Форум русскоязычного сообщества Ubuntu


Получить помощь и пообщаться с другими пользователями Ubuntu можно
на irc канале #ubuntu-ru в сети Freenode
и в Jabber конференции ubuntu@conference.jabber.ru

Автор Тема: обход squid  (Прочитано 2257 раз)

0 Пользователей и 1 Гость просматривают эту тему.

Оффлайн solideogloria26

  • Автор темы
  • Новичок
  • *
  • Сообщений: 18
    • Просмотр профиля
обход squid
« : 30 Марта 2017, 09:45:53 »
помощь прошу, очень туповат в линуксе, изучая попутно, возникла проблема на работе. есть старая linux mandriva на ней стоит squid система, форвардинг включен, насколько я понимаю, маскарад тоже (вроде), прислали программу vipnet для неё нужен был порт 55777 я в конфиге его прописал, но все равно не пашет, как мне пропустить весь комп мимо прокси сервера, какой командой? уже весь инет обшарил не могу разобраться в этих форвардингов, иптэйблов и т.д.. на прокси сервере 2 сетевые eth0 - смотрит в инет, eth1 - в локалку(172.28.32.1/24), ip компа который нужно прокинуть 172.28.32.32/24) версия iptables 1.3.5. ПОМОГИТЕ ПРОШУ, объясните как чайнику.

Оффлайн fisher74

  • Заслуженный пользователь
  • Старожил
  • *
  • Сообщений: 13758
    • Просмотр профиля
Re: обход squid
« Ответ #1 : 30 Марта 2017, 11:53:35 »
Если форвардинг включен и маскарад тоже, то нужно исключить IP озвученного из перенаправления трафика на кальмара. Ну и разрешить форвард с этого IP-а и обратно к нему.

Чтобы конкретно что-то подсказывать, нужно хотя бы текущие правила видеть.
показывайте

Оффлайн solideogloria26

  • Автор темы
  • Новичок
  • *
  • Сообщений: 18
    • Просмотр профиля
Re: обход squid
« Ответ #2 : 30 Марта 2017, 13:26:50 »
Если форвардинг включен и маскарад тоже, то нужно исключить IP озвученного из перенаправления трафика на кальмара. Ну и разрешить форвард с этого IP-а и обратно к нему.

Чтобы конкретно что-то подсказывать, нужно хотя бы текущие правила видеть.
показывайте

Оффлайн fisher74

  • Заслуженный пользователь
  • Старожил
  • *
  • Сообщений: 13758
    • Просмотр профиля
Re: обход squid
« Ответ #3 : 30 Марта 2017, 13:43:01 »
iptables-save
выхлоп сюда текстом. Здесь не картинная галерея

Оффлайн solideogloria26

  • Автор темы
  • Новичок
  • *
  • Сообщений: 18
    • Просмотр профиля
Re: обход squid
« Ответ #4 : 30 Марта 2017, 14:05:19 »
iptables-save
выхлоп сюда текстом. Здесь не картинная галерея
# Generated by iptables-save v1.3.5 on Fri Mar 31 15:51:29 2017
*nat
:PREROUTING ACCEPT [9323388:628037120]
:POSTROUTING ACCEPT [3666451:255634700]
:OUTPUT ACCEPT [2880035:201818855]
-A POSTROUTING -s 172.28.32.150 -o eth0 -j SNAT --to-source 82.119.155.202
-A POSTROUTING -s 172.28.32.5 -o eth0 -j SNAT --to-source 82.119.155.202
-A POSTROUTING -s 172.28.32.32 -o eth0
-A POSTROUTING -s 172.28.32.0/255.255.255.0 -o eth0 -j SNAT --to-source 10.35.0.66
-A POSTROUTING -s 172.28.32.0/255.255.255.0 -o eth0 -j SNAT --to-source 10.35.0.68
-A POSTROUTING -s 172.28.32.0/255.255.255.0 -o eth0 -j SNAT --to-source 10.35.0.66
-A POSTROUTING -s 172.28.32.0/255.255.255.0 -o eth0 -j SNAT --to-source 10.35.0.67
COMMIT
# Completed on Fri Mar 31 15:51:29 2017
# Generated by iptables-save v1.3.5 on Fri Mar 31 15:51:29 2017
*filter
:INPUT DROP [5575019:442390812]
:FORWARD ACCEPT [48094241:31655425052]
:OUTPUT ACCEPT [312854619:227098852268]
-A INPUT -i eth1 -p tcp -m tcp --dport 3128 -j ACCEPT
-A INPUT -p ipv6-crypt -j ACCEPT
-A INPUT -p udp -m udp --sport 500 --dport 500 -j ACCEPT
-A INPUT -i lo -j ACCEPT
-A INPUT -p icmp -j ACCEPT
-A INPUT -i eth0 -p tcp -m tcp --dport 22 -j ACCEPT
-A INPUT -i eth1 -p tcp -m tcp --dport 22 -j ACCEPT
-A INPUT -i eth0 -p tcp -m tcp --sport 6000 -j ACCEPT
-A INPUT -p tcp -m state --state RELATED,ESTABLISHED -j ACCEPT
-A INPUT -p udp -m state --state RELATED,ESTABLISHED -j ACCEPT
-A INPUT -i vmnet1 -j ACCEPT
-A INPUT -i eth1 -p tcp -m tcp --dport 139 -j ACCEPT
-A INPUT -i eth1 -p tcp -m tcp --dport 445 -j ACCEPT
-A FORWARD -p tcp -m tcp --tcp-flags SYN,RST SYN -j TCPMSS --clamp-mss-to-pmtu
-A FORWARD -i eth1 -p tcp -m conntrack --ctstate NEW -m multiport --dports 55777 -j ACCEPT
-A FORWARD -i eth1 -p udp -m udp --dport 55777 -j ACCEPT
-A FORWARD -i eth0 -p tcp -m tcp --dport 55777 -j ACCEPT
-A FORWARD -i eth1 -p tcp -m tcp --dport 55777 -j ACCEPT
COMMIT
# Completed on Fri Mar 31 15:51:29 2017


