Re: [Comm] Iptables и https

[Nizamov Shavkat]

> Alexey Morsov пишет:
>
>>
>> Slava Dubrovskiy wrote:
>>
>>>> ну а в PREROUTING то 443 добавлен?
>>>>
>>> Если я хочу его завернуть на сквид, то вот так:
>>> $IPTABLES -t nat -A PREROUTING -s $LAN_IP_RANGE -p tcp --dport 443 -j
>>> REDIRECT --to-port 3128
>>> Но для начала я хочу без сквида заставить его работать.
>>
>> А ты его открыл в FORWARD чтобы оно работало? И зачем кстати OUTPUT в
>> DROP?
>>
>> Попробуй на нашем https://www.ricom.ru
>
> Вот открыл вот так
>  $IPTABLES -A FORWARD -p tcp --dport 443 -s $LAN_IP_RANGE -j ACCEPT
>  $IPTABLES -A FORWARD -p tcp --sport 443 -s $LAN_IP_RANGE -j ACCEPT
> и вроде заработало. :-)
>
> Ошибка была в том, что я открывал или --sport или --dport. Объясните это
> правильно указывать их оба?

правильно открывать dport - это порт назначения. sport - исходящий порт на
клиенте, он обычно произвольно выбирается самим клиентским ПО.

и кстати не надо заворачивать 443 порт на сквид.