Форум русскоязычного сообщества Ubuntu


Считаете, что Ubuntu недостаточно дружелюбна к новичкам?
Помогите создать новое Руководство для новичков!

Автор Тема: Полностью прозрачный прокси или антиUfw  (Прочитано 1849 раз)

0 Пользователей и 1 Гость просматривают эту тему.

Оффлайн Langaru

  • Автор темы
  • Новичок
  • *
  • Сообщений: 35
    • Просмотр профиля
Доброго времени суток!
Начал разбираться с Ubuntu Server. Поставил, настроил dhcp, nat, ufw. На ufw дефолтное правило "запретить". Разрешил ходить по http(s), ftp. Проверил на внутресетевой машинке - работает: в браузере всё отображается, по фтп ходит, почта не работает. Далее поставил squid и разрешил его в ufw. Тоже все нормально. Запретил ufw всё, кроме порта прокси (стандартный 3128). Проверил - работает. Пока не пропишешь в настройках прокси - ничего не работает, с настройкой - работает. Сделал прокси прозрачным - завернул на порт 3128 порты 80, 8080, 443. Вот тут то и началась непонятка. Работает ВСЁ! Настройка ufw осталась та же: разрешено только 3128. Но кроме работы браузера работает и почта, и фтп, и всё остальное. Специально проверял другие порты (через ММО) - они также открыты.
Собственно вопрос: что произошло и почему всё стало открытым?
NAT настравивался через iptables MASQUERADE.
Настройки iptables для заворота портов на прокси:
iptables -t nat -A PREROUTING -i eth0 -p tcp -m tcp --dport 80 -j DNAT --to-destination 10.0.9.1:3128
iptables -t nat -A PREROUTING -i eth0 -p tcp -m tcp --dport 80 -j REDIRECT --to-ports 3128
iptables -t nat -A PREROUTING -i eth0 -p tcp -m tcp --dport 8080 -j DNAT --to-destination 10.0.9.1:3128
iptables -t nat -A PREROUTING -i eth0 -p tcp -m tcp --dport 8080 -j REDIRECT --to-ports 3128
iptables -t nat -A PREROUTING -i eth0 -p tcp -m tcp --dport 443 -j DNAT --to-destination 10.0.9.1:3128
iptables -t nat -A PREROUTING -i eth0 -p tcp -m tcp --dport 443 -j REDIRECT --to-ports 3128
Настройки ufw (ufw-status):
Anywhere           ALLOW          10.0.9.0/24
3128               ALLOW          Anywhere

Второй вопрос также касается прокси.
Использовал несколько программ для мониторинга сетевой активности через прокси. Все работали только тогда, когда в браузере стояла настройка прокси, при прозрачном все программы молчали. Попробовал sams, правда до конца не разобрался и настроить его до конца так и не смог. Поставил привязки по ip, создал пользователей, но ничего не видит.
Вообщем вопрос в следующем: могут ли какие-нибудь программы видеть трафик при прозрачном прокси?
Если у кто-нибудь может поделиться описанием настройки sams, также буду признателен.

Гарри Кашпировский

  • Гость
Re: Полностью прозрачный прокси или антиUfw
« Ответ #1 : 14 Январь 2012, 01:05:28 »
Вопрос
Цитировать
Собственно вопрос: что произошло и почему всё стало открытым?
Ответ
Цитировать
NAT настравивался через iptables MASQUERADE
.
Цитировать
Настройки iptables для заворота портов на прокси:
Ужасно.
iptables -t nat -A PREROUTING -i eth0 -p tcp -m multiport --dports 80,8080,443 -j DNAT --to-destination 10.0.9.1:3128

Оффлайн Langaru

  • Автор темы
  • Новичок
  • *
  • Сообщений: 35
    • Просмотр профиля
Re: Полностью прозрачный прокси или антиUfw
« Ответ #2 : 14 Январь 2012, 09:11:44 »
Цитировать
Вопрос
Цитировать
Собственно вопрос: что произошло и почему всё стало открытым?
Ответ
Цитировать
NAT настравивался через iptables MASQUERADE
.
Тогда другие вопросы:
1. Почему при работающем НАТе до установки squid'а трафик ходил только там, где позволял ufw?
2. Как сделать так, чтобы ходил только по разрещённым портам?
Цитировать
Цитировать
Настройки iptables для заворота портов на прокси:
Ужасно.
iptables -t nat -A PREROUTING -i eth0 -p tcp -m multiport --dports 80,8080,443 -j DNAT --to-destination 10.0.9.1:3128
С iptables до конца не разобрался, поэтому и появляются такие ляпы. Через мультипорт пробовал - не получалось :(
Есть ли придел по колличеству задаваемух портов в мультипорте?
« Последнее редактирование: 14 Январь 2012, 09:15:52 от Langaru »

Оффлайн Langaru

  • Автор темы
  • Новичок
  • *
  • Сообщений: 35
    • Просмотр профиля
Re: Полностью прозрачный прокси или антиUfw
« Ответ #3 : 15 Январь 2012, 16:33:57 »
Ужасно.
iptables -t nat -A PREROUTING -i eth0 -p tcp -m multiport --dports 80,8080,443 -j DNAT --to-destination 10.0.9.1:3128
Так тоже пробовал - ругается, что нот валид. Мультипорт записан не правильно.
Цитировать
Есть ли придел по колличеству задаваемух портов в мультипорте?
Оказывается 15 штук:)
С маскарадингом кажется разобрался. Надо просто убрать его и оставить только порты на DNAT. Тогда возникает вопрос: А на кой вообще тогда нужен ufw в данное ситуации? Т.е. его можно и выключить?

Пользователь решил продолжить мысль 15 Январь 2012, 23:40:38:
Вообщем смотрю особо рьяных желающих объяснять нет. *Ушёл познавать дзен, углубляясь в iptables.*
« Последнее редактирование: 15 Январь 2012, 23:41:33 от Langaru »

 

Страница сгенерирована за 0.055 секунд. Запросов: 24.