вот это -A FORWARD -i eth1 -p tcp -m conntrack --ctstate NEW -m multiport --dports 55777 -j ACCEPT
-A FORWARD -i eth1 -p udp -m udp --dport 55777 -j ACCEPT
-A FORWARD -i eth0 -p tcp -m tcp --dport 55777 -j ACCEPT
-A FORWARD -i eth1 -p tcp -m tcp --dport 55777 -j ACCEPT
 и вот это
-A POSTROUTING -s 172.28.32.32 -o eth0
-A POSTROUTING -s 172.28.32.0/255.255.255.0 -o eth0 -j SNAT --to-source 10.35.0.66
-A POSTROUTING -s 172.28.32.0/255.255.255.0 -o eth0 -j SNAT --to-source 10.35.0.68
-A POSTROUTING -s 172.28.32.0/255.255.255.0 -o eth0 -j SNAT --to-source 10.35.0.66
-A POSTROUTING -s 172.28.32.0/255.255.255.0 -o eth0 -j SNAT --to-source 10.35.0.67

добавлял сам  читая тексты:((

Оффлайн fisher74

  • Заслуженный пользователь
  • Старожил
  • *
  • Сообщений: 13758
    • Просмотр профиля
Re: обход squid
« Ответ #5 : 30 Марта 2017, 15:06:56 »
Сначала замечание.
В Ваших правилах политика правил на пропуск трафика через шлюз "можно всё", потому Ваши разрешающие правила (ACCEPT) для цепочки FORWARD не имеют смысла. Мои рекомендации: когда перестанете тонуть в правилах netfilter - меняйте на "запрещено всё, кроме ..."

Ошибка раз ("очень туповат в линуксе" не прокатит, так как линукс здесь не при чём).
Опишу её вопросом к Вам: чем отличается адрес сети от адреса хоста?
Когда ответите, тогда я пойму, что не всё потеряно

З.Ы. сразу скажу - все Ваши правила можете смело удалять. Я даже боюсь догадаться откуда Вы взяли эти адреса (10.35.0.66,10.35.0.67,...)

Оффлайн solideogloria26

  • Автор темы
  • Новичок
  • *
  • Сообщений: 18
    • Просмотр профиля
Re: обход squid
« Ответ #6 : 30 Марта 2017, 15:20:00 »
Адрес сети - это сетевая часть адреса хост-компьютера плюс нуль; например, в моём случае хост-адресс 172.28.32.32 адрес сети - 172.28.32.0., вроде так, может не до конца понимаю, после того как ввел те адреса (10.35.0.66,10.35.0.67), то спустя час чтения я  понял что я вообще бред сделал, прост в мануале увидел эти значения и методом тыка пытался решить проблему, думал мало ли я чего то не догнал про эти адреса думаю дай-ка попробуй (на авось), так что мне делать скажите))) меня уже пресуют))) я не знаю как выходить из ситуации, в этом vipnete  который я вижу первый раз, такое кол-во настроек что ппц полный. я знаю что я туповат в этом поэтому сюда и обратился а вы тут учите:(

