[решено] настройка port mapping в squid [Версия для КПК] - стр. 2

Показать полную графическую версию : [решено] настройка port mapping в squid

Страниц : 1 [2]

Alan85

10-05-2009, 16:25

странно что повлияло на сквид...
может это опечатка :
iptables -t nat -A POSTROUTING -s 10.125.0.0/255.255.255.0 -d 62.148.225.34 -j SNAT --to-source 10.25.0.150
На картинке не вижу. а по данным у тебя 10.125.0.150
netstat -n -r тебе ничего нового не даст. Тебе надо смотреть
iptables-save - что даст нам текущие настройки фаервола. Кстати они не сохраняются сами по себе (если только чтото такое не стоит что сохраняет) поэтому странно что инет на прямую пропал... еще может быть проблема в том что один интерфейс а не два как обычно на фаерволах.
выложи результат iptables-save и попробуй это еще...

echo "1" > /proc/sys/net/ipv4/ip_forward
iptables -A INPUT -s 10.125.0.0/255.255.255.0 -j ACCEPT
iptables -A FORWARD -s 10.125.0.0/24 -d 62.148.225.34 -j ACCEPT
iptables -A FORWARD -s 62.148.225.34 -d 10.125.0.0/24 -j ACCEPT
iptables -t nat -A POSTROUTING -s 10.125.0.0/255.255.255.0 -d 62.148.225.34 -j SNAT --to-source 10.125.0.150

seman

10-05-2009, 18:12

Alan85
может это опечатка :
iptables -t nat -A POSTROUTING -s 10.125.0.0/255.255.255.0 -d 62.148.225.34 -j SNAT --to-source 10.25.0.150 »
да нет на картинке то же самое. так же и делал.
ок. благодарю. завтра попробую

seman

11-05-2009, 10:00

Alan85
результат выложил.
пинга пока нет от клиента может еще в сквиде надо настройки сделать?
у меня там след-е настройки

acl manager proto cache_object
acl localhost src 127.0.0.1/32
acl to_localhost dst 127.0.0.0/8
acl localnet src 10.125.0.0/24
acl localnet src 192.168.1.0/24
acl SSL_ports port 443
acl Safe_ports port 80
acl Safe_ports port 21
acl Safe_ports port 443
acl Safe_ports port 70
acl Safe_ports port 210
acl Safe_ports port 1025-65535
acl Safe_ports port 280
acl Safe_ports port 488
acl Safe_ports port 591
acl Safe_ports port 777
acl CONNECT method CONNECT
acl our_networks proxy_auth REQUIRED

http_access allow manager localhost
http_access deny manager
http_access deny !Safe_ports
http_access deny CONNECT !SSL_ports
http_access allow our_networks
http_access deny all

хотя с самого же сервера пинг идет.

после перезагрузки
iptables-save v1.4.2-rc1: Unable to open /proc/net/ip_tables_names: No such file or directory
то бишь как ты и говорил он и не сохраняет.
ввел еще раз - безрезультатно.

p.s
кстати после выполнения всех команд. нет пинга с сервера со сквидом на 62.148.228.34
после удаления записей - все ок.

Generated by iptables-save v1.4.2-rc1 on Mon May 11 13:08:25 2009
*nat
:PREROUTING ACCEPT [2:142]
:POSTROUTING ACCEPT [0:0]
:OUTPUT ACCEPT [1:84]
-A POSTROUTING -s 10.125.0.0/24 -d 62.148.228.34/32 -j SNAT --to-source 10.125.0.150
COMMIT
# Completed on Mon May 11 13:08:25 2009
# Generated by iptables-save v1.4.2-rc1 on Mon May 11 13:08:25 2009
*filter
:INPUT ACCEPT [0:0]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [10:844]
-A INPUT -s 10.125.0.0/24 -j ACCEPT
-A FORWARD -s 10.125.0.0/24 -d 62.148.228.34/32 -j ACCEPT
-A FORWARD -s 62.148.228.34/32 -d 10.125.0.0/24 -j ACCEPT
COMMIT
# Completed on Mon May 11 13:08:25 2009

Alan85

11-05-2009, 14:37

нет пинга с сервера со сквидом на 62.148.228.34 » - а на другие сайты и адреса?
Попробуй вместо
iptables -t nat -A POSTROUTING -s 10.125.0.0/255.255.255.0 -d 62.148.225.34 -j SNAT --to-source 10.125.0.150
набрать
iptables -t nat -A POSTROUTING -s 10.125.0.xxx -d 62.148.225.34 -j SNAT --to-source 10.125.0.150
где 10.125.0.xxx - адрес любого твоего клиента
и убрать
iptables -A INPUT -s 10.125.0.0/255.255.255.0 -j ACCEPT

seman

14-05-2009, 13:44

iptables -t nat -A POSTROUTING -s 10.125.0.xxx -d 62.148.225.34 -j SNAT --to-source 10.125.0.150 »

