обход squid

[solideogloria26]

помощь прошу, очень туповат в линуксе, изучая попутно, возникла проблема на работе. есть старая linux mandriva на ней стоит squid система, форвардинг включен, насколько я понимаю, маскарад тоже (вроде), прислали программу vipnet для неё нужен был порт 55777 я в конфиге его прописал, но все равно не пашет, как мне пропустить весь комп мимо прокси сервера, какой командой? уже весь инет обшарил не могу разобраться в этих форвардингов, иптэйблов и т.д.. на прокси сервере 2 сетевые eth0 - смотрит в инет, eth1 - в локалку(172.28.32.1/24), ip компа который нужно прокинуть 172.28.32.32/24) версия iptables 1.3.5. ПОМОГИТЕ ПРОШУ, объясните как чайнику.

[fisher74]

Если форвардинг включен и маскарад тоже, то нужно исключить IP озвученного из перенаправления трафика на кальмара. Ну и разрешить форвард с этого IP-а и обратно к нему.

Чтобы конкретно что-то подсказывать, нужно хотя бы текущие правила видеть.
показывайте

[solideogloria26]

Если форвардинг включен и маскарад тоже, то нужно исключить IP озвученного из перенаправления трафика на кальмара. Ну и разрешить форвард с этого IP-а и обратно к нему.

Чтобы конкретно что-то подсказывать, нужно хотя бы текущие правила видеть.
показывайте

[fisher74]

iptables-save
выхлоп сюда текстом. Здесь не картинная галерея

[solideogloria26]

iptables-save
выхлоп сюда текстом. Здесь не картинная галерея

# Generated by iptables-save v1.3.5 on Fri Mar 31 15:51:29 2017
*nat
:PREROUTING ACCEPT [9323388:628037120]
:POSTROUTING ACCEPT [3666451:255634700]
:OUTPUT ACCEPT [2880035:201818855]
-A POSTROUTING -s 172.28.32.150 -o eth0 -j SNAT --to-source 82.119.155.202
-A POSTROUTING -s 172.28.32.5 -o eth0 -j SNAT --to-source 82.119.155.202
-A POSTROUTING -s 172.28.32.32 -o eth0
-A POSTROUTING -s 172.28.32.0/255.255.255.0 -o eth0 -j SNAT --to-source 10.35.0.66
-A POSTROUTING -s 172.28.32.0/255.255.255.0 -o eth0 -j SNAT --to-source 10.35.0.68
-A POSTROUTING -s 172.28.32.0/255.255.255.0 -o eth0 -j SNAT --to-source 10.35.0.66
-A POSTROUTING -s 172.28.32.0/255.255.255.0 -o eth0 -j SNAT --to-source 10.35.0.67
COMMIT
# Completed on Fri Mar 31 15:51:29 2017
# Generated by iptables-save v1.3.5 on Fri Mar 31 15:51:29 2017
*filter
:INPUT DROP [5575019:442390812]
:FORWARD ACCEPT [48094241:31655425052]
:OUTPUT ACCEPT [312854619:227098852268]
-A INPUT -i eth1 -p tcp -m tcp --dport 3128 -j ACCEPT
-A INPUT -p ipv6-crypt -j ACCEPT
-A INPUT -p udp -m udp --sport 500 --dport 500 -j ACCEPT
-A INPUT -i lo -j ACCEPT
-A INPUT -p icmp -j ACCEPT
-A INPUT -i eth0 -p tcp -m tcp --dport 22 -j ACCEPT
-A INPUT -i eth1 -p tcp -m tcp --dport 22 -j ACCEPT
-A INPUT -i eth0 -p tcp -m tcp --sport 6000 -j ACCEPT
-A INPUT -p tcp -m state --state RELATED,ESTABLISHED -j ACCEPT
-A INPUT -p udp -m state --state RELATED,ESTABLISHED -j ACCEPT
-A INPUT -i vmnet1 -j ACCEPT
-A INPUT -i eth1 -p tcp -m tcp --dport 139 -j ACCEPT
-A INPUT -i eth1 -p tcp -m tcp --dport 445 -j ACCEPT
-A FORWARD -p tcp -m tcp --tcp-flags SYN,RST SYN -j TCPMSS --clamp-mss-to-pmtu
-A FORWARD -i eth1 -p tcp -m conntrack --ctstate NEW -m multiport --dports 55777 -j ACCEPT
-A FORWARD -i eth1 -p udp -m udp --dport 55777 -j ACCEPT
-A FORWARD -i eth0 -p tcp -m tcp --dport 55777 -j ACCEPT
-A FORWARD -i eth1 -p tcp -m tcp --dport 55777 -j ACCEPT
COMMIT
# Completed on Fri Mar 31 15:51:29 2017


