[Alan85]

странно что повлияло на сквид...
может это опечатка :
iptables -t nat -A POSTROUTING -s 10.125.0.0/255.255.255.0 -d 62.148.225.34 -j SNAT --to-source 10.25.0.150
На картинке не вижу. а по данным у тебя 10.125.0.150
netstat -n -r тебе ничего нового не даст. Тебе надо смотреть
iptables-save - что даст нам текущие настройки фаервола. Кстати они не сохраняются сами по себе (если только чтото такое не стоит что сохраняет) поэтому странно что инет на прямую пропал... еще может быть проблема в том что один интерфейс а не два как обычно на фаерволах.
выложи результат iptables-save и попробуй это еще...

Код:

echo "1" > /proc/sys/net/ipv4/ip_forward
iptables -A INPUT -s 10.125.0.0/255.255.255.0 -j ACCEPT
iptables -A FORWARD -s 10.125.0.0/24 -d 62.148.225.34 -j ACCEPT
iptables -A FORWARD -s 62.148.225.34 -d 10.125.0.0/24 -j ACCEPT
iptables -t nat -A POSTROUTING -s 10.125.0.0/255.255.255.0 -d 62.148.225.34 -j SNAT --to-source 10.125.0.150

[seman]

Alan85

Цитата Alan85:

может это опечатка : iptables -t nat -A POSTROUTING -s 10.125.0.0/255.255.255.0 -d 62.148.225.34 -j SNAT --to-source 10.25.0.150 »

да нет на картинке то же самое. так же и делал.
ок. благодарю. завтра попробую

[seman]

Alan85
результат выложил.
пинга пока нет от клиента может еще в сквиде надо настройки сделать?
у меня там след-е настройки

acl manager proto cache_object
acl localhost src 127.0.0.1/32
acl to_localhost dst 127.0.0.0/8
acl localnet src 10.125.0.0/24
acl localnet src 192.168.1.0/24
acl SSL_ports port 443
acl Safe_ports port 80
acl Safe_ports port 21
acl Safe_ports port 443
acl Safe_ports port 70
acl Safe_ports port 210
acl Safe_ports port 1025-65535
acl Safe_ports port 280
acl Safe_ports port 488
acl Safe_ports port 591
acl Safe_ports port 777
acl CONNECT method CONNECT
acl our_networks proxy_auth REQUIRED

http_access allow manager localhost
http_access deny manager
http_access deny !Safe_ports
http_access deny CONNECT !SSL_ports
http_access allow our_networks
http_access deny all

хотя с самого же сервера пинг идет.




после перезагрузки
iptables-save v1.4.2-rc1: Unable to open /proc/net/ip_tables_names: No such file or directory
то бишь как ты и говорил он и не сохраняет.
ввел еще раз - безрезультатно.


p.s
кстати после выполнения всех команд. нет пинга с сервера со сквидом на 62.148.228.34
после удаления записей - все ок.



Generated by iptables-save v1.4.2-rc1 on Mon May 11 13:08:25 2009
*nat
:PREROUTING ACCEPT [2:142]
:POSTROUTING ACCEPT [0:0]
:OUTPUT ACCEPT [1:84]
-A POSTROUTING -s 10.125.0.0/24 -d 62.148.228.34/32 -j SNAT --to-source 10.125.0.150
COMMIT
# Completed on Mon May 11 13:08:25 2009
# Generated by iptables-save v1.4.2-rc1 on Mon May 11 13:08:25 2009
*filter
:INPUT ACCEPT [0:0]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [10:844]
-A INPUT -s 10.125.0.0/24 -j ACCEPT
-A FORWARD -s 10.125.0.0/24 -d 62.148.228.34/32 -j ACCEPT
-A FORWARD -s 62.148.228.34/32 -d 10.125.0.0/24 -j ACCEPT
COMMIT
# Completed on Mon May 11 13:08:25 2009

[Alan85]

Цитата seman:

нет пинга с сервера со сквидом на 62.148.228.34 »

- а на другие сайты и адреса?
Попробуй вместо

Код:

iptables -t nat -A POSTROUTING -s 10.125.0.0/255.255.255.0 -d 62.148.225.34 -j SNAT --to-source 10.125.0.150

