Полностью прозрачный прокси или антиUfw

[Langaru]

Доброго времени суток!
Начал разбираться с Ubuntu Server. Поставил, настроил dhcp, nat, ufw. На ufw дефолтное правило "запретить". Разрешил ходить по http(s), ftp. Проверил на внутресетевой машинке - работает: в браузере всё отображается, по фтп ходит, почта не работает. Далее поставил squid и разрешил его в ufw. Тоже все нормально. Запретил ufw всё, кроме порта прокси (стандартный 3128). Проверил - работает. Пока не пропишешь в настройках прокси - ничего не работает, с настройкой - работает. Сделал прокси прозрачным - завернул на порт 3128 порты 80, 8080, 443. Вот тут то и началась непонятка. Работает ВСЁ! Настройка ufw осталась та же: разрешено только 3128. Но кроме работы браузера работает и почта, и фтп, и всё остальное. Специально проверял другие порты (через ММО) - они также открыты.
Собственно вопрос: что произошло и почему всё стало открытым?
NAT настравивался через iptables MASQUERADE.
Настройки iptables для заворота портов на прокси:
iptables -t nat -A PREROUTING -i eth0 -p tcp -m tcp --dport 80 -j DNAT --to-destination 10.0.9.1:3128
iptables -t nat -A PREROUTING -i eth0 -p tcp -m tcp --dport 80 -j REDIRECT --to-ports 3128
iptables -t nat -A PREROUTING -i eth0 -p tcp -m tcp --dport 8080 -j DNAT --to-destination 10.0.9.1:3128
iptables -t nat -A PREROUTING -i eth0 -p tcp -m tcp --dport 8080 -j REDIRECT --to-ports 3128
iptables -t nat -A PREROUTING -i eth0 -p tcp -m tcp --dport 443 -j DNAT --to-destination 10.0.9.1:3128
iptables -t nat -A PREROUTING -i eth0 -p tcp -m tcp --dport 443 -j REDIRECT --to-ports 3128
Настройки ufw (ufw-status):
Anywhere           ALLOW          10.0.9.0/24
3128               ALLOW          Anywhere

Второй вопрос также касается прокси.
Использовал несколько программ для мониторинга сетевой активности через прокси. Все работали только тогда, когда в браузере стояла настройка прокси, при прозрачном все программы молчали. Попробовал sams, правда до конца не разобрался и настроить его до конца так и не смог. Поставил привязки по ip, создал пользователей, но ничего не видит.
Вообщем вопрос в следующем: могут ли какие-нибудь программы видеть трафик при прозрачном прокси?
Если у кто-нибудь может поделиться описанием настройки sams, также буду признателен.

[Гарри Кашпировский]

Вопрос

Собственно вопрос: что произошло и почему всё стало открытым?

Ответ

NAT настравивался через iptables MASQUERADE

.

Настройки iptables для заворота портов на прокси:

Ужасно.

Код: [Выделить]

iptables -t nat -A PREROUTING -i eth0 -p tcp -m multiport --dports 80,8080,443 -j DNAT --to-destination 10.0.9.1:3128

[Langaru]

Вопрос

Собственно вопрос: что произошло и почему всё стало открытым?

Ответ

NAT настравивался через iptables MASQUERADE

.

Тогда другие вопросы:
1. Почему при работающем НАТе до установки squid'а трафик ходил только там, где позволял ufw?
2. Как сделать так, чтобы ходил только по разрещённым портам?

Настройки iptables для заворота портов на прокси:

Ужасно.

Код: [Выделить]

iptables -t nat -A PREROUTING -i eth0 -p tcp -m multiport --dports 80,8080,443 -j DNAT --to-destination 10.0.9.1:3128

С iptables до конца не разобрался, поэтому и появляются такие ляпы. Через мультипорт пробовал - не получалось
Есть ли придел по колличеству задаваемух портов в мультипорте?

[Langaru]

Ужасно.

Код: [Выделить]

iptables -t nat -A PREROUTING -i eth0 -p tcp -m multiport --dports 80,8080,443 -j DNAT --to-destination 10.0.9.1:3128

Так тоже пробовал - ругается, что нот валид. Мультипорт записан не правильно.

Есть ли придел по колличеству задаваемух портов в мультипорте?

Оказывается 15 штук:)
С маскарадингом кажется разобрался. Надо просто убрать его и оставить только порты на DNAT. Тогда возникает вопрос: А на кой вообще тогда нужен ufw в данное ситуации? Т.е. его можно и выключить?
Пользователь решил продолжить мысль 15 Января 2012, 23:40:38:Вообщем смотрю особо рьяных желающих объяснять нет. *Ушёл познавать дзен, углубляясь в iptables.*