Автор Тема: Проблема iptables и прозрачного прокси (Прочитано 2822 раз)

parfeon · « : 20 Октября 2010, 16:22:10 »

не пойму в чем дело... не получается пустить прозрачный прокси в офисе, делал по инструкции http://www.itcomp.org.ua/os/linux/debian-proxy-3/

вот что выдает iptables-save

# Generated by iptables-save v1.4.2 on Wed Oct 20 20:17:13 2010
*mangle
:PREROUTING ACCEPT [304754:41284854]
:INPUT ACCEPT [285558:40014906]
:FORWARD ACCEPT [19193:1269744]
:OUTPUT ACCEPT [267848:78905462]
:POSTROUTING ACCEPT [287127:80190801]
-A FORWARD -o ppp0 -p tcp -m tcp --tcp-flags SYN,RST SYN -m tcpmss --mss 1400:1536 -j TCPMSS --clamp-mss-to-pmtu
COMMIT
# Completed on Wed Oct 20 20:17:13 2010
# Generated by iptables-save v1.4.2 on Wed Oct 20 20:17:13 2010
*nat
:PREROUTING ACCEPT [7981:565771]
:POSTROUTING ACCEPT [6125:407599]
:OUTPUT ACCEPT [482:36179]
-A PREROUTING -s 192.168.0.0/24 -p tcp -m tcp --dport 80 -j REDIRECT --to-ports 3128
-A PREROUTING -s 192.168.222.0/24 -p tcp -m tcp -j REDIRECT --to-ports 3128
-A PREROUTING -s 192.168.0.0/24 -p tcp -m tcp -j REDIRECT --to-ports 3128
-A POSTROUTING -s 192.168.0.0/24 -o eth0 -j SNAT --to-source 217.65.220.245
COMMIT
# Completed on Wed Oct 20 20:17:13 2010
# Generated by iptables-save v1.4.2 on Wed Oct 20 20:17:13 2010
*filter
:INPUT DROP [1889:113370]
:FORWARD ACCEPT [14841:984363]
:OUTPUT ACCEPT [267870:78908464]
-A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
-A INPUT -i lo -j ACCEPT
-A INPUT -s 192.168.0.0/24 -i eth1 -j ACCEPT
-A INPUT -s 192.168.0.0/24 -i eth1 -j ACCEPT
COMMIT

Пользователь решил продолжить мысль 20 Октября 2010, 18:31:54:

Много что перепробовал вот по адресу прокси и порту подсоединятся, прозрачности нет((

Unreg · « **Ответ #1 :** 20 Октября 2010, 18:44:49 »

Цитировать

# Generated by iptables-save v1.4.2 on Wed Oct 20 18:40:02 2010
*raw
:PREROUTING ACCEPT [88720:49988088]
:OUTPUT ACCEPT [91419:42982423]
COMMIT
# Completed on Wed Oct 20 18:40:02 2010
# Generated by iptables-save v1.4.2 on Wed Oct 20 18:40:02 2010
*mangle
:PREROUTING ACCEPT [88576:49980600]
:INPUT ACCEPT [87342:49472922]
:FORWARD ACCEPT [1004:471749]
:OUTPUT ACCEPT [91421:42982671]
:POSTROUTING ACCEPT [95884:43718443]
-A FORWARD -p tcp -m tcp --tcp-flags SYN,RST SYN -j TCPMSS --clamp-mss-to-pmtu
COMMIT
# Completed on Wed Oct 20 18:40:02 2010
# Generated by iptables-save v1.4.2 on Wed Oct 20 18:40:02 2010
*nat
:PREROUTING ACCEPT [1998:166828]
:POSTROUTING ACCEPT [5885:410090]
:OUTPUT ACCEPT [5885:410090]
-A PREROUTING -s 192.168.0.0/24 -d ! 192.168.0.0/24 -i eth1 -p tcp -m multiport --dports 80,8080 -j DNAT --to-destination 192.168.0.1:3128
-A POSTROUTING -s 192.168.0.0/24 -o eth0 -j SNAT --to-source 217.65.220.245
COMMIT
# Completed on Wed Oct 20 18:40:02 2010
# Generated by iptables-save v1.4.2 on Wed Oct 20 18:40:02 2010
*filter
:INPUT ACCEPT [19415:9944519]
:FORWARD DROP [0:0]
:OUTPUT ACCEPT [21027:8987413]
-A INPUT -m state --state INVALID -j DROP
-A FORWARD -m state --state INVALID -j DROP
-A FORWARD -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
-A FORWARD -i eth1 -m conntrack --ctstate NEW -j ACCEPT
-A FORWARD -m conntrack --ctstate DNAT -j ACCEPT
COMMIT
# Completed on Wed Oct 20 18:40:02 2010

grep transparent /etc/squid/squid.conf

parfeon · « **Ответ #2 :** 20 Октября 2010, 18:47:56 »

http_port 3128 transparent

все прописал сразу. дело в том что до сиквида дело то не доходит. логи пустуют

Unreg · « **Ответ #3 :** 20 Октября 2010, 18:53:06 »

