настройка onconnect+ rc.firewall

[Garik 45]

Необходимо настроить некоторым юзерам скрипты на доступ только через прокси(без НАТА). Ибо есть категория юзеров, которые не могут корректно настроить комп и посему вечно попадают на деньги...то червя схватит, то какая-нибудь софтинка неожиданно обновится. Казалось бы все просто, стоит открыть на INPUT порт прокси по скрипту он-коннект и всего-то делов(на аутпут дефолтная политика ALLOW), ан не работает...В тоже время скрипт OnConnect (Nat + transparent squid) работает без вопросов.

 

Подскажите плз, куда копать?

 

OnConnect for proxy access:

#!/bin/bash

LOGIN=$1

IP=$2

CASH=$3

ID=$4

#transparent squid

iptables -t nat -A PREROUTING -s $2 -d ! 192.168.1.1 -p tcp -m multiport --dport 80,81,82,83,88,8000,8001,8002,8080,8081 -j REDIRECT --to-port 3128

iptables -t nat -A PREROUTING -s $2 -d ! 192.168.1.1 -p udp -m multiport --dport 80,81,82,83,88,8000,8001,8002,8080,8081 -j REDIRECT --to-port 3128

iptables -t nat -A PREROUTING -s $2 -d ! 192.168.1.1 -p tcp -m multiport --dport 8082,8083,8091,8100,8101,8102,8103,8080,8888,777 -j REDIRECT --to-port 3128

iptables -t nat -A PREROUTING -s $2 -d ! 192.168.1.1 -p udp -m multiport --dport 8082,8083,8091,8100,8101,8102,8103,8080,8888,777 -j REDIRECT --to-port 3128

#

$IPT -t filter -A INPUT -p tcp -s $IP --dport 3128 -j ACCEPT

 

rc.firewall

#!/bin/bash

echo 1 > /proc/sys/net/ipv4/ip_forward # forwarding paketov (esli eshe ne vkliu4en)

IPT="/sbin/iptables"

ext_ip="82.2XX.XXX.XXX"

int_ip="192.168.1.1"

ext_if="ppp0"

int_if="eth0"

#Машины администратора

admin=192.168.1.101

office=127.0.0.1

#Адреса роутера

server0=192.168.1.1

#Порты, на которых работает конфигуратор и авторизатор

conf_port=5555

user_port1=5555

user_port2=5554

## Clear all rules

$IPT -t filter -F

$IPT -t filter -X

$IPT -t nat -F

$IPT -t nat -X

 

$IPT -t filter -P INPUT DROP

$IPT -t filter -P FORWARD DROP

$IPT -t filter -P OUTPUT ACCEPT

 

$IPT -t nat -P PREROUTING ACCEPT

$IPT -t nat -P POSTROUTING ACCEPT

$IPT -t nat -P OUTPUT ACCEPT

 

## lo # dobavliaem sebia v rules

$IPT -t filter -A INPUT -d 127.0.0.1 -j ACCEPT

$IPT -t filter -A OUTPUT -s 127.0.0.1 -j ACCEPT

 

## DNS # Pozvoliaen DNS prohodit'

$IPT -t filter -A INPUT -p udp --sport 53 -j ACCEPT

$IPT -t filter -A INPUT -p udp --dport 53 -j ACCEPT

 

# Stargazer configurator

$IPT -t filter -A INPUT -p tcp -s $int_ip/24 -d $server0 --dport $conf_port -j ACCEPT

$IPT -t filter -A INPUT -p tcp -s $int_ip/24 -d $server0 --sport $conf_port -j ACCEPT

#$IPT -t filter -A OUTPUT -p tcp -d $int_ip/24 -s $server0 --sport $conf_port -j ACCEPT

 

# UDP stargazer InetAccess

$IPT -t filter -A INPUT -p udp -s $int_ip/24 --sport $user_port2 -d $server0 --dport $user_port1 -j ACCEPT

$IPT -t filter -A OUTPUT -p udp -d $int_ip/24 --dport $user_port1 -s $server0 -j ACCEPT

 

## Pingu vechnaia SVOBODA!!!

$IPT -t filter -A INPUT -p icmp -j ACCEPT

$IPT -t filter -A OUTPUT -p icmp -j ACCEPT

 

## Esli esti eshe mashiny dlia kotoryh ne nujno trafik s4itati to:

$IPT -t filter -A INPUT -p tcp -s 192.168.1.40 --dport 3128 -j ACCEPT

$IPT -t nat -A POSTROUTING -s 192.168.1.40 -j SNAT --to-source $ext_ip

$IPT -t filter -A FORWARD -i $int_if -s 192.168.1.40 -j ACCEPT

$IPT -t filter -A FORWARD -d 192.168.1.40 -j ACCEPT