Форум русскоязычного сообщества Ubuntu


Хотите сделать посильный вклад в развитие Ubuntu и русскоязычного сообщества?
Помогите нам с документацией!

Автор Тема: обход squid  (Прочитано 2119 раз)

0 Пользователей и 1 Гость просматривают эту тему.

Оффлайн fisher74

  • Заслуженный пользователь
  • Старожил
  • *
  • Сообщений: 13756
    • Просмотр профиля
Re: обход squid
« Ответ #15 : 31 Марта 2017, 09:19:05 »
текущие правила шлюза можно увидеть?
iptables-save

Оффлайн solideogloria26

  • Автор темы
  • Новичок
  • *
  • Сообщений: 18
    • Просмотр профиля
Re: обход squid
« Ответ #16 : 31 Марта 2017, 09:24:58 »
Код: (html5) [Выделить]
# Generated by iptables-save v1.3.5 on Sat Apr  1 11:12:43 2017
*nat
:PREROUTING ACCEPT [9486126:638867599]
:POSTROUTING ACCEPT [3711768:258886675]
:OUTPUT ACCEPT [2925352:205070830]
-A POSTROUTING -s 172.28.32.150 -o eth0 -j SNAT --to-source 82.119.155.202
-A POSTROUTING -s 172.28.32.5 -o eth0 -j SNAT --to-source 82.119.155.202
-A POSTROUTING -s 172.28.32.32 -o eth0
-A POSTROUTING -s 172.28.32.0/255.255.255.0 -o eth0 -j SNAT --to-source 10.35.0.66
-A POSTROUTING -s 172.28.32.0/255.255.255.0 -o eth0 -j SNAT --to-source 10.35.0.68
-A POSTROUTING -s 172.28.32.0/255.255.255.0 -o eth0 -j SNAT --to-source 10.35.0.66
-A POSTROUTING -s 172.28.32.0/255.255.255.0 -o eth0 -j SNAT --to-source 10.35.0.67
-A POSTROUTING -s 172.28.32.32 -o eth0 -j SNAT --to-source 82.119.155.202
COMMIT
# Completed on Sat Apr  1 11:12:43 2017
# Generated by iptables-save v1.3.5 on Sat Apr  1 11:12:43 2017
*filter
:INPUT DROP [5662511:449479700]
:FORWARD ACCEPT [49283833:32350921468]
:OUTPUT ACCEPT [319000479:231518677139]
-A INPUT -i eth1 -p tcp -m tcp --dport 3128 -j ACCEPT
-A INPUT -p ipv6-crypt -j ACCEPT
-A INPUT -p udp -m udp --sport 500 --dport 500 -j ACCEPT
-A INPUT -i lo -j ACCEPT
-A INPUT -p icmp -j ACCEPT
-A INPUT -i eth0 -p tcp -m tcp --dport 22 -j ACCEPT
-A INPUT -i eth1 -p tcp -m tcp --dport 22 -j ACCEPT
-A INPUT -i eth0 -p tcp -m tcp --sport 6000 -j ACCEPT
-A INPUT -p tcp -m state --state RELATED,ESTABLISHED -j ACCEPT
-A INPUT -p udp -m state --state RELATED,ESTABLISHED -j ACCEPT
-A INPUT -i vmnet1 -j ACCEPT
-A INPUT -i eth1 -p tcp -m tcp --dport 139 -j ACCEPT
-A INPUT -i eth1 -p tcp -m tcp --dport 445 -j ACCEPT
-A FORWARD -p tcp -m tcp --tcp-flags SYN,RST SYN -j TCPMSS --clamp-mss-to-pmtu
-A FORWARD -i eth1 -p tcp -m conntrack --ctstate NEW -m multiport --dports 55777 -j ACCEPT
-A FORWARD -i eth1 -p udp -m udp --dport 55777 -j ACCEPT
-A FORWARD -i eth0 -p tcp -m tcp --dport 55777 -j ACCEPT
-A FORWARD -i eth1 -p tcp -m tcp --dport 55777 -j ACCEPT
COMMIT
# Completed on Sat Apr  1 11:12:43 2017

Пользователь добавил сообщение 31 Марта 2017, 09:39:01:
на другом форме (не реклама) предлагают след. действия, пробовал последний не работает, предпоследний пока не делаю без вашего согласия) https://www.linux.org.ru/forum/admin/13319519?lastmod=1490862275432#comment-13319715
« Последнее редактирование: 31 Марта 2017, 12:41:34 от Azure »

