как мини сревер (Samba+SQUID+Firewall+ClamAV

[abix]

Пробовал, выдает различные ошибки, при исправлении всех SQUID перестает запускатся

[Хостинг HostFood.ru]

Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/

[Andy]

squid -k parse /путь к конфигу. Вывод сюда.

[abix]

squid я уже с конфигил, теперь проблема завернуть с firewall трафик, eth0-интернет, eth1-локалка,

Код: Выделить всё

lugapost:/etc/squid # iptables -t nat -A PREROUTING -i  eth0  -d!   eth1 -p tcp -m tcp --dport 80 -j REDIRECT --to-ports 3128
iptables v1.2.9: host/network `eth1' not found
Try `iptables -h' or 'iptables --help' for more information.
lugapost:/etc/squid #

помогите написать правила для iptables

[Andy]

squid я уже с конфигил, теперь проблема завернуть с firewall трафик, eth0-интернет, eth1-локалка,

Код: Выделить всё

lugapost:/etc/squid # iptables -t nat -A PREROUTING -i  eth0  -d!   eth1 -p tcp -m tcp --dport 80 -j REDIRECT --to-ports 3128
iptables v1.2.9: host/network `eth1' not found
Try `iptables -h' or 'iptables --help' for more information.
lugapost:/etc/squid #

помогите написать правила для iptables

Если тебе надо повернуть пакеты на сквид из сети, тогда попробуй так (адрес только заменить не забудь):

Код: Выделить всё

iptables -t nat -A PREROUTING -s 192.168.0.0/24 -p tcp -m tcp --dport 80 -j REDIRECT --to-ports 3128

6.5.9. Действие REDIRECT

Выполняет перенаправление пакетов и потоков на другой порт той же самой машины. К примеру, можно пакеты, поступающие на HTTP порт перенаправить на порт HTTP proxy. Действие REDIRECT очень удобно для выполнения "прозрачного" проксирования (transparent proxying), когда машины в локальной сети даже не подозревают о существовании прокси.

REDIRECT может использоваться только в цепочках PREROUTING и OUTPUT таблицы nat. И конечно же это действие можно выполнять в подцепочках, вызываемых и вышеуказанных. Для действия REDIRECT предусмотрен только один ключ.

Таблица 6-20. Действие REDIRECT
Ключ --to-ports
Пример iptables -t nat -A PREROUTING -p tcp --dport 80 -j REDIRECT --to-ports 8080
Описание Ключ --to-ports определяет порт или диапазон портов назначения. Без указания ключа --to-ports, перенаправления не происходит, т.е. пакет идет на тот порт, куда и был назначен. В примере, приведенном выше, --to-ports 8080 указан один порт назначения. Если нужно указать диапазон портов, то мы должны написать нечто подобное --to-ports 8080-8090. Этот ключ можно использовать только в правилах, где критерий содержит явное указание на протокол TCP или UDP с помощью ключа --protocol.

[abix]

Теперь он отрубил вообще все

[Andy]

Теперь он отрубил вообще все

Список правил файра давай.

[abix]

Код: Выделить всё

#!/usr/bin/perl

`/home/bars/stat/control.pl newtr`;

`echo 1 > /proc/sys/net/ipv4/conf/eth0/rp_filter`;
`echo 1 > /proc/sys/net/ipv4/ip_forward`;

require "/home/bars/stat/conf.pl";

`/sbin/depmod -a`;

#`/sbin/modprobe ip_tables`;
#`/sbin/modprobe ip_conntrack`;
#`/sbin/modprobe iptable_filter`;
#`/sbin/modprobe iptable_mangle`;
#`/sbin/modprobe iptable_nat`;
#`/sbin/modprobe ipt_LOG`;
#`/sbin/modprobe ipt_limit`;
#`/sbin/modprobe ipt_state`;

`/sbin/modprobe ip_conntrack_ftp`;
`/sbin/modprobe ip_nat_ftp`;
#`/sbin/modprobe ipt_owner`;
#`/sbin/modprobe ipt_REJECT`;
`/sbin/modprobe ipt_MASQUERADE`;
 

#`$iptables -P INPUT DROP`;
#`$iptables -P OUTPUT DROP`;
#`$iptables -P FORWARD DROP`;

####################################################
sub start {

# Anti-spoofing rule
`$iptables -A INPUT -i eth0 -s 200.200.200.200 -j DROP`;
`$iptables -A INPUT -i eth0 -s 192.168.0.0/24 -j DROP`;
`$iptables -A INPUT -i eth0 -s 127.0.0.0/8 -j DROP`;
`$iptables -A INPUT -i eth0 -d 224.0.0.0/8 -j DROP`;
`$iptables -A INPUT -i eth0 -d 239.255.255.0/24 -j DROP`;
`$iptables -A INPUT -i eth0 -d 172.16.0.0/24 -j DROP`;

