Свой proxy

[mungo]

Господа, не проходите мимо, подскажите!
Поднял squid, bind, iptables... Ну хттп идет как положено через сквид. Вопросов нет, всё пучком...
Но вот как заставить почту и аську передавать данные туда же? Ну или вообще хотя-бы их прозрачно пустить напрямую eth0->ppp0? Два дня воюю, нифига толку.
Поставил webmin чтобы не дуреть так сильно от тестовых конфигов (всё-таки 4 с копейками тыщ строк свида...).
И самое противное, что даже логирование иптаблесов почему-то перестало работать...

Если есть у кого идеи, подскажите! Любые идеи! Просто не молчите, а то свихнусь окончательно...

[Ларин]

в icq клиенте прописать прокси сервер.
или сделать прозрачный прокси.
по поводу почты не понятно, что ты имел ввиду. какая именно почта? через браузер и так все работает, а всякие mail клиенты не будут работать.

[mungo]

Так вот и нужен прозрачный... Чтоб 10 машин не перенастраивать. Чисто шлюз указал и всё.
А про почту... Ну, юзеры почту получают у себя. Тут фишка с прокси не прокатывает. Кто оутлуком, кто ещё чем...

[Ларин]

тогда в сквиде нужно включить прозрачный режим

Код: Выделить всё

http_port ip:port transparent

и заворачивать все пакеты с внутреннего интерфейса на порт прокси.

[mungo]

Вот это и не работает... Пытался иптаблесами всё, что приходит на порт 143, 25 и 5190 напрямую пихать в ppp0. Не получается... Той же командой хттп трафик на порт 80 отлично идет сквиду и всё работает.

[Ларин]

чеж вы все такие сложные. информацию нужно клещами вытягивать. дай правила фаера.
и еще.
надеюсь у тебя сквид без авторизации?

[IceMan]

Включаешь маршрутизацию и маскарадинг

Код: Выделить всё

echo 1 > /proc/sys/net/ipv4/ip_forward
iptables -t nat -A OUTPUT -o ppp0 -j MASQUERADE

и не нужно заворачивать все в бедный сквид.

[mungo]

Да я вообще что-то затупил. Наверно, нужно было начинать с того, ради чего всё затеяно. А маскарадами я сразу научился пользоваться, тут ничего сверх сложного нет.
Суть просто чтобы несколько компов посадить через один сервак, чтобы потом при желании мона было узнать, куда ж делся трафик. Сами знаете, что порно любят все. Только некоторые злоупотребляют. Утомили.
Возможно, я неправильный путь выбрал для этого. Мот, другие пакеты или ещё что. Натолкните плизз на правильную мысль. Постараюсь разобраться.

[Ларин]

если тебе нужна статистика и резание трафика, то тогда сквид рулит.
нужно завернуть http трафик на порт сквида. для статистики лично мне нравится sarg. запреты можно делать acl-ми в сквиде.

[mungo]

Ну так хттп и идет свиду. Всё чудно работает. Но как быть с ftp, imap, smtp и pop3? Они уходят в никуда...

[Ларин]

для ftp есть frox
http://frox.sourceforge.net/
для pop,imap,smtp - идеологически верно ставить свой почтарь внутри локалки.
но можно просто разрешить нат для некоторых адресов/портов.

[mungo]

Спасибо, теперь понятнее, что я делаю не так...
Но вот с натами устал бороться... Если не трудно, напишите простое правило перекидывания из eth0/25 в ppp0, чтобы уже закрыть себе сей вопрос...

[Ларин]

я пока не очень разбираюсь в iptables, но как я понял у тебя диманический ип, а значит следует использовать masquerade
примерно так

iptables -t nat -A POSTROUTING -o ppp0 -j MASQUERADE

ну и добавить разрешающие правила.

[d_fdv]

для pop,imap,smtp - идеологически верно ставить свой почтарь внутри локалки.

Особенно на фоне "качественной" работы интернета в Беларуси.

[Ларин]

ну да:)
идеология иногда идет в разрез с реальным ходом дел.