форумы  помощь  поиск  регистрация  майллист  вход/выход  слежка

Вариант для распечатки		Пред. тема | След. тема
Форумы Настройка Squid и других прокси серверов (Public)
Изначальное сообщение		[ Отслеживать ]

"iptables за прокси"		+/–
Сообщение от handler2006 (ok) on 20-Дек-09, 12:44
Здравствуйте! Администрирую сеть  с роутером на базе линукс, который, в свою очередь, сам стоит за роутером, на котором стоит прокси. Таким образом, в вверенной мне сети все клиенты и сам роутер в том числе (имеется в виду приложения, работающие с веб-трафиком) приходится настраивать на прокси, к примеру: 192. 168.100.100:8080 На роутере поднят нат и форвардинг, чтобы машины из сети могли ходить в интерент. Но мне не хочется на каждой машине настраивать прокси, потому я добавил правило в фаервол: iptables -t nat -A PREROUTING -s $LOCAL_NET -p tcp --dport 80 -j DNAT --to 192.168.100.100.8080 Но такая конструкция не работает. Возможно ли написать правило для всей сети, чтобы не настраивать каждого клиента? ВАЖНО: сам роутер также стоит за прокси и также требует настройки
Высказать мнение | Ответить | Правка | Cообщить модератору

Сообщения по теме

[Сортировка по времени | RSS]

1. "iptables за прокси"		+/–
Сообщение от Andrey Mitrofanov on 20-Дек-09, 14:30
>Возможно ли написать правило для всей сети, чтобы не настраивать каждого клиента? >ВАЖНО: сам роутер также стоит за прокси и также требует настройки Нет, наверное. Даже при прозрачном прокси на клиентах нужно будет настраивать DNS. Если внешний прокси отдаёт только http, то твоим клиентам ты отдашь только его же и непрозрачный. И сквид без DNS не запустишь толком. http:/openforum/vsluhforumID12/6187.html#1 по поводу "легче" http:/openforum/vsluhforumID12/6064.html#3 про прозрачный и DNS Если DNS "есть", то можно пытаться. Шлюз и DNS раздавать через DHCP. http - на свой прозрачный сквид с форвардом на верхний прокси, dns-запросы клиентов - аналогично NAT-ом на свой кеш с форвардом наверх (или сразу NATом наверх). Не http порты и протоколы -- как "повезёт" (скорее никак).
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	2. "iptables за прокси"		+/–
	Сообщение от handler2006 (ok) on 20-Дек-09, 18:00
	>>Возможно ли написать правило для всей сети, чтобы не настраивать каждого клиента? >>ВАЖНО: сам роутер также стоит за прокси и также требует настройки > >Нет, наверное. Даже при прозрачном прокси на клиентах нужно будет настраивать DNS. > Клиенты получают днс, ип и шлюз ч/з дхцп. >Если внешний прокси отдаёт только http, то твоим клиентам ты отдашь только >его же и непрозрачный. И сквид без DNS не запустишь толком. > Мне сквид не нужен. Все ходит ч/з иптаблес. > >http:/openforum/vsluhforumID12/6187.html#1 по поводу "легче" >http:/openforum/vsluhforumID12/6064.html#3 про прозрачный и DNS > >Если DNS "есть", то можно пытаться. Шлюз и DNS раздавать через DHCP. >http - на свой прозрачный сквид с форвардом на верхний прокси, >dns-запросы клиентов - аналогично NAT-ом на свой кеш с форвардом наверх >(или сразу NATом наверх). Не http порты и протоколы -- как >"повезёт" (скорее никак). Не http-порты закрыты на внешнем прокси. Мне нужно правило форвардинга на внешний прокси для всей сети. Данный роутер выступает как в роли шлюза, так и в роли днс- сервера
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	3. "iptables за прокси"		+/–