#

`$iptables -A INPUT -j DROP -m state --state NEW,INVALID -i eth0`;
`$iptables -A FORWARD -j DROP -m state --state NEW,INVALID -i eth0`;
`$iptables -A INPUT -i eth0 -p tcp --tcp-flags SYN,RST,ACK SYN -j DROP`;

`$iptables -A INPUT -i eth0 -j DROP -s 10.1.1.255`;
`$iptables -A INPUT -i eth0 -j DROP -d 10.1.1.255`;
`$iptables -A OUTPUT -o eth0 -j DROP -s 10.1.1.255`;
`$iptables -A OUTPUT -o eth0 -j DROP -d 10.1.1.255`;
`$iptables -A INPUT -i eth0 -j DROP -s 0.0.0.0`;
`$iptables -A INPUT -i eth0 -j DROP -d 0.0.0.0`;
`$iptables -A OUTPUT -o eth0 -j DROP -s 0.0.0.0`;
`$iptables -A OUTPUT -o eth0 -j DROP -d 0.0.0.0`;
`$iptables -A INPUT -i eth0 -j DROP -s 255.255.255.255`;
`$iptables -A INPUT -i eth0 -j DROP -d 255.255.255.255`;
`$iptables -A OUTPUT -o eth0 -j DROP -s 255.255.255.255`;
`$iptables -A OUTPUT -o eth0 -j DROP -d 255.255.255.255`;
#

`$iptables -A INPUT -i eth1 -j DROP -s 207.46.166.0/24`;#msn.com
`$iptables -A INPUT -i eth1 -j DROP -d 207.46.166.0/24`;
`$iptables -A OUTPUT -o eth1 -j DROP -s 207.46.166.0/24`;
`$iptables -A OUTPUT -o eth1 -j DROP -d 207.46.166.0/24`;
`$iptables -A INPUT -i eth1 -j DROP -s 93.186.224.0/24`;#vkontakte
`$iptables -A INPUT -i eth1 -j DROP -d 93.186.224.0/24`;
`$iptables -A OUTPUT -o eth1 -j DROP -s 93.186.224.0/24`;
`$iptables -A OUTPUT -o eth1 -j DROP -d 93.186.224.0/24`;
`$iptables -A INPUT -i eth1 -j DROP -s 93.186.225.0/24`;
`$iptables -A INPUT -i eth1 -j DROP -d 93.186.225.0/24`;
`$iptables -A OUTPUT -o eth1 -j DROP -s 93.186.225.0/24`;
`$iptables -A OUTPUT -o eth1 -j DROP -d 93.186.225.0/24`;
`$iptables -A INPUT -i eth1 -j DROP -s 93.186.226.0/24`;
`$iptables -A INPUT -i eth1 -j DROP -d 93.186.226.0/24`;
`$iptables -A OUTPUT -o eth1 -j DROP -s 93.186.226.0/24`;
`$iptables -A OUTPUT -o eth1 -j DROP -d 93.186.226.0/24`;
`$iptables -A INPUT -i eth1 -j DROP -s 93.186.226.0/24`;
`$iptables -A INPUT -i eth1 -j DROP -d 93.186.226.0/24`;
`$iptables -A OUTPUT -o eth1 -j DROP -s 93.186.226.0/24`;
`$iptables -A OUTPUT -o eth1 -j DROP -d 93.186.226.0/24`;
`$iptables -A INPUT -j ACCEPT -p ALL -i lo`;
`$iptables -A OUTPUT -j ACCEPT -p ALL -o lo`;


#against DOS attack
`$iptables -A FORWARD -p tcp --syn -m limit --limit 1/s -j ACCEPT`;
`$iptables -A FORWARD -p tcp --tcp-flags SYN,ACK,FIN,RST RST -m limit --limit 1/s -j ACCEPT`;
`$iptables -A FORWARD -p icmp --icmp-type echo-request -m limit --limit 1/s -j ACCEPT`;

#passiv FTP
#`$iptables -A INPUT -i eth0 -p tcp -m state --state RELATED -j ACCEPT`;
#rules for INET
for ($i = 0; $i < @inet; $i++) {
$host = "$net.$inet[$i]";
`$iptables -A POSTROUTING -t nat -j MASQUERADE -s $host`;
`$iptables -N FWD_IN_$inet[$i]`;
`$iptables -N FWD_OUT_$inet[$i]`;
`$iptables -A FORWARD -j FWD_IN_$inet[$i]`;
`$iptables -A FORWARD -j FWD_OUT_$inet[$i]`;
`$iptables -A FWD_IN_$inet[$i] -d $host`;
`$iptables -A FWD_OUT_$inet[$i] -s $host`;
}

