alexander.astashov.vl Posted August 29, 2016 · Report post Привет всем. Неделю бьюсь над проблемой, не могу добиться чтоб работало. Тонну примеров перепробовал, не осталось ссылок в гугле, которые не открывал. Помоги кто понимает в настройке wccp2 на cisco 7200 в связке со squid 3 на centos 6. Собственно конфиги: L2 метод 7200: ! ip wccp web-cache redirect-list wccp_redirection ! ! interface GigabitEthernet0/1 description Internet ip address 192.168.33.202 255.255.255.0 ip access-group 101 in media-type rj45 speed auto duplex auto negotiation auto ! interface GigabitEthernet0/2 ip address 192.168.88.89 255.255.255.252 ip wccp web-cache redirect in media-type rj45 speed auto duplex auto negotiation auto ! interface GigabitEthernet0/3 description Link to Cach ip address 192.168.88.1 255.255.255.252 media-type rj45 speed auto duplex auto negotiation auto ! ip classless ip route 0.0.0.0 0.0.0.0 192.168.33.91 ! ! ip access-list standard wccp_redirection deny 192.168.88.2 deny 192.168.88.89 permit 192.168.88.88 0.0.0.3 deny any ip access-list standard wccp_service permit 192.168.88.2 ! Router#sh ip wccp Global WCCP information: Router information: Router Identifier: 192.168.88.1 Protocol Version: 2.0 Service Identifier: web-cache Number of Service Group Clients: 0 Number of Service Group Routers: 0 Total Packets s/w Redirected: 0 Process: 0 CEF: 0 Redirect access-list: wccp_redirection Total Packets Denied Redirect: 0 Total Packets Unassigned: 0 Group access-list: -none- Total Messages Denied to Group: 0 Total Authentication failures: 0 Total Bypassed Packets Received: 0 Router#sh ip wccp web-cache det WCCP Client information: WCCP Client ID: 192.168.88.2 Protocol Version: 2.0 State: NOT Usable Redirection: L2 Packet Return: L2 Packets Redirected: 0 Connect Time: 00:00:28 Assignment: MASK squid: http_port 3128 transparent wccp2_router 192.168.88.89 wccp2_forwarding_method l2 wccp2_return_method l2 wccp2_assignment_method 1 wccp2_service standard 0 Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
sol Posted August 29, 2016 · Report post https://www.opennet.ru/base/cisco/cisco_wccp_squid.txt.html Внимательно читаем п.4 Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
alexander.astashov.vl Posted August 30, 2016 · Report post https://www.opennet.ru/base/cisco/cisco_wccp_squid.txt.html Внимательно читаем п.4 Спасибо, это я читал, но там используется gre, а у меня l2. Попробовал один в один как в том примере, gre поднялся теперь все Usable, но все же что то не работает: Router#sh ip wccp web-cache detail WCCP Client information: WCCP Client ID: 192.168.88.2 Protocol Version: 2.0 State: Usable Redirection: GRE Packet Return: GRE Packets Redirected: 40 Connect Time: 00:01:34 Assignment: MASK Mask SrcAddr DstAddr SrcPort DstPort —— —---— —---— —---— —---— 0000: 0x00000000 0x00001741 0x0000 0x0000 Value SrcAddr DstAddr SrcPort DstPort CE-IP —--- —---— —---— —---— —---— —--- 0000: 0x00000000 0x00000000 0x0000 0x0000 0xC0A85802 (192.168.88.2) 0001: 0x00000000 0x00000001 0x0000 0x0000 0xC0A85802 (192.168.88.2) 0002: 0x00000000 0x00000040 0x0000 0x0000 0xC0A85802 (192.168.88.2) тут куча похожих строк..... 