Оффлайн fisher74

  • Заслуженный пользователь
  • Старожил
  • *
  • Сообщений: 13758
    • Просмотр профиля
Re: обход squid
« Ответ #7 : 30 Марта 2017, 15:53:05 »
а вы тут учите
ну извините.
Мы здесь стараемся людей научить пользоваться системой Linux, а конекретно Ubuntu (а не Mandriva, я просто молчу что Вы оффтопите), а так же ПОМОЧЬ решить проблемы с которыми они сталкиваются во время изучения, пользования и администрирования. Именно помочь, а не сделать работу за них.
Работать за Вас, я лично, не собираюсь. Ещё раз извините.

Адрес сети - это сетевая часть адреса хост-компьютера плюс нуль; например, в моём случае хост-адресс 172.28.32.32 адрес сети - 172.28.32.0
ответ на троечку можно натянуть, хотя сути Вы не понимаете. Рано Вам ещё в ядерные правила лезть.

Оффлайн solideogloria26

  • Автор темы
  • Новичок
  • *
  • Сообщений: 18
    • Просмотр профиля
Re: обход squid
« Ответ #8 : 30 Марта 2017, 15:59:19 »
ну собственно на что я и расчитывал прося помощи у людей сфорума, с говном смешают, себя похвалят, толку 0 дадут и пошлют куда подальше, вместо того что б просто 1 ра вникнуть потратить 15 минут, на разъяснение, спросить что необходимо и помочь человеку у которого проблема, складывается впечатление что вы все все понимали и всегда все знали не справшивая и не обучаясь непосредственно на решении задачи... найс логика

Оффлайн fisher74

  • Заслуженный пользователь
  • Старожил
  • *
  • Сообщений: 13758
    • Просмотр профиля
Re: обход squid
« Ответ #9 : 30 Марта 2017, 16:04:12 »
Не понимая различите между адресом сети и адресом хоста практически не имеет смысла рулить этими адресами.

хотите и дальше есть колбасу в приглядку? Чтож, ешьте
Делаю Вам медвежью услугу.
Решение Вашей проблемы.
sudo iptables -t nat -A POSTROUTING -s 172.28.32.32 -o eth0 -j SNAT --to-source 82.119.155.202
правило грубое, необтёсанное, но задачу выполнит
« Последнее редактирование: 30 Марта 2017, 16:06:20 от fisher74 »

Оффлайн solideogloria26

  • Автор темы
  • Новичок
  • *
  • Сообщений: 18
    • Просмотр профиля
Re: обход squid
« Ответ #10 : 30 Марта 2017, 16:36:19 »
не помогает, и ваша команда только без sudo заработала,  но инет все так же пашет  когда указываешь прокси сервер, а программа vip net (из за чего весь сыр бор) не устанавливает соединение, и с галочкой и без галочки прокси сервера, можно как то сделать что б ПК даже и не знал так скажем о существовании прокси сервера,  пропускал и не замечал:(  я вас отблагодарю если останетесь со мной до конца))))

Пользователь добавил сообщение 30 Марта 2017, 16:37:58:
я разницу понимаю, просто объяснить не могу, я знаю что есть белый ип который выдал провайдер, и он никак не связан с адресами сети, я вот это и хотел сделать что б сразу была переадресация.
« Последнее редактирование: 30 Марта 2017, 16:37:59 от solideogloria26 »

Оффлайн fisher74

  • Заслуженный пользователь
  • Старожил
  • *
  • Сообщений: 13758
    • Просмотр профиля
Re: обход squid
« Ответ #11 : 30 Марта 2017, 19:43:19 »
ваша команда только без sudo заработала
ну то что Вы работаете от root, а не из под sudo - не моя проблема. В ubuntu принято "ходить в тапочках".