#rules for SPEC
for ($i = 0; $i < @spec; $i++) {
$host = "$net.$spec[$i]";
`$iptables -A POSTROUTING -t nat -j MASQUERADE -s $host`;
`$iptables -N FWD_IN_$spec[$i]`;
`$iptables -N FWD_OUT_$spec[$i]`;
`$iptables -A FORWARD -j FWD_IN_$spec[$i]`;
`$iptables -A FORWARD -j FWD_OUT_$spec[$i]`;
`$iptables -A FWD_IN_$spec[$i] -d $host`;
`$iptables -A FWD_OUT_$spec[$i] -s $host`;
}

#rules for MAIL
for ($i = 0; $i < @mail; $i++) {
$host = "$net.$mail[$i]";
`$iptables -A POSTROUTING -t nat -j MASQUERADE -s $host`;
`$iptables -N FWD_IN_$mail[$i]`;
`$iptables -N FWD_OUT_$mail[$i]`;
`$iptables -A FORWARD -j FWD_IN_$mail[$i]`;
`$iptables -A FORWARD -j FWD_OUT_$mail[$i]`;
`$iptables -A FWD_IN_$mail[$i] -d $host`;
`$iptables -A FWD_OUT_$mail[$i] -s $host`;
}

#rules for PKDI OPS
for ($i = 0; $i < @pkdi; $i++) {
$host = "$net.$pkdi[$i]";
`$iptables -N FWD_IN_$pkdi[$i]`;
`$iptables -N FWD_OUT_$pkdi[$i]`;
`$iptables -A FORWARD -j FWD_IN_$pkdi[$i]`;
`$iptables -A FORWARD -j FWD_OUT_$pkdi[$i]`;
`$iptables -A FWD_IN_$pkdi[$i] -d $host`;
`$iptables -A FWD_OUT_$pkdi[$i] -s $host`;
}

} #start

####################################################
sub stop {
 `$iptables -F POSTROUTING -t nat`;
 `$iptables -F INPUT`;
 `$iptables -F OUTPUT`;

 for ($i = 0; $i < @allhost; $i++) {
  $host = "$net.$allhost[$i]";
  `$iptables -F FWD_IN_$allhost[$i]`;
  `$iptables -F FWD_OUT_$allhost[$i]`;
 }
 `$iptables -F FORWARD`;
 `$iptables -X`;
 `$iptables -t nat -X`;
} #stop

if ($ARGV[0] =~ /^start/i) { &start; }
elsif ($ARGV[0] =~ /^stop/i) { &stop; }
elsif ($ARGV[0] =~ /^restart/i) { &stop; &start; }
else { print "Usage: rules {start|stop|restart}\n";}

[Andy]

Извини, я что-то плохо прорубаю этот перловый скрипт, можно посто

Код: Выделить всё

iptables-save > rules.txt

и вывод rules.txt сюда. И еще кому что можно распиши, и где у тебя сквид находится.

[abix]