192.168.88.90 - клиент, 192.168.33.90 - тестовый web сервер. дамп на gre0: [root@localhost ~]# tcpdump -i gre0 -t tcpdump: verbose output suppressed, use -v or -vv for full protocol decode listening on gre0, link-type LINUX_SLL (Linux cooked), capture size 65535 bytes IP 192.168.88.90.39236 > 192.168.33.90.http: Flags [s], seq 355576667, win 29200, options [mss 1460,sackOK,TS val 1703523 ecr 0,nop,wscale 7], length 0 IP 192.168.88.90.39238 > 192.168.33.90.http: Flags [s], seq 773845444, win 29200, options [mss 1460,sackOK,TS val 1703586 ecr 0,nop,wscale 7], length 0 IP 192.168.88.90.39236 > 192.168.33.90.http: Flags [s], seq 355576667, win 29200, options [mss 1460,sackOK,TS val 1703773 ecr 0,nop,wscale 7], length 0 IP 192.168.88.90.39238 > 192.168.33.90.http: Flags [s], seq 773845444, win 29200, options [mss 1460,sackOK,TS val 1703836 ecr 0,nop,wscale 7], length 0 IP 192.168.88.90.39236 > 192.168.33.90.http: Flags [s], seq 355576667, win 29200, options [mss 1460,sackOK,TS val 1704274 ecr 0,nop,wscale 7], length 0 IP 192.168.88.90.39238 > 192.168.33.90.http: Flags [s], seq 773845444, win 29200, options [mss 1460,sackOK,TS val 1704337 ecr 0,nop,wscale 7], length 0 IP 192.168.88.90.39236 > 192.168.33.90.http: Flags [s], seq 355576667, win 29200, options [mss 1460,sackOK,TS val 1705276 ecr 0,nop,wscale 7], length 0 IP 192.168.88.90.39240 > 192.168.33.90.http: Flags [s], seq 768953985, win 29200, options [mss 1460,sackOK,TS val 1705285 ecr 0,nop,wscale 7], length 0 IP 192.168.88.90.39238 > 192.168.33.90.http: Flags [s], seq 773845444, win 29200, options [mss 1460,sackOK,TS val 1705340 ecr 0,nop,wscale 7], length 0 IP 192.168.88.90.39240 > 192.168.33.90.http: Flags [s], seq 768953985, win 29200, options [mss 1460,sackOK,TS val 1705535 ecr 0,nop,wscale 7], length 0 IP 192.168.88.90.39240 > 192.168.33.90.http: Flags [s], seq 768953985, win 29200, options [mss 1460,sackOK,TS val 1706036 ecr 0,nop,wscale 7], length 0 IP 192.168.88.90.39242 > 192.168.33.90.http: Flags [s], seq 3114308301, win 29200, options [mss 1460,sackOK,TS val 1706174 ecr 0,nop,wscale 7], length 0 IP 192.168.88.90.39242 > 192.168.33.90.http: Flags [s], seq 3114308301, win 29200, options [mss 1460,sackOK,TS val 1706424 ecr 0,nop,wscale 7], length 0 IP 192.168.88.90.39242 > 192.168.33.90.http: Flags [s], seq 3114308301, win 29200, options [mss 1460,sackOK,TS val 1706925 ecr 0,nop,wscale 7], length 0 IP 192.168.88.90.39240 > 192.168.33.90.http: Flags [s], seq 768953985, win 29200, options [mss 1460,sackOK,TS val 1707038 ecr 0,nop,wscale 7], length 0 То есть запрос вижу только в одну сторону. Может в iptables чтот не то, хотя один в один как в пимере прописывал Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
VolanD666 Posted August 30, 2016 · Report post Вы сайты РКН хотите фильтровать? Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
alexander.astashov.vl Posted August 30, 2016 (edited) · Report post Вы сайты РКН хотите фильтровать? Неа, мне нужно уменьшить растраты на интернет. На 7200 тестово завожу, чтоб разобраться как работает и буде ли вообще. Потом на cat 6500 буду поднимать. Говорят там с этим делом проще, но рисковать и сразу заводить на 6500, нельзя)) Edited August 30, 2016 by alexander.astashov.vl Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
