https://m.opennet.dev/openforum/vsluhforumID12/6979.html Здравствуйте! <br>У меня следующая проблема. Есть сервер Ubuntu 12.04, squid3+sams2, сделаны настройки iptables. Все работает, пользователи выходят в инет через proxy, собирается статистика и т.п.<br>Но как выяснилось, при попытке с любого рабочего места сделать ping до какого либо ресурса - пинга нет. nslookup так же не определяет имя. На рабочих местах шлюзом прописан прокси, DNS - полученные от провайдера.<br>На прокси:<br>eth0 - смотрит в инет и получает сетевые настройки по DHCP<br>eth1 - смотрит в локалку 192.168.2.0 /24 и имеет ip 192.168.2.222<br>С самого proxy все пингуется и по имени и по ip<br>Подскажите, как и где на proxy открыть пинги для клиентских компьютеров?<br>Вот мои настройки iptables: <br>#!/bin/sh<br><br>echo 1 &gt; /proc/sys/net/ipv4/ip_forward<br><br>iptables -F<br>iptables -t nat -F<br>iptables -X<br><br>iptables -A INPUT -i lo -j ACCEPT<br><br>iptables -A FORWARD -i eth1 -o eth0 -j ACCEPT<br><br><br>iptables -A FORWARD -i eth0 -m state --state ESTABLISHED,RELATED -j ACCEPT<br><br>iptables -A FORWARD -i eth0 -o eth1 -j REJECT<br><br>ipta https://m.opennet.dev/openforum/vsluhforumID12/6979.html#17 Wed, 17 Apr 2013 23:48:16 GMT &gt;[оверквотинг удален]<br>&gt;&gt; 8.8.8.8 тоже не приходит...<br>&gt;&gt; Я не пингую ни имена, ни ip. Но при этом я спокойно <br>&gt;&gt; попадаю на эти сайты, которые не пингуется...<br>&gt;&gt; Например, если я эту машину пускаю в обход прокси, например вот этим <br>&gt;&gt; правилом то все пингуется: iptables -t nat -A POSTROUTING -s 192.168.2.51 <br>&gt;&gt; -o eth0 -j MASQUERADE - но такой вариант меня не <br>&gt;&gt; устраивает, т.к. пользователь уберет в настройках IE настройки proxy и будет <br>&gt;&gt; ходить по любым сайтам, которые запрещены политикой компании....<br>&gt; Чё-то я не понимаю, наверно. сквид же не трогает icmp. а можно <br>&gt; посмотреть iptables -nL ?<br><br>Спасибо, что не остались равнодушны к мое проблеме.<br>Решение нашел такое:<br>iptables -t nat -A POSTROUTING -s 192.168.2.0/24 -p icmp -m icmp --icmp-type 8 -j MASQUERADE<br>iptables -t nat -A POSTROUTING -s 192.168.2.0/24 -p tcp -m tcp --dport 53 -j MASQUERADE<br>iptables -t nat -A POSTROUTING -s 192.168.2.0/24 -p udp -m udp --dport 53 -j MASQUERADE<br><br>Все заработало.<br> https://m.opennet.dev/openforum/vsluhforumID12/6979.html#16 Tue, 16 Apr 2013 22:59:41 GMT &gt;&gt;&gt; Начните с чтения литературы по сетям TCP/IP.<br>&gt;&gt; Это понятно. А конкретные есть предложения кроме чтения про сети по моей проблеме?<br>&gt; Конкретное предложение уже было: читать, понимание вырабатывать.<br>&gt; Вот тебе "литература": http://www.opennet.ru/openforum/vsluhforumID12/6064.html#3 <br>&gt; , осиль одну страничку, а мы, поглядев на результаты, подумаем, рассказать <br>&gt; ли тебе про страааашные зияющие глубины icmp.<br><br>Прочел :-)<br> https://m.opennet.dev/openforum/vsluhforumID12/6979.html#15 Tue, 16 Apr 2013 22:59:14 GMT <br>&gt; Чё-то я не понимаю, наверно. сквид же не трогает icmp. а можно <br>&gt; посмотреть iptables -nL ?<br><br>Вот:<br>Chain INPUT (policy ACCEPT)<br>target prot opt source destination <br>ACCEPT all -- 0.0.0.0/0 0.0.0.0/0 <br>DROP tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:22<br>DROP tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:80<br>DROP tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:8080<br>DROP icmp -- 0.0.0.0/0 0.0.0.0/0 icmptype 8<br><br>Chain FORWARD (policy ACCEPT)<br>target prot opt source destination <br>ACCEPT all -- 0.0.0.0/0 0.0.0.0/0 <br>ACCEPT all -- 0.0.0.0/0 0.0.0.0/0 state RELATED,ESTABLISHED<br><br>Chain OUTPUT (policy ACCEPT)<br>target prot opt source destination <br> https://m.opennet.dev/openforum/vsluhforumID12/6979.html#14 Tue, 16 Apr 2013 06:22:42 GMT &gt;&gt; Начните с чтения литературы по сетям TCP/IP.