сквид лежит в /etc /squid конфиги
в /usr/bin сам сквид

Код: Выделить всё

# Generated by iptables-save v1.2.9 on Mon Dec  8 16:49:22 2008
*mangle
:PREROUTING ACCEPT [20467118:10648256626]
:INPUT ACCEPT [11552703:6110599551]
:FORWARD ACCEPT [8894789:4533068282]
:OUTPUT ACCEPT [11619511:7825945428]
:POSTROUTING ACCEPT [20514510:12359847288]
COMMIT
# Completed on Mon Dec  8 16:49:22 2008
# Generated by iptables-save v1.2.9 on Mon Dec  8 16:49:22 2008
*filter
:INPUT ACCEPT [297176590:173718096404]
:FORWARD ACCEPT [416323267:271860412234]
:OUTPUT ACCEPT [299874442:195175677264]
:FWD_IN_100 - [0:0]
:FWD_IN_101 - [0:0]
:FWD_IN_11 - [0:0]
:FWD_IN_13 - [0:0]
:FWD_IN_14 - [0:0]
:FWD_IN_15 - [0:0]
:FWD_IN_150 - [0:0]
:FWD_IN_16 - [0:0]
:FWD_IN_160 - [0:0]
:FWD_IN_17 - [0:0]
:FWD_IN_18 - [0:0]
:FWD_IN_19 - [0:0]
:FWD_IN_199 - [0:0]
:FWD_IN_20 - [0:0]
:FWD_IN_202 - [0:0]
:FWD_IN_203 - [0:0]
:FWD_IN_206 - [0:0]
:FWD_IN_21 - [0:0]
:FWD_IN_23 - [0:0]
:FWD_IN_234 - [0:0]
:FWD_IN_252 - [0:0]
:FWD_IN_253 - [0:0]
:FWD_IN_27 - [0:0]
:FWD_IN_28 - [0:0]
:FWD_IN_29 - [0:0]
:FWD_IN_31 - [0:0]
:FWD_IN_32 - [0:0]
:FWD_IN_33 - [0:0]
:FWD_IN_35 - [0:0]
:FWD_IN_36 - [0:0]
:FWD_IN_48 - [0:0]
:FWD_IN_51 - [0:0]
:FWD_IN_52 - [0:0]
:FWD_IN_53 - [0:0]
:FWD_IN_54 - [0:0]
:FWD_IN_66 - [0:0]
:FWD_IN_8 - [0:0]
:FWD_IN_9 - [0:0]
:FWD_IN_99 - [0:0]
:FWD_OUT_100 - [0:0]
:FWD_OUT_101 - [0:0]
:FWD_OUT_11 - [0:0]
:FWD_OUT_13 - [0:0]
:FWD_OUT_14 - [0:0]
:FWD_OUT_15 - [0:0]
:FWD_OUT_150 - [0:0]
:FWD_OUT_16 - [0:0]
:FWD_OUT_160 - [0:0]
:FWD_OUT_17 - [0:0]
:FWD_OUT_18 - [0:0]
:FWD_OUT_19 - [0:0]
:FWD_OUT_199 - [0:0]
:FWD_OUT_20 - [0:0]
:FWD_OUT_202 - [0:0]
:FWD_OUT_203 - [0:0]
:FWD_OUT_206 - [0:0]
:FWD_OUT_21 - [0:0]
:FWD_OUT_23 - [0:0]
:FWD_OUT_234 - [0:0]
:FWD_OUT_252 - [0:0]
:FWD_OUT_253 - [0:0]
:FWD_OUT_27 - [0:0]
:FWD_OUT_28 - [0:0]
:FWD_OUT_29 - [0:0]
:FWD_OUT_31 - [0:0]
:FWD_OUT_32 - [0:0]
:FWD_OUT_33 - [0:0]
:FWD_OUT_35 - [0:0]
:FWD_OUT_36 - [0:0]
:FWD_OUT_48 - [0:0]
:FWD_OUT_51 - [0:0]
:FWD_OUT_52 - [0:0]
:FWD_OUT_53 - [0:0]
:FWD_OUT_54 - [0:0]
:FWD_OUT_66 - [0:0]
:FWD_OUT_8 - [0:0]
:FWD_OUT_9 - [0:0]
:FWD_OUT_99 - [0:0]
-A INPUT -s 200.200.200.200 -i eth0 -j DROP 
-A INPUT -s 192.168.0.0/255.255.255.0 -i eth0 -j DROP 
-A INPUT -s 127.0.0.0/255.0.0.0 -i eth0 -j DROP 
-A INPUT -d 224.0.0.0/255.0.0.0 -i eth0 -j DROP 
-A INPUT -d 239.255.255.0/255.255.255.0 -i eth0 -j DROP 
-A INPUT -d 172.16.0.0/255.255.255.0 -i eth0 -j DROP 
-A INPUT -i eth0 -m state --state INVALID,NEW -j DROP 
-A INPUT -i eth0 -p tcp -m tcp --tcp-flags SYN,RST,ACK SYN -j DROP 
-A INPUT -s 10.1.1.255 -i eth0 -j DROP 
-A INPUT -d 10.1.1.255 -i eth0 -j DROP 
-A INPUT -s 0.0.0.0 -i eth0 -j DROP 
-A INPUT -d 0.0.0.0 -i eth0 -j DROP 
-A INPUT -s 255.255.255.255 -i eth0 -j DROP 
