Свой proxy

[mungo]

я пока не очень разбираюсь в iptables, но как я понял у тебя диманический ип, а значит следует использовать masquerade
примерно так

iptables -t nat -A POSTROUTING -o ppp0 -j MASQUERADE

ну и добавить разрешающие правила.

Жаль, но сей вариант не прокатывает. Тогда ВСЕ пакеты идут на ppp0, и сквид не учвствует. С этого я начинал, все никак не мог понять, почему кэш пустой, а страницы открываются...

[Ларин]

Ключ --to-ports
Пример iptables -t nat -A POSTROUTING -p TCP -j MASQUERADE --to-ports 1024-31000
Описание Ключ --to-ports используется для указания порта источника или диапазона портов исходящего пакета. Можно указать один порт, например: --to-ports 1025, или диапазон портов как здесь: --to-ports 1024-3000. Этот ключ можно использовать только в правилах, где критерий содержит явное указание на протокол TCP или UDP с помощью ключа --protocol.

http://www.opennet.ru/docs/RUS/iptables ... RADETARGET

[mungo]

Всё, заработало. Спасибо!

[mungo]

Возможно уже был ответ, но...
Сервер работает как надо, но так уж наши провайдеры устроены, что соединение у них не очень постоянное. Следить постоянно за сервером, как там pptp работает, утомительно. Бывало пару раз, что даже утром на этапе загрузки по непонятным причинам соединение "залипало" - "установка соединения" и ничего дальше.
Вот и вопрос родился - как можно научить его самостоятельно пересоединяться в случае обрыва?
ОСь: Gentoo.

[Ларин]

пинговать хост->нету пинга->реконнект?

[mungo]

А практически как? Я так думаю, что не я один задавался сим вопросом...

[Ларин]

ну... если совсем просто, то скрипт в крон раз в минуту

Код: Выделить всё

ping -c 1 $IP | grep icmp_seq | wc -l

адын - зашибись
ноль - реконнект.
хотя это тоже не 100% вариант ибо удаленный хост тоже может лежать.

[mungo]

Юзвери - страшный зверь...
Отфильтровал порно, рекламу, всяких разнокласников... Вроде всё ок, иногда даже работают...
Но! Теперь они все в аське сидят. И не то, чтобы я хотел им запретить. Пусть в обед сидят... Но проблема в том, что не все злоупотребляют. Поэтому надо бы кому-то разрешить, кому-то запретить.
Вот и вопрос. Раз траф от аськи не идет через прокси, как можно контролировать и кому-то разрешать, кому-то запрещать?
И ещё вопрос. Тут про почту решь шла... Не совсем понял, как можно тот же sendmail настроить для юзверей, если они, ессно, не хотят своими паролями со мной делиться?

[Llama]

mungo, никак, ICQ вездесцуще - юзера найдут прокси, гейты через альтернативные IM и т.п.. Лучше всего не запрещать, мониторить активность и действовать административными мерами.

Про sendmail - у пользователй должна быть корпоративная электронная почта. Никаких гмейлов и т.п. в обход корпоративного почтовика в идеале быть не должно.

[Ларин]

Юзвери - страшный зверь...
Отфильтровал порно, рекламу, всяких разнокласников... Вроде всё ок, иногда даже работают...
Но! Теперь они все в аське сидят. И не то, чтобы я хотел им запретить. Пусть в обед сидят... Но проблема в том, что не все злоупотребляют. Поэтому надо бы кому-то разрешить, кому-то запретить.
Вот и вопрос. Раз траф от аськи не идет через прокси, как можно контролировать и кому-то разрешать, кому-то запрещать?

NAT

И ещё вопрос. Тут про почту решь шла... Не совсем понял, как можно тот же sendmail настроить для юзверей, если они, ессно, не хотят своими паролями со мной делиться?

никак. либо ставить свой почтарь с блэкджеком и шлюхами. либо настраивать какой-нибудь fetchmail для сбора почты с внешних почт, но тут нужны пароли.
а почту можно через нат пускать.

[leave]

А прозрачная прокся не судьба? Ну или для аськи отдельную соксовую поднять и на ней резать.

[mungo]

Прокся уже прозрачная, вот только к UDP и т.п. хрени не имеет отношения. Даже если порт 5190 перенаправить на свид это ничего не дает - просто перестает работать аська.
А насчет отдельной соксовой... эээ... а такое бывает? Просто других проксей не знаю.

[Ларин]

Прокся уже прозрачная, вот только к UDP и т.п. хрени не имеет отношения. Даже если порт 5190 перенаправить на свид это ничего не дает - просто перестает работать аська.

потому, что сквид http only

А насчет отдельной соксовой... эээ... а такое бывает? Просто других проксей не знаю.

бывает:)

[mungo]

Ларин, ну хоть немного больше информации. Я понимаю, что вы всё знаете, но я нет. То, что бывает, это понятно. Ну хоть чуточку направьте в нужном направлении...

[Ларин]

Ларин, ну хоть немного больше информации. Я понимаю, что вы всё знаете, но я нет. То, что бывает, это понятно. Ну хоть чуточку направьте в нужном направлении...

выбираешь socks proxy. ставишь. прописываешь в клиентах и юзаешь.
http://en.wikipedia.org/wiki/SOCKS#SOCKS_software
я, например, не заморачивался с соксами, а пустил аську через nat