Роутинг по хостам

[fisher74]

Только вот боюсь,

То есть рулить файерволлом и другими механизмами шлюза, не вникая в принципы работы netfilter, подставляя под угрозу корпоративную информационную безопасность Вы не боитесь, а заменить eth0 на * боитесь...

[Vady]

Только вот боюсь,

То есть рулить файерволлом и другими механизмами шлюза, не вникая в принципы работы netfilter, подставляя под угрозу корпоративную информационную безопасность Вы не боитесь, а заменить eth0 на * боитесь...

Начинают обычно с простейшей схемы. Вопрос: как с сервера через прокси выходить в интернет? О клиентах речь пока не идет. Конкретного ответа так и не получил.

[2Casp]

О системе:

Код: [Выделить]

root@c240:~# uname -a
Linux c240 2.6.32-38-generic-pae #83-Ubuntu SMP Wed Jan 4 12:11:13 UTC 2012 i686 GNU/Linux
root@c240:~# cat /etc/*release*
DISTRIB_ID=Ubuntu
DISTRIB_RELEASE=10.04
DISTRIB_CODENAME=lucid
DISTRIB_DESCRIPTION="Ubuntu 10.04.4 LTS"

На клиенте:
IP: 192.168.0.100/24
Gateway: 192.168.0.1
DNS: 8.8.8.8

eth0 - интерфейс смотрит в локальную сеть
eth1 - интерфейс смотрит в интернет

чтобы проверить прокси на локальном компьютере введи команду:

Код: [Выделить]

links -http-proxy 192.168.0.1:3128 ya.ru
Вот с такими настройками все работает:

Код: [Выделить]

root@c240:/etc/squid3# netstat --inet -lpn | grep squid
tcp        0      0 192.168.0.1:3128        0.0.0.0:*               LISTEN      2228/(squid)
udp        0      0 0.0.0.0:41756           0.0.0.0:*                           2228/(squid)
udp        0      0 0.0.0.0:3130            0.0.0.0:*                           2228/(squid)
root@c240:/etc/squid3#
root@c240:/etc/squid3# pgrep squid
2225
2228
root@c240:/etc/squid3# diff squid.conf.orig squid.conf
641a642,646
> acl myhost src 192.168.0.1
> acl mynet src 192.168.0.0/24
>
> http_access allow myhost
> http_access allow mynet
876c881
< http_port 3128
---
> http_port 192.168.0.1:3128 transparent
root@c240:/etc/squid3#
root@c240:~# cat /proc/sys/net/ipv4/ip_forward
0
root@c240:/etc/squid3# iptables -nvL
Chain INPUT (policy ACCEPT 0 packets, 0 bytes)
 pkts bytes target     prot opt in     out     source               destination

Chain FORWARD (policy ACCEPT 0 packets, 0 bytes)
 pkts bytes target     prot opt in     out     source               destination

Chain OUTPUT (policy ACCEPT 0 packets, 0 bytes)
 pkts bytes target     prot opt in     out     source               destination
root@c240:/etc/squid3#
root@c240:/etc/squid3# iptables -nvL -t nat
Chain PREROUTING (policy ACCEPT 6079 packets, 639K bytes)
 pkts bytes target     prot opt in     out     source               destination
   11   528 REDIRECT   tcp  --  eth0   *       0.0.0.0/0            0.0.0.0/0           tcp dpt:80 redir ports 3128

Chain POSTROUTING (policy ACCEPT 1632 packets, 105K bytes)
 pkts bytes target     prot opt in     out     source               destination

Chain OUTPUT (policy ACCEPT 1632 packets, 105K bytes)
 pkts bytes target     prot opt in     out     source               destination
root@c240:/etc/squid3#
root@c240:~# ifconfig
eth0      Link encap:Ethernet  HWaddr 00:0c:29:0e:69:42
          inet addr:192.168.0.1  Bcast:192.168.0.255  Mask:255.255.255.0
          inet6 addr: fe80::20c:29ff:fe0e:6942/64 Scope:Link
          UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1
          RX packets:0 errors:0 dropped:0 overruns:0 frame:0
          TX packets:6 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:1000
          RX bytes:0 (0.0 B)  TX bytes:468 (468.0 B)
          Interrupt:19 Base address:0x2000

