[Comm] iptables

[Дворников Михаил]

Низамов Шавкат wrote:

>/sbin/iptables -t nat -F
>
>/sbin/iptables -t nat -A PREROUTING -s 192.168.0.0/24 -p tcp --dport 80 -u 
>REDIRECT --to-port 3128
>
>/sbin/iptables -t nat -A PREROUTING -s 192.168.0.0/24 -p tcp --dport 8080 -u 
>REDIRECT --to-port 3128
>
>/sbin/iptables -t nat -A PREROUTING -s 192.168.0.0/24 -p tcp --dport 8081 -u 
>REDIRECT --to-port 3128
>
>/sbin/iptables -t nat -A PREROUTING -s 192.168.0.0/24 -p tcp --dport 1080 -u 
>REDIRECT --to-port 3128
>
>/sbin/iptables -t nat -A PREROUTING -s 192.168.0.0/24 -p tcp --dport 3128 -u 
>REDIRECT --to-port 3128
>
>
>соответственно поднимается сквид как transparent proxy 
>
>/etc/squid/squid.conf
>
>httpd_accel_port 80
>httpd_accel_with_proxy on
>httpd_accel_uses_host_header on
>httpd_accel_host_virtual
>
>
>
>
>чтобы ходило через сквид провайдера 
>
>cache_peer ***.***.***.*** parent 3128 0 default no-query no-digest
>// описываем прокси провайдера
>
>
>acl localsite dst 127.0.0.1/32  .....
>acl localurl dstdomain localhost  .....
>always_direct allow localsite
>always_direct allow localurl 
>
>// описываем свои местные сайты, за которым наш прокси не полезет к прокси 
>// провайдера, а пойдет напрямую
>
>acl allsites src 0.0.0.0/0.0.0.0
>
>never_direct deny localsite
>never_direct deny localurl
>
>never_direct allow allsites !localsite
>
>// в принудительном порядке все идет через сквид провайдера
>  
>
Большое спасибо за помощь !!! Все заработало.
Только заменил ... -u  на ... -j, адреса на 10.15.1.0/24. Внутри моей 
сети веб-сервера пока не предвидится.
Есть еще одна хитрая ситуация: между моим proxy  и proxy провайдера, 
находится  веб-сервер,
на который можно заходить намного быстрее, не подключаясь к прокси 
провайдера.
acl  wwwprov dstdomain    .xxx.ru
always_direct allow wwwprov
Это правильно ?