$ sudo netstat -lpant|grep squid
$ ip a
$ ip r

Пользователь решил продолжить мысль 20 Октября 2010, 18:54:29:

предложенные правила пробовали?

parfeon · « **Ответ #4 :** 20 Октября 2010, 18:58:29 »

tcp 0 0 0.0.0.0:3128 0.0.0.0:* LISTEN 2487/(squid)
tcp 0 0 217.65.220.245:38369 89.208.136.153:80 ESTABLISHED 2487/(squid)
tcp 0 0 217.65.220.245:54564 89.208.136.153:80 ESTABLISHED 2487/(squid)
tcp 0 0 192.168.0.1:3128 192.168.0.15:51361 ESTABLISHED 2487/(squid)
tcp 0 0 217.65.220.245:55052 89.208.136.153:80 ESTABLISHED 2487/(squid)
tcp 0 0 217.65.220.245:57771 64.12.104.105:443 ESTABLISHED 2487/(squid)
tcp 0 0 192.168.0.1:3128 192.168.0.3:47755 ESTABLISHED 2487/(squid)
tcp 0 0 192.168.0.1:3128 192.168.0.3:47753 ESTABLISHED 2487/(squid)
tcp 0 0 192.168.0.1:3128 192.168.0.3:47758 ESTABLISHED 2487/(squid)
tcp 0 0 192.168.0.1:3128 192.168.0.15:51350 ESTABLISHED 2487/(squid)
tcp 0 0 217.65.220.245:59653 89.208.136.153:80 ESTABLISHED 2487/(squid)
tcp 0 0 192.168.0.1:3128 192.168.0.15:51376 ESTABLISHED 2487/(squid)
tcp 0 0 192.168.0.1:3128 192.168.0.15:51351 ESTABLISHED 2487/(squid)
tcp 0 0 192.168.0.1:3128 192.168.0.15:51353 ESTABLISHED 2487/(squid)
tcp 0 0 192.168.0.1:3128 192.168.0.3:47751 ESTABLISHED 2487/(squid)
tcp 0 0 192.168.0.1:3128 192.168.0.15:51352 ESTABLISHED 2487/(squid)
tcp 0 0 192.168.0.1:3128 192.168.0.15:49347 ESTABLISHED 2487/(squid)
tcp 0 0 217.65.220.245:53369 89.208.136.153:80 ESTABLISHED 2487/(squid)
tcp 0 0 192.168.0.1:3128 192.168.0.3:47756 ESTABLISHED 2487/(squid)
tcp 0 0 217.65.220.245:52760 74.125.79.100:80 ESTABLISHED 2487/(squid)
tcp 0 0 217.65.220.245:59261 89.208.136.153:80 ESTABLISHED 2487/(squid)
tcp 0 0 217.65.220.245:40915 89.208.136.153:80 ESTABLISHED 2487/(squid)
tcp 0 0 192.168.0.1:3128 192.168.0.3:47757 ESTABLISHED 2487/(squid)
tcp 0 0 192.168.0.1:3128 192.168.0.3:47754 ESTABLISHED 2487/(squid)
tcp 0 0 217.65.220.245:48793 89.208.136.153:80 ESTABLISHED 2487/(squid)

1: lo: <LOOPBACK,UP,LOWER_UP> mtu 16436 qdisc noqueue state UNKNOWN
link/loopback 00:00:00:00:00:00 brd 00:00:00:00:00:00
inet 127.0.0.1/8 scope host lo
2: eth0: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc pfifo_fast state UNKNOWN qlen 1000
link/ether 00:1f:c6:be:49:6d brd ff:ff:ff:ff:ff:ff
inet 217.65.220.245/24 brd 217.65.220.255 scope global eth0
3: eth1: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc pfifo_fast state UNKNOWN qlen 1000
link/ether 00:80:48:3f:bd:e3 brd ff:ff:ff:ff:ff:ff
inet 192.168.0.1/24 brd 192.168.0.255 scope global eth1
11: ppp0: <POINTOPOINT,MULTICAST,NOARP,UP,LOWER_UP> mtu 1492 qdisc pfifo_fast state UNKNOWN qlen 3
link/ppp
inet 217.65.220.245 peer 80.92.216.8/32 scope global ppp0

