URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID12
Нить номер: 4955
[ Назад ]

Исходное сообщение
"реально ли?"
Отправлено Lex , 20-Июн-07 02:34

Реально ли фаерволом (iptables) перенаправлять запросы по абсолютно всем портам из подсети типа 10.1.1.0 на прокси(Squid), а не только 80 и 8080?
Если да, то как?
Заранее спасибо.

Содержание

реально ли?,Vaso Petrovich, 08:03 , 20-Июн-07
- реально ли?,Lex, 11:33 , 20-Июн-07
  - реально ли?,Romik, 11:42 , 20-Июн-07
    - реально ли?,Lex, 11:59 , 20-Июн-07
реально ли?,BigHarry, 14:15 , 22-Июн-07
- реально ли?,Lex, 13:37 , 24-Июн-07
  - реально ли?,chocholl, 09:43 , 25-Июн-07
    - реально ли?,Lex, 12:28 , 25-Июн-07
      - реально ли?,Lex, 12:49 , 25-Июн-07
        
        реально ли?,chocholl, 15:02 , 25-Июн-07
        
        реально ли?,Lex, 16:19 , 25-Июн-07

Сообщения в этом обсуждении

"реально ли?"
Отправлено Vaso Petrovich , 20-Июн-07 08:03

>Реально ли фаерволом (iptables) перенаправлять запросы по абсолютно всем портам из подсети
>типа 10.1.1.0 на прокси(Squid), а не только 80 и 8080?
угу, только зачем? только ведь работать не будет...(кто будет на на 80 порт вещать веб)
>Если да, то как?
так же как и на 80 только порт не указывать

"реально ли?"
Отправлено Lex , 20-Июн-07 11:33

>>Реально ли фаерволом (iptables) перенаправлять запросы по абсолютно всем портам из подсети
>>типа 10.1.1.0 на прокси(Squid), а не только 80 и 8080?
>угу, только зачем? только ведь работать не будет...(кто будет на на 80
>порт вещать веб)
>>Если да, то как?
>
>так же как и на 80 только порт не указывать
вообщем я хочу перенаправить на прокси порты 1025-65535 и проксёй их контролировать.
80-ый перенаправляю так:
$IPTABLES -t nat -A PREROUTING -i eth1 -p tcp --dport 80 -j REDIRECT --to-port 3128
пробовал вот так:
$IPTABLES -t nat -A PREROUTING -i eth1 -p tcp --destination-port 1024: -j REDIRECT --to-port 3128
не работает

"реально ли?"
Отправлено Romik , 20-Июн-07 11:42

... -m multiport ...

"реально ли?"
Отправлено Lex , 20-Июн-07 11:59

>... -m multiport ...
пробовал и так:
$IPTABLES -t nat -A PREROUTING -i eth1 -p tcp -m multiport --destination-port 1024:65535 -j REDIRECT --to-port 3128
но ругается:
iptables v1.2.11: invalid port/service `1024:65535' specified

"реально ли?"
Отправлено BigHarry , 22-Июн-07 14:15

>Реально ли фаерволом (iptables) перенаправлять запросы по абсолютно всем портам из
>подсети типа 10.1.1.0 на прокси(Squid), а не только 80 и 8080?
Перенаправить-то скорей всего можно, но вот только сквид в режиме прозрачного прокси работает только с http.

"реально ли?"
Отправлено Lex , 24-Июн-07 13:37

>>Реально ли фаерволом (iptables) перенаправлять запросы по абсолютно всем портам из
>>подсети типа 10.1.1.0 на прокси(Squid), а не только 80 и 8080?
>
>Перенаправить-то скорей всего можно, но вот только сквид в режиме прозрачного прокси
>работает только с http.
так а как всё таки перенаправить?

"реально ли?"
Отправлено chocholl , 25-Июн-07 09:43

>>>Реально ли фаерволом (iptables) перенаправлять запросы по абсолютно всем портам из
>>>подсети типа 10.1.1.0 на прокси(Squid), а не только 80 и 8080?
>>
>>Перенаправить-то скорей всего можно, но вот только сквид в режиме прозрачного прокси
>>работает только с http.
>так а как всё таки перенаправить?
да не будет сквид работать с другими протоколами.
ты в логах получишь только что-то наподобие bad request.
а для того чтобы перенаправлять просто не используй спецификацию порта назначения, в этом случае правило будет срабатывать для всех портов.

"реально ли?"
Отправлено Lex , 25-Июн-07 12:28

>>>>Реально ли фаерволом (iptables) перенаправлять запросы по абсолютно всем портам из
>>>>подсети типа 10.1.1.0 на прокси(Squid), а не только 80 и 8080?
>>>
>>>Перенаправить-то скорей всего можно, но вот только сквид в режиме прозрачного прокси
>>>работает только с http.
>>так а как всё таки перенаправить?
>
>да не будет сквид работать с другими протоколами.
>ты в логах получишь только что-то наподобие bad request.
>а для того чтобы перенаправлять просто не используй спецификацию порта назначения, в
>этом случае правило будет срабатывать для всех портов.
пробовал по такой цепочке:
$IPTABLES -t nat -A PREROUTING -i eth1 -p tcp -j REDIRECT --to-port 3128
не работало...
заработало вот так:
$IPTABLES -t nat -A PREROUTING -i eth1 -p tcp --destination-port 1:65535 -j REDIRECT --to-port 3128
это нормально?

"реально ли?"
Отправлено Lex , 25-Июн-07 12:49

>>>>>Реально ли фаерволом (iptables) перенаправлять запросы по абсолютно всем портам из
>>>>>подсети типа 10.1.1.0 на прокси(Squid), а не только 80 и 8080?
>>>>
>>>>Перенаправить-то скорей всего можно, но вот только сквид в режиме прозрачного прокси
>>>>работает только с http.
>>>так а как всё таки перенаправить?
>>
>>да не будет сквид работать с другими протоколами.
>>ты в логах получишь только что-то наподобие bad request.
>>а для того чтобы перенаправлять просто не используй спецификацию порта назначения, в
>>этом случае правило будет срабатывать для всех портов.
>
>пробовал по такой цепочке:
>$IPTABLES -t nat -A PREROUTING -i eth1 -p tcp -j REDIRECT --to-port
>3128
>не работало...
>заработало вот так:
>$IPTABLES -t nat -A PREROUTING -i eth1 -p tcp --destination-port 1:65535 -j
>REDIRECT --to-port 3128
>
>это нормально?
не нормально:) не работает почта и т.д.

"реально ли?"
Отправлено chocholl , 25-Июн-07 15:02

>>это нормально?
>не нормально:) не работает почта и т.д.
да тебе ж все это твердят.
на ip уровне ты на сквид пакеты заворачиваешь, но сквид понятия не имеет что такое сессия pop или smtp, и вообще он не знает ничего кроме протокола http.
и не будет работать, потому что squid это __HTTP__ proxy server.

"реально ли?"
Отправлено Lex , 25-Июн-07 16:19

>>>это нормально?
>>не нормально:) не работает почта и т.д.
>
>да тебе ж все это твердят.
>на ip уровне ты на сквид пакеты заворачиваешь, но сквид понятия не
>имеет что такое сессия pop или smtp, и вообще он не
>знает ничего кроме протокола http.
>
>и не будет работать, потому что squid это __HTTP__ proxy server.
уже ощутил в реальных условиях.
не ругайтесь :)
вопрос закрыт :)