eth1      Link encap:Ethernet  HWaddr 00:0c:29:0e:69:4c
          inet addr:192.168.161.240  Bcast:192.168.161.255  Mask:255.255.255.0
          inet6 addr: fe80::20c:29ff:fe0e:694c/64 Scope:Link
          UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1
          RX packets:540 errors:0 dropped:0 overruns:0 frame:0
          TX packets:155 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:1000
          RX bytes:115979 (115.9 KB)  TX bytes:15159 (15.1 KB)
          Interrupt:16 Base address:0x2080

lo        Link encap:Локальная петля (Loopback)
          inet addr:127.0.0.1  Mask:255.0.0.0
          inet6 addr: ::1/128 Scope:Host
          UP LOOPBACK RUNNING  MTU:16436  Metric:1
          RX packets:124 errors:0 dropped:0 overruns:0 frame:0
          TX packets:124 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:0
          RX bytes:9848 (9.8 KB)  TX bytes:9848 (9.8 KB)
Пользователь решил продолжить мысль [time]19 Март 2015, 16:23:24[/time]:Да, если не в теме, то очень хорошо помогают :
http://www.specialist.ru/course/yun1-b
http://www.specialist.ru/course/yun2-b


Пользователь решил продолжить мысль 19 Марта 2015, 15:27:54:

Вот это у Вас КАААШАААА!!!!

Заменил строчку
http_port 3128 transparent заменил на http_port 192.168.1.1:3128 transparent

192.168.1.1 - как кальмар может на нём крутиться, если это вообще другая железка(судя по 1 посту)

acl myhost src 192.168.0.1
acl mynet src 192.168.0.0/24

а это что за сеть?  про неё вообще ничего неизвестно

Все настройки я показал касательно своего тестового стенда. Естественно нужно было интерфейсы и сети применить к своей реалии))

[Vady]

А с сервера (не клиента) через прокси зайти получается?
Вот что получилось при запуске с сервера:

Код: [Выделить]

root@TERMINALSERVER:/home/vady# links -http-proxy 192.168.1.1:3128 ya.ru

                                ERROR: The requested URL could not be retrieved
                                     ERROR                                     
                                                                               
The requested URL could not be retrieved                                       
                                                                               
     ----------------------------------------------------------------------     
                                                                               
   The following error was encountered while trying to retrieve the URL:       
   http://ya.ru/                                                               
                                                                               
     Access Denied.                                                             
                                                                               
   Access control configuration prevents your request from being allowed at     
   this time. Please contact your service provider if you feel this is         
   incorrect.                                                                   
                                                                               
   Your cache administrator is webmaster.                                       
                                                                               
     ----------------------------------------------------------------------     
                                                                               
   Generated Thu, 19 Mar 2015 12:24:33 GMT by TERMINALSERVER (squid/3.3.8)     
                                                                               
                                                                               
http://ya.ru/                                                                 
Access denied - что это означает? запрещен к squid или ya.ru?

[2Casp]

А с сервера (не клиента) через прокси зайти получается?
Вот что получилось при запуске с сервера:

Код: [Выделить]

root@TERMINALSERVER:/home/vady# links -http-proxy 192.168.1.1:3128 ya.ru

                                ERROR: The requested URL could not be retrieved
                                     ERROR                                     
                                                                               
The requested URL could not be retrieved                                       
                                                                               
     ----------------------------------------------------------------------     
                                                                               
   The following error was encountered while trying to retrieve the URL:       
   http://ya.ru/                                                               
                                                                               
     Access Denied.                                                             
                                                                               
   Access control configuration prevents your request from being allowed at     
   this time. Please contact your service provider if you feel this is         
   incorrect.                                                                   
                                                                               
   Your cache administrator is webmaster.                                       
                                                                               
     ----------------------------------------------------------------------     
                                                                               
   Generated Thu, 19 Mar 2015 12:24:33 GMT by TERMINALSERVER (squid/3.3.8)     
                                                                               
                                                                               
http://ya.ru/                                                                 
Access denied - что это означает? запрещен к squid или ya.ru?

Это означает что acl для локального хоста не прописан. Добавь соответсвующий ACL. И будет работать.


ЗЫ: Чтобы было не страшно попробуй сначала на https://www.virtualbox.org/wiki/Downloads
Пользователь решил продолжить мысль 19 Марта 2015, 15:37:18:ЗЫЫ: acl для локального хоста будет примерно так выглядить (в моих реалиях, для своих поменяй адреса):

Код: [Выделить]

acl myhost src 192.168.0.1
http_access allow myhost

[fisher74]

Access denied - что это означает? запрещен к squid или ya.ru?

