Форум русскоязычного сообщества Ubuntu


Считаете, что Ubuntu недостаточно дружелюбна к новичкам?
Помогите создать новое Руководство для новичков!

Автор Тема: обход squid  (Прочитано 1477 раз)

0 Пользователей и 1 Гость просматривают эту тему.

Оффлайн solideogloria26

  • Автор темы
  • Новичок
  • *
  • Сообщений: 18
    • Просмотр профиля
обход squid
« : 30 Март 2017, 09:45:53 »
помощь прошу, очень туповат в линуксе, изучая попутно, возникла проблема на работе. есть старая linux mandriva на ней стоит squid система, форвардинг включен, насколько я понимаю, маскарад тоже (вроде), прислали программу vipnet для неё нужен был порт 55777 я в конфиге его прописал, но все равно не пашет, как мне пропустить весь комп мимо прокси сервера, какой командой? уже весь инет обшарил не могу разобраться в этих форвардингов, иптэйблов и т.д.. на прокси сервере 2 сетевые eth0 - смотрит в инет, eth1 - в локалку(172.28.32.1/24), ip компа который нужно прокинуть 172.28.32.32/24) версия iptables 1.3.5. ПОМОГИТЕ ПРОШУ, объясните как чайнику.

Оффлайн fisher74

  • Заслуженный пользователь
  • Старожил
  • *
  • Сообщений: 13750
    • Просмотр профиля
Re: обход squid
« Ответ #1 : 30 Март 2017, 11:53:35 »
Если форвардинг включен и маскарад тоже, то нужно исключить IP озвученного из перенаправления трафика на кальмара. Ну и разрешить форвард с этого IP-а и обратно к нему.

Чтобы конкретно что-то подсказывать, нужно хотя бы текущие правила видеть.
показывайте
Принимаю благодарности в WMR и WMZ на кошельки:
R158160676909 и Z313280060764

Оффлайн solideogloria26

  • Автор темы
  • Новичок
  • *
  • Сообщений: 18
    • Просмотр профиля
Re: обход squid
« Ответ #2 : 30 Март 2017, 13:26:50 »
Если форвардинг включен и маскарад тоже, то нужно исключить IP озвученного из перенаправления трафика на кальмара. Ну и разрешить форвард с этого IP-а и обратно к нему.

Чтобы конкретно что-то подсказывать, нужно хотя бы текущие правила видеть.
показывайте

Оффлайн fisher74

  • Заслуженный пользователь
  • Старожил
  • *
  • Сообщений: 13750
    • Просмотр профиля
Re: обход squid
« Ответ #3 : 30 Март 2017, 13:43:01 »
iptables-save
выхлоп сюда текстом. Здесь не картинная галерея
Принимаю благодарности в WMR и WMZ на кошельки:
R158160676909 и Z313280060764

Оффлайн solideogloria26

  • Автор темы
  • Новичок
  • *
  • Сообщений: 18
    • Просмотр профиля
Re: обход squid
« Ответ #4 : 30 Март 2017, 14:05:19 »
iptables-save
выхлоп сюда текстом. Здесь не картинная галерея
# Generated by iptables-save v1.3.5 on Fri Mar 31 15:51:29 2017
*nat
:PREROUTING ACCEPT [9323388:628037120]
:POSTROUTING ACCEPT [3666451:255634700]
:OUTPUT ACCEPT [2880035:201818855]
-A POSTROUTING -s 172.28.32.150 -o eth0 -j SNAT --to-source 82.119.155.202
-A POSTROUTING -s 172.28.32.5 -o eth0 -j SNAT --to-source 82.119.155.202
-A POSTROUTING -s 172.28.32.32 -o eth0
-A POSTROUTING -s 172.28.32.0/255.255.255.0 -o eth0 -j SNAT --to-source 10.35.0.66
-A POSTROUTING -s 172.28.32.0/255.255.255.0 -o eth0 -j SNAT --to-source 10.35.0.68
-A POSTROUTING -s 172.28.32.0/255.255.255.0 -o eth0 -j SNAT --to-source 10.35.0.66
-A POSTROUTING -s 172.28.32.0/255.255.255.0 -o eth0 -j SNAT --to-source 10.35.0.67
COMMIT
# Completed on Fri Mar 31 15:51:29 2017
# Generated by iptables-save v1.3.5 on Fri Mar 31 15:51:29 2017
*filter
:INPUT DROP [5575019:442390812]
:FORWARD ACCEPT [48094241:31655425052]
:OUTPUT ACCEPT [312854619:227098852268]
-A INPUT -i eth1 -p tcp -m tcp --dport 3128 -j ACCEPT
-A INPUT -p ipv6-crypt -j ACCEPT
-A INPUT -p udp -m udp --sport 500 --dport 500 -j ACCEPT
-A INPUT -i lo -j ACCEPT
-A INPUT -p icmp -j ACCEPT
-A INPUT -i eth0 -p tcp -m tcp --dport 22 -j ACCEPT
-A INPUT -i eth1 -p tcp -m tcp --dport 22 -j ACCEPT
-A INPUT -i eth0 -p tcp -m tcp --sport 6000 -j ACCEPT
-A INPUT -p tcp -m state --state RELATED,ESTABLISHED -j ACCEPT
-A INPUT -p udp -m state --state RELATED,ESTABLISHED -j ACCEPT
-A INPUT -i vmnet1 -j ACCEPT
-A INPUT -i eth1 -p tcp -m tcp --dport 139 -j ACCEPT
-A INPUT -i eth1 -p tcp -m tcp --dport 445 -j ACCEPT
-A FORWARD -p tcp -m tcp --tcp-flags SYN,RST SYN -j TCPMSS --clamp-mss-to-pmtu
-A FORWARD -i eth1 -p tcp -m conntrack --ctstate NEW -m multiport --dports 55777 -j ACCEPT
-A FORWARD -i eth1 -p udp -m udp --dport 55777 -j ACCEPT
-A FORWARD -i eth0 -p tcp -m tcp --dport 55777 -j ACCEPT
-A FORWARD -i eth1 -p tcp -m tcp --dport 55777 -j ACCEPT
COMMIT
# Completed on Fri Mar 31 15:51:29 2017


