Помогите кто нибудь, никто помочь не может.....
1)ЛВС-организована в домен main.ru
адрес сети 192.168.1.0/24
DNS сервер- 192.168.1.1/32(Windows2000server)
192.168.1.254/32 - Шлюз в Internet (Linux RedHat9.0)
(eth1-195.98.60.122/32-внешний интерфейс)
(eth0 -192.168.1.254/32-внутренний интерфейс)
пользователи домена выходят в internet через Squid на шлюзе
необходимо чтобы некоторые пользователи(192.168.1.20/32) выходили в internet на прямую минуя прокси!!!!!!!!
кто только чего не говорил ничто не работает!!!!!!!!!!
подскажите пожалуста как ето организовать может помимо правил в фаирволе необходимо ещё что-нибудь...
#!/bin/sh
echo "Starting firewalling..."
#Определение переменных
#"eth1" Интерфейс к Internet
#"eth0" Интерфейс к локальной сети
LP="127.0.0.0/8" #диапазон адресов обратной петли
NAMESERVER="195.98.32.0/24" #DNS-сервер провайдера
SMTP_SERVER="any/0" #Внешний почтовый сервер
UNPORTS="1024:65535" #Непривилегированные порты
BROADCAST_DEST="255.255.255.255" #Целевой широковещательный адрес
BROADCAST_SRC="0.0.0.0" #Исходный широковещательный адрес
#Адрес внешнего интерфейса
IPADDR="195.98.60.122"
#Адрес сети провайдера
MY_ISP="195.98.32.0/24"
LOGGING=1
cd /sbin
#Удаление существующих правил
./iptables -F
# разрешаем форвардить пакеты ...
echo 1 > /proc/sys/net/ipv4/ip_forward
#Установка политики запрета по умолчанию
./iptables -P INPUT DROP
./iptables -P FORWARD ACCEPT
./iptables -P OUTPUT ACCEPT
#Неограниченный трафик через интерфейс обратной петли
./iptables -A INPUT -i lo -j ACCEPT
./iptables -A OUTPUT -o lo -j ACCEPT
#Запрет пакетов, якобы отправленных с моего компьютера
./iptables -A INPUT -i eth1 -s $IPADDR -j DROP
# разрешаем доступ в Inet с IP 192.168.1.20/255.255.255.255 на прямую
# iptables -A FORWARD -s 192.168.1.20/255.255.255.255 -o eth1 -j ACCEPT
# iptables -t nat -A POSTROUTING -s 192.168.1.20/255.255.255.255 -o eth1 -j #MASQUERADE
#разрешение прохождения http трафика
./iptables -A INPUT -i eth1 -p tcp -s any/0 --sport 80 -d $IPADDR --dport $UNPORTS -j ACCEPT
./iptables -A OUTPUT -o eth1 -p tcp -s $IPADDR --sport $UNPORTS -d any/0 --dport 80 -j ACCEPT
#Необходимые службы
./iptables -A INPUT -i eth1 -p udp -s 0/0 --sport 53 -d $IPADDR --dport 1024:65535 -j ACCEPT
./iptables -A OUTPUT -o eth1 -p udp -s $IPADDR -d 0/0 -j ACCEPT
./iptables -A INPUT -i eth1 -p tcp -s 0/0 --sport 53 -d $IPADDR --dport 1024:65535 -j ACCEPT
./iptables -A OUTPUT -o eth1 -p tcp -s $IPADDR -d 0/0 -j ACCEPT
./iptables -A INPUT -i eth1 -p udp -s 0/0 -d $IPADDR --dport 53 -j ACCEPT
./iptables -A INPUT -i eth1 -p tcp -s 0/0 -d $IPADDR --dport 53 -j ACCEPT
#Разрешение исходящего AUTH-запроса