вот это -A FORWARD -i eth1 -p tcp -m conntrack --ctstate NEW -m multiport --dports 55777 -j ACCEPT
-A FORWARD -i eth1 -p udp -m udp --dport 55777 -j ACCEPT
-A FORWARD -i eth0 -p tcp -m tcp --dport 55777 -j ACCEPT
-A FORWARD -i eth1 -p tcp -m tcp --dport 55777 -j ACCEPT
 и вот это
-A POSTROUTING -s 172.28.32.32 -o eth0
-A POSTROUTING -s 172.28.32.0/255.255.255.0 -o eth0 -j SNAT --to-source 10.35.0.66
-A POSTROUTING -s 172.28.32.0/255.255.255.0 -o eth0 -j SNAT --to-source 10.35.0.68
-A POSTROUTING -s 172.28.32.0/255.255.255.0 -o eth0 -j SNAT --to-source 10.35.0.66
-A POSTROUTING -s 172.28.32.0/255.255.255.0 -o eth0 -j SNAT --to-source 10.35.0.67

добавлял сам  читая тексты:((

[fisher74]

Сначала замечание.
В Ваших правилах политика правил на пропуск трафика через шлюз "можно всё", потому Ваши разрешающие правила (ACCEPT) для цепочки FORWARD не имеют смысла. Мои рекомендации: когда перестанете тонуть в правилах netfilter - меняйте на "запрещено всё, кроме ..."

Ошибка раз ("очень туповат в линуксе" не прокатит, так как линукс здесь не при чём).
Опишу её вопросом к Вам: чем отличается адрес сети от адреса хоста?
Когда ответите, тогда я пойму, что не всё потеряно

З.Ы. сразу скажу - все Ваши правила можете смело удалять. Я даже боюсь догадаться откуда Вы взяли эти адреса (10.35.0.66,10.35.0.67,...)

[solideogloria26]

Адрес сети - это сетевая часть адреса хост-компьютера плюс нуль; например, в моём случае хост-адресс 172.28.32.32 адрес сети - 172.28.32.0., вроде так, может не до конца понимаю, после того как ввел те адреса (10.35.0.66,10.35.0.67), то спустя час чтения я  понял что я вообще бред сделал, прост в мануале увидел эти значения и методом тыка пытался решить проблему, думал мало ли я чего то не догнал про эти адреса думаю дай-ка попробуй (на авось), так что мне делать скажите))) меня уже пресуют))) я не знаю как выходить из ситуации, в этом vipnete  который я вижу первый раз, такое кол-во настроек что ппц полный. я знаю что я туповат в этом поэтому сюда и обратился а вы тут учите:(

[fisher74]

а вы тут учите

ну извините.
Мы здесь стараемся людей научить пользоваться системой Linux, а конекретно Ubuntu (а не Mandriva, я просто молчу что Вы оффтопите), а так же ПОМОЧЬ решить проблемы с которыми они сталкиваются во время изучения, пользования и администрирования. Именно помочь, а не сделать работу за них.
Работать за Вас, я лично, не собираюсь. Ещё раз извините.

Адрес сети - это сетевая часть адреса хост-компьютера плюс нуль; например, в моём случае хост-адресс 172.28.32.32 адрес сети - 172.28.32.0

ответ на троечку можно натянуть, хотя сути Вы не понимаете. Рано Вам ещё в ядерные правила лезть.

[solideogloria26]

ну собственно на что я и расчитывал прося помощи у людей сфорума, с говном смешают, себя похвалят, толку 0 дадут и пошлют куда подальше, вместо того что б просто 1 ра вникнуть потратить 15 минут, на разъяснение, спросить что необходимо и помочь человеку у которого проблема, складывается впечатление что вы все все понимали и всегда все знали не справшивая и не обучаясь непосредственно на решении задачи... найс логика

[fisher74]

Не понимая различите между адресом сети и адресом хоста практически не имеет смысла рулить этими адресами.

хотите и дальше есть колбасу в приглядку? Чтож, ешьте
Делаю Вам медвежью услугу.
Решение Вашей проблемы.

Код: [Выделить]

sudo iptables -t nat -A POSTROUTING -s 172.28.32.32 -o eth0 -j SNAT --to-source 82.119.155.202
правило грубое, необтёсанное, но задачу выполнит

[solideogloria26]

не помогает, и ваша команда только без sudo заработала,  но инет все так же пашет  когда указываешь прокси сервер, а программа vip net (из за чего весь сыр бор) не устанавливает соединение, и с галочкой и без галочки прокси сервера, можно как то сделать что б ПК даже и не знал так скажем о существовании прокси сервера,  пропускал и не замечал:(  я вас отблагодарю если останетесь со мной до конца))))
Пользователь добавил сообщение 30 Марта 2017, 16:37:58:я разницу понимаю, просто объяснить не могу, я знаю что есть белый ип который выдал провайдер, и он никак не связан с адресами сети, я вот это и хотел сделать что б сразу была переадресация.