	Сообщение от Andrey Mitrofanov on 20-Дек-09, 18:30
	>Клиенты получают днс, ип и шлюз ч/з дхцп. >Мне нужно правило форвардинга на внешний прокси для всей сети. >Данный роутер выступает как в роли шлюза, так и в роли днс- >сервера echo "1" >$где-то-там/ip_forward   + разрешающее(-ие) правило(а) в цепочке FORWARD   + -t nat -A POSTROUTING -s 192.168.0.0/24_или_откуда_клиенты_ходят -o eth$NN_в_сторону_родителя -j SNAT --to-address $твой_ip_в_сторону_родителя
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	4. "iptables за прокси"		+/–
	Сообщение от handler2006 (ok) on 20-Дек-09, 18:36
	>[оверквотинг удален] >>Мне нужно правило форвардинга на внешний прокси для всей сети. >>Данный роутер выступает как в роли шлюза, так и в роли днс- >>сервера > >echo "1" >$где-то-там/ip_forward >  + >разрешающее(-ие) правило(а) в цепочке FORWARD >  + >-t nat -A POSTROUTING -s 192.168.0.0/24_или_откуда_клиенты_ходят -o eth$NN_в_сторону_родителя -j SNAT --to-address $твой_ip_в_сторону_родителя > Вы, право, оригинальны! Где в этой теме написано, что мне нужны правила для выхода в интернет? Прошу Вас понять меня буквально: НЕОБХОДИМО ВСЕ ПРАВИЛА ПРОКСИ НА ВСЕХ КЛИЕНТАХ ЗАМЕНИТЬ ОДНИМ ПРАВИЛОМ ПРОКСИ НА РОУТЕРЕ, ПРИЧЕМ САМ РОУТЕР СТОИТ ЗА ПРОКСИ Надеюсь, Вы правильно поняли постановку вопроса
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	5. "iptables за прокси"		+1 +/–
	Сообщение от Andrey Mitrofanov on 20-Дек-09, 18:44
	>Прошу Вас понять меня буквально: >Надеюсь, Вы правильно поняли постановку вопроса И не надейтесь.   Счастья, успехов, жены работящей.
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	6. "iptables за прокси"		+1 +/–
	Сообщение от handler2006 (ok) on 20-Дек-09, 18:51
	>>Прошу Вас понять меня буквально: >>Надеюсь, Вы правильно поняли постановку вопроса > >И не надейтесь. > >  Счастья, успехов, жены работящей. И Вам не болеть
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	7. "iptables за прокси"		+/–
	Сообщение от reader (ok) on 20-Дек-09, 19:05
	>[оверквотинг удален] >>-t nat -A POSTROUTING -s 192.168.0.0/24_или_откуда_клиенты_ходят -o eth$NN_в_сторону_родителя -j SNAT --to-address $твой_ip_в_сторону_родителя >> > >Вы, право, оригинальны! >Где в этой теме написано, что мне нужны правила для выхода в >интернет? >Прошу Вас понять меня буквально: >НЕОБХОДИМО ВСЕ ПРАВИЛА ПРОКСИ НА ВСЕХ КЛИЕНТАХ ЗАМЕНИТЬ ОДНИМ ПРАВИЛОМ ПРОКСИ НА >РОУТЕРЕ, ПРИЧЕМ САМ РОУТЕР СТОИТ ЗА ПРОКСИ >Надеюсь, Вы правильно поняли постановку вопроса клиенты и прокси в одной подсети?
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	8. "iptables за прокси"		+/–
	Сообщение от handler2006 (ok) on 20-Дек-09, 19:14
	> >клиенты и прокси в одной подсети? Клиенты и роутер в одной, прокси в другой. При включенном вышеуказанном правиле DNAT клиент получает от прокси ругательство, что, мол недопустимое имя источника
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	9. "iptables за прокси"		+/–
	Сообщение от reader (ok) on 20-Дек-09, 19:33
	>> >>клиенты и прокси в одной подсети? > >Клиенты и роутер в одной, прокси в другой. >При включенном вышеуказанном правиле DNAT клиент получает от прокси ругательство, что, мол >недопустимое имя источника прокси может (настроен) на прозрачную работу? на прокси разрешено именно клиентам ходить через него? логи прокси смотрели?