сделал по прежнемеу не хочет

# Generated by iptables-save v1.4.2-rc1 on Thu May 14 15:49:31 2009
*nat
:PREROUTING ACCEPT [54:5919]
:POSTROUTING ACCEPT [64:14089]
:OUTPUT ACCEPT [64:14089]
-A POSTROUTING -s 10.125.0.107/32 -d 62.148.228.34/32 -j SNAT --to-source 10.125.0.150
COMMIT
# Completed on Thu May 14 15:49:31 2009
# Generated by iptables-save v1.4.2-rc1 on Thu May 14 15:49:31 2009
*filter
:INPUT ACCEPT [2467:1375570]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [2680:1511831]
-A FORWARD -s 10.125.0.0/24 -d 62.148.228.34/32 -j ACCEPT
-A FORWARD -s 62.148.228.34/32 -d 10.125.0.0/24 -j ACCEPT
COMMIT
# Completed on Thu May 14 15:49:31 2009

когда было с iptables -A INPUT -s 10.125.0.0/255.255.255.0 -j ACCEPT
небыло пинга со сквида не на 62.148.228.34, не на другие сайты, по-крайней мере попробывал 2 сайта.

после удаления строки INPUT - пинг на 62.148.228.34 - есть. но на www.ya.ru - нет.

еще смущает префикс у маски -A POSTROUTING -s 10.125.0.107/32
там же 24. почему он так ее здесь поставил. или так должно быть?
может это потомучто я вместо
iptables -t nat -A POSTROUTING -s 10.125.0.107 -d 62.148.225.34 -j SNAT --to-source 10.125.0.150
набрал
iptables -t nat -A POSTROUTING -s 10.125.0.107/255.255.255.0 -d 62.148.225.34 -j SNAT --to-source 10.125.0.150

Alan85

14-05-2009, 15:16

Пример скрипта открывающего проход в инет (без прописания DNS на клиенте полноценного не получат - только по IP)

#!/bin/sh
INET="eth1"
INETIP="10.125.0.150"

iptables -F INPUT
iptables -F FORWARD
iptables -F OUTPUT

iptables -P INPUT ACCEPT
iptables -P OUTPUT ACCEPT
iptables -P FORWARD ACCEPT

iptables -t nat -A POSTROUTING -o $INET -j SNAT --to-source $INETIP
echo "1" > /proc/sys/net/ipv4/ip_forward

Но у тебя один интерфейс поэтому попробуй -o $INET заменить на -s 10.125.0.0/24 (или ip клиента без маски). Возможно в этом и затык (одна сетевая)

seman

14-05-2009, 15:45

Пример скрипта открывающего проход в инет »
то есть нужно сохранить в файле с расширением sh
и запустить. так?

блин, вот все таки проще было провайдеру в access листе прописать айпи клиента и все!!!

Alan85

14-05-2009, 16:01

ну расширение не обязательно но
...#chmod u+x <name> надо
потом ...
#./<name>
ну или вводи вручную - тоже самое

блин, вот все таки проще было провайдеру в access листе прописать айпи клиента и все!!! »
это в squid? squid за пинг не отвечает

seman

14-05-2009, 16:08

это в squid? squid за пинг не отвечает »
нет. имею ввиду на своем шлюзе(серваке с линуксом).

seman

14-05-2009, 16:39

Старожил
Сообщения: 201
Благодарности: 41
Профиль | E-mail | Отправить PM | Цитировать
ну расширение не обязательно но
...#chmod u+x <name> надо
потом ...
#./<name>
ну или вводи вручную - тоже самое »

файл назвал mar, сделал чмод
inetsrv:/home/uchdstr/Documents # ./mar
bash: ./mar: /bin/sh^M: плохой интерпретатор: Нет такого файла или каталога
inetsrv:/home/uchdstr/Documents #

что не так делаю?

seman

14-05-2009, 17:07

пробывал ввести вручную
итог - инета вообще не стало. пингов нет.

когда пишу iptables -t nat -A POSTROUTING -s 10.125.0.0/24-j SNAT --to-source $INETIP
инет пропадает везде и локально и не локально.
пишу iptables -t nat -A POSTROUTING -s 10.125.0.107 -j SNAT --to-source $INETIP - все ОК
инет работает и пинг идет сс сквида на нужный айпи нормально.
но с 10.125.0.107 - все глухо.
может какая то особенность сборки suse. ну прям не знаю

нашел еще ссылку по сусе. как думаешь в моем случае поможет?
http://keir.ru/HOWTO-SuSE_Masquerading.php

seman

18-05-2009, 16:11

решил проблему с помощью MASQUERADE.
все прошло на ура.
спасибо всем за помощь.