Форум русскоязычного сообщества Ubuntu


Получить помощь и пообщаться с другими пользователями Ubuntu можно
на irc канале #ubuntu-ru в сети Freenode
и в Jabber конференции ubuntu@conference.jabber.ru

Автор Тема: Как пропустить 21 порт в обход squid?  (Прочитано 6586 раз)

0 Пользователей и 1 Гость просматривают эту тему.

Оффлайн Razielvamp

  • Автор темы
  • Любитель
  • *
  • Сообщений: 56
    • Просмотр профиля
Как пропустить 21 порт в обход squid?
« : 17 Февраль 2010, 12:44:53 »
Ситуевина такая:

имеем прокси Squid. Вроде б  все работает нормально, но нет доступа к ftp. В нете начиталася, что Squid вроде бы не поддерживает полноценный ftp протокол, и типа есть советы пробросить 21й порт напрямую в обход Squid.

Подскажите как это сделать? Хорош любой способ, главное результат... Сейчас заморачиваюсь с iptables, но так и не понял, как с помощью него можно пробросить порт в обход сквида...

Вобщем кто-инть сталкивался с проблемой? кто как решал?

ЗЫ если быть точным, то на ftp ресурс через squid компы не входят, пишут, что недоступен адрес.

Порт 21 на открытие естесно проверял, и сама машина, на которой стоит squid на фтп ресурс заходит

Оффлайн aSmile

  • Активист
  • *
  • Сообщений: 715
    • Просмотр профиля
Re: Как пропустить 21 порт в обход squid?
« Ответ #1 : 17 Февраль 2010, 15:41:50 »
продолжай с iptables заморачиваться и все получится.

Оффлайн Razielvamp

  • Автор темы
  • Любитель
  • *
  • Сообщений: 56
    • Просмотр профиля
Re: Как пропустить 21 порт в обход squid?
« Ответ #2 : 17 Февраль 2010, 16:29:55 »
aSmile, можно какую-нить наводочку-ссылочку получить?

В инете лазил, много инфы нашел... но там все не то... там как обезопасить компутер от входящего трафика извне в основном.

А со сквидом я даже не совсем понимаю принцип настройки... iptables и squid стоят на одном компе... т.е. мне надо трафик мимо программы направлять, а не мимо некоего ип адреса.

Оффлайн aSmile

  • Активист
  • *
  • Сообщений: 715
    • Просмотр профиля
Re: Как пропустить 21 порт в обход squid?
« Ответ #3 : 17 Февраль 2010, 16:35:49 »
наводка - https://forum.ubuntu.ru/index.php?topic=20334.0
и тут очень подробно про iptables http://www.opennet.ru/docs/RUS/iptables/

Оффлайн Mam(O)n

  • Заслуженный пользователь
  • Старожил
  • *
  • Сообщений: 5855
    • Просмотр профиля
Re: Как пропустить 21 порт в обход squid?
« Ответ #4 : 17 Февраль 2010, 19:04:48 »
Попробую угадать. На сквид, работающий в прозрачном режиме сейчас заруливается определённый трафик с помощью iptables. Тогда поправь правила таким образом, чтоб трафик по 21 порту не заворачивался на сквид, а маскардился на выходном интерфейсе. А конкретные указания к действию зависят от текущей конфигурации файрвола.

Оффлайн Razielvamp

  • Автор темы
  • Любитель
  • *
  • Сообщений: 56
    • Просмотр профиля
Re: Как пропустить 21 порт в обход squid?
« Ответ #5 : 18 Февраль 2010, 08:36:14 »
Mam(O)n, скажу честно, я в линухе не ас, и все действия через бубен происходят, на неосознанном уровне :)

Но вобще ситуевина такая, что сквид я поставил первоначально, а iptables уже потом.

Iptables сейчас вообще не настроен, и пропускает весь трафик. Файрволл как таковой мне вобще не нужен, так как стоит цыска, на которой все порты из внешки заблокированны.

Единственное для чего нужен iptables это тупо пробросить 21 порт напрямую, через ip прокси (т.к. только прокся имеет выход наружу), но не затрагивая squid

ЗЫ Сетевой интерфейс всего один!
« Последнее редактирование: 18 Февраль 2010, 08:39:04 от Razielvamp »

Оффлайн Mam(O)n

  • Заслуженный пользователь
  • Старожил
  • *
  • Сообщений: 5855
    • Просмотр профиля
Re: Как пропустить 21 порт в обход squid?
« Ответ #6 : 18 Февраль 2010, 12:46:17 »
Iptables сейчас вообще не настроен, и пропускает весь трафик.
А тогда каким способом трафик на сквид попадает? Если на клиентах прописана прокся, то для фтп просто убери настройки.

Файрволл как таковой мне вобще не нужен, так как стоит цыска, на которой все порты из внешки заблокированны.
Файрволл это не только фильтрация трафика по портам. Это межсетевой экран. Там и NAT и еще много чего вкусного.

ip прокси
Это еще что такое? Socks?