Оффлайн fisher74

  • Заслуженный пользователь
  • Старожил
  • *
  • Сообщений: 13756
    • Просмотр профиля
Re: обход squid
« Ответ #17 : 31 Марта 2017, 10:14:56 »
Убираем мусор
iptables -t nat -D POSTROUTING -s 172.28.32.32 -o eth0
iptables -t nat -D POSTROUTING -s 172.28.32.0/255.255.255.0 -o eth0 -j SNAT --to-source 10.35.0.66
iptables -t nat -D POSTROUTING -s 172.28.32.0/255.255.255.0 -o eth0 -j SNAT --to-source 10.35.0.68
iptables -t nat -D POSTROUTING -s 172.28.32.0/255.255.255.0 -o eth0 -j SNAT --to-source 10.35.0.66
iptables -t nat -D POSTROUTING -s 172.28.32.0/255.255.255.0 -o eth0 -j SNAT --to-source 10.35.0.67
iptables -D FORWARD -i eth1 -p tcp -m conntrack --ctstate NEW -m multiport --dports 55777 -j ACCEPT
iptables -D FORWARD -i eth1 -p udp -m udp --dport 55777 -j ACCEPT
iptables -D FORWARD -i eth0 -p tcp -m tcp --dport 55777 -j ACCEPT
iptables -D FORWARD -i eth1 -p tcp -m tcp --dport 55777 -j ACCEPT

Я тут опираюсь на Ваши же правила. проверьте внешний Ваш адрес 82.119.x.y? (потом удалю его из сообщения)
(ifconfig -a в личку мне киньте)
Если так, то проверяйте на клиенте
nslookup ya.ru
nslookup ya.ru 8.8.8.8

Не снова адреса не отрезольвятся, то снова показывайте все правила.

P.S. Кстати, листинги упаковывайте в теги [code][/code] или [spoiler][/spoiler]
« Последнее редактирование: 31 Марта 2017, 15:18:04 от fisher74 »

Оффлайн solideogloria26

  • Автор темы
  • Новичок
  • *
  • Сообщений: 18
    • Просмотр профиля
Re: обход squid
« Ответ #18 : 31 Марта 2017, 10:39:09 »
внешний адрес правильный, nslookup выдает все тоже самое,
# Generated by iptables-save v1.3.5 on Sat Apr  1 12:24:19 2017
*nat
:PREROUTING ACCEPT [9516484:640972959]
:POSTROUTING ACCEPT [3719783:259401373]
:OUTPUT ACCEPT [2933329:205583142]
-A POSTROUTING -s 172.28.32.150 -o eth0 -j SNAT --to-source 82.119.155.202
-A POSTROUTING -s 172.28.32.5 -o eth0 -j SNAT --to-source 82.119.155.202
-A POSTROUTING -s 172.28.32.32 -o eth0 -j SNAT --to-source 82.119.155.202
COMMIT
# Completed on Sat Apr  1 12:24:19 2017
# Generated by iptables-save v1.3.5 on Sat Apr  1 12:24:19 2017
*filter
:INPUT DROP [5679600:450873140]
:FORWARD ACCEPT [49589984:32522674205]
:OUTPUT ACCEPT [319906639:232167449169]
-A INPUT -i eth1 -p tcp -m tcp --dport 3128 -j ACCEPT
-A INPUT -p ipv6-crypt -j ACCEPT
-A INPUT -p udp -m udp --sport 500 --dport 500 -j ACCEPT
-A INPUT -i lo -j ACCEPT
-A INPUT -p icmp -j ACCEPT
-A INPUT -i eth0 -p tcp -m tcp --dport 22 -j ACCEPT
-A INPUT -i eth1 -p tcp -m tcp --dport 22 -j ACCEPT
-A INPUT -i eth0 -p tcp -m tcp --sport 6000 -j ACCEPT
-A INPUT -p tcp -m state --state RELATED,ESTABLISHED -j ACCEPT
-A INPUT -p udp -m state --state RELATED,ESTABLISHED -j ACCEPT
-A INPUT -i vmnet1 -j ACCEPT
-A INPUT -i eth1 -p tcp -m tcp --dport 139 -j ACCEPT
-A INPUT -i eth1 -p tcp -m tcp --dport 445 -j ACCEPT
-A FORWARD -p tcp -m tcp --tcp-flags SYN,RST SYN -j TCPMSS --clamp-mss-to-pmtu
COMMIT
# Completed on Sat Apr  1 12:24:19 2017

поддержка программы сразу предупредила что порт 55777 должен быть открыт, если что.

