Linux Advanced Routing & Traffic Control HOWTO
вернуться

Larroy Pedro
Шрифт:

silom# ipchains –N allow1

silom# ipchains –A allow1 –p TCP –s 10.0.0.0/19 –d 0/0 80 –j REDIRECT 3128

silom# ipchains –I input –j allow1

iptables:

silom# iptables –t nat –A PREROUTING –i eth0 –p tcp –dport 80 –j REDIRECT –to-port 3128

За информацией по настройке сервера squid, обращайтесь на http://squid.nlanr.net/.

Убедитесь, что на этом сервере разрешен форвардинг, и заданный по умолчанию шлюз для него — donmuang (НЕ naret !).

Naret — настройка iptables и iproute2; запрет ICMP-сообщений о перенаправлении (если необходимо)

1. Пометить пакеты, с портом назначения 80, числовой меткой 2.

naret# iptables –A PREROUTING –i eth0 –t mangle –p tcp –dport 80 \

 –j MARK –set-mark 2

2. Настроить маршрутизацию так, чтобы помеченные пакеты отправлялись на silom.

naret# echo 202 www.out >> /etc/iproute2/rt_tables

naret# ip rule add fwmark 2 table www.out

naret# ip route add default via 10.0.0.2 dev eth0 table www.out

naret# ip route flush cache

Если donmuang и naret находятся в одной подсети, то naret не должен выдавать ICMP-сообщения о перенаправлении. Запрет можно наложить так:

naret# echo 0 > /proc/sys/net/ipv4/conf/all/send_redirects

naret# echo 0 > /proc/sys/net/ipv4/conf/default/send_redirects

naret# echo 0 > /proc/sys/net/ipv4/conf/eth0/send_redirects

На этом настройку можно считать завершенной. Проверим конфигурацию

Для naret:

naret# iptables -t mangle -L

Chain PREROUTING (policy ACCEPT)

target prot opt source destination

MARK tcp -- anywhere anywhere tcp dpt:www MARK set 0x2

Chain OUTPUT (policy ACCEPT)

target prot opt source destination

naret# ip rule ls

0: from all lookup local

32765: from all fwmark 2 lookup www.out

32766: from all lookup main

32767: from all lookup default

naret# ip route list table www.out

default via 203.114.224.8 dev eth0

naret# ip route

10.0.0.1 dev eth0 scope link

10.0.0.0/24 dev eth0 proto kernel scope link src 10.0.0.1

127.0.0.0/8 dev lo scope link

default via 10.0.0.3 dev eth0

|-------|

|-КОНЕЦ-|

|-------|

15.5.1. Схема движения пакетов после настройки.

|-----------------------------------------|

| Схема движения пакетов |

|-----------------------------------------|

ИНТЕРНЕТ

/\

||

\/

– --------------------donmuang------------------------

/\ /\ ||

|| || ||

|| \/ ||

naret silom ||

*destination port 80 ================>(cache) ||

/\ || ||

|| \/ \/

\\===================================kaosarn, RAS, и пр.

Обратите внимание, в данном случае сеть получилась асимметричной, т.е. добавился один лишний переход для исходящих пакетов.