-A INPUT -d 255.255.255.255 -i eth0 -j DROP 
-A INPUT -s 207.46.166.0/255.255.255.0 -i eth0 -j DROP 
-A INPUT -d 207.46.166.0/255.255.255.0 -i eth0 -j DROP 
-A INPUT -s 93.186.224.0/255.255.255.0 -i eth0 -j DROP 
-A INPUT -d 93.186.224.0/255.255.255.0 -i eth0 -j DROP 
-A INPUT -s 93.186.225.0/255.255.255.0 -i eth0 -j DROP 
-A INPUT -d 93.186.225.0/255.255.255.0 -i eth0 -j DROP 
-A INPUT -s 93.186.226.0/255.255.255.0 -i eth0 -j DROP 
-A INPUT -d 93.186.226.0/255.255.255.0 -i eth0 -j DROP 
-A INPUT -s 93.186.226.0/255.255.255.0 -i eth0 -j DROP 
-A INPUT -d 93.186.226.0/255.255.255.0 -i eth0 -j DROP 
-A INPUT -i lo -j ACCEPT 
-A FORWARD -i eth0 -m state --state INVALID,NEW -j DROP 
-A FORWARD -p tcp -m tcp --tcp-flags SYN,RST,ACK SYN -m limit --limit 1/sec -j ACCEPT 
-A FORWARD -p tcp -m tcp --tcp-flags FIN,SYN,RST,ACK RST -m limit --limit 1/sec -j ACCEPT 
-A FORWARD -p icmp -m icmp --icmp-type 8 -m limit --limit 1/sec -j ACCEPT 
-A FORWARD -j FWD_IN_8 
-A FORWARD -j FWD_OUT_8 
-A FORWARD -j FWD_IN_9 
-A FORWARD -j FWD_OUT_9 
-A FORWARD -j FWD_IN_14 
-A FORWARD -j FWD_OUT_14 
-A FORWARD -j FWD_IN_15 
-A FORWARD -j FWD_OUT_15 
-A FORWARD -j FWD_IN_16 
-A FORWARD -j FWD_OUT_16 
-A FORWARD -j FWD_IN_17 
-A FORWARD -j FWD_OUT_17 
-A FORWARD -j FWD_IN_18 
-A FORWARD -j FWD_OUT_18 
-A FORWARD -j FWD_IN_19 
-A FORWARD -j FWD_OUT_19 
-A FORWARD -j FWD_IN_21 
-A FORWARD -j FWD_OUT_21 
-A FORWARD -j FWD_IN_23 
-A FORWARD -j FWD_OUT_23 
-A FORWARD -j FWD_IN_27 
-A FORWARD -j FWD_OUT_27 
-A FORWARD -j FWD_IN_29 
-A FORWARD -j FWD_OUT_29 
-A FORWARD -j FWD_IN_35 
-A FORWARD -j FWD_OUT_35 
-A FORWARD -j FWD_IN_36 
-A FORWARD -j FWD_OUT_36 
-A FORWARD -j FWD_IN_66 
-A FORWARD -j FWD_OUT_66 
-A FORWARD -j FWD_IN_99 
-A FORWARD -j FWD_OUT_99 
-A FORWARD -j FWD_IN_101 
-A FORWARD -j FWD_OUT_101 
-A FORWARD -j FWD_IN_160 
-A FORWARD -j FWD_OUT_160 
-A FORWARD -j FWD_IN_199 
-A FORWARD -j FWD_OUT_199 
-A FORWARD -j FWD_IN_20 
-A FORWARD -j FWD_OUT_20 
-A FORWARD -j FWD_IN_31 
-A FORWARD -j FWD_OUT_31 
-A FORWARD -j FWD_IN_32 
-A FORWARD -j FWD_OUT_32 
-A FORWARD -j FWD_IN_28 
-A FORWARD -j FWD_OUT_28 
-A FORWARD -j FWD_IN_11 
-A FORWARD -j FWD_OUT_11 
-A FORWARD -j FWD_IN_13 
-A FORWARD -j FWD_OUT_13 
-A FORWARD -j FWD_IN_48 
-A FORWARD -j FWD_OUT_48 
-A FORWARD -j FWD_IN_150 
-A FORWARD -j FWD_OUT_150 
-A FORWARD -j FWD_IN_51 
-A FORWARD -j FWD_OUT_51 
-A FORWARD -j FWD_IN_52 
-A FORWARD -j FWD_OUT_52 
-A FORWARD -j FWD_IN_53 
-A FORWARD -j FWD_OUT_53 
-A FORWARD -j FWD_IN_54 
-A FORWARD -j FWD_OUT_54 
-A FORWARD -j FWD_IN_100 
-A FORWARD -j FWD_OUT_100 
-A FORWARD -j FWD_IN_206 
-A FORWARD -j FWD_OUT_206 
-A FORWARD -j FWD_IN_252 
-A FORWARD -j FWD_OUT_252 
-A FORWARD -j FWD_IN_253 
-A FORWARD -j FWD_OUT_253 
-A FORWARD -j FWD_IN_33 
-A FORWARD -j FWD_OUT_33 