<br>&gt; Это понятно. А конкретные есть предложения кроме чтения про сети по моей проблеме?<br><br>Конкретное предложение уже было: читать, понимание вырабатывать.<br><br>Вот тебе "литература": http://www.opennet.ru/openforum/vsluhforumID12/6064.html#3 , осиль одну страничку, а мы, поглядев на результаты, подумаем, рассказать ли тебе про страааашные зияющие глубины icmp.<br> https://m.opennet.dev/openforum/vsluhforumID12/6979.html#13 Tue, 16 Apr 2013 06:00:17 GMT &gt;&gt; а вы пингуете имена или ip? ping 8.8.8.8 тоже не проходит?<br>&gt; 8.8.8.8 тоже не приходит...<br>&gt; Я не пингую ни имена, ни ip. Но при этом я спокойно <br>&gt; попадаю на эти сайты, которые не пингуется...<br>&gt; Например, если я эту машину пускаю в обход прокси, например вот этим <br>&gt; правилом то все пингуется: iptables -t nat -A POSTROUTING -s 192.168.2.51 <br>&gt; -o eth0 -j MASQUERADE - но такой вариант меня не <br>&gt; устраивает, т.к. пользователь уберет в настройках IE настройки proxy и будет <br>&gt; ходить по любым сайтам, которые запрещены политикой компании....<br><br>Чё-то я не понимаю, наверно. сквид же не трогает icmp. а можно посмотреть iptables -nL ?<br> https://m.opennet.dev/openforum/vsluhforumID12/6979.html#12 Tue, 16 Apr 2013 05:41:58 GMT &gt; а вы пингуете имена или ip? ping 8.8.8.8 тоже не проходит?<br><br>8.8.8.8 тоже не приходит...<br>Я не пингую ни имена, ни ip. Но при этом я спокойно попадаю на эти сайты, которые не пингуется...<br><br>Например, если я эту машину пускаю в обход прокси, например вот этим правилом то все пингуется: iptables -t nat -A POSTROUTING -s 192.168.2.51 -o eth0 -j MASQUERADE - но такой вариант меня не устраивает, т.к. пользователь уберет в настройках IE настройки proxy и будет ходить по любым сайтам, которые запрещены политикой компании....<br><br><br><br> https://m.opennet.dev/openforum/vsluhforumID12/6979.html#11 Tue, 16 Apr 2013 05:31:49 GMT а вы пингуете имена или ip? ping 8.8.8.8 тоже не проходит?<br><br><br> https://m.opennet.dev/openforum/vsluhforumID12/6979.html#10 Tue, 16 Apr 2013 05:25:30 GMT &gt;[оверквотинг удален]<br>&gt;&gt; Не помогло...<br>&gt; Хм... или я что-то не понимаю, или вы что-то не так делаете. <br>&gt; вы после добавления правила iptables перезапускали? можно посмотреть, как выглядит файл <br>&gt; iptables сейчас?<br>&gt;&gt;&gt; попробуйте поставить до этого: <br>&gt;&gt;&gt; -A FORWARD -i eth0 -o eth1 -j REJECT <br>&gt;&gt; Не помогло...<br>&gt; Хм... или я что-то не понимаю, или вы что-то не так делаете. <br>&gt; вы после добавления правила iptables перезапускали? можно посмотреть, как выглядит файл <br>&gt; iptables сейчас?<br><br>Да, конечно перезапускал. Даже для убедительности перегружал прокси. При загрузке сервера мой скрипт с iptables стартует из /etc/rc.local<br>Сейчас выглядит так:<br>#!/bin/sh<br>echo 1 &gt; /proc/sys/net/ipv4/ip_forward<br><br>iptables -F<br>iptables -t nat -F<br>iptables -X<br><br>iptables -A INPUT -i lo -j ACCEPT<br><br>iptables -A FORWARD -i eth1 -o eth0 -j ACCEPT<br><br><br>iptables -A FORWARD -i eth0 -m state --state ESTABLISHED,RELATED -j ACCEPT<br><br>iptables -A FORWARD -p -icmp - j ACCEPT<br>#iptables -A FORWARD -i eth0 -o eth1 -j REJECT<br><br>iptables https://m.opennet.dev/openforum/vsluhforumID12/6979.html#9 Tue, 16 Apr 2013 05:09:00 GMT &gt;&gt; попробуйте поставить до этого: <br>&gt;&gt; -A FORWARD -i eth0 -o eth1 -j REJECT <br>&gt; Не помогло...<br><br>Хм... или я что-то не понимаю, или вы что-то не так делаете. вы после добавления правила iptables перезапускали? можно посмотреть, как выглядит файл iptables сейчас?<br>