80.92.216.8 dev ppp0 proto kernel scope link src 217.65.220.245
192.168.0.0/24 dev eth1 proto kernel scope link src 192.168.0.1
217.65.220.0/24 dev eth0 proto kernel scope link src 217.65.220.245
default dev ppp0 scope link

Пользователь решил продолжить мысль 20 Октября 2010, 18:59:02:

Я разные пробовал.

Unreg · « **Ответ #5 :** 20 Октября 2010, 19:03:52 »

разные - это правила?
сейчас правила для netfilter какие??

$ sudo grep -v "^#" /etc/squid/squid.conf | sed -e '/^$/d'

Пользователь решил продолжить мысль 20 Октября 2010, 19:07:58:

$ cat /proc/sys/net/ipv4/ip_forward

parfeon · « **Ответ #6 :** 20 Октября 2010, 19:09:32 »

Возможно я тут чтото напутал но пока не понял что

вот что получается

acl all src all acl manager proto cache_object acl localhost src 127.0.0.1/32 acl to_localhost dst 127.0.0.0/8 acl localnet src 192.168.0.0-192.168.0.150/255.255.255.255 # RFC1918 possible internal network acl lim_access src 192.168.222.0-192.168.223.0/255.255.255.0 acl full_access src 192.168.222.38/255.255.255.255 acl SSL_ports port 443 # https acl SSL_ports port 563 # snews acl SSL_ports port 873 # rsync acl Safe_ports port 80 # http acl Safe_ports port 21 # ftp acl Safe_ports port 443 # https acl Safe_ports port 70 # gopher acl Safe_ports port 210 # wais acl Safe_ports port 1025-65535 # unregistered ports acl Safe_ports port 280 # http-mgmt acl Safe_ports port 488 # gss-http acl Safe_ports port 591 # filemaker acl Safe_ports port 777 # multiling http acl Safe_ports port 631 # cups acl Safe_ports port 873 # rsync acl Safe_ports port 901 # SWAT acl purge method PURGE acl CONNECT method CONNECT http_access allow manager localhost http_access deny manager http_access allow purge localhost http_access deny purge http_access deny !Safe_ports http_access deny CONNECT !SSL_ports http_access allow localhost http_access allow localnet http_access allow all icp_access allow localnet icp_access deny all http_access allow full_access http_access allow lim_access icmp_access allow full_access icmp_access allow full_access http_port 3128 transparent hierarchy_stoplist cgi-bin ? cache_mem 64 MB cache_dir ufs /var/spool/squid 1024 16 256 cache_mgr v.palgov@gmail.com access_log /var/log/squid/access.log squid refresh_pattern ^ftp: 1440 20% 10080 refresh_pattern ^gopher: 1440 0% 1440 refresh_pattern -i (/cgi-bin/|\?) 0 0% 0 refresh_pattern (Release|Package(.gz)*)$ 0 20% 2880 refresh_pattern . 0 20% 4320 delay_pools 2 delay_class 1 3 delay_class 2 3 delay_access 1 allow full_access delay_access 1 deny all delay_access 2 allow lim_access delay_access 2 deny all delay_parameters 1 -1/-1 -1/-1 -1/-1 delay_parameters 2 -1/-1 -1/-1 10000/1024000

Unreg · « **Ответ #7 :** 20 Октября 2010, 19:18:20 »

зачем нужны acl lim_access и full_access не совсем понятно
ip_forward включен?

Цитировать

сейчас правила для netfilter какие??

Пользователь решил продолжить мысль 20 Октября 2010, 19:19:07:

sudo iptables-save показывает что и в 1 посте?

parfeon · « **Ответ #8 :** 20 Октября 2010, 19:24:40 »

Я делал по http://www.itcomp.org.ua/os/linux/debian-proxy-2/

ip_forward включен , у меня выполняется скрипт прописывающий правила в iptables и включающий его

Код: [Выделить]

echo 1 > /proc/sys/net/ipv4/ip_forward
вот что показывает iptables-save

Код: [Выделить]