Оффлайн Razielvamp

  • Автор темы
  • Любитель
  • *
  • Сообщений: 56
    • Просмотр профиля
Re: Как пропустить 21 порт в обход squid?
« Ответ #7 : 18 Февраль 2010, 12:51:14 »
Еще один вопрос. почему iptables не понимает комманду --sport (--source-port)? пишет unknown option

и по комманде Iptables -h не  выдает подобных комманд :(

Оффлайн Mam(O)n

  • Заслуженный пользователь
  • Старожил
  • *
  • Сообщений: 5855
    • Просмотр профиля
Re: Как пропустить 21 порт в обход squid?
« Ответ #8 : 18 Февраль 2010, 12:52:27 »
Понимает. Только в правильном контексте. Команду полностью приведи.

Оффлайн Razielvamp

  • Автор темы
  • Любитель
  • *
  • Сообщений: 56
    • Просмотр профиля
Re: Как пропустить 21 порт в обход squid?
« Ответ #9 : 18 Февраль 2010, 12:59:09 »
Mam(O)n

А тогда каким способом трафик на сквид попадает? Если на клиентах прописана прокся, то для фтп просто убери настройки.

на сквиде прописан принимающий порт 3128, у браузера в свойствах прокси набирается этот порт и ипшник. И все.

Если я уберу настойки в браузере для фтп, то люди не смогут выходить во внешку, т.к. в самом конце стоит цыска, которая выпускает в инет только один ип - проксевый.
Поэтому надо чтобы люди выходили во внешку через IP-адрес прокси-сервера, но в обход сквида.

Файрволл это не только фильтрация трафика по портам. Это межсетевой экран. Там и NAT и еще много чего вкусного.

Не спорю... сижу читаю чо там можно натворить, уже бошка кругом идет. Но мне этого не надо, все прелести жизни настроены на цыске. Если бы людям не надо было на фтп выходить, то и одного сквида за глаза хватило бы, но он с фтп не фунцинклирует.

Это еще что такое? Socks?

наверное неправильно выразился я. ip прокси - всмсле что выходить через ip адрес прокси надо, т.к. выход во внешку только ей открыт.

Оффлайн Mam(O)n

  • Заслуженный пользователь
  • Старожил
  • *
  • Сообщений: 5855
    • Просмотр профиля
Re: Как пропустить 21 порт в обход squid?
« Ответ #10 : 18 Февраль 2010, 13:14:48 »
Так. Туман рассеивается. То есть получается циску уже не перенастроить? Надо тогда настроить NAT на тачке со сквидом и прописать на клиентах дефолтный маршрут через эту тачку. При этом нужно не забыть перевести всех клиентов в пассивный режим ftp.

Оффлайн Razielvamp

  • Автор темы
  • Любитель
  • *
  • Сообщений: 56
    • Просмотр профиля
Re: Как пропустить 21 порт в обход squid?
« Ответ #11 : 18 Февраль 2010, 13:41:21 »
Mam(O)n, а можно поподробнее пообщаться? может есть ICQ какой-нить?

звинюсь за назойливость если что...

Оффлайн Mam(O)n

  • Заслуженный пользователь
  • Старожил
  • *
  • Сообщений: 5855
    • Просмотр профиля
Re: Как пропустить 21 порт в обход squid?
« Ответ #12 : 18 Февраль 2010, 14:17:29 »
Я свои иные контакты теперь на форумах не даю, общение в реалтайме убивает практически весь рабочий день. Предпочитаю общение через форумы.

Оффлайн Razielvamp

  • Автор темы
  • Любитель
  • *
  • Сообщений: 56
    • Просмотр профиля
Re: Как пропустить 21 порт в обход squid?
« Ответ #13 : 18 Февраль 2010, 15:37:25 »
Mam(O)n, тоже верно :)

вобщем суть такая, стоит Iptables c единственной настройкой

FORWARD ACCEPT [0:0]
INPUT ACCEPT [0:0]
OUTPUT ACCEPT [0:0]

есть группа компов, предположим с интерфейсом 192.168.1.0/24. есть шлюз 192.168.1.1, этот шлюз - цыска, он пускает наружу только один компутер с ип адресом 192.168.1.2, на котором и стоит squid.

Вот 21 порт нам надо пустить мимо сквида, а все остальное оставить как есть, ибо сама прокся работает нормально.

Оффлайн Mam(O)n

  • Заслуженный пользователь
  • Старожил
  • *
  • Сообщений: 5855
    • Просмотр профиля
Re: Как пропустить 21 порт в обход squid?
« Ответ #14 : 18 Февраль 2010, 18:20:31 »
Дело в том, что из за убогости протокола ftp одним портом не обойтись, и придётся маскардить все подключения. О том, как поднимать nat с помощью iptables, тут рядом только что снова пробегала эта изъезженная тема.

Зы. Вроде есть чтото вроде conntrack ftp (как точно называется не помню), который разбирает ftp протокол и делает соответствующие пробросы трафика по портам данных, но я еще это не пробовал, подсказать не могу.

 

Страница сгенерирована за 0.061 секунд. Запросов: 22.