VolanD666 Posted August 30, 2016 · Report post Я к тому, что путем BGP трафик не получится завернуть на squid? Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
sol Posted August 30, 2016 · Report post Спасибо, это я читал, но там используется gre, а у меня l2 У вас может быть всё, что угодно. Но протокол WCCP использует инкапсуляцию GRE. Вне зависимости от вашего желания и вашей возможности это распаковать. То есть запрос вижу только в одну сторону. Может в iptables чтот не то, хотя один в один как в пимере прописывал Так и должно быть. Задача циски - "передать сессию" кешу. Далее работает только сам кеш. Проверяйте маршрутизацию. Сервер с squid должен иметь маршруты к клиентам, в мир (к тестовому серверу) и не выполнять проверку Reverse Path. Иными словами, sysctl net.ipv4.ip_forward = 1 sysctl net.ipv4.conf.all.rp_filter = 0 и sysctl -a | grep rp_filter везде должнем быть 0. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
sol Posted August 30, 2016 · Report post Автор прорезался в личке (3 сообщения в день), копирую сюда. Мало ли кому понадобится. Извините, я недавно создал аккаунт и пока не могу писать более 3-х сообщений в день на форуме, поэтому пишу в личку. Как вы и говорили, "и sysctl -a | grep rp_filter везде должнем быть 0." - не везде были нули. Не удобно вас просить помочь, но не могли бы подсказать что нужно сделать с роутами, а то голова пухнет и нужно закончить завтра вечером? У меня 1 физический интерфейс на сквиде который имеет доступ в локальную сеть и в интернет. С него пинги проходят до всех хостов (web-server, cisco router, local client). В браузе пользователя выдает "Не удается получить доступ к сайту ерор адрес анричбл", в дампе на интерфейсе сквида временам пролетают запросы что то вроде:IP 192.168.33.90 > 192.168.88.90: ICMP net 192.168.33.90 UNREACHABLE, lenght 60 88.2 - сквид сервер 88.90 - клиент 33.90 - веб сервер в студию: route -n ip rule ifconfig ip addr ip route [root@localhost ~]# route -n Kernel IP routing table Destination Gateway Genmask Flags Metric Ref Use Iface 10.7.7.4 0.0.0.0 255.255.255.252 U 0 0 0 gre0 192.168.88.0 0.0.0.0 255.255.255.0 U 0 0 0 eth1 169.254.0.0 0.0.0.0 255.255.0.0 U 1003 0 0 eth1 169.254.0.0 0.0.0.0 255.255.0.0 U 1004 0 0 gre0 [root@localhost ~]# ip rule 0: from all lookup local 1000: from 192.168.88.2 lookup service 32766: from all lookup main 32767: from all lookup default [root@localhost ~]# ifconfig eth1 Link encap:Ethernet HWaddr 08:00:27:86:7B:B4 inet addr:192.168.88.2 Bcast:192.168.88.255 Mask:255.255.255.0 inet6 addr: fe80::a00:27ff:fe86:7bb4/64 Scope:Link UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1 RX packets:288 errors:0 dropped:0 overruns:0 frame:0 TX packets:255 errors:0 dropped:0 overruns:0 carrier:0 collisions:0 txqueuelen:1000 RX bytes:73411 (71.6 KiB) TX bytes:33527 (32.7 KiB) gre0 Link encap:UNSPEC HWaddr 00-00-00-00-FF-FF-80-2D-00-00-00-00-00-00-00-00 inet addr:10.7.7.5 Mask:255.255.255.252 UP RUNNING NOARP MTU:1476 Metric:1 RX packets:51 errors:0 dropped:0 overruns:0 frame:0 TX packets:0 errors:0 dropped:0 overruns:0 carrier:0 collisions:0 txqueuelen:0 RX bytes:3060 (2.9 KiB) TX bytes:0 (0.0 b) lo Link encap:Local Loopback inet addr:127.0.0.1 Mask:255.0.0.0 inet6 addr: ::1/128 Scope:Host UP LOOPBACK RUNNING MTU:65536 Metric:1 RX packets:0 errors:0 dropped:0 overruns:0 frame:0 TX packets:0 errors:0 dropped:0 overruns:0 carrier:0 collisions:0 txqueuelen:0 RX bytes:0 (0.0 b) TX bytes:0 (0.0 b) [root@localhost ~]# ip addr 1: lo: <LOOPBACK,UP,LOWER_UP> mtu 65536 qdisc noqueue state UNKNOWN link/loopback 00:00:00:00:00:00 brd 00:00:00:00:00:00 inet 127.0.0.1/8 scope host lo inet6 ::1/128 scope host valid_lft forever preferred_lft forever 2: eth0: <BROADCAST,MULTICAST> mtu 1500 qdisc noop state DOWN qlen 1000 link/ether 08:00:27:64:62:38 brd ff:ff:ff:ff:ff:ff 3: eth1: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc pfifo_fast state UP qlen 1000 link/ether 08:00:27:86:7b:b4 brd ff:ff:ff:ff:ff:ff inet 192.168.88.2/24 brd 192.168.88.255 scope global eth1 inet6 fe80::a00:27ff:fe86:7bb4/64 scope link valid_lft forever preferred_lft forever 4: gre0: <NOARP,UP,LOWER_UP> mtu 1476 qdisc noqueue state UNKNOWN link/gre 0.0.0.0 brd 0.0.0.0 inet 10.7.7.5/30 brd 10.7.7.7 scope global gre0 5: gretap0: <BROADCAST,MULTICAST> mtu 1476 qdisc noop state DOWN qlen 1000 link/ether 00:00:00:00:00:00 brd ff:ff:ff:ff:ff:ff [root@localhost ~]# ip route 10.7.7.4/30 dev gre0 proto kernel scope link src 10.7.7.5 192.168.88.0/24 dev eth1 proto kernel scope link src 192.168.88.2 169.254.0.0/16 dev eth1 scope link metric 1003 169.254.0.0/16 dev gre0 scope link metric 1004 1. echo NOZEROCONF=yes >> /etc/sysconfig/network и потом ребутнуться. Это задушит link local адреса вида 169.254.0.0 2. Пакеты от 192.168.88.2 попадают в таблицу service а. Зачем? б. ip route list table service 3. Предлагаю избавится от этой доп. таблицы и всё сделать в глобальной маршрутизации, не трогая PBR. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
alexander.astashov.vl Posted August 31, 2016 · Report post 3. Предлагаю избавится от этой доп. таблицы и всё сделать в глобальной маршрутизации, не трогая PBR [root@localhost ~]# ip route list table service default via 192.168.88.1 dev eth1 proto static Убрал все: [root@localhost ~]# ip rule 0: from all lookup local 32766: from all lookup main 32767: from all lookup default [root@localhost ~]# route -n Kernel IP routing table Destination Gateway Genmask Flags Metric Ref Use Iface 10.7.7.4 0.0.0.0 255.255.255.252 U 0 0 0 gre0 192.168.88.0 0.0.0.0 255.255.255.0 U 0 0 0 eth1 Ссылка на скрин: https://drive.google.com/file/d/0B5Gxib2YKv4xREV2Q3A1R29PVHc/view?usp=sharing Если прописывать маршрут по умолчанию: [root@localhost ~]# ip route add default via 192.168.88.1 [root@localhost ~]# route -n Kernel IP routing table Destination Gateway Genmask Flags Metric Ref Use Iface 10.7.7.4 0.0.0.0 255.255.255.252 U 0 0 0 gre0 192.168.88.0 0.0.0.0 255.255.255.0 U 0 0 0 eth1 0.0.0.0 192.168.88.1 0.0.0.0 UG 0 0 0 eth1 Ссылка на крин: https://drive.google.com/file/d/0B5Gxib2YKv4xd2I3T01oNTljVlk/view?usp=sharing Еще пробовал вот так: [root@localhost ~]# ip route add 192.168.88.2 via 192.168.88.1 dev eth1 [root@localhost ~]# ip route 192.168.88.2 via 192.168.88.1 dev eth1 10.7.7.4/30 dev gre0 proto kernel scope link src 