# Generated by iptables-save v1.4.2 on Wed Oct 20 23:23:23 2010
*filter
:INPUT ACCEPT [26612:3246675]
:FORWARD ACCEPT [44933:2992530]
:OUTPUT ACCEPT [390905:1252420015]
-A INPUT -i lo -j ACCEPT
-A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
-A INPUT -i ! eth0 -m state --state NEW -j ACCEPT
-A FORWARD -i eth0 -o eth1 -m state --state RELATED,ESTABLISHED -j ACCEPT
-A FORWARD -i eth1 -o eth0 -j ACCEPT
-A FORWARD -i eth0 -o eth0 -j REJECT --reject-with icmp-port-unreachable
COMMIT
# Completed on Wed Oct 20 23:23:23 2010
# Generated by iptables-save v1.4.2 on Wed Oct 20 23:23:23 2010
*nat
:PREROUTING ACCEPT [16513:1167842]
:POSTROUTING ACCEPT [15963:1061507]
:OUTPUT ACCEPT [2332:150200]
-A PREROUTING -i eth1 -p tcp -m tcp --dport 53 -j DNAT --to-destination 217.65.209.2
-A PREROUTING -i eth1 -p udp -m udp --dport 53 -j DNAT --to-destination 217.65.209.2
-A PREROUTING -s 192.168.0.0/24 -i eth1 -p tcp -m tcp --dport 80 -j REDIRECT --to-ports 3128
-A PREROUTING -s 192.168.0.0/24 -i eth1 -p tcp -m tcp --dport 8080 -j REDIRECT --to-ports 3128
-A POSTROUTING -o eth0 -j MASQUERADE
COMMIT
# Completed on Wed Oct 20 23:23:23 2010
# Generated by iptables-save v1.4.2 on Wed Oct 20 23:23:23 2010
*mangle
:PREROUTING ACCEPT [1041060:103428072]
:INPUT ACCEPT [995999:100426982]
:FORWARD ACCEPT [44933:2992530]
:OUTPUT ACCEPT [390920:1252422603]
:POSTROUTING ACCEPT [435911:1255428908]
-A FORWARD -o ppp0 -p tcp -m tcp --tcp-flags SYN,RST SYN -m tcpmss --mss 1400:1536 -j TCPMSS --clamp-mss-to-pmtu
COMMIT
# Completed on Wed Oct 20 23:23:23 2010

Unreg · « **Ответ #9 :** 20 Октября 2010, 19:36:28 »

sudo nano /var/ipt

Код: [Выделить]

# Generated by iptables-save v1.4.2 on Wed Oct 20 18:40:02 2010
*raw
:PREROUTING ACCEPT [88720:49988088]
:OUTPUT ACCEPT [91419:42982423]
COMMIT
# Completed on Wed Oct 20 18:40:02 2010
# Generated by iptables-save v1.4.2 on Wed Oct 20 18:40:02 2010
*mangle
:PREROUTING ACCEPT [88576:49980600]
:INPUT ACCEPT [87342:49472922]
:FORWARD ACCEPT [1004:471749]
:OUTPUT ACCEPT [91421:42982671]
:POSTROUTING ACCEPT [95884:43718443]
-A FORWARD -p tcp -m tcp --tcp-flags SYN,RST SYN -j TCPMSS --clamp-mss-to-pmtu
COMMIT
# Completed on Wed Oct 20 18:40:02 2010
# Generated by iptables-save v1.4.2 on Wed Oct 20 18:40:02 2010
*nat
:PREROUTING ACCEPT [1998:166828]
:POSTROUTING ACCEPT [5885:410090]
:OUTPUT ACCEPT [5885:410090]
-A PREROUTING -i eth1 -p tcp -m tcp --dport 53 -j DNAT --to-destination 217.65.209.2
-A PREROUTING -i eth1 -p udp -m udp --dport 53 -j DNAT --to-destination 217.65.209.2
-A PREROUTING -s 192.168.0.0/24 -d ! 192.168.0.0/24 -i eth1 -p tcp -m multiport --dports 80,8080 -j DNAT --to-destination 192.168.0.1:3128
-A POSTROUTING -s 192.168.0.0/24 -o eth0 -j MASQUERADE
-A POSTROUTING -s 192.168.0.0/24 -o ppp0 -j MASQUERADE
COMMIT
# Completed on Wed Oct 20 18:40:02 2010
# Generated by iptables-save v1.4.2 on Wed Oct 20 18:40:02 2010
*filter
:INPUT ACCEPT [19415:9944519]
:FORWARD DROP [0:0]
:OUTPUT ACCEPT [21027:8987413]
-A INPUT -m state --state INVALID -j DROP
-A FORWARD -m state --state INVALID -j DROP
-A FORWARD -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
-A FORWARD -i eth1 -m conntrack --ctstate NEW -j ACCEPT
-A FORWARD -m conntrack --ctstate DNAT -j ACCEPT
COMMIT
# Completed on Wed Oct 20 18:40:02 2010

