Форум русскоязычного сообщества Ubuntu


Получить помощь и пообщаться с другими пользователями Ubuntu можно
на irc канале #ubuntu-ru в сети Freenode
и в Jabber конференции ubuntu@conference.jabber.ru

Автор Тема: прозрачный прокси  (Прочитано 60294 раз)

0 Пользователей и 1 Гость просматривают эту тему.

Оффлайн Ar3s

  • Автор темы
  • Новичок
  • *
  • Сообщений: 19
    • Просмотр профиля
прозрачный прокси
« : 10 Ноябрь 2009, 18:48:11 »
Задача:
есть локалка 30 win машин. Им нужно раздавать ip, часть из этих машин выпускать в интернет прозрачно (browser, icq, ftp, ssl, wm-keeper), нужно мне в экстренных случаях подключаться к сети через vpn из вне.
Есть "сервер": Celeron 666, 512 RAM, 10Gb HDD. На нем одна сетевая eth0 и одно PPPOE соединение.

Решено мной:
ставлю dhcp3-server, указываю диапазон ip который можно раздавать пользователям (допустим 192.168.1.40-100) И по MAC-адресам резервирую адреса пользователям которым можно в интернет (192.168.1.3-10)
Ставлю squid3 в прозрачном режиме, в котором разрешаю диапазону 192.168.1.3-10 выходить в интернет.
Ставлю OpenSSH.

Внимание вопрос! У меня проблема в том, что пользователь сам установивший себе ip может выходить с интернет. Можно ли в squid разрешать в сеть не по ip а по MAC?
Как заставить работать ftp icq wm-keeper через проксю?
Нужно ли ставить dns кэширующий? Squid вроде умеет dns кэшировать.
Посоветуйте vpn.

Оффлайн Sam Stone

  • Старожил
  • *
  • Сообщений: 1124
    • Просмотр профиля
Re: прозрачный прокси
« Ответ #1 : 10 Ноябрь 2009, 18:58:35 »
маки
Цитировать
Как заставить работать ftp icq wm-keeper через проксю?
Вроде как по дефоту работает. Посмотри, если ли в acl safe_ports порт 21 (привожу обозначения из дефолтного конфига). Нет ли запрета на фтп через acl proto.
Асе надо открыть 443 или 5190 порт. Вебмане какой нужен - не знаю. При этом, если настроил фаер, то и там надо эти порты открыть.
Для гарантии можно выставить в клиенте пассивный режим для фтп.
16.04.1 4.4.0-59-generic x86_64 GNU/Linux

Оффлайн AnrDaemon

  • Заслуженный пользователь
  • Старожил
  • *
  • Сообщений: 25968
    • Просмотр профиля
Re: прозрачный прокси
« Ответ #2 : 10 Ноябрь 2009, 19:30:56 »
WM Keeper через прокси напрямую не работает. Решить это можно. Подробности на webmoney.ru
Подмена MAC, IP - проблема социальная, а не техническая. И решать её надо социальными методами (штрафы, увольнения).
Хотите получить помощь? Потрудитесь представить запрошенную информацию в полном объёме.

Прежде чем [Отправить], нажми [Просмотр] и прочти собственное сообщение. Сам-то понял, что написал?…

Оффлайн Ar3s

  • Автор темы
  • Новичок
  • *
  • Сообщений: 19
    • Просмотр профиля
Re: прозрачный прокси
« Ответ #3 : 12 Ноябрь 2009, 10:25:31 »
почти все сделал. Поставил squid3 dhcp3-server dns-кэширующий.
Тепер с фаерволом нужно домудрить. Какие порты форвардить кроме 80, 8080?
Ну понятно icq 5190, жабу тоже поищу, 22, 21.
Для скайпа и для wm-keeper-а что форвардить?

Оффлайн AnrDaemon

  • Заслуженный пользователь
  • Старожил
  • *
  • Сообщений: 25968
    • Просмотр профиля
Re: прозрачный прокси
« Ответ #4 : 12 Ноябрь 2009, 11:37:27 »
Что ты вообще форвардить взялся? O.o
Хотите получить помощь? Потрудитесь представить запрошенную информацию в полном объёме.