Пользователь добавил сообщение 31 Марта 2017, 10:40:07:
и правила же сразу же по факту применяются, никакие службы или сервисы перезагружать же не надо?

Пользователь добавил сообщение 31 Марта 2017, 10:43:53:
давайте я вам предоставлю доступ на обе машины, так же реально быстрее будет и без моей тупости может я что-то туплю и не правильно делаю, ток поймите меня правильно я ценю вашу помощь и не хочу что б она была напрасна, не то что бы мне лень делать, я сам хочу разобраться, просто так реально будет проще

Пользователь добавил сообщение 31 Марта 2017, 13:08:44:
тут нашел тему, у человека примерно та же проблема

вот что написано в инструкции к випнету:

1.   Требования к схеме подключения
При организации подключения на шлюзе, осуществляющем преобразование адресов (NAT), должны быть проведены следующие настройки:
   разрешить прохождение исходящих udp-пакетов по порту 55777, 2046 на адрес Координатора;
   настроить портфорвардинг (перенаправление) входящих udp-пакетов по порту 55777, 2046 с адреса Координатора. Т.е. пакеты udp: 55777 (по умолчанию), приходящие на внешнюю карту Proxy из Интернета, нужно переадресовывать на компьютер в локальной сети с установленным ViPNet (в заголовке таких пакетов нужно изменить destination: IP-адреса внешней карты прокси изменить на IP-адрес компьютера с ViPNet, - и отправить пакет во внутреннюю сеть. При этом порты, указанные в исходном пакете, должны оставаться неизменными)

https://sysadmins.ws/viewtopic.php?f=49&t=4216

Пользователь добавил сообщение 31 Марта 2017, 13:11:35:
у моего "соседа" по проблеме:

Проблема решилась прописанием двух статических маршрутов на машинах с випнетклиентом 

не подскажите как это реализовать и надо ли вообще?
« Последнее редактирование: 31 Марта 2017, 13:11:35 от solideogloria26 »

Оффлайн fisher74

  • Заслуженный пользователь
  • Старожил
  • *
  • Сообщений: 13756
    • Просмотр профиля
Re: обход squid
« Ответ #19 : 31 Марта 2017, 15:12:03 »
ага, понятненько
iptables -t nat -A PREROUTING -d 82.119.155.202 -i eth0 -p udp --dport 55777 -j DNAT --to-destination 172.28.32.32
iptables -t nat -A PREROUTING -d 82.119.155.202 -i eth0 -p udp --dport 2046 -j DNAT --to-destination 172.28.32.32
Но нужно разобраться почему этот клиент не попадает во внешнюю сеть. То есть почему не работает nslookup ya.ru 8.8.8.8
попробуйте tracert 8.8.8.8 на клиенте, где заклинит?

В правилах проблемы я не вижу. подскажите, хосты с адресами 172.28.32.150 и 172.28.32.5 ходят в интернет без прокси?
А сам-то шлюз в интрернет ходит? проверьте так же nslookup ya.ru
« Последнее редактирование: 31 Марта 2017, 15:22:21 от fisher74 »

Оффлайн solideogloria26

  • Автор темы
  • Новичок
  • *
  • Сообщений: 18
    • Просмотр профиля
Re: обход squid
« Ответ #20 : 31 Марта 2017, 16:19:41 »
тьфуу кажется я справился, всю информацию взял от соседа https://sysadmins.ws/viewtopic.php?f=49&t=4216&sid=d1fb8f59c8acf98349353eeed30fb28f&start=10
сделал как все тип объяснил, и вип нет стал доступен, в общем заработал, но теперь из за того что я выпустил этот пк из прокси, так сказать, ярлыки подсистем и рдп подключения которые соединялись по впн в головной вуз, стали недоступны, теперь даже не знаю че делать с этим.

