачным сделать? Как?
>Спасибо!
именно так...а прозрачный proxy это уже таблица PREROUTING и цепочка DNAT
НО в прозрачном прокси есть кучка недостатков..

Рекомендовать в FAQ | Cообщить модератору | Наверх

9. "ASP 9.2 Интернет для локалки"

Сообщение от Rio (ok) on 02-Сен-04, 14:11  (MSK)

>>Кажется понял...
>>т.к. squid процесс локальный, то надо цепочки INPUT, OUTPUT править, так?
>>Если так, то можно ли мне squid прозрачным сделать? Как?
>>Спасибо!
>
>именно так...а прозрачный proxy это уже таблица PREROUTING и цепочка DNAT
>НО в прозрачном прокси есть кучка недостатков..
Большое спасибо за ответы и терпение!
На последок не объясните мне эти недостатки пока я в эти дебри не полез?

Рекомендовать в FAQ | Cообщить модератору | Наверх

Удалить

Индекс форумов | Темы | Пред. тема | След. тема

Пожалуйста, прежде чем написать сообщение, ознакомьтесь с данными рекомендациями.

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру

1. "ASP 9.2 Интернет для локалки"
Сообщение от Maxim A.Kuznetcov on 31-Авг-04, 20:03 (MSK)
Исходные данные : eth0 192.168.1.20 ISDN eth1 192.168.0.20 LAN Решение : (маскируем весь LAN под себя) iptables -t nat -A POSTROUTING -o eth0 -j SNAT --to-source 192.168.1.20
	Рекомендовать в FAQ \| Cообщить модератору \| Наверх


	2. "ASP 9.2 Интернет для локалки"
	Сообщение от Rio (ok) on 01-Сен-04, 00:15 (MSK)
	>Исходные данные : >eth0 192.168.1.20 ISDN >eth1 192.168.0.20 LAN > >Решение : >(маскируем весь LAN под себя) >iptables -t nat -A POSTROUTING -o eth0 -j SNAT --to-source 192.168.1.20 Спасибо конечно, а поподробней можно?
		Рекомендовать в FAQ \| Cообщить модератору \| Наверх


	3. "ASP 9.2 Интернет для локалки"
	Сообщение от Maxim A.Kuznetcov on 01-Сен-04, 02:12 (MSK)
	>>Исходные данные : >>eth0 192.168.1.20 ISDN >>eth1 192.168.0.20 LAN >> >>Решение : >>(маскируем весь LAN под себя) >>iptables -t nat -A POSTROUTING -o eth0 -j SNAT --to-source 192.168.1.20 > >Спасибо конечно, а поподробней можно? а еще правильнее : iptables -t nat -A POSTROUTING -d ! 192.168.1.0/24 -o eth0 -j SNAT --to-source 192.168.1.20 смысл строки - все что выходит через eth0(в сторону ISDN), и не адресованно в ближнюю сеть (то есть подлежит передаче ЧЕРЕЗ ISDN) маскируем под свой адрес... остается только фильтры/шейпы сделать и включить forward : echo "1" > /proc/sys/net/ipv4/ipforward
		Рекомендовать в FAQ \| Cообщить модератору \| Наверх


	4. "ASP 9.2 Интернет для локалки"
	Сообщение от Rio (ok) on 01-Сен-04, 14:56 (MSK)
	>а еще правильнее : >iptables -t nat -A POSTROUTING -d ! 192.168.1.0/24 -o eth0 -j SNAT >--to-source 192.168.1.20 >смысл строки - все что выходит через eth0(в сторону ISDN), >и не адресованно в ближнюю сеть (то есть подлежит передаче ЧЕРЕЗ ISDN) > >маскируем под свой адрес... >остается только фильтры/шейпы сделать и включить forward : >echo "1" > /proc/sys/net/ipv4/ipforward Спасибо! Только вот вопрос... ( :) задолбал, да?) Без форвардинга это не работает? просто если я во внешнем интерфейсе на ASP я прописываю шлюзом ISDN (192.168.1.1), то инет работает даже без этого правила, если шлюз не прописан, тогда фиг даже с правилом...(в /proc/sys/net/ipv4/ip_forward стоит 1) И еще при работе через шлюз при FORWARD -P DROP (больше никаких правил нет вообще), все работает отлично... :( Значит форвардинг не включен?
		Рекомендовать в FAQ \| Cообщить модератору \| Наверх