-A FORWARD -j FWD_IN_202 
-A FORWARD -j FWD_OUT_202 
-A FORWARD -j FWD_IN_203 
-A FORWARD -j FWD_OUT_203 
-A OUTPUT -s 10.1.1.255 -o eth0 -j DROP 
-A OUTPUT -d 10.1.1.255 -o eth0 -j DROP 
-A OUTPUT -s 0.0.0.0 -o eth0 -j DROP 
-A OUTPUT -d 0.0.0.0 -o eth0 -j DROP 
-A OUTPUT -s 255.255.255.255 -o eth0 -j DROP 
-A OUTPUT -d 255.255.255.255 -o eth0 -j DROP 
-A OUTPUT -s 207.46.166.0/255.255.255.0 -o eth0 -j DROP 
-A OUTPUT -d 207.46.166.0/255.255.255.0 -o eth0 -j DROP 
-A OUTPUT -s 93.186.224.0/255.255.255.0 -o eth0 -j DROP 
-A OUTPUT -d 93.186.224.0/255.255.255.0 -o eth0 -j DROP 
-A OUTPUT -s 93.186.225.0/255.255.255.0 -o eth0 -j DROP 
-A OUTPUT -d 93.186.225.0/255.255.255.0 -o eth0 -j DROP 
-A OUTPUT -s 93.186.226.0/255.255.255.0 -o eth0 -j DROP 
-A OUTPUT -d 93.186.226.0/255.255.255.0 -o eth0 -j DROP 
-A OUTPUT -s 93.186.226.0/255.255.255.0 -o eth0 -j DROP 
-A OUTPUT -d 93.186.226.0/255.255.255.0 -o eth0 -j DROP 
-A OUTPUT -o lo -j ACCEPT 
-A FWD_IN_100 -d 192.168.0.100 
-A FWD_IN_101 -d 192.168.0.101 
-A FWD_IN_11 -d 192.168.0.11 
-A FWD_IN_13 -d 192.168.0.13 
-A FWD_IN_14 -d 192.168.0.14 
-A FWD_IN_15 -d 192.168.0.15 
-A FWD_IN_150 -d 192.168.0.150 
-A FWD_IN_16 -d 192.168.0.16 
-A FWD_IN_160 -d 192.168.0.160 
-A FWD_IN_17 -d 192.168.0.17 
-A FWD_IN_18 -d 192.168.0.18 
-A FWD_IN_19 -d 192.168.0.19 
-A FWD_IN_199 -d 192.168.0.199 
-A FWD_IN_20 -d 192.168.0.20 
-A FWD_IN_202 -d 192.168.0.202 
-A FWD_IN_203 -d 192.168.0.203 
-A FWD_IN_206 -d 192.168.0.206 
-A FWD_IN_21 -d 192.168.0.21 
-A FWD_IN_23 -d 192.168.0.23 
-A FWD_IN_234 -d 192.168.0.234 
-A FWD_IN_252 -d 192.168.0.252 
-A FWD_IN_253 -d 192.168.0.253 
-A FWD_IN_27 -d 192.168.0.27 
-A FWD_IN_28 -d 192.168.0.28 
-A FWD_IN_29 -d 192.168.0.29 
-A FWD_IN_31 -d 192.168.0.31 
-A FWD_IN_32 -d 192.168.0.32 
-A FWD_IN_33 -d 192.168.0.33 
-A FWD_IN_35 -d 192.168.0.35 
-A FWD_IN_36 -d 192.168.0.36 
-A FWD_IN_48 -d 192.168.0.48 
-A FWD_IN_51 -d 192.168.0.51 
-A FWD_IN_52 -d 192.168.0.52 
-A FWD_IN_53 -d 192.168.0.53 
-A FWD_IN_54 -d 192.168.0.54 
-A FWD_IN_66 -d 192.168.0.66 
-A FWD_IN_8 -d 192.168.0.8 
-A FWD_IN_9 -d 192.168.0.9 
-A FWD_IN_99 -d 192.168.0.99 
-A FWD_OUT_100 -s 192.168.0.100 
-A FWD_OUT_101 -s 192.168.0.101 
-A FWD_OUT_11 -s 192.168.0.11 
-A FWD_OUT_13 -s 192.168.0.13 
-A FWD_OUT_14 -s 192.168.0.14 
-A FWD_OUT_15 -s 192.168.0.15 
-A FWD_OUT_150 -s 192.168.0.150 
-A FWD_OUT_16 -s 192.168.0.16 
-A FWD_OUT_160 -s 192.168.0.160 
-A FWD_OUT_17 -s 192.168.0.17 
-A FWD_OUT_18 -s 192.168.0.18 
-A FWD_OUT_19 -s 192.168.0.19 
-A FWD_OUT_199 -s 192.168.0.199 
-A FWD_OUT_20 -s 192.168.0.20 
-A FWD_OUT_202 -s 192.168.0.202 
-A FWD_OUT_203 -s 192.168.0.203 
-A FWD_OUT_206 -s 192.168.0.206 
-A FWD_OUT_21 -s 192.168.0.21 
-A FWD_OUT_23 -s 192.168.0.23 