вот это -A FORWARD -i eth1 -p tcp -m conntrack --ctstate NEW -m multiport --dports 55777 -j ACCEPT
-A FORWARD -i eth1 -p udp -m udp --dport 55777 -j ACCEPT
-A FORWARD -i eth0 -p tcp -m tcp --dport 55777 -j ACCEPT
-A FORWARD -i eth1 -p tcp -m tcp --dport 55777 -j ACCEPT
 и вот это
-A POSTROUTING -s 172.28.32.32 -o eth0
-A POSTROUTING -s 172.28.32.0/255.255.255.0 -o eth0 -j SNAT --to-source 10.35.0.66
-A POSTROUTING -s 172.28.32.0/255.255.255.0 -o eth0 -j SNAT --to-source 10.35.0.68
-A POSTROUTING -s 172.28.32.0/255.255.255.0 -o eth0 -j SNAT --to-source 10.35.0.66
-A POSTROUTING -s 172.28.32.0/255.255.255.0 -o eth0 -j SNAT --to-source 10.35.0.67

добавлял сам  читая тексты:((

Оффлайн fisher74

  • Заслуженный пользователь
  • Старожил
  • *
  • Сообщений: 13750
    • Просмотр профиля
Re: обход squid
« Ответ #5 : 30 Март 2017, 15:06:56 »
Сначала замечание.
В Ваших правилах политика правил на пропуск трафика через шлюз "можно всё", потому Ваши разрешающие правила (ACCEPT) для цепочки FORWARD не имеют смысла. Мои рекомендации: когда перестанете тонуть в правилах netfilter - меняйте на "запрещено всё, кроме ..."

Ошибка раз ("очень туповат в линуксе" не прокатит, так как линукс здесь не при чём).
Опишу её вопросом к Вам: чем отличается адрес сети от адреса хоста?
Когда ответите, тогда я пойму, что не всё потеряно

З.Ы. сразу скажу - все Ваши правила можете смело удалять. Я даже боюсь догадаться откуда Вы взяли эти адреса (10.35.0.66,10.35.0.67,...)
Принимаю благодарности в WMR и WMZ на кошельки:
R158160676909 и Z313280060764

Оффлайн solideogloria26

  • Автор темы
  • Новичок
  • *
  • Сообщений: 18
    • Просмотр профиля
Re: обход squid
« Ответ #6 : 30 Март 2017, 15:20:00 »
Адрес сети - это сетевая часть адреса хост-компьютера плюс нуль; например, в моём случае хост-адресс 172.28.32.32 адрес сети - 172.28.32.0., вроде так, может не до конца понимаю, после того как ввел те адреса (10.35.0.66,10.35.0.67), то спустя час чтения я  понял что я вообще бред сделал, прост в мануале увидел эти значения и методом тыка пытался решить проблему, думал мало ли я чего то не догнал про эти адреса думаю дай-ка попробуй (на авось), так что мне делать скажите))) меня уже пресуют))) я не знаю как выходить из ситуации, в этом vipnete  который я вижу первый раз, такое кол-во настроек что ппц полный. я знаю что я туповат в этом поэтому сюда и обратился а вы тут учите:(

Оффлайн fisher74

  • Заслуженный пользователь
  • Старожил
  • *
  • Сообщений: 13750
    • Просмотр профиля
Re: обход squid
« Ответ #7 : 30 Март 2017, 15:53:05 »
а вы тут учите
ну извините.
Мы здесь стараемся людей научить пользоваться системой Linux, а конекретно Ubuntu (а не Mandriva, я просто молчу что Вы оффтопите), а так же ПОМОЧЬ решить проблемы с которыми они сталкиваются во время изучения, пользования и администрирования. Именно помочь, а не сделать работу за них.
Работать за Вас, я лично, не собираюсь. Ещё раз извините.