Пользователь добавил сообщение 31 Марта 2017, 16:24:26:
то ли 2-ю сетевуху втыкать и что б вип нет работал по 1-й карточке, а подсистемы и рдп по впн по другой карточке, или есть какое-то другое решение такой задачи?  ну это уже до понедельника.  то понос то золотуха блин:( так радовался что заработал, сижу такой уже кайфую как вдруг осиняет что впн то перестал пахать для этого пк.... и тут я сгорел:(
« Последнее редактирование: 31 Марта 2017, 16:24:26 от solideogloria26 »

Оффлайн fisher74

  • Заслуженный пользователь
  • Старожил
  • *
  • Сообщений: 13756
    • Просмотр профиля
Re: обход squid
« Ответ #21 : 31 Марта 2017, 18:48:46 »
даже интересно, что именно Вы сделали, чтобы это заработало
Если не сложно покажите загруженные правила netfilter и чего Вы там накрутили на клиентской машине.

Оффлайн solideogloria26

  • Автор темы
  • Новичок
  • *
  • Сообщений: 18
    • Просмотр профиля
Re: обход squid
« Ответ #22 : 03 Апреля 2017, 08:00:22 »
sudo iptables -I FORWARD 2 -i eth1 -o eth0 -p udp -m comment --comment <тут впишешь комментарий>  -m udp --dport 55777 -m mac --mac-source <тут мак машины внутри сети,котрую надо выпустить> -j ACCEPT
sudo iptables -I FORWARD 3 -d <тут IP локального компьютера mac которого указали выше>/32 -i eth0 -o eth1 -p udp -m comment --comment <опять же комментарий> -m udp --sport 55777 --dport 55777 -j ACCEPT
вот это, и стало работать, а скажите, я же могу прописать статический маршрут для работы рдп и веб интерфейсов через впн? на клиентской машине написать route add ну и т.д, только нужно знать ip веб интерфейса правильно?

Оффлайн fisher74

  • Заслуженный пользователь
  • Старожил
  • *
  • Сообщений: 13756
    • Просмотр профиля
Re: обход squid
« Ответ #23 : 03 Апреля 2017, 09:16:25 »
вот это, и стало работать
не верю, ибо
*filter
...
:FORWARD ACCEPT [49589984:32522674205]
а значит указанные Вами правила не меняют прохождение целевых пакетов.
Все правила можете показать?

я же могу прописать статический маршрут для работы рдп и веб интерфейсов через впн?
Конечно можете.
на клиентской машине написать route add ну и т.д, только нужно знать ip веб интерфейса правильно?
и ip адрес шлюза в впн

Оффлайн solideogloria26

  • Автор темы
  • Новичок
  • *
  • Сообщений: 18
    • Просмотр профиля
Re: обход squid
« Ответ #24 : 03 Апреля 2017, 10:18:58 »
# Generated by iptables-save v1.3.5 on Tue Apr  4 12:06:10 2017
*nat
:PREROUTING ACCEPT [10049240:676605874]
:POSTROUTING ACCEPT [3926497:274271010]
:OUTPUT ACCEPT [3078315:216268535]
-A POSTROUTING -s 172.28.32.150 -o eth0 -j SNAT --to-source 82.119.155.202
-A POSTROUTING -s 172.28.32.5 -o eth0 -j SNAT --to-source 82.119.155.202
-A POSTROUTING -s 172.28.32.32 -o eth0 -j SNAT --to-source 82.119.155.202
COMMIT
# Completed on Tue Apr  4 12:06:10 2017
# Generated by iptables-save v1.3.5 on Tue Apr  4 12:06:10 2017
*filter
:INPUT DROP [5975874:474894092]
:FORWARD ACCEPT [51913875:33874744845]
:OUTPUT ACCEPT [331221573:239028945401]
-A INPUT -i eth1 -p tcp -m tcp --dport 3128 -j ACCEPT
-A INPUT -p ipv6-crypt -j ACCEPT
-A INPUT -p udp -m udp --sport 500 --dport 500 -j ACCEPT
-A INPUT -i lo -j ACCEPT
-A INPUT -p icmp -j ACCEPT
-A INPUT -i eth0 -p tcp -m tcp --dport 22 -j ACCEPT
-A INPUT -i eth1 -p tcp -m tcp --dport 22 -j ACCEPT
-A INPUT -i eth0 -p tcp -m tcp --sport 6000 -j ACCEPT
-A INPUT -p tcp -m state --state RELATED,ESTABLISHED -j ACCEPT
-A INPUT -p udp -m state --state RELATED,ESTABLISHED -j ACCEPT
-A INPUT -i vmnet1 -j ACCEPT
-A INPUT -i eth1 -p tcp -m tcp --dport 139 -j ACCEPT
-A INPUT -i eth1 -p tcp -m tcp --dport 445 -j ACCEPT
-A FORWARD -i eth1 -o eth0 -p icmp -m icmp --icmp-type 8 -m limit --limit 1/sec --limit-burst 6 -m length --length 0:90 -j ACCEPT
-A FORWARD -p tcp -m tcp --tcp-flags SYN,RST SYN -j TCPMSS --clamp-mss-to-pmtu
-A FORWARD -d 172.28.32.0/255.255.255.0 -i eth0 -o eth1 -p udp -m comment --comment "Test2" -m udp --sport 55777 --dport 55777 -j ACCEPT
-A FORWARD -i eth0 -o eth1 -p icmp -m icmp --icmp-type any -m conntrack --ctstate ESTABLISHED -j ACCEPT
-A FORWARD -d 172.28.32.0/255.255.255.0 -i eth0 -o eth1 -p udp -m comment --comment "Test2" -m udp --sport 55777 --dport 55777 -j ACCEPT
-A FORWARD -i eth1 -o eth0 -p udp -m comment --comment "Test" -m udp --dport 55777 -m mac --mac-source 20:CF:30:C1:8D:22 -j ACCEPT
COMMIT
# Completed on Tue Apr  4 12:06:10 2017