	5. "ASP 9.2 Интернет для локалки"
	Сообщение от Maxim Kuznetsov on 01-Сен-04, 19:29 (MSK)
	>>а еще правильнее : >>iptables -t nat -A POSTROUTING -d ! 192.168.1.0/24 -o eth0 -j SNAT >>--to-source 192.168.1.20 >>смысл строки - все что выходит через eth0(в сторону ISDN), >>и не адресованно в ближнюю сеть (то есть подлежит передаче ЧЕРЕЗ ISDN) >> >>маскируем под свой адрес... >>остается только фильтры/шейпы сделать и включить forward : >>echo "1" > /proc/sys/net/ipv4/ipforward > >Спасибо! >Только вот вопрос... ( :) задолбал, да?) > >Без форвардинга это не работает? >просто если я во внешнем интерфейсе на ASP я прописываю шлюзом ISDN >(192.168.1.1), то инет работает даже без этого правила, если шлюз не >прописан, тогда фиг даже с правилом...(в /proc/sys/net/ipv4/ip_forward стоит 1) >И еще при работе через шлюз при FORWARD -P DROP (больше никаких >правил нет вообще), все работает отлично... :( Значит форвардинг не включен? > если не стоит флажок ip_forward то ничего(в смысле сеть и nat) работать вообще не должно - если он "0" то Linux не занимается маршрутизацией.. Если он 1, то маршрутизирует - то что знает, в локальные сети, что не знает - в default_gw .. на всех хостах внутренней сети default_gw(192.168.0.20) ты, у тебя ISDN (192.168.1.1) вот так работать должно... если в этой конфигурации поставить iptables -I FORWARD -j DROP, всё - сеть встанет, но ты со своей машины всё равно будешь работать ( твои пакеты проходят по другой цепочке iptables - по OUTPUT исходящие, по INPUT входящие)
		Рекомендовать в FAQ \| Cообщить модератору \| Наверх


	6. "ASP 9.2 Интернет для локалки"
	Сообщение от Rio (ok) on 02-Сен-04, 09:33 (MSK)
	>если не стоит флажок ip_forward то ничего(в смысле сеть и nat) работать >вообще не должно - если он "0" то Linux не занимается >маршрутизацией.. >Если он 1, то маршрутизирует - то что знает, в локальные сети, >что не знает - в default_gw .. на всех хостах внутренней >сети default_gw(192.168.0.20) ты, у тебя ISDN (192.168.1.1) >вот так работать должно... >если в этой конфигурации поставить iptables -I FORWARD -j DROP, всё - >сеть встанет, но ты со своей машины всё равно будешь работать >( твои пакеты проходят по другой цепочке iptables - по OUTPUT >исходящие, по INPUT входящие) Все отлично, только вот еще одна прамблема как теперь сделать так, чтобы со squid'ом все это работало. Если вместо шлюза по умолчанию на локальных машинах, поднять squid на ASP, то даже с iptables -I FORWARD -j DROP с локальных машин связь с инетом есть. в ip_forward - 1 Таблица маршрутизации следующая: [root@ASP /]# route Kernel IP routing table Destination Gateway Genmask Flags Metric Ref Use Iface 192.168.1.0 * 255.255.255.0 U 0 0 0 eth0 192.168.0.0 * 255.255.255.0 U 0 0 0 eth1 169.254.0.0 * 255.255.0.0 U 0 0 0 eth1 127.0.0.0 * 255.0.0.0 U 0 0 0 lo default 192.168.1.1 0.0.0.0 UG 0 0 0 eth0 правила следующие: [root@ASP]# iptables -L chain INPUT (policy ACCEPT) target prot opt source destination Chain FORWARD (policy DROP) target prot opt source destination Chain OUTPUT (policy ACCEPT) target prot opt source destination [root@ASP]# iptables -L -t nat Chain PREROUTING (policy ACCEPT) target prot opt source destination Chain POSTROUTING (policy ACCEPT) target prot opt source destination SNAT all -- anywhere !192.168.1.0/24 to:192.168.1.20 Chain OUTPUT (policy ACCEPT) target prot opt source destination
		Рекомендовать в FAQ \| Cообщить модератору \| Наверх


	7. "ASP 9.2 Интернет для локалки"
	Сообщение от Rio (ok) on 02-Сен-04, 09:41 (MSK)
	>>если не стоит флажок ip_forward то ничего(в смысле сеть и nat) работать >>вообще не должно - если он "0" то Linux не занимается >>маршрутизацией.. >>Если он 1, то маршрутизирует - то что знает, в локальные сети, >>что не знает - в default_gw .. на всех хостах внутренней >>сети default_gw(192.168.0.20) ты, у тебя ISDN (192.168.1.1) >>вот так работать должно... > >>если в этой конфигурации поставить iptables -I FORWARD -j DROP, всё - >>сеть встанет, но ты со своей машины всё равно будешь работать >>( твои пакеты проходят по другой цепочке iptables - по OUTPUT >>исходящие, по INPUT входящие) > >Все отлично, только вот еще одна прамблема как теперь сделать так, чтобы >со squid'ом все это работало. Если вместо шлюза по умолчанию на >локальных машинах, поднять squid на ASP, то даже с iptables -I >FORWARD -j DROP с локальных машин связь с инетом есть. > >в ip_forward - 1 > >Таблица маршрутизации следующая: > >[root@ASP /]# route >Kernel IP routing table >Destination Gateway > Genmask >Flags Metric Ref Use Iface >192.168.1.0 * > 255.255.255.0 >U 0 >0 0 eth0 >192.168.0.0 * > 255.255.255.0 >U 0 >0 0 eth1 >169.254.0.0 * > 255.255.0.0 > U 0 > 0 0 >eth1 >127.0.0.0 * > 255.0.0.0 > U >0 0 > 0 lo >default 192.168.1.1 > 0.0.0.0 >UG 0 0 > 0 eth0 > >правила следующие: >[root@ASP]# iptables -L >chain INPUT (policy ACCEPT) >target prot opt source > destination > > >Chain FORWARD (policy DROP) >target prot opt source > destination > > >Chain OUTPUT (policy ACCEPT) >target prot opt source > destination > > >[root@ASP]# iptables -L -t nat >Chain PREROUTING (policy ACCEPT) >target prot opt source > destination > > >Chain POSTROUTING (policy ACCEPT) >target prot opt source > destination > >SNAT all -- anywhere > >!192.168.1.0/24 to:192.168.1.20 > >Chain OUTPUT (policy ACCEPT) >target prot opt source > destination > Кажется понял... т.к. squid процесс локальный, то надо цепочки INPUT, OUTPUT править, так? Если так, то можно ли мне squid прозрачным сделать? Как? Спасибо!
		Рекомендовать в FAQ \| Cообщить модератору \| Наверх


