ubuntu server + squid3 прокси проброс портов для vpn клиентов

[crysis-ps]

Добрый день, есть вот такая задачка. Поднимаю прозрачный прокси сервер на ubuntu server 11.10 + squid.
По различным мануальчикам вроде как настроил
eth0 смотрит на роутер с интернетом
eth1 смотрит в лок сеть
Натсройки интерфейсов

(Нажмите, чтобы показать/скрыть)

# The loopback network interface
auto lo
iface lo inet loopback

post-up /etc/nat

# inet
auto eth0
iface eth0 inet static
      address 192.168.0.200
      netmask 255.255.255.0
      gateway 192.168.0.1

# local
auto eth1
iface eth1 inet static
      address 192.168.1.1
      netmask 255.255.255.0

собственно скрипт для iptables

(Нажмите, чтобы показать/скрыть)

iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE
iptables -t nat -A PREROUTING -s 192.168.1.0/24 -i eth1 -p tcp -m multiport --dports 80,8080 -j REDIRECT --to-ports 3128

и настройки squid

(Нажмите, чтобы показать/скрыть)

acl localnet src 192.168.1.0/24

http_access allow localnet
http_access allow localhost

acl SSL_ports port 443
acl Safe_ports port 80      # http
acl Safe_ports port 21      # ftp
acl Safe_ports port 443      # https
acl Safe_ports port 70      # gopher
acl Safe_ports port 210      # wais
acl Safe_ports port 1025-65535   # unregistered ports
acl Safe_ports port 280      # http-mgmt
acl Safe_ports port 488      # gss-http
acl Safe_ports port 591      # filemaker
acl Safe_ports port 777      # multiling http
acl Safe_ports port 1723
acl Safe_ports port 47
acl CONNECT method CONNECT

http_port 3128 transparent

прозрачное проксирование работает, в инет всех пускает и сайты блокирует какие надо), вот только есть необходимость у разных win компьютеров из лок сети подключаться к внешним впн серверам. а прокси их по-видимому не пускает. после долгой проверки имени пользователя/пароля выдает ошибку "ошибка 619. Не удается подклчиться к удаленному компьтеру, поэтому порт подключения закрыт."
Подскажите пожалуйста, можно ли как пробросить порты для vpn.

[Vened]

Ну так просто в iptables разрешить доступ к этим портам.
На какой порт клиент ломится?

[fisher74]

Например для OpenVPN с IP 192.168.1.12 так:

Код: [Выделить]

sudo iptables -P FORWARD DROP
sudo iptables -A FORWARD -m state --state RELATED,ESTABLISHED -j ACCEPT
sudo iptables -A FORWARD -s 192.168.1.12 -p udp --dport 1194 -j ACCEPT

[crysis-ps]

вот только у меня конкретного ip нету. у меня разные  локальные компьютеры (например 192.168.1.77,192.168.1.50,192.168.1.52)   являются клиентами впн серверов в интернете(впн сервера тоже разные, есть и openvpn и ppp).Можно ли как то все эти порты разрешить ?)

[fisher74]

ppp - это не VPN.

К сожалению netfilter не обладает ИИ и требует конкретики. Их же не стотышмильонов используется. Я думаю всё равно можно определить список как серверов, так и клиентов.

[Vened]

а нельзя просто взять и разрешить всем внутренним IP конектиться на внешний порт?

[crysis-ps]

сори, имел в виду pptpd.
то есть получается что мне нужно от конкретного внешнего адреса сделать проброс к конкретному внутреннему для определенного порта, и так для всех клиентов?
а можно тогда пример, а то не разбираюсь в iptables. вот например внешний pptp сервер 90.90.90.90 ему нужны порты 1723 и 47. какие правила нужны, чтобы клиентский компьютер 192.168.1.77 смог к нему подключиться?
Пользователь решил продолжить мысль 04 Мая 2012, 16:45:57:

а нельзя просто взять и разрешить всем внутренним IP конектиться на внешний порт?

А как это? я просто мало еще в Linuxе разбираюсь)
Пользователь решил продолжить мысль 04 Мая 2012, 16:49:01:а нельзя ли вообще сделать так, чтобы весь инет раздавался в локальную сеть без ограничений, а на squid заворачивался браузерный трафик и почтовый?

[fisher74]

можно, даже тема прибитая висит.

P.S. Только вот почтовый траффик не пойдёт через кальмара. Не для этого он был написан

[Yuriy_Y]

а то не разбираюсь в iptables. вот например внешний pptp сервер 90.90.90.90 ему нужны порты 1723 и 47. какие правила нужны, чтобы клиентский компьютер 192.168.1.77 смог к нему подключиться?

Не трогай иптаблесы. В /etc/modules добавь просто загрузку модулей nf_conntrack_pptp и nf_nat_pptp.

