Банк-клиент + SQUID + IPTABLES

[Дэлфи]

Коллективный разум, помогай! Второй день бьюсь((((
Значит имеем: Ubuntu Server 9.10, SQUID 2.7 непрозрачный, программу банк-клиент (чёрт бы её побрал).
Задача: заставить банк-клиент работать.
Показания к применению: через прокси работать не хочет, не будет и вообще. Нужно НАТить.

Лечение: Имеем такую вот схемку iptables - скрипт rc.local

(Нажмите, чтобы показать/скрыть)

echo 1 > /proc/sys/net/ipv4/ip_forward

#Настройка файрволла под Ваши задачи.

iptables -P INPUT DROP
#iptables -P OUTPUT DROP
iptables -P OUTPUT ACCEPT
iptables -P FORWARD DROP

# Пропускаем обратную петлю
iptables -A INPUT -d 127.0.0.1 -j ACCEPT

# Пропускаем пакеты уже установленных соединений
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
#iptables -A OUTPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT

# Пропускаем сквид
#iptables -A OUTPUT -m owner --uid-owner squid -j ACCEPT

# Пускаем локалку
iptables -A INPUT -s 192.168.1.0/24 -j ACCEPT

# Пускаем меня :-)
iptables -A INPUT -p tcp --dport 22 -j ACCEPT

# Поднимаем nat
iptables -t nat -A POSTROUTING -o eth0 -j SNAT --to-source $_WAN_IP

# Выпускаем пользователей по одному, тех кому нужен прямой доступ к каким-то там портам
#iptables -A FORWARD -s <ip адрес пользователя> -p <протокол> --dport <номер порта> -j ACCEPT
iptables -A FORWARD -s 192.168.1.0/24 -p tcp -m multiport --dport 110,25,443,995 -j ACCEPT

#Все.

exit 0

Далее по аналогии с почтовыми портами пытаемся выпустить банк-клиент наружу:

Код: [Выделить]

iptables -A FORWARD -s 192.168.1.6 -d $_BANK_IP1 -p tcp --dport 1024 -j ACCEPT
iptables -A FORWARD -s 192.168.1.6 -d $_BANK_IP2 -p tcp --dport 1024 -j ACCEPT
iptables -A FORWARD -s 192.168.1.6 -d $_BANK_IP1 -p udp --dport 87 -j ACCEPT
iptables -A FORWARD -s 192.168.1.6 -d $_BANK_IP2 -p udp --dport 87 -j ACCEPT

А так же (банк говорит: "НАДО!"...) пропускаем входящие пакеты:

Код: [Выделить]

iptables -A INPUT -p tcp --dport 1024 -j ACCEPT
iptables -A INPUT -p udp --dport 87 -j ACCEPT

и MAPим их внутрь сети:

Код: [Выделить]

iptables -t nat -A PREROUTING -p tcp -s $_BANK_IP1 -d $_WAN_IP --dport 1024 -j DNAT --to-destination 192.168.1.6:1024
iptables -t nat -A PREROUTING -p tcp -s $_BANK_IP2 -d $_WAN_IP --dport 1024 -j DNAT --to-destination 192.168.1.6:1024
ptables -A FORWARD -i eth0 -d 192.168.1.6 -p tcp --dport 1024 -j ACCEPT
iptables -t nat -A PREROUTING -p udp -s $_BANK_IP1 -d $_WAN_IP --dport 87 -j DNAT --to-destination 192.168.1.6:87
iptables -t nat -A PREROUTING -p udp -s $_BANK_IP2 -d $_WAN_IP --dport 87 -j DNAT --to-destination 192.168.1.6:87
iptables -A FORWARD -i eth0 -d 192.168.1.6 -p udp --dport 87 -j ACCEPT

Идём проверять... Не работает(((

Диагноз: Либо я заработался, либо ещё не всё догоняю, но в упор не вижу причину, по которой не работает, уже второй день. ((( В общем, взгляните свежим взглядом и посоветуйте чего-нибудь, пожалуйста.

[uid0]

Я бы на Вашем месте сначала разрешил весь трафик на машину с клиент-банком, и только уже потом пробрасывал порты. Опять же убедился бы ещё раз на каких именно портах эта дрянь работает !