	8. "ASP 9.2 Интернет для локалки"
	Сообщение от Maxim A.Kuznetcov on 02-Сен-04, 13:12 (MSK)
	>>>если не стоит флажок ip_forward то ничего(в смысле сеть и nat) работать >>>вообще не должно - если он "0" то Linux не занимается >>>маршрутизацией.. >>>Если он 1, то маршрутизирует - то что знает, в локальные сети, >>>что не знает - в default_gw .. на всех хостах внутренней >>>сети default_gw(192.168.0.20) ты, у тебя ISDN (192.168.1.1) >>>вот так работать должно... >> >>>если в этой конфигурации поставить iptables -I FORWARD -j DROP, всё - >>>сеть встанет, но ты со своей машины всё равно будешь работать >>>( твои пакеты проходят по другой цепочке iptables - по OUTPUT >>>исходящие, по INPUT входящие) >> >>Все отлично, только вот еще одна прамблема как теперь сделать так, чтобы >>со squid'ом все это работало. Если вместо шлюза по умолчанию на >>локальных машинах, поднять squid на ASP, то даже с iptables -I >>FORWARD -j DROP с локальных машин связь с инетом есть. >> >>в ip_forward - 1 >> >>Таблица маршрутизации следующая: >> >>[root@ASP /]# route >>Kernel IP routing table >>Destination Gateway >> Genmask >>Flags Metric Ref Use Iface >>192.168.1.0 * >> 255.255.255.0 >>U 0 >>0 0 eth0 >>192.168.0.0 * >> 255.255.255.0 >>U 0 >>0 0 eth1 >>169.254.0.0 * >> 255.255.0.0 >> U 0 >> 0 0 >>eth1 >>127.0.0.0 * >> 255.0.0.0 >> U >>0 0 >> 0 lo >>default 192.168.1.1 >> 0.0.0.0 >>UG 0 0 >> 0 eth0 >> >>правила следующие: >>[root@ASP]# iptables -L >>chain INPUT (policy ACCEPT) >>target prot opt source >> destination >> >> >>Chain FORWARD (policy DROP) >>target prot opt source >> destination >> >> >>Chain OUTPUT (policy ACCEPT) >>target prot opt source >> destination >> >> >>[root@ASP]# iptables -L -t nat >>Chain PREROUTING (policy ACCEPT) >>target prot opt source >> destination >> >> >>Chain POSTROUTING (policy ACCEPT) >>target prot opt source >> destination >> >>SNAT all -- anywhere >> >>!192.168.1.0/24 to:192.168.1.20 >> >>Chain OUTPUT (policy ACCEPT) >>target prot opt source >> destination >> > > >Кажется понял... >т.к. squid процесс локальный, то надо цепочки INPUT, OUTPUT править, так? >Если так, то можно ли мне squid прозрачным сделать? Как? >Спасибо! именно так...а прозрачный proxy это уже таблица PREROUTING и цепочка DNAT НО в прозрачном прокси есть кучка недостатков..
		Рекомендовать в FAQ \| Cообщить модератору \| Наверх


	9. "ASP 9.2 Интернет для локалки"
	Сообщение от Rio (ok) on 02-Сен-04, 14:11 (MSK)
	>>Кажется понял... >>т.к. squid процесс локальный, то надо цепочки INPUT, OUTPUT править, так? >>Если так, то можно ли мне squid прозрачным сделать? Как? >>Спасибо! > >именно так...а прозрачный proxy это уже таблица PREROUTING и цепочка DNAT >НО в прозрачном прокси есть кучка недостатков.. Большое спасибо за ответы и терпение! На последок не объясните мне эти недостатки пока я в эти дебри не полез?
		Рекомендовать в FAQ \| Cообщить модератору \| Наверх