Прежде чем [Отправить], нажми [Просмотр] и прочти собственное сообщение. Сам-то понял, что написал?…

Оффлайн badfiles

  • Участник
  • *
  • Сообщений: 230
    • Просмотр профиля
Re: прозрачный прокси
« Ответ #5 : 12 Ноябрь 2009, 11:47:53 »
термин "форвардить" обычно применяется в обратном направлении, когда пакеты нужно забросить внутрь сети и ответный трафик вернуть клиенту наружу.
Когда из локальной сети нужно прозрачно выпустить пользователей, то обычно говорят "натить", хотя все едино.

Слово "прокси" обычно относится к конкретному протоколу (или группе протоколов), аналогичное действие с трафиком всех возможных протоколов выполняет маршрутизатор.

Если вы хотите сделать маршрутизатор с NAT'ом, то тогда не совсем понятно, зачем вам сквид, хотя он умеет работать в прозрачном режиме.
« Последнее редактирование: 12 Ноябрь 2009, 11:50:18 от badfiles »

Оффлайн Ar3s

  • Автор темы
  • Новичок
  • *
  • Сообщений: 19
    • Просмотр профиля
Re: прозрачный прокси
« Ответ #6 : 13 Ноябрь 2009, 09:59:01 »
я выпускаю в интернет заданный диапазон ip адресов. К сквиду подключен файл с указанием этих самых ip.
Фаерволом я заварачиваю запросы из внутренней сети на сквид. Сейчас у меня прописаны правила для 80, 8080 портов.
Еще планирую туде же заворачивать 5190, 5222, 5223, 22, 21.
У вас хочу узнать какие порты/протоколы нужно заворачивать для правильной работы скайпа и вэб-моней.

Оффлайн Mam(O)n

  • Заслуженный пользователь
  • Старожил
  • *
  • Сообщений: 5855
    • Просмотр профиля
Re: прозрачный прокси
« Ответ #7 : 13 Ноябрь 2009, 10:31:28 »
Еще планирую туде же заворачивать 5190, 5222, 5223, 22, 21.
У вас хочу узнать какие порты/протоколы нужно заворачивать для правильной работы скайпа и вэб-моней.
Squid — программный пакет, реализующий функцию кэширующего прокси-сервера для протоколов HTTP, FTP, Gopher и (в случае соответствующих настроек) HTTPS (c) Wikipedia
Плясать при заворачивании трафика в сквид надо от этого. 5190(ацка) и 22(ssh) к вышеуказанным протоколам не относится. 5222, 5223 я не знаю что это. Остальной трафик только натить, кешировать там нечего.

Оффлайн Ar3s

  • Автор темы
  • Новичок
  • *
  • Сообщений: 19
    • Просмотр профиля
Re: прозрачный прокси
« Ответ #8 : 13 Ноябрь 2009, 13:46:01 »
Mam(O)n - СПАСИБО!

Я тупанул тут. Вот то что ты написал и поставило для меня все на свои места. СПС.


Пользователь решил продолжить мысль 13 Ноябрь 2009, 11:15:09:
Надеюсь последний вопрос. Где курить на тему простого шэйпера на ubuntu server?
« Последнее редактирование: 13 Ноябрь 2009, 15:16:19 от Ar3s »

Оффлайн Mam(O)n

  • Заслуженный пользователь
  • Старожил
  • *
  • Сообщений: 5855
    • Просмотр профиля
Re: прозрачный прокси
« Ответ #9 : 13 Ноябрь 2009, 15:57:36 »
Надеюсь последний вопрос. Где курить на тему простого шэйпера на ubuntu server?
ъ вариант - tc
А так, на форуме погугли, много что есть по этому поводу.

Оффлайн AnrDaemon

  • Заслуженный пользователь
  • Старожил
  • *
  • Сообщений: 25968
    • Просмотр профиля
Re: прозрачный прокси
« Ответ #10 : 13 Ноябрь 2009, 19:15:51 »
5222, 5223 я не знаю что это. Остальной трафик только натить, кешировать там нечего.
5222 xmpp
5223 xmpps
Жабка, если короче.
Хотите получить помощь? Потрудитесь представить запрошенную информацию в полном объёме.

