Перенаправление трафика на проксю

[thomas1234]

Добрый день. Есть Linux шлюз на Ubuntu 10.04 Ip - 192.168.1.1, есть компьютер в локальной сети с ip - 192.168.1.51 на этот компьютер прокинут нат, необходимо перехватывать с этого компа все запросы по 80 порту и отправлять их на проксю. В интернете нарыл как это сделать для всей локальной сети, а как для одной машине - нет что-то нигде. Помогите пожплуйста !

[olegik-hp]

Добрый день. Есть Linux шлюз на Ubuntu 10.04 Ip - 192.168.1.1, есть компьютер в локальной сети с ip - 192.168.1.51 на этот компьютер прокинут нат, необходимо перехватывать с этого компа все запросы по 80 порту и отправлять их на проксю. В интернете нарыл как это сделать для всей локальной сети, а как для одной машине - нет что-то нигде. Помогите пожплуйста !

Для всей сети

# for proxy
$IPT -t nat -A PREROUTING -i $LAN -p tcp -s $LANnet ! -d 192.168.2.0/24 -m multiport --dport 80 -j REDIRECT --to-port $PRSQ
$IPT -A FORWARD -i $WAN -o $LAN -s $LANnet -p tcp -m multiport --dport 443,21,22 -j ACCEPT
$IPT -t nat -A POSTROUTING -j MASQUERADE

Где
$LAN -- интерфейс, смотрящий в локалку
$WAN -- интерфейс, смотрящий в интернет
$PRSQ -- порт прокси
$LANnet = 192.168.2.0/24 -- адреса, с которых переаправляем

Для одного
$LANnet = 192.168.2.xxx/32

[thomas1234]

спс, щас попробую

[olegik-hp]

Не надо пробовать сделать что-то непонятное.

Попробуй понять. (в том числе и маны).

Там же указана проверка:
... -d $Network ...

Пакеты принадлежащие сети $Network, Один комп это тоже сетка, только из одного компа. ip xxx и маска 32 (или 255.255.255.255)

[thomas1234]

ну я то понял что к чему, но не работает:
что на роутере забивал:

(Нажмите, чтобы показать/скрыть)

iptables -t nat -A PREROUTING -i eth1 -p tcp -s 192.168.1.51/24 ! -d 192.168.1.0/24 -m multiport --dport 80 -j REDIRECT --to-port 3128
iptables -A FORWARD -i ppp0 -o eth1 -s 192.168.1.51 -p tcp -m multiport --dport 443,21,22 -j ACCEPT
iptables -t nat -A POSTROUTING -j MASQUERADE

что стал выдавать браузер после:

(Нажмите, чтобы показать/скрыть)

ERROR

The requested URL could not be retrieved

Invalid Request error was encountered while trying to process the request:

GET / HTTP/1.1
Host: www.google.com
Connection: keep-alive
User-Agent: Mozilla/5.0 (Windows NT 5.1) AppleWebKit/537.1 (KHTML, like Gecko) Chrome/21.0.1180.89 Safari/537.1
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8
X-Chrome-UMA-Enabled: 1
X-Chrome-Variations: COm1yQEIirbJAQibtskBCKO2yQEIp7bJAQiqtskBCL6DygE=
Accept-Encoding: gzip,deflate,sdch
Accept-Language: ru-RU,ru;q=0.8,en-US;q=0.6,en;q=0.4
Accept-Charset: windows-1251,utf-8;q=0.7,*;q=0.3
Cookie: NID=61=mSGFq34Q7kK6-oBbRnlAsvIPh3Xcj2cOv8FpXcnbu6kljhJ3_1ChJO67IztHe97dqZTn7ytzKwnn226D3mIAOFC_NtXg62xWoCkIAXylr9FrksAOqSGecfbI8n0Zh8gNI1t6h6OHBt8GIyG0NAjYzMJ74N8gvmcl2bZOQ-oYY0U-0igLVg; PREF=ID=87154bc33da97518:U=e1e81e7deea2d1d0:FF=0:LD=ru:TM=1340276843:LM=1346140995:GM=1:S=i-tevPji_bEyIwjR; HSID=A6Pz1WTkdvfpYd6Ay; APISID=7jq1MWONt6I7GcZU/ASQ7NVrCuKxRvVZsT; SID=DQAAALoAAACyXL6a77Aznh0vn6HDr-ckx-OFK7GscrWHiQbHEhQncbV8Tuy_O5iWKn9MQs7KuRDNaU2F3F4H-RKOl52p5-2xABOKLemCXqmrbnoe39bEdxgqP0Xc5llqTzYjumJF7FcecUUGmqJi7HRLwhEVfJgavaOi-HNzNeT5By9_29CXOHa5l7sclnMt_Wm7i8H-Vz97YDaIc5XfVa5rnsqxKYMWfQY01bPnbiWlyH6hV3QZ1VwKTMINnFT20np6A58iP60

Some possible problems are:

Missing or unknown request method.