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	10. "iptables за прокси"		+/–
	Сообщение от handler2006 (ok) on 20-Дек-09, 19:48
	> >прокси может (настроен) на прозрачную работу? >на прокси разрешено именно клиентам ходить через него? >логи прокси смотрели? Это так сложно - уяснить, что вся сеть, включая роутер, стоят за прокси? Какие логи? Все элементарно просто: Представьте себе сеть А 192.168.100.0/24 со шлюзом 192.168.100.100 на котором стоит прокси и все машины сети А ходят ч/з прокси. Естественно, что на всех машинах сети А прописан прокси 192.168.100.100:8080 Представим себе, что одна из машин сети А, к примеру, 192.168.100.200 сама является роутером для некоторой подсети В 192.168.50.0/24, и которая имеет адрес в подсети В 192.168.50.1 Очевидным является и тот факт, что как на самой машине, являющейся роутером для подсети В, так и для всех машин подсети В, прописан все тот же прокси 192.168.100.100:8080 Внимание, вопрос: Каким правилом iptables на роутере подсети В можно завернуть всех клиентов подсети В на прокси 192.168.100.100:8080? Праило: iptables -t nat -A PREROUTING -s 192.168.50.0/24 -p tcp --dport 80 -j DNAT --to 192.168.100.100:8080 не работает
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	11. "iptables за прокси"		+1 +/–
	Сообщение от reader (ok) on 20-Дек-09, 20:20
	>[оверквотинг удален] >Это так сложно - уяснить, что вся сеть, включая роутер, стоят за >прокси? >Какие логи? >Все элементарно просто: >Представьте себе сеть А 192.168.100.0/24 со шлюзом 192.168.100.100 на котором стоит прокси >и все машины сети А ходят ч/з прокси. >Естественно, что на всех машинах сети А прописан прокси 192.168.100.100:8080 >Представим себе, что одна из машин сети А, к примеру, 192.168.100.200 сама >является роутером для некоторой подсети В 192.168.50.0/24, и которая имеет адрес >в подсети В 192.168.50.1 примерно так я и понял. >Очевидным является и тот факт, что как на самой машине, являющейся роутером >для подсети В, так и для всех машин подсети В, прописан >все тот же прокси 192.168.100.100:8080 с прописанным в браузере прокси, работает? >Внимание, вопрос: >Каким правилом iptables на роутере подсети В можно завернуть всех клиентов подсети >В на прокси 192.168.100.100:8080? >Праило: >iptables -t nat -A PREROUTING -s 192.168.50.0/24 -p tcp --dport 80 -j >DNAT --to 192.168.100.100:8080 >не работает > iptables -t nat -A PREROUTING -p tcp -s 192.168.50.0/24 --dport 80 -j DNAT --to-destination 192.168.100.100:8080 но есть нюанс. если прокси не может или не настроен на работу в прозрачном режиме, то путем проброса вы его не заставите работать, хотя если его же прописать в браузере - работать будет. если и с прописанным не работает, то нужно смотреть знает ли 192.168.100.100 где искать 92.168.50.0 подсеть. будьте спокойней, вы даете минимум информации, а хотите что бы вас с ходу поняли.
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	12. "iptables за прокси"		–1 +/–
	Сообщение от handler2006 (ok) on 20-Дек-09, 22:08
	>но есть нюанс. если прокси не может или не настроен на работу >в прозрачном режиме, то путем проброса вы его не заставите работать, >хотя если его же прописать в браузере - работать будет. >если и с прописанным не работает, то нужно смотреть знает ли 192.168.100.100 >где искать >92.168.50.0 подсеть. > В том-то все и дело, что при пробросе прокси отвечает, что адрес источника недопустим. Значит, Вы считаете, что проброс порта невозможен?
