Хелп! Уважаемые! Перерыл весь Гугл - не нашел ответов по интересующему вопросу.Собсно, сабж:
имеется Убунту 8.10 сервер, SQUID. Очень хочется использовать его совместно с iptables SNAT. То есть, не просто заворачивать на него 80, 443, 8080 и т.п. порты, а еще в этих пакетах потом НАТом транслировать локальный адрес обратившегося компа в адрес внешнего интерфейса Убунты.
Для чего это надо? Объясню - начальство поставило задачу контроллировать трафик юзверей, и при этом чтобы локалка не была видна... А сейчас у меня получается - либо через iptables без светящегося адреса, либо через SQUID, с аутентификацией в Мелкомягком домене - но локальный IP видно :(...
Настроил прозрачный прокси, завернул на него трафик по портам - а вот правило SNAT не работает, то есть после СКВИДа пакеты уходят прямо на сеть, не успевают iptables подменить адрес в заголовке..
Умоляю - помогите!!!! Или хотя бы скажите, что это невозможно.. (Хоть начальнику будет что сказать :))
P.S. решил приложить настройки iptables.
(В данній момент даже пробовал прописать проксю - то есть, прероутинг не применялся. Все то же самое)/etc/iptables.rules
*nat
:PREROUTING ACCEPT [21924:1951927]
-A PREROUTING -i eth0 -p tcp -m tcp --dport 80 -j REDIRECT --to-ports 3128
:POSTROUTING ACCEPT [2010:142947]
-A POSTROUTING -o eth1 -j SNAT --to-source #In.et.I.P#
:OUTPUT ACCEPT [2010:142947]
COMMIT
# Completed on Sat Apr 11 02:11:09 2009
# Generated by iptables-save v1.4.0 on Sat Apr 11 02:11:09 2009
*filter
:INPUT ACCEPT [15751:6477343]
:FORWARD ACCEPT [2598:1085130]
:OUTPUT ACCEPT [14724:6350439]
COMMIT
# Completed on Sat Apr 11 02:11:09 2009
Как заставить трафик после прокси (или до??) заворачивать на правило построутинга??????
>[оверквотинг удален]
># Generated by iptables-save v1.4.0 on Sat Apr 11 02:11:09 2009
>*filter
>:INPUT ACCEPT [15751:6477343]
>:FORWARD ACCEPT [2598:1085130]
>:OUTPUT ACCEPT [14724:6350439]
>COMMIT
># Completed on Sat Apr 11 02:11:09 2009
>
>
>Как заставить трафик после прокси (или до??) заворачивать на правило построутинга??????Вы сами не понимаете что настраиваете- в общем учитесь и не морочте людям голову, чтобы было не видно локалку надо сквид настроить как онанимный прокси(гугл в помощь), одно из преимуществ прокси сервера- то чт идет не прямое соединение от клинта с удаленым сервером, а поднимаеться новое (!) соединения от шлюза до этого удаленного сервера
PS при настройки сквида в этом режиме некоторые специфичные сайты могут отвалиться
forwarded_for off
>forwarded_for offСпасибо огромное!.. да, курить мне еще мануалы и курить... Получилось все. Только вот есть еще вопрос - при анонимном режиме будет ли работать авторизация из АД? (Как раз собрался настраивать.)
>>forwarded_for off
>
>Спасибо огромное!.. да, курить мне еще мануалы и курить... Получилось все.
>Только вот есть еще вопрос - при анонимном режиме будет ли
>работать авторизация из АД? (Как раз собрался настраивать.)а как они друг другу могут мешать?
>
>а как они друг другу могут мешать?Ну в принципе я просто поинтересовался - в гугле где-то видел такую инфу, что перестает работать ЛДАП-аутентификация, если анонимный прокси...
Кстати, тут еще вопрос созрел. 443-й порт я на прокси перенаправил (прокся прозрачная, iptables перенаправляют), а оно мне ошибку SSL выкинуло, и на https ходить не хочет...
Щас правда попробую без транспарента - пойдет или нет....
>
>>
>>а как они друг другу могут мешать?
>
>Ну в принципе я просто поинтересовался - в гугле где-то видел такую
>инфу, что перестает работать ЛДАП-аутентификация, если анонимный прокси...анонимный или прозрачный? при прозрачном не будет, почему поймете когда будет понимание принципа работы
>
>Кстати, тут еще вопрос созрел. 443-й порт я на прокси перенаправил (прокся
>прозрачная, iptables перенаправляют), а оно мне ошибку SSL выкинуло, и на
>https ходить не хочет...
>
>Щас правда попробую без транспарента - пойдет или нет....
>
>анонимный или прозрачный? при прозрачном не будет, почему поймете когда будет понимание
>принципа работыУже понял, кажется. Во всяком случае этот пункт:
я так понимаю, что при прозрачности все пакеты перенаправляются с помощью локалхоста, и потому идентифицировать клиента, который выполнил запрос, СКВИД не может - а, соответственно, аутентификацию выполнять не будет, да?
>
>>
>>анонимный или прозрачный? при прозрачном не будет, почему поймете когда будет понимание
>>принципа работы
>
>Уже понял, кажется. Во всяком случае этот пункт:
>я так понимаю, что при прозрачности все пакеты перенаправляются с помощью локалхоста,
>и потому идентифицировать клиента, который выполнил запрос, СКВИД не может -
>а, соответственно, аутентификацию выполнять не будет, да?нет, браузер не знает что идет через прокси и соответственно ни какой информации для аутентификацию предоставлять не будет
>[оверквотинг удален]
>>а как они друг другу могут мешать?
>
>Ну в принципе я просто поинтересовался - в гугле где-то видел такую
>инфу, что перестает работать ЛДАП-аутентификация, если анонимный прокси...
>
>Кстати, тут еще вопрос созрел. 443-й порт я на прокси перенаправил (прокся
>прозрачная, iptables перенаправляют), а оно мне ошибку SSL выкинуло, и на
>https ходить не хочет...
>
>Щас правда попробую без транспарента - пойдет или нет....а ты в конфиге SQUIDа порт то прописал
acl SSL_ports port 443 ???
>
>а ты в конфиге SQUIDа порт то прописал
>acl SSL_ports port 443 ???Ну, на это меня хватило :)
Без прозрачности все пакеты ходят отлично.