[Дэлфи]

Код: [Выделить]

iptables -P INPUT ACCEPT
iptables -P OUTPUT ACCEPT
iptables -P FORWARD ACCEPT

iptables -F
iptables -t nat -F
затем

Код: [Выделить]

echo 1 > /proc/sys/net/ipv4/ip_forward
iptables -t nat -I POSTROUTING -s 192.168.1.6 -d $_BANK_IP1 -j SNAT --to-source $_WAN_IP
iptables -t nat -I POSTROUTING -s 192.168.1.6 -d $_BANK_IP2 -j SNAT --to-source $_WAN_IP

Да, вот так он подключился... Но банк ещё раз уверил, что IP-адреса и порты они сказали верно...

Код: [Выделить]

netstat -anвыдаёт кучу соединений на кучу портов, но ни нужных нам портов, ни IP-адресов банка там нет... ((((

ОК, давайте по порядку.... Предположим, что данные верны. Так вот, мои цепочки должны работать? Т.е. у меня всё правильно составлено или всё же где-то есть мой косяк? Просто прежде, чем наехать на банк, мне нужно удостовериться в своей правоте...

[AnrDaemon]

В предположении, что на машине, с которой запускается клиент-банк, прописан маршрут в банк через маршрутизатор, на котором ты крутишь правила - да. Должно работать.

[fisher74]

Цепочки INPUT и OUTPUT в Вашем случае не работают, потому как траффик в них не попадает.
Если описанные в последнем Вашем сообщении правила достаточны для работы клиент-банка, то и MAP-ить порты на клиентскую машину нет необходимости.
Т.е. нужно обеспечить соединение клиента по портам tcp/1024 и udp/87,а так же разрешить пакеты уже установленного соединения по этим же портам.
Кстати, опция -d позволяет перечисление IP-адресов/сетей через запятую.
Потому вижу правила обеспечивающими работу клиент-банка примерно такими:

Код: [Выделить]

iptables -P FORWARD DROP
iptables -A FORWARD -s $_BANK_IP1,$_BANK_IP2 -m state --state RELATED,ESTABLISHED -j ACCEPT
iptables -A FORWARD -s 192.168.1.6 -d $_BANK_IP1,$_BANK_IP2 -p tcp --dport 1024 -j ACCEPT
iptables -A FORWARD -s 192.168.1.6 -d $_BANK_IP1,$_BANK_IP2 -p udp --dport 87 -j ACCEPT
iptables -t nat -I POSTROUTING -s 192.168.1.6 -d $_BANK_IP1,$_BANK_IP2 -j SNAT --to-source $_WAN_IP
Как я уже говорил, цепочки INPUT и OUTPUT в этом процессе не участвуют, потому их состояние не имеет значения для сабжа

Коллеги. поправляйте, если где ошибся

[Дэлфи]

В предположении, что на машине, с которой запускается клиент-банк, прописан маршрут в банк через маршрутизатор, на котором ты крутишь правила - да. Должно работать.

ну статических маршрутов там не прописано, но и так весь трафик идёт через шлюз, коим является вышеописанный сервер.

Цепочки INPUT и OUTPUT в Вашем случае не работают, потому как траффик в них не попадает.
Если описанные в последнем Вашем сообщении правила достаточны для работы клиент-банка, то и MAP-ить порты на клиентскую машину нет необходимости.
Т.е. нужно обеспечить соединение клиента по портам tcp/1024 и udp/87,а так же разрешить пакеты уже установленного соединения по этим же портам.
Кстати, опция -d позволяет перечисление IP-адресов/сетей через запятую.
Потому вижу правила обеспечивающими работу клиент-банка примерно такими:

Код: [Выделить]

iptables -P FORWARD DROP
iptables -A FORWARD -s $_BANK_IP1,$_BANK_IP2 -m state --state RELATED,ESTABLISHED -j ACCEPT
iptables -A FORWARD -s 192.168.1.6 -d $_BANK_IP1,$_BANK_IP2 -p tcp --dport 1024 -j ACCEPT
iptables -A FORWARD -s 192.168.1.6 -d $_BANK_IP1,$_BANK_IP2 -p udp --dport 87 -j ACCEPT
iptables -t nat -I POSTROUTING -s 192.168.1.6 -d $_BANK_IP1,$_BANK_IP2 -j SNAT --to-source $_WAN_IP
Как я уже говорил, цепочки INPUT и OUTPUT в этом процессе не участвуют, потому их состояние не имеет значения для сабжа

Коллеги. поправляйте, если где ошибся

так как в начале используется "iptables -P INPUT DROP", то без явного указания все пакеты отбрасываются, в частности извне.