$ sudo iptables-restore < /var/ipt

Цитировать

1: lo: <LOOPBACK,UP,LOWER_UP> mtu 16436 qdisc noqueue state UNKNOWN
link/loopback 00:00:00:00:00:00 brd 00:00:00:00:00:00
inet 127.0.0.1/8 scope host lo
2: eth0: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc pfifo_fast state UNKNOWN qlen 1000
link/ether 00:1f:c6:be:49:6d brd ff:ff:ff:ff:ff:ff
inet 217.65.220.245/24 brd 217.65.220.255 scope global eth0
3: eth1: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc pfifo_fast state UNKNOWN qlen 1000
link/ether 00:80:48:3f:bd:e3 brd ff:ff:ff:ff:ff:ff
inet 192.168.0.1/24 brd 192.168.0.255 scope global eth1
11: ppp0: <POINTOPOINT,MULTICAST,NOARP,UP,LOWER_UP> mtu 1492 qdisc pfifo_fast state UNKNOWN qlen 3
link/ppp
inet 217.65.220.245 peer 80.92.216.8/32 scope global ppp0

это как?

доступ с самого ПК-роутера в Интернет работает?
как он настроен то?

$ cat /etc/network/interfaces

parfeon · « **Ответ #10 :** 20 Октября 2010, 19:45:41 »

Да доступ есть, тем более что если в браузерах местной сети прописать адрес прокси то выход в интернет есть,
DHCP раздает настройки сети со шлюзом 192.168.0.1 - на этом компьютере все работает

в пк роутере сеть настроена так
# This file describes the network interfaces available on your system
# and how to activate them. For more information, see interfaces(5).

# The loopback network interface
auto lo
iface lo inet loopback

# Внешний интерфейс
allow-hotplug eth0
iface eth0 inet static
address 217.65.220.245
netmask 255.255.255.0
auto eth0

# Внутренняя сеть
allow-hotplug eth1
iface eth1 inet static
address 192.168.0.1
netmask 255.255.255.0
#gateway 192.168.0.4
auto eth1

auto dsl-provider
iface dsl-provider inet ppp
pre-up /sbin/ifconfig eth0 up # line maintained by pppoeconf
provider dsl-provider

Соединяется с АДСЛ и получает статический ip

Unreg · « **Ответ #11 :** 20 Октября 2010, 19:50:31 »

sudo dhclient eth0
что говорит?

parfeon · « **Ответ #12 :** 20 Октября 2010, 19:51:15 »

Все заработало! Спасибо огромное!

Unreg · « **Ответ #13 :** 20 Октября 2010, 20:43:29 »

всё таки не красиво на 2 разных интерфейсах одинаковый ip адрес
либо модем в режим роутера и snat включить на eth0, либо eth0 назначить адрес, доступный из для LAN интерфейса модема и оставить модем в режиме работы "мост"

parfeon · « **Ответ #14 :** 20 Октября 2010, 22:27:07 »

Там проблема в том что к нам в офис приходит уже витая пара по которой и устанавливается pppoe соединение... а уж где модем стоит непонятно.

Форум русскоязычного сообщества Ubuntu

Автор Тема: Проблема iptables и прозрачного прокси (Прочитано 2822 раз)

parfeon

Проблема iptables и прозрачного прокси

Unreg

Re: Проблема iptables и прозрачного прокси

parfeon

Re: Проблема iptables и прозрачного прокси

Unreg

Re: Проблема iptables и прозрачного прокси

parfeon

Re: Проблема iptables и прозрачного прокси

Unreg

Re: Проблема iptables и прозрачного прокси

parfeon

Re: Проблема iptables и прозрачного прокси

Unreg

Re: Проблема iptables и прозрачного прокси

parfeon

Re: Проблема iptables и прозрачного прокси

Unreg

Re: Проблема iptables и прозрачного прокси

parfeon

Re: Проблема iptables и прозрачного прокси

Unreg

Re: Проблема iptables и прозрачного прокси

parfeon

Re: Проблема iptables и прозрачного прокси

Unreg

Re: Проблема iptables и прозрачного прокси

parfeon

Re: Проблема iptables и прозрачного прокси