Прежде чем [Отправить], нажми [Просмотр] и прочти собственное сообщение. Сам-то понял, что написал?…

Оффлайн Ar3s

  • Автор темы
  • Новичок
  • *
  • Сообщений: 19
    • Просмотр профиля
Re: прозрачный прокси
« Ответ #11 : 16 Ноябрь 2009, 17:08:33 »
если кому интересно - могу конфиги в конце своих страданий прикрутить к этой теме.

Оффлайн Userz

  • Любитель
  • *
  • Сообщений: 90
    • Просмотр профиля
Re: прозрачный прокси
« Ответ #12 : 16 Ноябрь 2009, 20:56:49 »
Если получилось сделать сквид прозрачным, выложи squid.conf и правила iptables (которые отвечают за заворачивание портов).

Оффлайн Ar3s

  • Автор темы
  • Новичок
  • *
  • Сообщений: 19
    • Просмотр профиля
Re: прозрачный прокси
« Ответ #13 : 25 Март 2010, 11:11:20 »
#!/bin/sh
PATH=/usr/sbin:/sbin:/bin:/usr/bin
#
# удалить все действующие правила
#
iptables -F
iptables -t nat -F
iptables -t mangle -F
iptables -X
# Всегда принимать трафик на loopback-интерфейсе
iptables -A INPUT -i lo -j ACCEPT
# Разрешить соединения, которые инициированы изнутри (eth0)
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A INPUT -m state --state NEW -i ppp0 -j ACCEPT
iptables -A FORWARD -i ppp0 -o eth0 -m state --state ESTABLISHED,RELATED -j ACCE
PT
# Разрешить доступ из LAN-сети к внешним сетям
iptables -A FORWARD -i eth0 -o ppp0 -j ACCEPT
# Masquerade.
iptables -t nat -A POSTROUTING -o ppp0 -j MASQUERADE
# Запретить forward извне во внутреннюю сеть
iptables -A FORWARD -i ppp0 -o eth0 -j REJECT
# Включить forward
echo 1 > /proc/sys/net/ipv4/ip_forward
# to squid
iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 80 -j REDIRECT --to-port 55
55
iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 8080 -j REDIRECT --to-port
5555


acl manager proto cache_object
acl localhost src 127.0.0.1/32
acl to_localhost dst 127.0.0.0/8
acl gogogo src "/etc/squid3/users"
acl SSL_ports port 443
acl Safe_ports port 80          # http
acl Safe_ports port 21          # ftp
acl Safe_ports port 443         # https
acl Safe_ports port 70          # gopher
acl Safe_ports port 210         # wais
acl Safe_ports port 1025-65535  # unregistered ports
acl Safe_ports port 280         # http-mgmt
acl Safe_ports port 488         # gss-http
acl Safe_ports port 591         # filemaker
acl Safe_ports port 777         # multiling http
acl CONNECT method CONNECT

http_access allow manager localhost
http_access deny manager
http_access deny !Safe_ports
http_access deny CONNECT !SSL_ports


http_access allow localhost
http_access allow gogogo
http_access deny all
icp_access deny all
htcp_access deny all

http_port 192.168.5.110:5555 transparent

dead_peer_timeout 10 seconds
hierarchy_stoplist cgi-bin ?
cache_mem 50 MB
maximum_object_size_in_memory 1024 KB
cache_dir ufs /var/spool/squid3 1500 16 256
store_dir_select_algorithm least-load
minimum_object_size 1 KB
maximum_object_size 1024 KB

access_log /dev/null squid
cache_log /dev/null

refresh_pattern ^ftp:           1440    20%     10080
refresh_pattern ^gopher:        1440    0%      1440
refresh_pattern (cgi-bin|\?)    0       0%      0
refresh_pattern .               0       20%     4320

icp_port 3130

coredump_dir /var/spool/squid3
« Последнее редактирование: 25 Март 2010, 11:16:05 от Ar3s »

 

Страница сгенерирована за 0.054 секунд. Запросов: 22.