[podkovyrsty]

Цепочки INPUT и OUTPUT в Вашем случае не работают, потому как траффик в них не попадает.
Если описанные в последнем Вашем сообщении правила достаточны для работы клиент-банка, то и MAP-ить порты на клиентскую машину нет необходимости.
Т.е. нужно обеспечить соединение клиента по портам tcp/1024 и udp/87,а так же разрешить пакеты уже установленного соединения по этим же портам.
Кстати, опция -d позволяет перечисление IP-адресов/сетей через запятую.
Потому вижу правила обеспечивающими работу клиент-банка примерно такими:

Код: [Выделить]

iptables -P FORWARD DROP
iptables -A FORWARD -s $_BANK_IP1,$_BANK_IP2 -m state --state RELATED,ESTABLISHED -j ACCEPT
iptables -A FORWARD -s 192.168.1.6 -d $_BANK_IP1,$_BANK_IP2 -p tcp --dport 1024 -j ACCEPT
iptables -A FORWARD -s 192.168.1.6 -d $_BANK_IP1,$_BANK_IP2 -p udp --dport 87 -j ACCEPT
iptables -t nat -I POSTROUTING -s 192.168.1.6 -d $_BANK_IP1,$_BANK_IP2 -j SNAT --to-source $_WAN_IP
Как я уже говорил, цепочки INPUT и OUTPUT в этом процессе не участвуют, потому их состояние не имеет значения для сабжа

Коллеги. поправляйте, если где ошибся

Из опыта могу сказать, что был банк, кидающийся назад NEW пакетами на непонятные порты.
Вобщем для начала надо в прероутинге все пакеты от банка пропустить, неважно с какого порта и в каком стэйте, и делать им -j LOG
А потом смотреть.

[Дэлфи]

Из опыта могу сказать, что был банк, кидающийся назад NEW пакетами на непонятные порты.
Вобщем для начала надо в прероутинге все пакеты от банка пропустить, неважно с какого порта и в каком стэйте, и делать им -j LOG
А потом смотреть.

ну, в принципе, это можно и банку предъявить. меня как бы интересует пока что только правильность моих настроек. Т.е. банк говорит "надо открыть вот эти порты на входящие и исходящие соединения для IP1 и IP2", я настраиваю по их словам и мои настройки должны работать. Если что-то не работает, то не по моей вине. Вот в чём я должен быть уверен. Просто организация не моя, я всего лишь помогаю. Поэтому если я всё сделаю правильно, а работать не будет, то они таки вытащат поддержку банка на выезд.

[NanoGlist]

Настраивается очень легко. Делаем проброс на прямой IP адрес вашего прокси, затем редиректим порты на IP адрес Банка. У нас так работает все замечательно. Плюс если имеете одинаковую подсеть с банком, как в моем случае 10.0.0.0, то ставим вырезатель в GPO.
P.S. Естественно в правилах указываем это все для  IP ADDRESS_а машины с Клиент-Банк_ом. И еще 20 и 21 порты надо открыть, используются для приема-отправки почты и файлов в клиенте.

[fisher74]

так как в начале используется "iptables -P INPUT DROP", то без явного указания все пакеты отбрасываются, в частности извне.

Да, но пакеты отбрасываются те, должны пойдут через  эту цепочку. Изучите где именно стоит эта цепочка работает и поймёте, что в Вашем случае она не повлияет.
По пробросу портов повторюсь: если у Вас клиент-банк работает по правилам озвученным в 2-ом сообщении, то описанная мной схема тоже будет работать.
Пользователь решил продолжить мысль 07 Апреля 2011, 09:48:08:Если таки Вам хочется пробросить порты на клиента, то добавьте ещё

Код: [Выделить]

iptables -t nat -A PREROUTING -p tcp -s $_BANK_IP1,$_BANK_IP2 -d $_WAN_IP --dport 1024 -j DNAT --to-destination 192.168.1.6:1024
iptables -t nat -A PREROUTING -p udp -s $_BANK_IP1,$_BANK_IP2 -d $_WAN_IP --dport 87 -j DNAT --to-destination 192.168.1.6:87
ЗЫ. С podkovyrsty полностью солидарен

[Дэлфи]