[fisher74]

ваша команда только без sudo заработала

ну то что Вы работаете от root, а не из под sudo - не моя проблема. В ubuntu принято "ходить в тапочках".

но инет все так же пашет  когда указываешь прокси сервер

а без прокси работает?
покажите таблицу маршрутизации клиентской машине и выхлоп команд с неё же

Код: [Выделить]

nslookup ya.ru
nslookup ya.ru 8.8.8.8
правило указанное мной должно быть загружено.
Кстати, покажите ещё выхлоп команды на шлюзе

Код: [Выделить]

cat /proc/sys/net/ipv4/ip_forward

[solideogloria26]

Код: [Выделить]

cat /proc/sys/net/ipv4/ip_forwardвывело 1, форвард работает

а вот на клиентской машине nslookup почему то не работает, хотя интернет нормально пашет (с включенным работать через прокси)

Код: (html5) [Выделить]

C:\Windows\system32>nslookup ya.ru
DNS request timed out.
    timeout was 2 seconds.
TхЁтхЁ:  UnKnown
Address:  8.8.8.8

DNS request timed out.
    timeout was 2 seconds.
DNS request timed out.
    timeout was 2 seconds.
DNS request timed out.
    timeout was 2 seconds.
DNS request timed out.
    timeout was 2 seconds.
*** Превышено время ожидания запроса UnKnown

C:\Windows\system32>nslookup ya.ru 8.8.8.8
DNS request timed out.
    timeout was 2 seconds.
TхЁтхЁ:  UnKnown
Address:  8.8.8.8

DNS request timed out.
    timeout was 2 seconds.
DNS request timed out.
    timeout was 2 seconds.
DNS request timed out.
    timeout was 2 seconds.
DNS request timed out.
    timeout was 2 seconds.
*** Превышено время ожидания запроса UnKnownПользователь добавил сообщение 31 Марта 2017, 08:12:50:систему настраивал не я, и поэтому не знаю особо что да как там, и лезть мне туда что то поменять, да посмотреть не разрешают, вот только когда проблема появилась тогда делай че хочешь

[fisher74]

Я просил ещё таблицу маршрутизации клиента

[solideogloria26]

Код: (html5) [Выделить]

C:\Windows\system32>route print
===========================================================================
Список интерфейсов
 10...20 cf 30 c1 8d 22 ......Realtek PCIe GBE Family Controller
  1...........................Software Loopback Interface 1
 11...00 00 00 00 00 00 00 e0 Адаптер Microsoft ISATAP
===========================================================================

IPv4 таблица маршрута
===========================================================================
Активные маршруты:
Сетевой адрес           Маска сети      Адрес шлюза       Интерфейс  Метрика
          0.0.0.0          0.0.0.0      172.28.32.1     172.28.32.32    276
        127.0.0.0        255.0.0.0         On-link         127.0.0.1    306
        127.0.0.1  255.255.255.255         On-link         127.0.0.1    306
  127.255.255.255  255.255.255.255         On-link         127.0.0.1    306
      172.28.32.0    255.255.255.0         On-link      172.28.32.32    276
     172.28.32.32  255.255.255.255         On-link      172.28.32.32    276
    172.28.32.255  255.255.255.255         On-link      172.28.32.32    276
        224.0.0.0        240.0.0.0         On-link         127.0.0.1    306
        224.0.0.0        240.0.0.0         On-link      172.28.32.32    276
  255.255.255.255  255.255.255.255         On-link         127.0.0.1    306
  255.255.255.255  255.255.255.255         On-link      172.28.32.32    276
===========================================================================
Постоянные маршруты:
  Сетевой адрес            Маска    Адрес шлюза      Метрика
          0.0.0.0          0.0.0.0      172.28.32.1  По умолчанию
===========================================================================

IPv6 таблица маршрута
===========================================================================
Активные маршруты:
 Метрика   Сетевой адрес            Шлюз
  1    306 ::1/128                  On-link
 10    276 fe80::/64                On-link
 10    276 fe80::8c72:b045:5f6:c0b7/128
                                    On-link
  1    306 ff00::/8                 On-link
 10    276 ff00::/8                 On-link
===========================================================================
Постоянные маршруты:
  ОтсутствуетПользователь добавил сообщение 31 Марта 2017, 09:14:19:могу предоставить удаленный доступ, там тим вивер или что удобно, если так удобнее будет, без ожидания так сказать