-A FWD_OUT_234 -s 192.168.0.234 
-A FWD_OUT_252 -s 192.168.0.252 
-A FWD_OUT_253 -s 192.168.0.253 
-A FWD_OUT_27 -s 192.168.0.27 
-A FWD_OUT_28 -s 192.168.0.28 
-A FWD_OUT_29 -s 192.168.0.29 
-A FWD_OUT_31 -s 192.168.0.31 
-A FWD_OUT_32 -s 192.168.0.32 
-A FWD_OUT_33 -s 192.168.0.33 
-A FWD_OUT_35 -s 192.168.0.35 
-A FWD_OUT_36 -s 192.168.0.36 
-A FWD_OUT_48 -s 192.168.0.48 
-A FWD_OUT_51 -s 192.168.0.51 
-A FWD_OUT_52 -s 192.168.0.52 
-A FWD_OUT_53 -s 192.168.0.53 
-A FWD_OUT_54 -s 192.168.0.54 
-A FWD_OUT_66 -s 192.168.0.66 
-A FWD_OUT_8 -s 192.168.0.8 
-A FWD_OUT_9 -s 192.168.0.9 
-A FWD_OUT_99 -s 192.168.0.99 
COMMIT
# Completed on Mon Dec  8 16:49:22 2008
# Generated by iptables-save v1.2.9 on Mon Dec  8 16:49:22 2008
*nat
:PREROUTING ACCEPT [13434048:1130394350]
:POSTROUTING ACCEPT [2539782:231503508]
:OUTPUT ACCEPT [0:0]
-A PREROUTING -i eth1 -p tcp -m tcp --dport 80 
-A PREROUTING -i eth0 -p tcp -m tcp --dport 80 -j REDIRECT --to-ports 3128 
-A PREROUTING -i eth1 -p tcp -m tcp --dport 80 
-A POSTROUTING -s 192.168.0.8 -j MASQUERADE 
-A POSTROUTING -s 192.168.0.9 -j MASQUERADE 
-A POSTROUTING -s 192.168.0.14 -j MASQUERADE 
-A POSTROUTING -s 192.168.0.15 -j MASQUERADE 
-A POSTROUTING -s 192.168.0.16 -j MASQUERADE 
-A POSTROUTING -s 192.168.0.17 -j MASQUERADE 
-A POSTROUTING -s 192.168.0.18 -j MASQUERADE 
-A POSTROUTING -s 192.168.0.19 -j MASQUERADE 
-A POSTROUTING -s 192.168.0.21 -j MASQUERADE 
-A POSTROUTING -s 192.168.0.23 -j MASQUERADE 
-A POSTROUTING -s 192.168.0.27 -j MASQUERADE 
-A POSTROUTING -s 192.168.0.29 -j MASQUERADE 
-A POSTROUTING -s 192.168.0.35 -j MASQUERADE 
-A POSTROUTING -s 192.168.0.36 -j MASQUERADE 
-A POSTROUTING -s 192.168.0.66 -j MASQUERADE 
-A POSTROUTING -s 192.168.0.99 -j MASQUERADE 
-A POSTROUTING -s 192.168.0.101 -j MASQUERADE 
-A POSTROUTING -s 192.168.0.160 -j MASQUERADE 
-A POSTROUTING -s 192.168.0.199 -j MASQUERADE 
-A POSTROUTING -s 192.168.0.20 -j MASQUERADE 
-A POSTROUTING -s 192.168.0.31 -j MASQUERADE 
-A POSTROUTING -s 192.168.0.32 -j MASQUERADE 
-A POSTROUTING -s 192.168.0.28 -j MASQUERADE 
-A POSTROUTING -s 192.168.0.11 -j MASQUERADE 
-A POSTROUTING -s 192.168.0.13 -j MASQUERADE 
-A POSTROUTING -s 192.168.0.48 -j MASQUERADE 
-A POSTROUTING -s 192.168.0.150 -j MASQUERADE 
-A POSTROUTING -s 192.168.0.51 -j MASQUERADE 
-A POSTROUTING -s 192.168.0.52 -j MASQUERADE 
-A POSTROUTING -s 192.168.0.53 -j MASQUERADE 
-A POSTROUTING -s 192.168.0.54 -j MASQUERADE 
-A POSTROUTING -s 192.168.0.100 -j MASQUERADE 
-A POSTROUTING -s 192.168.0.206 -j MASQUERADE 
-A POSTROUTING -s 192.168.0.252 -j MASQUERADE 
-A POSTROUTING -s 192.168.0.253 -j MASQUERADE 
-A POSTROUTING -s 192.168.0.33 -j MASQUERADE 
-A POSTROUTING -s 192.168.0.0/255.255.255.0 -j MASQUERADE 
COMMIT
# Completed on Mon Dec  8 16:49:22 2008