./iptables -A OUTPUT -o eth1 -p tcp -s $IPADDR -d 0/0 --dport 113 -j ACCEPT
./iptables -A INPUT -i eth1 -p tcp -s 0/0 --sport 113 -d $IPADDR -j ACCEPT
#Прием входящих AUTH-запросов
./iptables -A INPUT -p tcp -s 0/0 -d 195.98.60.122 --dport 113 -j ACCEPT
./iptables -A OUTPUT -p tcp -s 195.98.60.122 --sport 113 -d 0/0 -j ACCEPT
#------------ закроем proxy -------------------
iptables -A INPUT -p tcp -s 192.168.1.0/255.255.255.0 --dport 3128 -j ACCEPT
iptables -A INPUT -p tcp -s 127.0.0.1/255.255.255.0 --dport 3128 -j ACCEPT
iptables -A INPUT -p tcp -s 0.0.0.0/0.0.0.0 --dport 3128 -j DROP
#Передача почты через SMTP
./iptables -A OUTPUT -o eth1 -p tcp -s 0/0 --sport 1024:65535 -d 0/0 --dport 25 -j ACCEPT
./iptables -A INPUT -i eth1 -p tcp -s 0/0 --sport 25 -d $IPADDR --dport 1024:65535 -j ACCEPT
./iptables -A INPUT -i eth1 -p tcp -s 0/0 --sport 1024:65535 -d $IPADDR --dport 25 -j ACCEPT
./iptables -A OUTPUT -o eth1 -p tcp -s $IPADDR --sport 25 -d 0/0 --dport 1024:65535 -j ACCEPT
#Извлечение почты посредством POP-клиента
./iptables -A OUTPUT -o eth1 -p tcp -s 0/0 --sport 1024:65535 -d 0/0 --dport 110 -j ACCEPT
./iptables -A INPUT -i eth1 -p tcp -s 0/0 --sport 110 -d $IPADDR --dport 1024:65535 -j ACCEPT
./iptables -A OUTPUT -o eth1 -p tcp -s $IPADDR --sport $UNPORTS -d 0/0 --dport 110 -j ACCEPT
./iptables -A INPUT -i eth1 -p tcp ! --syn -s 0/0 --sport 110 -d $IPADDR --dport $UNPORTS -j ACCEPT
#Все локальные машины могут обращаться к брандмауэру
./iptables -A INPUT -i eth0 -s 192.168.1.0/24 -j ACCEPT
./iptables -A OUTPUT -o eth0 -d 192.168.1.0/24 -j ACCEPT
#Стандартный ftp-доступ
./iptables -A OUTPUT -o eth1 -p tcp -s $IPADDR --sport $UNPORTS -d 0/0 -j ACCEPT
./iptables -A INPUT -i eth1 -p tcp -s 0/0 --sport 21 -d $IPADDR --dport $UNPORTS -j ACCEPT
./iptables -A INPUT -i eth1 -p tcp -s 0/0 --sport 20 -d $IPADDR --dport $UNPORTS -j ACCEPT
./iptables -A OUTPUT -o eth1 -p tcp -s $IPADDR --sport $UNPORTS -d 0/0 -j ACCEPT
#
#./iptables -A INPUT -i eth1 -p tcp -s 0/0 --sport $UNPORTS -j ACCEPT
#./iptables -A OUTPUT -o eth1 -p tcp -s $IPADDR --sport $UNPORTS -d 0/0 --dport $UNPORTS -j ACCEPT
#ICQ
#
./iptables -A FORWARD -p tcp -s 0/0 --dport 5190 -o eth1 -j ACCEPT
./iptables -t nat -A POSTROUTING -s 192.168.1.0/255.255.255.0 -o eth1 -j MASQUERADE -p tcp --to-port 5190
#маскируем ip-адресса
./iptables -t nat -A POSTROUTING -s 192.168.1.0/24 -d 0.0.0.0/0.0.0.0 -o eth1 -j MASQUERADE
#Регистрация недопустимых пакетов
if ["$LOGGING"]
then
./iptables -A INPUT -p tcp -j DROP -LOG
./iptables -A INPUT -p udp -j DROP -LOG
./iptables -A INPUT -p icmp -j DROP -LOG
fi
#
echo "done"
exit 0
Вариант для распечатки
Информационная безопасность (Public)
(??) on
12-Июл-04, 12:28 (MSK)