Missing URL.

Missing HTTP Identifier (HTTP/1.0).

Request is too large.

Content-Length missing for POST or PUT requests.

Illegal character in hostname; underscores are not allowed.

Your cache administrator is webmaster.


Generated Tue, 11 Sep 2012 10:05:46 GMT by proxy (squid/2.7.STABLE7)

Авторизация на проксе идет по NCSA !

[olegik-hp]

http://unixforum.org/index.php?showtopic=93342

На эту же тему...

Попробуй (но, насколько я читал, там сделан НЕпрозрачный прокси).

Да, когда будешь пробовать, вместо сети не забудь указывать свой комп.

И вообще, старайся пользоваться переменными.

[thomas1234]

Сделал как в статье:

(Нажмите, чтобы показать/скрыть)

iptables -t nat -A PREROUTING -s 192.168.1.51 -d 192.168.1.1 -p tcp -m tcp --dport 80 -j DNAT --to-destination 192.168.1.1:3128
iptables -t nat -A POSTROUTING -s 192.168.1.51 -j MASQUERADE

Инет на компе есть, но что-то мне подсказывает что трафик не через проксю все равно идет. Табличка с запросом логина и пароля не появилась.
Идея в чем. есть ноут, на работе у нас инет идет через squid. этот ноут каждый день ездиет домой к сотруднику и дома лезет в инет через обычный роутер, идея в том что - когда сотрудник на работе - у него вылазила табличка с вводом логина и паса - а дома все работало так, ну чтоб не вводить постоянно проксю ручками

[olegik-hp]

Сделал как в статье:

(Нажмите, чтобы показать/скрыть)

iptables -t nat -A PREROUTING -s 192.168.1.51 -d 192.168.1.1 -p tcp -m tcp --dport 80 -j DNAT --to-destination 192.168.1.1:3128
iptables -t nat -A POSTROUTING -s 192.168.1.51 -j MASQUERADE

Инет на компе есть, но что-то мне подсказывает что трафик не через проксю все равно идет. Табличка с запросом логина и пароля не появилась.
Идея в чем. есть ноут, на работе у нас инет идет через squid. этот ноут каждый день ездиет домой к сотруднику и дома лезет в инет через обычный роутер, идея в том что - когда сотрудник на работе - у него вылазила табличка с вводом логина и паса - а дома все работало так, ну чтоб не вводить постоянно проксю ручками

Проверь через логи SQUID, лазит он через проксю, или напрямую.

[fisher74]

Можете не проверять - не будет там ничего связанное с вопросом.
Предыдущее правило с редиректом правильное было в отличие от последнего. Кальмар настроен как прозрачный?

И вообще, старайся пользоваться переменными.

Обоснуйте

[thomas1234]

Squid настроен на NCSA авторизацию

[AnrDaemon]

Squid настроен на NCSA авторизацию

Работать не будет.
Пользователь решил продолжить мысль 12 Сентября 2012, 17:16:35:

И вообще, старайся пользоваться переменными.

Конфигурация программы - это не язык программирования.
Настройка должна быть явной и прозрачной для понимания, как человеком, так и программой.

[olegik-hp]

Можете не проверять - не будет там ничего связанное с вопросом.
Предыдущее правило с редиректом правильное было в отличие от последнего. Кальмар настроен как прозрачный?

И вообще, старайся пользоваться переменными.

Обоснуйте

Сколько необходимо обоснований?

1) Описание только 1 раз, если ошибся в имени переменной в параметре -- скрипт выдает ошибку, ошибка в содержании переменной -- нет ошибок, но неправильная настройка.
2) Понятные переменные -- шаг к понятию логики скрипта потом
3) переносимость. Честно признаю, что не пишу подобные скрипты с нуля -- у меня есть ряд наработок с подобными именами и достаточно просто их воткнуть куда надо, не меняя содержания
...

[AnrDaemon]

Честно признаемся (думаю, fisher74 меня поддержит), что вообще не пишем подобные скрипты. Уже давно.
Есть же iptables-save/-restore.

[olegik-hp]

Есть же iptables-save/-restore.

Использование переменных относится не только к iptables, но и ко всем программам/скриптам, которые создаются.

Тем более, надо же хоть раз запустить этот набор команд, даже для iptables, а уже потом...

Да, это вопрос больше религиозный, нежели практический.

[AnrDaemon]

Ещё раз.
Конфиг - не программа.
Не надо пытаться впихувать невпихуваемое.
И не надо ничего запускать. Я напрямую правлю (пустой) вывод iptables-save.
Достаточно сделать -P DROP в одной цепочке, чтобы iptables-save начало выплёвывать шаблон вместо пустоты.
Разница между вашими скриптами, и загрузкой через iptables-restore в том, что загрузятся ИМЕННО ТЕ правила, которые вы написали.
Нет шанса загрузить одно и то же дважды, или перебить самому себе пальцы, вставив -I где не надо, вместо -A.