[Andy]

сквид лежит в /etc /squid конфиги
в /usr/bin сам сквид

я о другом, где у тебя находится сквид? На той же тачке что и файрвол?
Теперь распиши словами, что требуется, и кому куда можно?

[abix]

Стоит сервер suse 9.1 и cisco сквид на серваке,все остальное на циске,нужно сделать так чтобы сквид мог идти везде, а через него можно было бы резать траффик, сайты, баннеры, и т.д.

[abix]

кому куда можно оч. долго расписывать

У меня ситуация как описанная в начале, только стоит openSuse 9.1 и кол-во компов не 7 а 235

просто надо сделать чтобы все шли в инет через сквид, а там обрезать уже проще

[Andy]

кому куда можно оч. долго расписывать

У меня ситуация как описанная в начале, только стоит openSuse 9.1 и кол-во компов не 7 а 235

просто надо сделать чтобы все шли в инет через сквид, а там обрезать уже проще

Код: Выделить всё

iptables -t nat -A PREROUTING -i eth1 -s 192.168.0.0/24 -p tcp -m tcp --dport 80 -j REDIRECT --to-ports 3128
iptables -t nat -A POSTROUTING -o eth0 -j SNAT --to-source (твой внешний ip)

вот эти два правила попробуй оставить.

[abix]

Пасиб теперь все идети через сквид

[Andy]

Пасиб теперь все идети через сквид

Теперь надо наворачивать правила потихоньку. Этого недостаточно.

[abix]

Правила в сквиде или на файере

[Andy]

Правила в сквиде или на файере

Правила файрвола.

[paix]

немного запоздало встряю в топик, но всеже )

касательно фаервола.
рекомендую ничинать с простого, тем более что по умолчанию, например, в centos он включен.
также: http://wiki.centos.org/HowTos/Network/IPTables

Andy, а чем плох дебиан? на моей памяти только баг с ссл...

еще, зачем в твоем скрипте разные modprobe ? у меня похожий скрипт, но без загрузки модулей. Все модули загружаются автоматом при первом вызове. Вообще как помне разные загрузки-выгрузки модулей - диверсия.

[Andy]

немного запоздало встряю в топик, но всеже )
Andy, а чем плох дебиан? на моей памяти только баг с ссл...

Как раз ssl меня беспокоит меньше всего, плох тем, что у него отсутствует
chkconfig, зато какие-то малопонятные update-rc вместо него. Да и связка
apt+rpm мне ближе, чем apt+deb. Это конечно все субъективно, просто я
больше привык к CentOS, ALT Linux. Кому-то обратное покажется более удобным,
выбор за человеком который разворачивает и обслуживает систему.

еще, зачем в твоем скрипте разные modprobe ? у меня похожий скрипт, но без загрузки модулей. Все модули загружаются автоматом при первом вызове. Вообще как помне разные загрузки-выгрузки модулей - диверсия.

modprobe для того чтобы загрузились нужные модули для файра, у меня был опыт удаленной работы,
когда в suse отсутствовал модуль multiport, поэтому предпочитаю сам загрузить недостающее, дабы
быть уверенным, что все заработает как надо. У меня опыта работы во FreeBSD больше, но все чаще
приходится работать с Linux системами, видимо и домашнюю машину буду переводить на Linux,
поэтому осваиваю потихоньку.

[paix]

Как раз ssl меня беспокоит меньше всего, плох тем, что у него отсутствует
chkconfig, зато какие-то малопонятные update-rc вместо него. Да и связка
apt+rpm мне ближе, чем apt+deb. Это конечно все субъективно, просто я
больше привык к CentOS, ALT Linux. Кому-то обратное покажется более удобным,
выбор за человеком который разворачивает и обслуживает систему.

ясно. оч. субьективно вообщем.
козырь дебиана в его системе пакетов, и в огромном колличестве пакетов. Очень быстро, очень гибко.
Если в стейбле нужен самый новый пакет, то можно воспользоваться пакетом из бекпортс, или собрать самому из unstable, напр.

Код: Выделить всё

# apt-get update
# apt-get source sim
# apt-get build-dep sim
# cd sim-0.9.5~svn20080806/
# debuild -us -uc
# cd -
# dpkg -i *.deb

в сентосе же прийдется искать src.rpm...

не то чтобы я пропогандировал дебиан, но система неплохая. А баг с ссл это ощутимо, когда прийдется переделать сертификаты и еще заплатить за это бабок )
Centos подкупает оч. качественной сборкой и долгим сроком поддержки. (тут правда, наверно, в первую очередь надо говорить спасибо редхату )

modprobe для того чтобы загрузились нужные модули для файра, у меня был опыт удаленной работы,
когда в suse отсутствовал модуль multiport, поэтому предпочитаю сам загрузить недостающее, дабы
быть уверенным, что все заработает как надо.

в сюсе не пробовал.
centos\debian\fedora загружают модули автоматом при вызове iptables.
у меня был такой бок, что iptables restart иногда подвисал на загрузке\выгрузке модулей. Поэтому я стараюсь чтобы в скриптах модули никак не дергались. Походу каждый исходит из собтсвенного опыта

У меня опыта работы во FreeBSD больше, но все чаще
приходится работать с Linux системами, видимо и домашнюю машину буду переводить на Linux,
поэтому осваиваю потихоньку.

+1

[Alex Keda]

видимо и домашнюю машину буду переводить на Linux,
поэтому осваиваю потихоньку.

трус - не играет в хокей.

[abix]

Squid не пускает конкретный мак адрес в чем прблема дошел до того что разрешил всем все но по прежнему одна машина в оффлайне

[_Andy]

трус - не играет в хокей.

Если мне нужен хоккей с шайбой, то мне незачем играть в хоккей с мячом. По-моему это рационально, причем тут трусость?

[Alex Keda]

трус - вообще не играет в хоккей.
а остальное - отмазки

[_Andy]

трус - вообще не играет в хоккей.
а остальное - отмазки

Так я хоккей выбираю исходя из целесообразности игры. Остальное - троллинг, Алексей