Выход в Интернет в обход прокси-сервера для одного компьютера

Изображение пользователя wecheslaw.

Возникла у меня сегодня проблема. Приехали специалисты настраивать систему электронного документа оборота с казначейством. Система КонтинентАП. Эта система как я понял не умеет ходить в Интернет через Прокси. Для проверки функционирования я перекинул кабель от бухгалтерского компа сразу на модем. Все работает. Проблема заключается в том что ip адреса для работы напрямую с модемом и для работы в локальной сети из разных диапазонов (подсетей). Поэтому у бухгалтеров либо работает это КонтинентАП либо 1С так как ключик у нас один и он на сервере поскольку с 1С работают многие.
Отказываться от прокси не хочу. Все таки и скорость чуть выше и фильтровать бяки легко.
Вот думаю как настроить iptables так чтоб только один компьютер ходил через него, а все остальные через прокси. Если кто то дружит с iptables подскажите как его настроить. Или может есть еще какое то решение?
Я как то пытался разобраться с iptables, но особых успехов не достиг. Пойду пока перечитаю имеющуюся документацию.

Изображение пользователя wecheslaw.

Наверное заработало

Сейчас через web-интерфейс ШС произвел такие настройки. Режим работы брандмауэра поставил как шлюз и открыл дополнительные UDP порта 7500 и 4433 о которых узнал из Интернета. Разрешены следующие входящие подключения
Центр управления системой
Передача файлов
Служебные пакеты
Почтовый сервер
Почтовый сервер
Прокси-сервер
Файловый сервер
Почтовый сервер
Управление сетью
Удалённый доступ
Удалённый доступ
Web-сервер
В общем почти все. В понедельник с бухгалтерами будем пытаться что нибудь предать через эту систему. Судя по тому что пишут в Интернете установка соединения еще не гарантирует передачу данных.
Вообще я не доверяю web-интерфейс ШС. Я за эти дни несколько раз менял настройки брандмауэра то шлюз то роутер. Разрешал все внешние подключения, но без прокси ни чего не работало даже http. А после добавления этих портов вдруг все заработало. И КонтинентАП и по сайтам можно ходить не используя прокси сервер.
Оставлю так если все будет работать. Если детишки научаться отключать прокси в настройках браузеров буду пытаться закрыть http. Вообще надо бы все таки разобраться с тонкой настройкой iptables, но времени как обычно нет.

Изображение пользователя SeBa.

Зачем закрывать всё?

Вообще говоря ученики у Вас пользуются наверняка только браузерами (порты 80 и 8080)... Я думаю squid уже настроен... так вот проверяем чтоб он работал только с этими портами...

и в автозагрузку сервера команду:
iptables -t nat -A PREROUTING -i eth0 -d ! 192.168.0.0/24 -p tcp -m multiport --dport 80,8080 -j DNAT --to 192.168.0.1:3128

т.е. заворачиваем 80 и 8080 порты на порт squid ... и всё... любой другой трафик будет идти мимо (кстати эта же команда позволит не бегать по компам-клиентам и настраивать прокси)

Успехов в освоении!

Изображение пользователя wecheslaw.

так и сделаю

Спасибо за подсказку.
Кстати так как у меня настроено сейчас все работает.

Изображение пользователя SeBa.

насчет разрешений для портов

точно не помню как там в ШС (давно ставил)... у меня стоит дебиан в качестве шлюза... так там достаточно для пропуска трафика поставить два пакетика - ipmasq и dnsmasq ... и всё трафик идет с внутреннего на внешний интерфейс... а дальше делал как уже писал, т.е. на прокси заворачивал только 80 и 8080 порты... прокси делал прозрачным... ну и пара правил всего (одно указывает на файлик со списком разрешенных сайтов, второе задает запрещенные для закачки)... да забыл упомянуть, что сделал два пула адресов - один пул раздается dhcp-сервером (т.е. все правила применяются по-умолчанию к нему), второй пул записан только в squid.conf (для него все разрешено, хотя тут еще помороковать надо) и адреса назначаются вручную учительским компам (лениво было по мак-адресам добавлять в dhcp :) )

Изображение пользователя Школяр.

Вот и нашелся человек

который показал нам эту строчку :) Спасибо :)

Изображение пользователя SeBa.

но iptables изучить всё же стоит!

там столько можно полезного сделать... у мня например через wifi-точку трафик на сервер попадает через внешний интерфейс (потому как точка в модеме)... вообще интересная прога... а по-умолчанию много каких правил наделано (по изучению некоторые можно и удалить)

Изображение пользователя wecheslaw.

На самом деле изучить нужно много чего

Я по специальности учитель физики и математики. Информатику веду и обслуживаю компьютеры потому что мне это интересно, больше некому, и т.п. Поскольку я в этих делах самоучка, то вот и учусь заочно в политехе по специальности информационные системы и сети. Сейчас как раз начинается специализация и подробно изучить работу сетей буду, но чуть позже. В этом семестре пока другие вещи сдавать будем.

Изображение пользователя SeBa.

А я тоже математик :)

Правда уже давно математикой не занимаюсь в школе... веду информатику... и мне тоже это нравиться, а на досуге колупаю пару серверов - для тренировки, так сказать :) ... хотел тоже поучиться где-нибудь заочно, но у нас рядом ничего толкового нет, а далеко не хочется :)

Изображение пользователя Школяр.

На самом деле

в iptables стоит разобраться. Поскольку надо просто закрыть все для всех, кроме прокси, и только потом открывать что-то для кого-то... тогда и ребятишки ничего сделать не смогут. Кроме этого есть еще и режим прозрачного проксирования, когда вообще невозможно понять, что трафик идет через прокси.

Изображение пользователя Школяр.

wecheslaw, а можно более конкретно

Если еще не разобрались, то можно сформулировать задачу более конкретно с ай-пи и необходимыми портами, или же схемку нарисовать, что требуется?
В принципе, то, что сказал den2007 можно использовать, можно и ручками поправить конфиги, а скорее всего легче будет открыть прямой выход через интерфейс к брандмауэру в школьном сервере (если он у вас стоит на проксировании). Но надо понимать, что именно делать :))

Изображение пользователя den2007.

Проблема, часто возникающая

Проблема, часто возникающая с таким ПО.
Для решения нужно знать какие порты она использует для связи.
Мне почту надо было пробросить в обход Squid, мне помог 3proxy,
это тоже прокси-сервер, но я использую только функцию портмаппинга UDP/TCP.
Очень легко настраивается и лог ведет по портмаппингу.
http://www.3proxy.ru

Проблемы с бухгалтерией пока нет, так как они в отдельном здании за несколько километров (одна бухгалтерия на несколько школ), и у них 3G модем стоит для доступа в Интернет, на данный момент это единственное доступное соединение.

Я пробовал ставить Школьный сервер 5, там уже в интерфейсе есть перенаправление пакетов. Но мне ближе свой сервер, где каждый уголок знаком.