Linux.by

Ларин писал(а):я пока не очень разбираюсь в iptables, но как я понял у тебя диманический ип, а значит следует использовать masquerade
примерно так

iptables -t nat -A POSTROUTING -o ppp0 -j MASQUERADE

ну и добавить разрешающие правила.

Жаль, но сей вариант не прокатывает. Тогда ВСЕ пакеты идут на ppp0, и сквид не учвствует. С этого я начинал, все никак не мог понять, почему кэш пустой, а страницы открываются...

Ключ --to-ports
Пример iptables -t nat -A POSTROUTING -p TCP -j MASQUERADE --to-ports 1024-31000
Описание Ключ --to-ports используется для указания порта источника или диапазона портов исходящего пакета. Можно указать один порт, например: --to-ports 1025, или диапазон портов как здесь: --to-ports 1024-3000. Этот ключ можно использовать только в правилах, где критерий содержит явное указание на протокол TCP или UDP с помощью ключа --protocol.

http://www.opennet.ru/docs/RUS/iptables ... RADETARGET

Всё, заработало. Спасибо!

Возможно уже был ответ, но...
Сервер работает как надо, но так уж наши провайдеры устроены, что соединение у них не очень постоянное. Следить постоянно за сервером, как там pptp работает, утомительно. Бывало пару раз, что даже утром на этапе загрузки по непонятным причинам соединение "залипало" - "установка соединения" и ничего дальше.
Вот и вопрос родился - как можно научить его самостоятельно пересоединяться в случае обрыва?
ОСь: Gentoo.

пинговать хост->нету пинга->реконнект?

А практически как? Я так думаю, что не я один задавался сим вопросом...

ну... если совсем просто, то скрипт в крон раз в минуту адын - зашибись
ноль - реконнект.
хотя это тоже не 100% вариант ибо удаленный хост тоже может лежать.

Юзвери - страшный зверь...
Отфильтровал порно, рекламу, всяких разнокласников... Вроде всё ок, иногда даже работают...
Но! Теперь они все в аське сидят. И не то, чтобы я хотел им запретить. Пусть в обед сидят... Но проблема в том, что не все злоупотребляют. Поэтому надо бы кому-то разрешить, кому-то запретить.
Вот и вопрос. Раз траф от аськи не идет через прокси, как можно контролировать и кому-то разрешать, кому-то запрещать?
И ещё вопрос. Тут про почту решь шла... Не совсем понял, как можно тот же sendmail настроить для юзверей, если они, ессно, не хотят своими паролями со мной делиться?

mungo, никак, ICQ вездесцуще - юзера найдут прокси, гейты через альтернативные IM и т.п.. Лучше всего не запрещать, мониторить активность и действовать административными мерами.

Про sendmail - у пользователй должна быть корпоративная электронная почта. Никаких гмейлов и т.п. в обход корпоративного почтовика в идеале быть не должно.

mungo писал(а):Юзвери - страшный зверь...
Отфильтровал порно, рекламу, всяких разнокласников... Вроде всё ок, иногда даже работают...
Но! Теперь они все в аське сидят. И не то, чтобы я хотел им запретить. Пусть в обед сидят... Но проблема в том, что не все злоупотребляют. Поэтому надо бы кому-то разрешить, кому-то запретить.
Вот и вопрос. Раз траф от аськи не идет через прокси, как можно контролировать и кому-то разрешать, кому-то запрещать?

NAT

mungo писал(а): И ещё вопрос. Тут про почту решь шла... Не совсем понял, как можно тот же sendmail настроить для юзверей, если они, ессно, не хотят своими паролями со мной делиться?

никак. либо ставить свой почтарь с блэкджеком и шлюхами. либо настраивать какой-нибудь fetchmail для сбора почты с внешних почт, но тут нужны пароли.
а почту можно через нат пускать.

А прозрачная прокся не судьба? Ну или для аськи отдельную соксовую поднять и на ней резать.

Прокся уже прозрачная, вот только к UDP и т.п. хрени не имеет отношения. Даже если порт 5190 перенаправить на свид это ничего не дает - просто перестает работать аська.
А насчет отдельной соксовой... эээ... а такое бывает? Просто других проксей не знаю.

mungo писал(а):Прокся уже прозрачная, вот только к UDP и т.п. хрени не имеет отношения. Даже если порт 5190 перенаправить на свид это ничего не дает - просто перестает работать аська.

потому, что сквид http only

mungo писал(а): А насчет отдельной соксовой... эээ... а такое бывает? Просто других проксей не знаю.

бывает:)

Ларин, ну хоть немного больше информации. Я понимаю, что вы всё знаете, но я нет. То, что бывает, это понятно. Ну хоть чуточку направьте в нужном направлении...

mungo писал(а):Ларин, ну хоть немного больше информации. Я понимаю, что вы всё знаете, но я нет. То, что бывает, это понятно. Ну хоть чуточку направьте в нужном направлении...

выбираешь socks proxy. ставишь. прописываешь в клиентах и юзаешь.
http://en.wikipedia.org/wiki/SOCKS#SOCKS_software
я, например, не заморачивался с соксами, а пустил аську через nat