Polskie Forum Użytkowników Debiana

Witam wszystkich bardziej obeznanych w temacie. Ja jestem już wykończony 12 godzin próbuje skonfigurować server i mam dość.
Squid jest na osobnej maszynie.
Układ:

LAN ---> Serwer + htb ---> Serwer + squid ---> Internet

Chciałem użytkowników z LAN podzielić na dwie grupy. Pierwsza która przechodzi przez Squid i druga która ma bezpośrednio internet.
Nie mam pojęcia jak skonfigurować iptables lub jakimś innym sposobem. Po prostu nie mam już sił.
Czy ktoś może mi pomóc?
R.

Pokaż regułę, iptables, która przerzuca ruch na squida

Siec lan to 192.168.4.0/255.255.252.0 czyli 1024 adresy
Adresy 192.168.5.0 - 192.168.5.255 chce przekierować na squida (tylko ruch www ma być przekierowany).
Reszta adresów ma iść bezpośrednio na IP zewn.
Wczoraj późnym wieczorem przeczytałem na jednym forum że nie jest możliwe przekierowanie adresu IP z portem z maszyny wewnątrz sieci LAN na zewnątrz sieci. A więc tak jakbym chciał to zrobić. Więc chyba dołożę trzecią sieciówkę do serwera i tak to obejdę :/

Mój układ:

LAN 192.168.4.0/22 ---> Serwer1 192.168.4.1 -> 192.168.0.2 ---> Serwer2+squid 192.168.0.1 -> IP_zewnetrzne

Próbowałem setek kombinacji i nic :/

Dodane

To chyba nie jest po prostu możliwe. Nie wierzę już w to :/

Czego nie zrozumiałeś z jednego zdania napisanego przez pawkrola?

Próbowałem chyba z 20 regułek i nic nie działa.
Czy może mi ktoś pomóc i napisać tę regułkę?
Czy wogóle można to skonfigurować tak jak chcę?
R.

Dodane

Zrobiłem nawet VLan2 192.168.20.2 na serwerze wewnętrznym, VLan1 192.168.20.1 na serwerze ze squidem. Też to nie działało bo cały ruch szedł przez 192.168.0.1.
Nie mam sił poważnie... proszę nie myśleć że nic nie robię i czekam na gotowca.

Dodane

To znalazłem wczoraj:
"Sam firewall (iptabes) oczywiscie nie moze wysyłać ruchu na zewnątrz bo to wymaga m.in. stworzenia nowego pakietu, z nowym adresem źródłowym i enkapsulacji starego wewnątrz. Ruchu na zewnątrz się nie "przekierowuje" tylko tuneluje. VPN, stunel, ssh, a do udp tylko vpn. I oczywiscie w logach nie będą widniały adresy "prawdziwe" w zadnym wypadku (proxy/tunel) skoro ruch będzie przechodził przez maszynę pośredniczącą."

Świadczy to o tym że nie da sie mojego zadania wykonać???

Próbowałem m.in. tej regułki

iptables -A PREROUTING -t nat -p tcp --dport 80 -j DNAT --to-destination 192.168.0.1:8080

Nie pisz postów jeden pod drugim. Używaj do tego celu edycji !


Czym jest serwer2 ? Bramą na której jest squid ?
Jeszcze raz się pytam. Co przekierowuje ruch na proxy ?

Jak dla mnie powinieneś w takiej regule przekierowującej dodać zakres który cię interesuje tj 192.168.5.0 - 192.168.5.255 i tyle

W zasadzie to nie wiadomo co robisz i gdzie robisz. Przewinęło się w twoich postach kilka podsieci vlanów i nie wyłania się z niej jakiś jasny obraz sieci, pozwalający coś sensownego doradzić.
Było jedno proste pytanie: podaj swoją regułkę przekierowującą ruch na squid.
Ja do tego dodałbym pytanie: gdzie ta regułka jest wpisywana i jaki jest schemat sieci, wraz adresacją i routingiem?

Schemat sieci:

A) Klienci czyli LAN na adresacji 192.168.4.0/22 1024 adresy
B) Pierwszy serwer z HTB LAN 192.168.4.1 WAN 192.168.0.2 tutaj chcę zrobić przekierowanie
C) Drugi serwer z Squid LAN 192.168.0.1 WAN IP_zewnętrzne_na_świat to jest brama do Internetu

Klienci ---> A) Pierwszy sewer z HTB --> B) Drugi sewer z SQUIDEM ---> Internet

Klientów o adresach 192.168.5.0 - 192.168.5.255 tylko z portu 80 chcę przekierować z A) Pierwszy serwer na B) Drugi serwerem z SQUIDEM na port 8080

Teraz zrozumiałe? Dziękuje za dotychczasowe odpowiedzi.
R.

===========================================================
tak mam zrobiony routing na serwer B) i tutaj chciałbym zrobić to przekierowanie :/
=============================================================
a tak na serwer C)

......

Jeszcze raz mówie: Nie pisz postów jeden pod drugim. Używaj do tego celu edycji !


A nie możesz zrobić tego już na bramie?
np. taką regułą?