Garik 45 Опубликовано: 2005-04-22 14:26:50 Share Опубликовано: 2005-04-22 14:26:50 Необходимо настроить некоторым юзерам скрипты на доступ только через прокси(без НАТА). Ибо есть категория юзеров, которые не могут корректно настроить комп и посему вечно попадают на деньги...то червя схватит, то какая-нибудь софтинка неожиданно обновится. Казалось бы все просто, стоит открыть на INPUT порт прокси по скрипту он-коннект и всего-то делов(на аутпут дефолтная политика ALLOW), ан не работает...В тоже время скрипт OnConnect (Nat + transparent squid) работает без вопросов. Подскажите плз, куда копать? OnConnect for proxy access: #!/bin/bashLOGIN=$1 IP=$2 CASH=$3 ID=$4 #transparent squid iptables -t nat -A PREROUTING -s $2 -d ! 192.168.1.1 -p tcp -m multiport --dport 80,81,82,83,88,8000,8001,8002,8080,8081 -j REDIRECT --to-port 3128 iptables -t nat -A PREROUTING -s $2 -d ! 192.168.1.1 -p udp -m multiport --dport 80,81,82,83,88,8000,8001,8002,8080,8081 -j REDIRECT --to-port 3128 iptables -t nat -A PREROUTING -s $2 -d ! 192.168.1.1 -p tcp -m multiport --dport 8082,8083,8091,8100,8101,8102,8103,8080,8888,777 -j REDIRECT --to-port 3128 iptables -t nat -A PREROUTING -s $2 -d ! 192.168.1.1 -p udp -m multiport --dport 8082,8083,8091,8100,8101,8102,8103,8080,8888,777 -j REDIRECT --to-port 3128 # $IPT -t filter -A INPUT -p tcp -s $IP --dport 3128 -j ACCEPT rc.firewall #!/bin/bashecho 1 > /proc/sys/net/ipv4/ip_forward # forwarding paketov (esli eshe ne vkliu4en) IPT="/sbin/iptables" ext_ip="82.2XX.XXX.XXX" int_ip="192.168.1.1" ext_if="ppp0" int_if="eth0" #Машины администратора admin=192.168.1.101 office=127.0.0.1 #Адреса роутера server0=192.168.1.1 #Порты, на которых работает конфигуратор и авторизатор conf_port=5555 user_port1=5555 user_port2=5554 ## Clear all rules $IPT -t filter -F $IPT -t filter -X $IPT -t nat -F $IPT -t nat -X $IPT -t filter -P INPUT DROP $IPT -t filter -P FORWARD DROP $IPT -t filter -P OUTPUT ACCEPT $IPT -t nat -P PREROUTING ACCEPT $IPT -t nat -P POSTROUTING ACCEPT $IPT -t nat -P OUTPUT ACCEPT ## lo # dobavliaem sebia v rules $IPT -t filter -A INPUT -d 127.0.0.1 -j ACCEPT $IPT -t filter -A OUTPUT -s 127.0.0.1 -j ACCEPT ## DNS # Pozvoliaen DNS prohodit' $IPT -t filter -A INPUT -p udp --sport 53 -j ACCEPT $IPT -t filter -A INPUT -p udp --dport 53 -j ACCEPT # Stargazer configurator $IPT -t filter -A INPUT -p tcp -s $int_ip/24 -d $server0 --dport $conf_port -j ACCEPT $IPT -t filter -A INPUT -p tcp -s $int_ip/24 -d $server0 --sport $conf_port -j ACCEPT #$IPT -t filter -A OUTPUT -p tcp -d $int_ip/24 -s $server0 --sport $conf_port -j ACCEPT # UDP stargazer InetAccess $IPT -t filter -A INPUT -p udp -s $int_ip/24 --sport $user_port2 -d $server0 --dport $user_port1 -j ACCEPT $IPT -t filter -A OUTPUT -p udp -d $int_ip/24 --dport $user_port1 -s $server0 -j ACCEPT ## Pingu vechnaia SVOBODA!!! $IPT -t filter -A INPUT -p icmp -j ACCEPT $IPT -t filter -A OUTPUT -p icmp -j ACCEPT ## Esli esti eshe mashiny dlia kotoryh ne nujno trafik s4itati to: $IPT -t filter -A INPUT -p tcp -s 192.168.1.40 --dport 3128 -j ACCEPT $IPT -t nat -A POSTROUTING -s 192.168.1.40 -j SNAT --to-source $ext_ip $IPT -t filter -A FORWARD -i $int_if -s 192.168.1.40 -j ACCEPT $IPT -t filter -A FORWARD -d 192.168.1.40 -j ACCEPT Ссылка на сообщение Поделиться на других сайтах
Рекомендованные сообщения
Создайте аккаунт или войдите в него для комментирования
Вы должны быть пользователем, чтобы оставить комментарий
Создать аккаунт
Зарегистрируйтесь для получения аккаунта. Это просто!
Зарегистрировать аккаунтВхід
Уже зарегистрированы? Войдите здесь.
Войти сейчас