10.7.7.5 192.168.88.0/24 dev eth1 proto kernel scope link src 192.168.88.2 [root@localhost ~]# [root@localhost ~]# route -n Kernel IP routing table Destination Gateway Genmask Flags Metric Ref Use Iface 192.168.88.2 192.168.88.1 255.255.255.255 UGH 0 0 0 eth1 10.7.7.4 0.0.0.0 255.255.255.252 U 0 0 0 gre0 192.168.88.0 0.0.0.0 255.255.255.0 U 0 0 0 eth1 Ссылка на скрин: https://drive.google.com/file/d/0B5Gxib2YKv4xN0lDNnVXN0xGNTg/view?usp=sharing Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
sol Posted August 31, 2016 · Report post В первом случае клиент шлёт syn вебсерверу. Сервер отвечает, что сеть недостижима. СЕРВЕР отвечает. route -n с вебсервера в студию. По второму случаю не ясно, где снят дамп. По третьему не понятно, кто такой 149.154.167.51 Вообще, рисуйте топологию. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
alexander.astashov.vl Posted September 1, 2016 (edited) · Report post Решил поменять кое что и заново скидываю все настройки. Мне кажется что решение тривиальное, но я уже начал "в шары долбиться". Спасибо что помогаете))): Топология: Конфиги 7200: ip wccp web-cache redirect-list wccp_redirection ! ! interface GigabitEthernet0/1 description Internet ip address 192.168.33.202 255.255.255.0 ip access-group 101 in media-type rj45 speed auto duplex auto negotiation auto ! interface GigabitEthernet0/2 description User ip address 192.168.88.1 255.255.255.0 ip access-group 10 in ip wccp web-cache redirect in media-type rj45 speed auto duplex auto negotiation auto ! interface GigabitEthernet0/3 description Link to Cach no ip address media-type rj45 speed auto duplex auto negotiation auto ! interface GigabitEthernet0/3.3 encapsulation dot1Q 3 native ip address 192.168.55.1 255.255.255.0 no ip redirects no ip unreachables no ip mroute-cache no cdp enable ! ip classless ip route 0.0.0.0 0.0.0.0 192.168.33.90 ! ! no ip http server no ip http secure-server ! ip access-list standard wccp_redirection permit any permit 192.168.88.0 0.0.0.255 ! access-list 10 permit any access-list 10 permit 192.168.88.0 0.0.0.255 Конфиги Squid: [root@localhost ~]# cat /etc/squid/squid.conf acl manager proto cache_object acl localhost src 127.0.0.1/32 ::1 acl localnet src 192.168.88.0/24 acl to_localhost dst 127.0.0.0/8 0.0.0.0/32 ::1 acl SSL_ports port 443 acl Safe_ports port 80 # http acl Safe_ports port 21 # ftp acl Safe_ports port 443 # https acl Safe_ports port 70 # gopher acl Safe_ports port 210 # wais acl Safe_ports port 1025-65535 # unregistered ports acl Safe_ports port 280 # http-mgmt acl Safe_ports port 488 # gss-http acl Safe_ports port 591 # filemaker acl Safe_ports port 777 # multiling http acl CONNECT method CONNECT http_access allow manager localhost http_access deny manager http_access deny !Safe_ports http_access deny CONNECT !SSL_ports http_access allow localnet http_access allow localhost http_access deny all http_port 3128 coredump_dir /var/spool/squid refresh_pattern ^ftp: 1440 20% 10080 refresh_pattern ^gopher: 1440 0% 1440 refresh_pattern -i (/cgi-bin/|\?) 0 0% 0 refresh_pattern . 