IPtables на прокси
 

Здравствуйте!
squid на убунту.



У клиентов ip-address proxy прописывается только в браузере. Шлюзом же указывается внутренний файервол.
Некоторые клиенты сидят в одной сети с прокси сервером. Требуется закрыть прямой доступ к прокси серверу с его обоих интерфейсов посредствам iptables самого прокси. Оставив только http port. То есть если у клиента шлюзом указать прокси сервер, его не пускало в интернет. Но если этот же клиент лезит через файервол - его пропускало.

iptables -A FORWARD -i ${INT} -o $EXT -s ${INT_BCAST} -j ACCEPT
iptables -A FORWARD -i ${EXT} -m state --state ESTABLISHED,RELATED -j ACCEPT

Если $INT_BCAST задать только ip адрес файервола, клиентам закрыт доступ в инет.
Если $INT_BCAST задать клиентов, то клиенты сидящие с файерволом в одной сети, могут заходить в интернет обходя файервол, поставив его основным шлюзом.

aldar, жаль, что Вы не указали топологию вашей сети. Вообще говоря, есть несколько способов решения Вашей задачи.
Приведу навсидку два первых попавшихся:
1. Можно проверять на proxy TTL поступающих пакетов (-m ttl -ttl-eq). Пакеты, которые направлены непосредственно на proxy будут иметь большее значение этого поля.
2. Если считать, что ваш proxy должен получать пакеты только с межсетевого фильтра, можно вообще отказаться от использования iptables и закрыть на нем все MAC-адреса, кроме адреса брандмауэра, при помощи ebtables