А что Вы подразумеваете под доступом к squid? На странице написано, что для Вас ограничен доступ на страницу ya.ru

[Vady]

Так,

Код: [Выделить]

acl myhost src 192.168.0.1Это не есть acl локального хоста? Разумеется, у меня свой айпишник сервера в интерфейсе eth0.
За ссылку спасибо, сервак тестовый, на боевой не перенес.
Пользователь решил продолжить мысль [time]19 Март 2015, 16:39:47[/time]:

Access denied - что это означает? запрещен к squid или ya.ru?

А что Вы подразумеваете под доступом к squid? На странице написано, что для Вас ограничен доступ на страницу ya.ru

странно, с браузера напрямую нормально вижу ya.ru. Или это squid заблокировал мне доступ?

[fisher74]

Так,

Код: [Выделить]

acl myhost src 192.168.0.1Это не есть acl локального хоста? Разумеется, у меня свой айпишник сервера в интерфейсе eth0.

Нет, конечно. Ведь локалхост

Код: [Выделить]

~$ nslookup localhost

[2Casp]

Так,

Код: [Выделить]

acl myhost src 192.168.0.1Это не есть acl локального хоста? Разумеется, у меня свой айпишник сервера в интерфейсе eth0.

Согласно моему конф. файлу да, это acl хоста. Опять же, ГДЕ ты его прописал? Squid правила обрабатывает последовательно сверху вниз, после первого подходящего правила остальные даже просматриваться не будут.

странно, с браузера напрямую нормально вижу ya.ru.

Потому что когда ты открываешь браузер у тебя хост не интерфейса локального, а 127.0.0.1. А если ты писал:

Код: [Выделить]

http_port 192.168.0.1:3128 transparentтогда у тебя squid вообще lo не слушает. В настройках браузера укажи прокси сервер.

[Vady]

Согласно моему конф. файлу да, это acl хоста. Опять же, ГДЕ ты его прописал? Squid правила обрабатывает последовательно сверху вниз, после первого подходящего правила остальные даже просматриваться не будут.

см. выше, или по ссылке:
https://forum.ubuntu.ru/index.php?topic=258575.msg2046878#msg2046878

Потому что когда ты открываешь браузер у тебя хост не интерфейса локального, а 127.0.0.1. А если ты писал:

Код: [Выделить]

http_port 192.168.0.1:3128 transparentтогда у тебя squid вообще lo не слушает. В настройках браузера укажи прокси сервер.

А такой вариант:

Код: [Выделить]

http_port 192.168.0.1:3128 transparent
http_port 127.0.0.1:3128 transparent
я так, понимаю, тоже не прокатит? Нужно ли делать редирект в iptables для портов 80 с 127.0.0.1 на 192.168.0.1?

[2Casp]

Код: [Выделить]

~$ nslookup localhost

fisher74, зависит что в /etc/hosts прописано. Лучше его не путать

Пользователь решил продолжить мысль 19 Марта 2015, 15:55:11:

А такой вариант:

Код: [Выделить]

http_port 192.168.0.1:3128 transparent
http_port 127.0.0.1:3128 transparent
я так, понимаю, тоже не прокатит? Нужно ли делать редирект в iptables для портов 80 с 127.0.0.1 на 192.168.0.1?

Зачем? Тебе же нужно слушать только один адрес, который смотрит в локальную сеть. В iptables ты не с ip собираешь, а забираешь с интерфейса.

[Vady]

Ладно, спасибо всем за ответы! Попробую сам разобраться.

[fisher74]

Его и не надо путать, он сам себя уже в лес завёл. Сам говорит "поэтапно", но тут же лезет во все тяжкие.
Настрой кальмара, потом будешь его прозрачность настраивать.

[2Casp]

Ладно, спасибо всем за ответы! Попробую сам разобраться.

Да, порыскал сейчас в шкафу и нашел книгу http://www.ozon.ru/context/detail/id/2815539/ (я правда не знаю какая сейчас существует редакция, но для ознакомления с азами пойдет:))
Найди ее и прочитай Главу 8. Proxy - сервер и Главу 9. Firewall.
После прочтения двух глав отпадет 80% вопросов.

[Vady]

Его и не надо путать, он сам себя уже в лес завёл. Сам говорит "поэтапно", но тут же лезет во все тяжкие.
Настрой кальмара, потом будешь его прозрачность настраивать.

Поясню, с браузера сервера пытаюсь войти через кальмара. Если даже до кальмара не дохожу, то зачем вести речь о нем, и тем более о настройках кальмара?