URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID12
Нить номер: 4955
[ Назад ]

Исходное сообщение
"реально ли?"

Отправлено Lex , 20-Июн-07 02:34 
Реально ли фаерволом (iptables) перенаправлять запросы по абсолютно всем портам из подсети типа 10.1.1.0 на прокси(Squid), а не только 80 и 8080?
Если да, то как?
Заранее спасибо.

Содержание

Сообщения в этом обсуждении
"реально ли?"
Отправлено Vaso Petrovich , 20-Июн-07 08:03 
>Реально ли фаерволом (iptables) перенаправлять запросы по абсолютно всем портам из подсети
>типа 10.1.1.0 на прокси(Squid), а не только 80 и 8080?
угу, только зачем? только ведь работать не будет...(кто будет на на 80 порт вещать веб)
>Если да, то как?

так же как и на 80 только порт не указывать


"реально ли?"
Отправлено Lex , 20-Июн-07 11:33 
>>Реально ли фаерволом (iptables) перенаправлять запросы по абсолютно всем портам из подсети
>>типа 10.1.1.0 на прокси(Squid), а не только 80 и 8080?
>угу, только зачем? только ведь работать не будет...(кто будет на на 80
>порт вещать веб)
>>Если да, то как?
>
>так же как и на 80 только порт не указывать

вообщем я хочу перенаправить на прокси порты 1025-65535 и проксёй их контролировать.
80-ый перенаправляю так:
$IPTABLES -t nat -A PREROUTING -i eth1 -p tcp --dport 80 -j REDIRECT --to-port 3128

пробовал вот так:
$IPTABLES -t nat -A PREROUTING -i eth1 -p tcp --destination-port 1024: -j REDIRECT --to-port 3128
не работает


"реально ли?"
Отправлено Romik , 20-Июн-07 11:42 
... -m multiport ...


"реально ли?"
Отправлено Lex , 20-Июн-07 11:59 
>... -m multiport ...
пробовал и так:
$IPTABLES -t nat -A PREROUTING -i eth1 -p tcp -m multiport --destination-port 1024:65535 -j REDIRECT --to-port 3128
но ругается:
iptables v1.2.11: invalid port/service `1024:65535' specified

"реально ли?"
Отправлено BigHarry , 22-Июн-07 14:15 
>Реально ли фаерволом (iptables) перенаправлять запросы по абсолютно всем портам из
>подсети типа 10.1.1.0 на прокси(Squid), а не только 80 и 8080?

Перенаправить-то скорей всего можно, но вот только сквид в режиме прозрачного прокси работает только с http.



"реально ли?"
Отправлено Lex , 24-Июн-07 13:37 
>>Реально ли фаерволом (iptables) перенаправлять запросы по абсолютно всем портам из
>>подсети типа 10.1.1.0 на прокси(Squid), а не только 80 и 8080?
>
>Перенаправить-то скорей всего можно, но вот только сквид в режиме прозрачного прокси
>работает только с http.
так а как всё таки перенаправить?

"реально ли?"
Отправлено chocholl , 25-Июн-07 09:43 
>>>Реально ли фаерволом (iptables) перенаправлять запросы по абсолютно всем портам из
>>>подсети типа 10.1.1.0 на прокси(Squid), а не только 80 и 8080?
>>
>>Перенаправить-то скорей всего можно, но вот только сквид в режиме прозрачного прокси
>>работает только с http.
>так а как всё таки перенаправить?

да не будет сквид работать с другими протоколами.
ты в логах получишь только что-то наподобие bad request.
а для того чтобы перенаправлять просто не используй спецификацию порта назначения, в этом случае правило будет срабатывать для всех портов.


"реально ли?"
Отправлено Lex , 25-Июн-07 12:28 
>>>>Реально ли фаерволом (iptables) перенаправлять запросы по абсолютно всем портам из
>>>>подсети типа 10.1.1.0 на прокси(Squid), а не только 80 и 8080?
>>>
>>>Перенаправить-то скорей всего можно, но вот только сквид в режиме прозрачного прокси
>>>работает только с http.
>>так а как всё таки перенаправить?
>
>да не будет сквид работать с другими протоколами.
>ты в логах получишь только что-то наподобие bad request.
>а для того чтобы перенаправлять просто не используй спецификацию порта назначения, в
>этом случае правило будет срабатывать для всех портов.

пробовал по такой цепочке:
$IPTABLES -t nat -A PREROUTING -i eth1 -p tcp -j REDIRECT --to-port 3128
не работало...
заработало вот так:
$IPTABLES -t nat -A PREROUTING -i eth1 -p tcp --destination-port 1:65535 -j REDIRECT --to-port 3128

это нормально?


"реально ли?"
Отправлено Lex , 25-Июн-07 12:49 
>>>>>Реально ли фаерволом (iptables) перенаправлять запросы по абсолютно всем портам из
>>>>>подсети типа 10.1.1.0 на прокси(Squid), а не только 80 и 8080?
>>>>
>>>>Перенаправить-то скорей всего можно, но вот только сквид в режиме прозрачного прокси
>>>>работает только с http.
>>>так а как всё таки перенаправить?
>>
>>да не будет сквид работать с другими протоколами.
>>ты в логах получишь только что-то наподобие bad request.
>>а для того чтобы перенаправлять просто не используй спецификацию порта назначения, в
>>этом случае правило будет срабатывать для всех портов.
>
>пробовал по такой цепочке:
>$IPTABLES -t nat -A PREROUTING -i eth1 -p tcp -j REDIRECT --to-port
>3128
>не работало...
>заработало вот так:
>$IPTABLES -t nat -A PREROUTING -i eth1 -p tcp --destination-port 1:65535 -j
>REDIRECT --to-port 3128
>
>это нормально?
не нормально:) не работает почта и т.д.

"реально ли?"
Отправлено chocholl , 25-Июн-07 15:02 
>>это нормально?
>не нормально:) не работает почта и т.д.

да тебе ж все это твердят.
на ip уровне ты на сквид пакеты заворачиваешь, но сквид понятия не имеет что такое сессия pop или smtp, и вообще он не знает ничего кроме протокола http.

и не будет работать, потому что squid это __HTTP__ proxy server.


"реально ли?"
Отправлено Lex , 25-Июн-07 16:19 
>>>это нормально?
>>не нормально:) не работает почта и т.д.
>
>да тебе ж все это твердят.
>на ip уровне ты на сквид пакеты заворачиваешь, но сквид понятия не
>имеет что такое сессия pop или smtp, и вообще он не
>знает ничего кроме протокола http.
>
>и не будет работать, потому что squid это __HTTP__ proxy server.

уже ощутил в реальных условиях.
не ругайтесь :)
вопрос закрыт :)