0 20% 4320 visible_hostname squid.mx.kg wccp2_router 192.168.55.1 wccp2_forwarding_method gre wccp2_return_method gre wccp2_service standard 0 http_port 3128 transparent hierarchy_stoplist cgi-bin ? Squid сервер: Сейчас удалил роуты, чтобы не мешались [root@localhost ~]# ip route 10.7.7.4/30 dev gre0 proto kernel scope link src 10.7.7.5 192.168.55.0/24 dev eth1 proto kernel scope link src 192.168.55.2 default via 192.168.55.1 dev eth1 [root@localhost ~]# route -n Kernel IP routing table Destination Gateway Genmask Flags Metric Ref Use Iface 10.7.7.4 0.0.0.0 255.255.255.252 U 0 0 0 gre0 192.168.55.0 0.0.0.0 255.255.255.0 U 0 0 0 eth1 0.0.0.0 192.168.55.1 0.0.0.0 UG 0 0 0 eth1 [root@localhost ~]# ip route 10.7.7.4/30 dev gre0 proto kernel scope link src 10.7.7.5 192.168.55.0/24 dev eth1 proto kernel scope link src 192.168.55.2 default via 192.168.55.1 dev eth1 [root@localhost ~]# ifconfig eth1 Link encap:Ethernet HWaddr 08:00:27:86:7B:B4 inet addr:192.168.55.2 Bcast:192.168.55.255 Mask:255.255.255.0 inet6 addr: fe80::a00:27ff:fe86:7bb4/64 Scope:Link UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1 RX packets:297 errors:0 dropped:0 overruns:0 frame:0 TX packets:402 errors:0 dropped:0 overruns:0 carrier:0 collisions:0 txqueuelen:1000 RX bytes:33889 (33.0 KiB) TX bytes:44277 (43.2 KiB) gre0 Link encap:UNSPEC HWaddr 00-00-00-00-FF-FF-80-ED-00-00-00-00-00-00-00-00 inet addr:10.7.7.5 Mask:255.255.255.252 UP RUNNING NOARP MTU:1476 Metric:1 RX packets:0 errors:0 dropped:0 overruns:0 frame:0 TX packets:0 errors:0 dropped:0 overruns:0 carrier:0 collisions:0 txqueuelen:0 RX bytes:0 (0.0 b) TX bytes:0 (0.0 b) lo Link encap:Local Loopback inet addr:127.0.0.1 Mask:255.0.0.0 inet6 addr: ::1/128 Scope:Host UP LOOPBACK RUNNING MTU:65536 Metric:1 RX packets:0 errors:0 dropped:0 overruns:0 frame:0 TX packets:0 errors:0 dropped:0 overruns:0 carrier:0 collisions:0 txqueuelen:0 RX bytes:0 (0.0 b) TX bytes:0 (0.0 b) [root@localhost ~]# ip addr 1: lo: <LOOPBACK,UP,LOWER_UP> mtu 65536 qdisc noqueue state UNKNOWN link/loopback 00:00:00:00:00:00 brd 00:00:00:00:00:00 inet 127.0.0.1/8 scope host lo inet6 ::1/128 scope host valid_lft forever preferred_lft forever 2: eth0: <BROADCAST,MULTICAST> mtu 1500 qdisc noop state DOWN qlen 1000 link/ether 08:00:27:64:62:38 brd ff:ff:ff:ff:ff:ff 3: eth1: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc pfifo_fast state UP qlen 1000 link/ether 08:00:27:86:7b:b4 brd ff:ff:ff:ff:ff:ff inet 192.168.55.2/24 brd 192.168.55.255 scope global eth1 inet6 fe80::a00:27ff:fe86:7bb4/64 scope link valid_lft forever preferred_lft forever 4: gre0: <NOARP,UP,LOWER_UP> mtu 1476 qdisc noqueue state UNKNOWN link/gre 0.0.0.0 brd 0.0.0.0 inet 10.7.7.5/30 brd 10.7.7.7 scope global gre0 5: gretap0: <BROADCAST,MULTICAST> mtu 1476 qdisc noop state DOWN qlen 1000 link/ether 00:00:00:00:00:00 brd ff:ff:ff:ff:ff:ff [root@localhost ~]# ip rule 0: from all lookup local 32766: from all lookup main 32767: from all lookup default [root@localhost ~]# cat /etc/sysconfig/iptables # Generated by iptables-save v1.4.7 on Tue Aug 30 08:08:37 2016 *mangle :PREROUTING ACCEPT [1558:151364] :INPUT ACCEPT [1458:145364] :FORWARD ACCEPT [54:3240] :OUTPUT ACCEPT [590:90944] :POSTROUTING ACCEPT [644:94184] COMMIT # Completed on Tue Aug 30 08:08:37 2016 # Generated by iptables-save v1.4.7 