набрать

Код:

iptables -t nat -A POSTROUTING -s 10.125.0.xxx -d 62.148.225.34 -j SNAT --to-source 10.125.0.150

где 10.125.0.xxx - адрес любого твоего клиента
и убрать

Код:

iptables -A INPUT -s 10.125.0.0/255.255.255.0 -j ACCEPT

[seman]

Цитата Alan85:

iptables -t nat -A POSTROUTING -s 10.125.0.xxx -d 62.148.225.34 -j SNAT --to-source 10.125.0.150 »

сделал по прежнемеу не хочет

# Generated by iptables-save v1.4.2-rc1 on Thu May 14 15:49:31 2009
*nat
:PREROUTING ACCEPT [54:5919]
:POSTROUTING ACCEPT [64:14089]
:OUTPUT ACCEPT [64:14089]
-A POSTROUTING -s 10.125.0.107/32 -d 62.148.228.34/32 -j SNAT --to-source 10.125.0.150
COMMIT
# Completed on Thu May 14 15:49:31 2009
# Generated by iptables-save v1.4.2-rc1 on Thu May 14 15:49:31 2009
*filter
:INPUT ACCEPT [2467:1375570]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [2680:1511831]
-A FORWARD -s 10.125.0.0/24 -d 62.148.228.34/32 -j ACCEPT
-A FORWARD -s 62.148.228.34/32 -d 10.125.0.0/24 -j ACCEPT
COMMIT
# Completed on Thu May 14 15:49:31 2009

когда было с iptables -A INPUT -s 10.125.0.0/255.255.255.0 -j ACCEPT
небыло пинга со сквида не на 62.148.228.34, не на другие сайты, по-крайней мере попробЫвал 2 сайта.

после удаления строки INPUT - пинг на 62.148.228.34 - есть. но на www.ya.ru - нет.

еще смущает префикс у маски -A POSTROUTING -s 10.125.0.107/32
там же 24. почему он так ее здесь поставил. или так должно быть?
может это потомучто я вместо
iptables -t nat -A POSTROUTING -s 10.125.0.107 -d 62.148.225.34 -j SNAT --to-source 10.125.0.150
набрал
iptables -t nat -A POSTROUTING -s 10.125.0.107/255.255.255.0 -d 62.148.225.34 -j SNAT --to-source 10.125.0.150

[Alan85]

Пример скрипта открывающего проход в инет (без прописания DNS на клиенте полноценного не получат - только по IP)

Код:

#!/bin/sh
INET="eth1"
INETIP="10.125.0.150"

iptables -F INPUT
iptables -F FORWARD
iptables -F OUTPUT

iptables -P INPUT ACCEPT
iptables -P OUTPUT ACCEPT
iptables -P FORWARD ACCEPT

iptables -t nat -A POSTROUTING -o $INET -j SNAT --to-source $INETIP
echo "1" > /proc/sys/net/ipv4/ip_forward

Но у тебя один интерфейс поэтому попробуй -o $INET заменить на -s 10.125.0.0/24 (или ip клиента без маски). Возможно в этом и затык (одна сетевая)

[seman]

Цитата Alan85:

Пример скрипта открывающего проход в инет »

то есть нужно сохранить в файле с расширением sh
и запустить. так?

блин, вот все таки проще было провайдеру в access листе прописать айпи клиента и все!!!

[Alan85]

ну расширение не обязательно но
...#chmod u+x <name> надо
потом ...
#./<name>
ну или вводи вручную - тоже самое

Цитата seman:

блин, вот все таки проще было провайдеру в access листе прописать айпи клиента и все!!! »

это в squid? squid за пинг не отвечает

[seman]

Цитата Alan85:

это в squid? squid за пинг не отвечает »

нет. имею ввиду на своем шлюзе(серваке с линуксом).

[seman]

Цитата Alan85:

Старожил Сообщения: 201 Благодарности: 41 Профиль | E-mail | Отправить PM | Цитировать ну расширение не обязательно но ...#chmod u+x <name> надо потом ... #./<name> ну или вводи вручную - тоже самое »

файл назвал mar, сделал чмод
inetsrv:/home/uchdstr/Documents # ./mar
bash: ./mar: /bin/sh^M: плохой интерпретатор: Нет такого файла или каталога
inetsrv:/home/uchdstr/Documents #

что не так делаю?