но инет все так же пашет  когда указываешь прокси сервер
а без прокси работает?
покажите таблицу маршрутизации клиентской машине и выхлоп команд с неё же
nslookup ya.ru
nslookup ya.ru 8.8.8.8

правило указанное мной должно быть загружено.
Кстати, покажите ещё выхлоп команды на шлюзе
cat /proc/sys/net/ipv4/ip_forward

Оффлайн solideogloria26

  • Автор темы
  • Новичок
  • *
  • Сообщений: 18
    • Просмотр профиля
Re: обход squid
« Ответ #12 : 31 Марта 2017, 08:11:01 »
cat /proc/sys/net/ipv4/ip_forwardвывело 1, форвард работает

а вот на клиентской машине nslookup почему то не работает, хотя интернет нормально пашет (с включенным работать через прокси)
Код: (html5) [Выделить]
C:\Windows\system32>nslookup ya.ru
DNS request timed out.
    timeout was 2 seconds.
TхЁтхЁ:  UnKnown
Address:  8.8.8.8

DNS request timed out.
    timeout was 2 seconds.
DNS request timed out.
    timeout was 2 seconds.
DNS request timed out.
    timeout was 2 seconds.
DNS request timed out.
    timeout was 2 seconds.
*** Превышено время ожидания запроса UnKnown

C:\Windows\system32>nslookup ya.ru 8.8.8.8
DNS request timed out.
    timeout was 2 seconds.
TхЁтхЁ:  UnKnown
Address:  8.8.8.8

DNS request timed out.
    timeout was 2 seconds.
DNS request timed out.
    timeout was 2 seconds.
DNS request timed out.
    timeout was 2 seconds.
DNS request timed out.
    timeout was 2 seconds.
*** Превышено время ожидания запроса UnKnown

Пользователь добавил сообщение 31 Марта 2017, 08:12:50:
систему настраивал не я, и поэтому не знаю особо что да как там, и лезть мне туда что то поменять, да посмотреть не разрешают, вот только когда проблема появилась тогда делай че хочешь
« Последнее редактирование: 31 Марта 2017, 12:38:21 от Azure »

Оффлайн fisher74

  • Заслуженный пользователь
  • Старожил
  • *
  • Сообщений: 13758
    • Просмотр профиля
Re: обход squid
« Ответ #13 : 31 Марта 2017, 08:42:29 »
Я просил ещё таблицу маршрутизации клиента

Оффлайн solideogloria26

  • Автор темы
  • Новичок
  • *
  • Сообщений: 18
    • Просмотр профиля
Re: обход squid
« Ответ #14 : 31 Марта 2017, 09:11:04 »
Код: (html5) [Выделить]
C:\Windows\system32>route print
===========================================================================
Список интерфейсов
 10...20 cf 30 c1 8d 22 ......Realtek PCIe GBE Family Controller
  1...........................Software Loopback Interface 1
 11...00 00 00 00 00 00 00 e0 Адаптер Microsoft ISATAP
===========================================================================

IPv4 таблица маршрута
===========================================================================
Активные маршруты:
Сетевой адрес           Маска сети      Адрес шлюза       Интерфейс  Метрика
          0.0.0.0          0.0.0.0      172.28.32.1     172.28.32.32    276
        127.0.0.0        255.0.0.0         On-link         127.0.0.1    306
        127.0.0.1  255.255.255.255         On-link         127.0.0.1    306
  127.255.255.255  255.255.255.255         On-link         127.0.0.1    306
      172.28.32.0    255.255.255.0         On-link      172.28.32.32    276
     172.28.32.32  255.255.255.255         On-link      172.28.32.32    276
    172.28.32.255  255.255.255.255         On-link      172.28.32.32    276
        224.0.0.0        240.0.0.0         On-link         127.0.0.1    306
        224.0.0.0        240.0.0.0         On-link      172.28.32.32    276
  255.255.255.255  255.255.255.255         On-link         127.0.0.1    306
  255.255.255.255  255.255.255.255         On-link      172.28.32.32    276
===========================================================================
Постоянные маршруты:
  Сетевой адрес            Маска    Адрес шлюза      Метрика
          0.0.0.0          0.0.0.0      172.28.32.1  По умолчанию
===========================================================================

IPv6 таблица маршрута
===========================================================================
Активные маршруты:
 Метрика   Сетевой адрес            Шлюз
  1    306 ::1/128                  On-link
 10    276 fe80::/64                On-link
 10    276 fe80::8c72:b045:5f6:c0b7/128
                                    On-link
  1    306 ff00::/8                 On-link
 10    276 ff00::/8                 On-link
===========================================================================
Постоянные маршруты:
  Отсутствует

Пользователь добавил сообщение 31 Марта 2017, 09:14:19:
могу предоставить удаленный доступ, там тим вивер или что удобно, если так удобнее будет, без ожидания так сказать
« Последнее редактирование: 31 Марта 2017, 12:40:52 от Azure »

 

Страница сгенерирована за 0.043 секунд. Запросов: 25.