Да, но пакеты отбрасываются те, должны пойдут через  эту цепочку. Изучите где именно стоит эта цепочка работает и поймёте, что в Вашем случае она не повлияет.
По пробросу портов повторюсь: если у Вас клиент-банк работает по правилам озвученным в 2-ом сообщении, то описанная мной схема тоже будет работать.
Пользователь решил продолжить мысль 07 Апреля 2011, 09:48:08:Если таки Вам хочется пробросить порты на клиента, то добавьте ещё

Код: [Выделить]

iptables -t nat -A PREROUTING -p tcp -s $_BANK_IP1,$_BANK_IP2 -d $_WAN_IP --dport 1024 -j DNAT --to-destination 192.168.1.6:1024
iptables -t nat -A PREROUTING -p udp -s $_BANK_IP1,$_BANK_IP2 -d $_WAN_IP --dport 87 -j DNAT --to-destination 192.168.1.6:87
ЗЫ. С podkovyrsty полностью солидарен

Значит, выходит, что мои настройки должны работать. Разве что там есть немного лишнего. Значит будем трясти банк по поводу адресов и портов. Ибо, честное слово, в "netstat -an" по поводу имеющихся данных полная пустота.

Всем спасибо за помощь!

[drako]

Моя просто плакать с ТС. Батенька шли бы Вы на курсы повышения квалификации, а не предъявы банку пытались делать. Вам уже дали правильный ответ(4), правда Вы его в силу своего мегаинтелекта отбросили сразу. На 99% уверен что и история про входящие порты из той же оперы( не сладко видимо клиентам банка, сидящим за натами провайдеров где-нить в бизнес-центрах).

[Дэлфи]

О, мудрейший из мудрейших! Благодарю Вас за снисхождение до ответа на мой пост и обязательно прислушаюсь к Вашему совету, как только пойму как запустить программу линукс на windows xp.

[AnrDaemon]

Моя просто плакать с ТС. Батенька шли бы Вы на курсы повышения квалификации, а не предъявы банку пытались делать. Вам уже дали правильный ответ(4), правда Вы его в силу своего мегаинтелекта отбросили сразу. На 99% уверен что и история про входящие порты из той же оперы( не сладко видимо клиентам банка, сидящим за натами провайдеров где-нить в бизнес-центрах).

Нежнее, ещё нежнее.

ну, в принципе, это можно и банку предъявить. меня как бы интересует пока что только правильность моих настроек. Т.е. банк говорит "надо открыть вот эти порты на входящие и исходящие соединения для IP1 и IP2",

А вот с этого места поподробнее, пожалуйста. Зачем банку входящие?... Хотя... для UDP может потребоваться.
Попробуй таки добавить
iptables -t nat -A PREROUTING -p udp -s $_BANK_IP1,$_BANK_IP2 -d $_WAN_IP --dport 87 -j DNAT --to-destination 192.168.1.6:87
iptables -A FORWARD -m conntrack --ctstate DNAT -j ACCEPT

[Дэлфи]

В общем, кино и немцы)))
Сегодня всё уже работает вот с такими настройками:

Код: [Выделить]

echo 1 > /proc/sys/net/ipv4/ip_forward

iptables -P INPUT DROP
iptables -P OUTPUT ACCEPT
iptables -P FORWARD DROP

# Пропускаем обратную петлю
iptables -A INPUT -d 127.0.0.1 -j ACCEPT

# Пропускаем пакеты уже установленных соединений
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT

# Пускаем локалку
iptables -A INPUT -s 192.168.1.0/24 -j ACCEPT

# Поднимаем nat
iptables -t nat -A POSTROUTING -o eth0 -j SNAT --to-source $_WAN_IP

# Банк клиент
iptables -A FORWARD -s 192.168.1.6 -d $_BANK_IP1 -p tcp --dport 1024 -j ACCEPT
iptables -A FORWARD -s 192.168.1.6 -d $_BANK_IP2 -p udp --dport 87 -j ACCEPT
То есть те же, что и были, разве что убрались ненужные, как мне объяснили, цепочки INPUT и решил попробовать без MAP-а пока. Ах, да, и ещё банк сообщил, что TCP 1024 - это для IP1, а UDP 87 - это для IP2. В остальном всё то же самое, но сегодня это работает)) В чём прикол не знаю. ))

Кстати...

...
Кстати, опция -d позволяет перечисление IP-адресов/сетей через запятую.
...

Ошибку выдаёт, типа сеть такая не найдена. Может там должно быть по аналогии с этим?

Код: [Выделить]

-m multiport --dport port1,port2,port3