Адрес сети - это сетевая часть адреса хост-компьютера плюс нуль; например, в моём случае хост-адресс 172.28.32.32 адрес сети - 172.28.32.0
ответ на троечку можно натянуть, хотя сути Вы не понимаете. Рано Вам ещё в ядерные правила лезть.
Принимаю благодарности в WMR и WMZ на кошельки:
R158160676909 и Z313280060764

Оффлайн solideogloria26

  • Автор темы
  • Новичок
  • *
  • Сообщений: 18
    • Просмотр профиля
Re: обход squid
« Ответ #8 : 30 Март 2017, 15:59:19 »
ну собственно на что я и расчитывал прося помощи у людей сфорума, с говном смешают, себя похвалят, толку 0 дадут и пошлют куда подальше, вместо того что б просто 1 ра вникнуть потратить 15 минут, на разъяснение, спросить что необходимо и помочь человеку у которого проблема, складывается впечатление что вы все все понимали и всегда все знали не справшивая и не обучаясь непосредственно на решении задачи... найс логика

Оффлайн fisher74

  • Заслуженный пользователь
  • Старожил
  • *
  • Сообщений: 13750
    • Просмотр профиля
Re: обход squid
« Ответ #9 : 30 Март 2017, 16:04:12 »
Не понимая различите между адресом сети и адресом хоста практически не имеет смысла рулить этими адресами.

хотите и дальше есть колбасу в приглядку? Чтож, ешьте
Делаю Вам медвежью услугу.
Решение Вашей проблемы.
sudo iptables -t nat -A POSTROUTING -s 172.28.32.32 -o eth0 -j SNAT --to-source 82.119.155.202
правило грубое, необтёсанное, но задачу выполнит
« Последнее редактирование: 30 Март 2017, 16:06:20 от fisher74 »
Принимаю благодарности в WMR и WMZ на кошельки:
R158160676909 и Z313280060764

Оффлайн solideogloria26

  • Автор темы
  • Новичок
  • *
  • Сообщений: 18
    • Просмотр профиля
Re: обход squid
« Ответ #10 : 30 Март 2017, 16:36:19 »
не помогает, и ваша команда только без sudo заработала,  но инет все так же пашет  когда указываешь прокси сервер, а программа vip net (из за чего весь сыр бор) не устанавливает соединение, и с галочкой и без галочки прокси сервера, можно как то сделать что б ПК даже и не знал так скажем о существовании прокси сервера,  пропускал и не замечал:(  я вас отблагодарю если останетесь со мной до конца))))

Пользователь добавил сообщение 30 Март 2017, 16:37:58:
я разницу понимаю, просто объяснить не могу, я знаю что есть белый ип который выдал провайдер, и он никак не связан с адресами сети, я вот это и хотел сделать что б сразу была переадресация.
« Последнее редактирование: 30 Март 2017, 16:37:59 от solideogloria26 »

Оффлайн fisher74

  • Заслуженный пользователь
  • Старожил
  • *
  • Сообщений: 13750
    • Просмотр профиля
Re: обход squid
« Ответ #11 : 30 Март 2017, 19:43:19 »
ваша команда только без sudo заработала
ну то что Вы работаете от root, а не из под sudo - не моя проблема. В ubuntu принято "ходить в тапочках".

но инет все так же пашет  когда указываешь прокси сервер
а без прокси работает?
покажите таблицу маршрутизации клиентской машине и выхлоп команд с неё же
nslookup ya.ru
nslookup ya.ru 8.8.8.8

правило указанное мной должно быть загружено.
Кстати, покажите ещё выхлоп команды на шлюзе
cat /proc/sys/net/ipv4/ip_forward
Принимаю благодарности в WMR и WMZ на кошельки:
R158160676909 и Z313280060764

Оффлайн solideogloria26

  • Автор темы
  • Новичок
  • *
  • Сообщений: 18
    • Просмотр профиля
Re: обход squid
« Ответ #12 : 31 Март 2017, 08:11:01 »
cat /proc/sys/net/ipv4/ip_forwardвывело 1, форвард работает

