Форум русскоязычного сообщества Ubuntu


Хотите сделать посильный вклад в развитие Ubuntu и русскоязычного сообщества?
Помогите нам с документацией!

Автор Тема: Пробросить порты с -j MASQUERADE с сохранением реального ip адреса  (Прочитано 303 раз)

0 Пользователей и 1 Гость просматривают эту тему.

Оффлайн Aliev_S

  • Автор темы
  • Новичок
  • *
  • Сообщений: 3
    • Просмотр профиля
Добрый день! Помогите пожалуйста организовать обратный/прозрачный прокси-сервер.

Необходимо пробросить определённый порт (999) с одного сервера (1.1.1.1) на другой сервер (2.2.2.2) и при этом сохранить реальный ип адрес клиента. Я почти уверен, что с помощью правил в iptables такое реализовать невозможно, но все же использую правила:
Код: HTML5
  1. iptables -t nat -A PREROUTING -i venet0 -p tcp --dport 999 -j DNAT --to 2.2.2.2:999
  2.  
  3. iptables -t nat -A POSTROUTING -j MASQUERADE
Эти сервера не находятся в локальной сети и оба адреса 1.1.1.1 и 2.2.2.2 доступны из интернета. т.е. запросы приходящие, например от клиента 188.1.1.1, на сервер 1.1.1.1:999 успешно перенаправляются на 2.2.2.2:999, и все было хорошо до тех пор пока не потребовалось определить реальный ip адрес клиента ибо запросы на 2.2.2.2 после MASQUERADE приходят с адреса 1.1.1.1 вместо 188.1.1.1.

Пробовал изучать вопрос с TPROXY в mangle, но к сожалению не смог разобраться. Помогите пожалуйста найти решение для организации reverse прокси, где можно будет передать реальный адрес клиента.
« Последнее редактирование: 16 Январь 2019, 14:26:16 от Azure »

Оффлайн AnrDaemon

  • Заслуженный пользователь
  • Старожил
  • *
  • Сообщений: 27366
    • Просмотр профиля
Хотите получить помощь? Потрудитесь представить запрошенную информацию в полном объёме.

Прежде чем [Отправить], нажми [Просмотр] и прочти собственное сообщение. Сам-то понял, что написал?…

Оффлайн Aliev_S

  • Автор темы
  • Новичок
  • *
  • Сообщений: 3
    • Просмотр профиля
Нигде.

Как же HAProxy, например, работает с tcp не модифицируя, тот же https трафик клиентов и при этом передаются реальные адреса клиентов?

Оффлайн AnrDaemon

  • Заслуженный пользователь
  • Старожил
  • *
  • Сообщений: 27366
    • Просмотр профиля
Никак он не работает, там используется свой собственный протокол проксирования поверх TCP, который понимают клиенты.
Хотите получить помощь? Потрудитесь представить запрошенную информацию в полном объёме.

Прежде чем [Отправить], нажми [Просмотр] и прочти собственное сообщение. Сам-то понял, что написал?…

Оффлайн Aliev_S

  • Автор темы
  • Новичок
  • *
  • Сообщений: 3
    • Просмотр профиля
Вопрос закрыт, решение было найдено. Трафик перенаправляется, а реальные адреса теперь видно.

 

Страница сгенерирована за 0.11 секунд. Запросов: 24.