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	13. "iptables за прокси"		+/–
	Сообщение от reader (ok) on 21-Дек-09, 10:55
	>[оверквотинг удален] >>в прозрачном режиме, то путем проброса вы его не заставите работать, >>хотя если его же прописать в браузере - работать будет. >>если и с прописанным не работает, то нужно смотреть знает ли 192.168.100.100 >>где искать >>92.168.50.0 подсеть. >> > >В том-то все и дело, что при пробросе прокси отвечает, что адрес >источника недопустим. >Значит, Вы считаете, что проброс порта невозможен? с прописанным прокси у клиента в браузере, работает?
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	14. "iptables за прокси"		+/–
	Сообщение от handler2006 (ok) on 21-Дек-09, 19:12
	> >с прописанным прокси у клиента в браузере, работает? Конечно работает. Но, согласитесь, это не оригинально - настраивать клиентов на прокси! Для чего же тогда фаервол, по большому счету?
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	15. "iptables за прокси"		+/–
	Сообщение от Andrey Mitrofanov on 21-Дек-09, 19:38
	>Для чего же тогда фаервол, по большому счету? Гы-гыг. :~) Теперь, когда Вы использовали уже третье неоднозначное слово для описания двух машин, я Вам  расскажу, почему "эти тупые идиоты ну никак ниврубаютси" и всё время переспрашивают. Слова "прокси", "роутер" и "файервол" могут использоваться для обозначения некоей функции (сервиса), выполняемого компьютером или отдельного компа, преимущественно использумого для одной из этих функций. Когда у Вас в одном и тем же предложении слово "роутер" обозначает разные ПК -- без уточнения, который из них, да ещё там же где-то рядом оказывается "прокси", но компов всего два и сквид "не нужен"... Тут Вы почему-то начитаете КРИКОМ ОРАТЬ, но прокси у Вас по-прежнему на роутере за роутером у прокси прислонён. Я даже допускаю, что "русская языка не родной", но, думаю, и в консерватории чего-то неладно...
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	17. "iptables за прокси"		+/–
	Сообщение от reader (ok) on 21-Дек-09, 20:28
	да, тяжеловато вытягивать информацию из партизан :) .
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	16. "iptables за прокси"		+/–
	Сообщение от reader (ok) on 21-Дек-09, 20:25
	>> >>с прописанным прокси у клиента в браузере, работает? > >Конечно работает. это хуже, но не смертельно. >Но, согласитесь, это не оригинально - настраивать клиентов на прокси! я вам этого не предлагал, угадывать мысли вы тоже не умеете, условия я пока помню. мне это нужно было, что бы предположить что у вас происходит и раньше вы этого не указали вроде бы. >Для чего же тогда фаервол, по большому счету? и теперь c большой вероятностью можно предположить, что так пробросить не получится. и прокси на 192.168.100.100 я так понимаю вы не контролируете. но можно попробовать на 192.168.100.200 поднять squid в прозрачном режиме, родителем ему указать 192.168.100.100, а пакеты из 192.168.50.0/24 пробрасывать на этот squid.
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	18. "iptables за прокси"		+/–
	Сообщение от handler2006 (ok) on 22-Дек-09, 15:51
	> >но можно попробовать на 192.168.100.200 поднять squid в прозрачном режиме, родителем ему >указать 192.168.100.100, а пакеты из 192.168.50.0/24 пробрасывать на этот squid. Таким образом на клиентах никаких настроек не требеутся, а  iptables заворачивает 80 порт на наш внутренний прокси, который, в свою очередь, смотрит на родительский прокси. Вы это имели ввиду? Думаю, такая конструкция Вполне подходящая, настрою - отпишусь
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить

Индекс форумов | Темы | Пред. тема | След. тема