on Tue Aug 30 08:08:37 2016 *filter :INPUT ACCEPT [0:0] :FORWARD ACCEPT [0:0] :OUTPUT ACCEPT [0:0] -A INPUT -m state —state RELATED,ESTABLISHED -j ACCEPT -A INPUT -p icmp -j ACCEPT -A INPUT -i eth1 -j ACCEPT -A INPUT -p tcp -m state —state NEW -m tcp —dport 22 -j ACCEPT -A INPUT -j REJECT —reject-with icmp-host-prohibited -A INPUT -i lo -j ACCEPT -A INPUT -i gre0 -j ACCEPT -A INPUT -s 192.168.55.1 -i eth1 -p gre -j ACCEPT -A INPUT -s 192.168.55.1 -i eth1 -p udp -m udp —dport 2048 -j ACCEPT -A FORWARD -m state —state RELATED,ESTABLISHED -j ACCEPT -A FORWARD -p icmp -j ACCEPT -A FORWARD -i lo -j ACCEPT -A FORWARD -i eth1 -j ACCEPT -A FORWARD -o eth1 -j ACCEPT -A FORWARD -j REJECT —reject-with icmp-host-prohibited -A OUTPUT -j ACCEPT -A OUTPUT -j ACCEPT COMMIT # Completed on Tue Aug 30 08:08:37 2016 # Generated by iptables-save v1.4.7 on Tue Aug 30 08:08:37 2016 *nat :PREROUTING ACCEPT [577:62530] :POSTROUTING ACCEPT [12:744] :OUTPUT ACCEPT [3:316] -A PREROUTING -i gre0 -p tcp -m tcp —dport 80 -j DNAT —to-destination 192.168.55.2:3128 -A POSTROUTING -o eth1 -j MASQUERADE COMMIT # Completed on Tue Aug 30 08:08:37 2016 Web server: aastashov@TO-aastashov:~$route -n Таблица маршутизации ядра протокола IP Destination Gateway Genmask Flags Metric Ref Use Iface 0.0.0.0 192.168.33.202 0.0.0.0 UG 0 0 0 eth0 192.168.33.0 0.0.0.0 255.255.255.0 U 1 0 0 eth0 aastashov@TO-aastashov:~$ ip route default via 192.168.33.202 dev eth0 proto static 192.168.33.0/24 dev eth0 proto kernel scope link src 192.168.33.90 metric 1 aastashov@TO-aastashov:~$ ifconfig eth0 Link encap:Ethernet HWaddr 74:ea:3a:81:67:c7 inet addr:192.168.33.90 Bcast:192.168.33.255 Mask:255.255.255.0 inet6 addr: fe80::76ea:3aff:fe81:67c7/64 Scope:Link UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1 RX packets:1751 errors:0 dropped:60 overruns:0 frame:0 TX packets:338 errors:1 dropped:0 overruns:0 carrier:0 collisions:0 txqueuelen:1000 RX bytes:146472 (146.4 KB) TX bytes:46082 (46.0 KB) lo Link encap:Локальная петля (Loopback) inet addr:127.0.0.1 Mask:255.0.0.0 inet6 addr: ::1/128 Scope:Host UP LOOPBACK RUNNING MTU:65536 Metric:1 RX packets:1835 errors:0 dropped:0 overruns:0 frame:0 TX packets:1835 errors:0 dropped:0 overruns:0 carrier:0 collisions:0 txqueuelen:1 RX bytes:248800 (248.8 KB) TX bytes:248800 (248.8 KB) aastashov@TO-aastashov:~$ ip addr 1: lo: <LOOPBACK,UP,LOWER_UP> mtu 65536 qdisc noqueue state UNKNOWN group default qlen 1 link/loopback 00:00:00:00:00:00 brd 00:00:00:00:00:00 inet 127.0.0.1/8 scope host lo valid_lft forever preferred_lft forever inet6 ::1/128 scope host valid_lft forever preferred_lft forever 2: eth0: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc pfifo_fast state UP group default qlen 1000 link/ether 74:ea:3a:81:67:c7 brd ff:ff:ff:ff:ff:ff inet 192.168.33.90/24 brd 192.168.33.255 scope global eth0 valid_lft forever preferred_lft forever inet6 fe80::76ea:3aff:fe81:67c7/64 scope link valid_lft forever preferred_lft forever aastashov@TO-aastashov:~$ ip rule 0: from all lookup local 32766: from all lookup main 32767: from all lookup default Edited September 1, 2016 by alexander.astashov.vl Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...