[crysis-ps]

а то не разбираюсь в iptables. вот например внешний pptp сервер 90.90.90.90 ему нужны порты 1723 и 47. какие правила нужны, чтобы клиентский компьютер 192.168.1.77 смог к нему подключиться?

Не трогай иптаблесы. В /etc/modules добавь просто загрузку модулей nf_conntrack_pptp и nf_nat_pptp.

у меня почему то после этого и перезагрузки не видит обе сетевухи(

[fisher74]

Загрузка этих модулей никак не связана с потерей сетевух. Если, конечно, не накосячили в /etc/modules

[crysis-ps]

сделал правила iptables как в https://forum.ubuntu.ru/index.php?topic=85249.30

(Нажмите, чтобы показать/скрыть)

iptables -t nat -F
iptables -t filter -F
iptables -t mangle -F
iptables -t nat -A PREROUTING -i eth1 -p tcp -d! 192.168.1.1 --dport 80 -j REDIRECT --to-ports 3128
iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE
iptables -P FORWARD DROP
iptables -A FORWARD -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
iptables -A FORWARD -m conntrack --ctstate NEW ! -i eth0 -j ACCEPT
iptables -t mangle -A FORWARD -p tcp --tcp-flags SYN,RST SYN -j TCPMSS --clamp-mss-to-pmtu
iptables -P INPUT DROP
iptables -A INPUT -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
iptables -A INPUT ! -i eth0 -j ACCEPT
iptables -A INPUT -p tcp -m multiport --dports 22,80,447,110,25,47,1723 -j ACCEPT
iptables -A INPUT -i lo -j ACCEPT

теперь все работает=)
подскажите пожалуйста как сделать проброс портов к внутреннему серверу рдп
пробовал вот так:

Код: [Выделить]

iptables -I FORWARD 1 -i eth0 -o eth1 -d 192.168.1.99 -p tcp -m tcp --dport 3389 -j ACCEPT
iptables -t nat -A PREROUTING --dst 82.xxx.xxx.xxx -p tcp --dport 3389 -j DNAT --to-destination 192.168.1.99
но не работает(

Пользователь решил продолжить мысль 11 Мая 2012, 13:29:41:подскажите пожалуйста,как узнать в чем может быть дело. у меня при перезагрузке пишет Killing all remaining processes… [fail]
и потом при включении висит на Waiting network configuration more 60 sec и включается с неопределенной внешней сетевухой.
если же выдернуть кабель питания и потом включить комп, то сетевухи нормально определяются

[fisher74]

У 192.168.1.99 какой дефолтный шлюз?

подскажите пожалуйста,как узнать в чем может быть дело.

Думаю это вопрос из другой темы, связанный с драйверами, и требует отдельного топика.

[crysis-ps]

У 192.168.1.99 какой дефолтный шлюз?

Шлюзом является 192.168.1.1

Сейчас прописал вт такие настройки:

Код: [Выделить]

iptables -A FORWARD -i eth0 -d 192.168.1.99 -p tcp --dport 3389 -j ACCEPT
 
iptables -t nat -A PREROUTING -p tcp -d 82.ххх.ххх.104 --dport 3389 -j DNAT --to-destination 192.168.1.99:3389
Вроде работает , но как то странно. Как мне кажется, сразу доступа к рдп серверу нет, а появляется он только после того, как я попробую подключиться с этого рдп сервера на какой нибудь внешний, после этого все клиенты из интернета нормально могут подключаться.
Может я неправильно дописываю команды iptables? Подскажите пожалуйста в какой порядке их лучше вписать в скрипт загрузки

(Нажмите, чтобы показать/скрыть)

iptables -t nat -F
iptables -t filter -F
iptables -t mangle -F
iptables -t nat -A PREROUTING -i eth1 -p tcp -d! 192.168.1.1 --dport 80 -j REDIRECT --to-ports 3128
iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE
iptables -P FORWARD DROP
iptables -A FORWARD -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
iptables -A FORWARD -m conntrack --ctstate NEW ! -i eth0 -j ACCEPT
iptables -t mangle -A FORWARD -p tcp --tcp-flags SYN,RST SYN -j TCPMSS --clamp-mss-to-pmtu
iptables -P INPUT DROP
iptables -A INPUT -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
iptables -A INPUT ! -i eth0 -j ACCEPT
iptables -A INPUT -p tcp -m multiport --dports 22,80,447,110,25,47,1723 -j ACCEPT
iptables -A INPUT -i lo -j ACCEPT

[fisher74]

1. Поправьте свой пост. Цитаты там только часть.
2. Скрипт загрузки правил мне лениво разбирать. Показывайте загруженные правила командой sudo iptables-save