а вот на клиентской машине nslookup почему то не работает, хотя интернет нормально пашет (с включенным работать через прокси)
Код: HTML5
  1. C:\Windows\system32>nslookup ya.ru
  2. DNS request timed out.
  3.     timeout was 2 seconds.
  4. TхЁтхЁ:  UnKnown
  5. Address:  8.8.8.8
  6.  
  7. DNS request timed out.
  8.     timeout was 2 seconds.
  9. DNS request timed out.
  10.     timeout was 2 seconds.
  11. DNS request timed out.
  12.     timeout was 2 seconds.
  13. DNS request timed out.
  14.     timeout was 2 seconds.
  15. *** Превышено время ожидания запроса UnKnown
  16.  
  17. C:\Windows\system32>nslookup ya.ru 8.8.8.8
  18. DNS request timed out.
  19.     timeout was 2 seconds.
  20. TхЁтхЁ:  UnKnown
  21. Address:  8.8.8.8
  22.  
  23. DNS request timed out.
  24.     timeout was 2 seconds.
  25. DNS request timed out.
  26.     timeout was 2 seconds.
  27. DNS request timed out.
  28.     timeout was 2 seconds.
  29. DNS request timed out.
  30.     timeout was 2 seconds.
  31. *** Превышено время ожидания запроса UnKnown

Пользователь добавил сообщение 31 Март 2017, 08:12:50:
систему настраивал не я, и поэтому не знаю особо что да как там, и лезть мне туда что то поменять, да посмотреть не разрешают, вот только когда проблема появилась тогда делай че хочешь
« Последнее редактирование: 31 Март 2017, 12:38:21 от Azure »

Оффлайн fisher74

  • Заслуженный пользователь
  • Старожил
  • *
  • Сообщений: 13750
    • Просмотр профиля
Re: обход squid
« Ответ #13 : 31 Март 2017, 08:42:29 »
Я просил ещё таблицу маршрутизации клиента
Принимаю благодарности в WMR и WMZ на кошельки:
R158160676909 и Z313280060764

Оффлайн solideogloria26

  • Автор темы
  • Новичок
  • *
  • Сообщений: 18
    • Просмотр профиля
Re: обход squid
« Ответ #14 : 31 Март 2017, 09:11:04 »
Код: HTML5
  1. C:\Windows\system32>route print
  2. ===========================================================================
  3. Список интерфейсов
  4.  10...20 cf 30 c1 8d 22 ......Realtek PCIe GBE Family Controller
  5.   1...........................Software Loopback Interface 1
  6.  11...00 00 00 00 00 00 00 e0 Адаптер Microsoft ISATAP
  7. ===========================================================================
  8.  
  9. IPv4 таблица маршрута
  10. ===========================================================================
  11. Активные маршруты:
  12. Сетевой адрес           Маска сети      Адрес шлюза       Интерфейс  Метрика
  13.           0.0.0.0          0.0.0.0      172.28.32.1     172.28.32.32    276
  14.         127.0.0.0        255.0.0.0         On-link         127.0.0.1    306
  15.         127.0.0.1  255.255.255.255         On-link         127.0.0.1    306
  16.   127.255.255.255  255.255.255.255         On-link         127.0.0.1    306
  17.       172.28.32.0    255.255.255.0         On-link      172.28.32.32    276
  18.      172.28.32.32  255.255.255.255         On-link      172.28.32.32    276
  19.     172.28.32.255  255.255.255.255         On-link      172.28.32.32    276
  20.         224.0.0.0        240.0.0.0         On-link         127.0.0.1    306
  21.         224.0.0.0        240.0.0.0         On-link      172.28.32.32    276
  22.   255.255.255.255  255.255.255.255         On-link         127.0.0.1    306
  23.   255.255.255.255  255.255.255.255         On-link      172.28.32.32    276
  24. ===========================================================================
  25. Постоянные маршруты:
  26.   Сетевой адрес            Маска    Адрес шлюза      Метрика
  27.           0.0.0.0          0.0.0.0      172.28.32.1  По умолчанию
  28. ===========================================================================
  29.  
  30. IPv6 таблица маршрута
  31. ===========================================================================
  32. Активные маршруты:
  33.  Метрика   Сетевой адрес            Шлюз
  34.   1    306 ::1/128                  On-link
  35.  10    276 fe80::/64                On-link
  36.  10    276 fe80::8c72:b045:5f6:c0b7/128
  37.                                     On-link
  38.   1    306 ff00::/8                 On-link
  39.  10    276 ff00::/8                 On-link
  40. ===========================================================================
  41. Постоянные маршруты:
  42.   Отсутствует

Пользователь добавил сообщение 31 Март 2017, 09:14:19:
могу предоставить удаленный доступ, там тим вивер или что удобно, если так удобнее будет, без ожидания так сказать
« Последнее редактирование: 31 Март 2017, 12:40:52 от Azure »

 

Страница сгенерирована за 0.132 секунд. Запросов: 24.