вот правила

Пользователь добавил сообщение 03 Апреля 2017, 10:20:06:
и ip адрес шлюза в впн

т.е. я пишу так route add (ip рдп или веб -сервиса) to mask 255.255.255.0 а здесь мне ип шлюза писать или что?

Оффлайн fisher74

  • Заслуженный пользователь
  • Старожил
  • *
  • Сообщений: 13756
    • Просмотр профиля
Re: обход squid
« Ответ #25 : 03 Апреля 2017, 10:46:36 »
вот правила
ИМХО, эти правила ниочём. Можно спокойно удалять и всё будет работать.
Если не так, то ой и я попрошу других участников форума разъяснить мне где туплю уже я.

К тому же Вы всё так же продолжаете путать адрес хоста с адресом сети, что прискорбно для безопасности подопечной Вам сети.

т.е. я пишу так route add (ip рдп или веб -сервиса) to mask 255.255.255.0 а здесь мне ип шлюза писать или что?
Эммм... синтаксис зависит от системы.
Но обычно маршрут всегда, даже в жизни, минимум состоит из конечной цели(применительно к сетям хост или сеть) и направления(интерфейс, если он ppp или адрес шлюза).

Оффлайн solideogloria26

  • Автор темы
  • Новичок
  • *
  • Сообщений: 18
    • Просмотр профиля
Re: обход squid
« Ответ #26 : 03 Апреля 2017, 10:51:17 »
Windows 7-я на клиенте стоит, ладно ща методом тыка как всегда))) попробую, отпишусь о результатах.

Оффлайн fisher74

  • Заслуженный пользователь
  • Старожил
  • *
  • Сообщений: 13756
    • Просмотр профиля
Re: обход squid
« Ответ #27 : 03 Апреля 2017, 10:56:23 »
методы тЫка нужны когда нет описаний, а в нормальных системах с документацией проблем нет.
Windows не исключение, route /h в помощь

Оффлайн solideogloria26

  • Автор темы
  • Новичок
  • *
  • Сообщений: 18
    • Просмотр профиля
Re: обход squid
« Ответ #28 : 03 Апреля 2017, 11:10:41 »
метод тыка не прокатил,  видно не до конца понимаю как сделать что б рдп стучалось через впн, не по?дскажите как правильно сделать. что б узел 172.25.4.2, на который стучусь ответил?

Оффлайн fisher74

  • Заслуженный пользователь
  • Старожил
  • *
  • Сообщений: 13756
    • Просмотр профиля
Re: обход squid
« Ответ #29 : 03 Апреля 2017, 11:37:07 »
Я Вас умоляю. Я даже не представляю, где Вы, Ваши впн-ы, и тем более, узел 172.25.4.2.
Для ответа на Ваши вопросы нужно, как минимум, знать структуру сети.

 

Страница сгенерирована за 0.03 секунд. Запросов: 25.