squid3-transparent, iptables, ssl - нужна консультация.

[Ar3s]

нужна помощь.
Есть сервер 192.168.5.110
на нем крутится dhcp + dns proxy + squid transparetn
iptables заворачивает 80 и 8080 на порт сквида 5555

Нужно в iptables задать обработку ssl
т.е. т.к. squid с ssl в прозрачном режиме не работает то запросы на 443 порт нужно пускать мимо сквида. Просто форвардить напрямую.

есть sh файл который срабатывает при каждом поднятии pppoe
#!/bin/sh
PATH=/usr/sbin:/sbin:/bin:/usr/bin
#
# удалить все действующие правила
#
iptables -F
iptables -t nat -F
iptables -t mangle -F
iptables -X
# Всегда принимать трафик на loopback-интерфейсе
iptables -A INPUT -i lo -j ACCEPT
# Разрешить соединения, которые инициированы изнутри (eth0)
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A INPUT -m state --state NEW -i ! $IFACE -j ACCEPT
iptables -A FORWARD -i $IFACE -o eth0 -m state --state ESTABLISHED,RELATED -j ACCEPT
# Разрешить доступ из LAN-сети к внешним сетям
iptables -A FORWARD -i eth0 -o $IFACE -j ACCEPT
# Masquerade.
iptables -t nat -A POSTROUTING -o $IFACE -j MASQUERADE
# Запретить forward извне во внутреннюю сеть
iptables -A FORWARD -i $IFACE -o eth0 -j REJECT
# Включить forward
echo 1 > /proc/sys/net/ipv4/ip_forward
# to squid
iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 80 -j REDIRECT --to-port 5555
iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 8080 -j REDIRECT --to-port 5555

есть список ip которым можно в интернет 192.168.5.2 - 192.168.5.10

Задача не конкретнов ssl, а в 21, 22, 24, 222, 443, 5190, 5222, 5223 портах.
Я ищу решение как пропускать напрямую все порты кроме 80 и 8080 (эти два заворачивать на прозрачный сквид)
остальные просто форвардить.

[Unreg]

элементарно включить NAT?

[Ar3s]

так вроде же включен...

[Unreg]

Код: [Выделить]

LAN=eth1
LAN_IP="`ifconfig $LAN | head -n 2 | sed 'N;s/\n/ /' | awk '{print $7}'  | sed -e 's/addr://'`"
SQUID_IP=$LAN_IP
SQUID_PORT="`grep transparent /etc/squid/squid.conf | awk '{print $2}'`"
INT_NET="`ip addr show $LAN | grep inet | awk '{print $2}'`"

iptables -t nat -A PREROUTING -i $LAN -d ! $INT_NET -m iprange --src-range 192.168.5.2-192.168.5.10
-p tcp -m multiport --dport 80,8080 -j DNAT --to $SQUID_IP:$SQUID_PORT -v
ну или маску подравить

Пользователь решил продолжить мысль [time]Wed Mar  3 10:49:23 2010[/time]:

так вроде же включен...

и то верно, не заметил.
Пользователь решил продолжить мысль [time]Wed Mar  3 12:56:13 2010[/time]:iptables -P INPUT REJECT
iptables -A INPUT -p tcp -m multiport --dports 21,22,24,222,443,5190,5222,5223  -j ACCEPT
iptables -A INPUT -p udp -m multiport --dports 21,22,24,222,443,5190,5222,5223 -j ACCEPT
Пользователь решил продолжить мысль [time]Wed Mar  3 14:56:46 2010[/time]:попробовать разрешить только нужные порты?

[Ar3s]

iptables -P INPUT REJECT
iptables -A INPUT -p tcp -m multiport --dports 21,22,24,222,443,5190,5222,5223  -j ACCEPT
iptables -A INPUT -p udp -m multiport --dports 21,22,24,222,443,5190,5222,5223 -j ACCEPT

не помогло...

[Mam(O)n]

А если такой вариант:

Код: [Выделить]

#!/bin/bash
PATH=/usr/sbin:/sbin:/bin:/usr/bin

inetif=$IFACE
localif=eth0

iptables -F
iptables -X
iptables -t nat -F
iptables -t nat -X
iptables -t mangle -F
iptables -t mangle -X

iptables -P INPUT DROP
iptables -P FORWARD DROP
iptables -P OUTPUT ACCEPT

iptables -A INPUT -i lo -j ACCEPT

iptables -A INPUT -m conntrack --ctstate ESTABLISHED,RELATED -j ACCEPT
iptables -A INPUT -m conntrack --ctstate NEW -i $localif -j ACCEPT

iptables -A FORWARD -m conntrack --ctstate ESTABLISHED,RELATED -j ACCEPT
iptables -A FORWARD -m conntrack --ctstate NEW -i $localif -p tcp -m multiport ! --dports 80,8080 -m iprange --src-range 192.168.5.2-192.168.5.10 -j ACCEPT
iptables -A FORWARD -m conntrack --ctstate NEW -i $localif ! -p tcp -j ACCEPT
iptables -A FORWARD -m conntrack --ctstate NEW -i $localif -o $localif -j ACCEPT

iptables -t nat -A POSTROUTING -o $IFACE -j MASQUERADE

iptables -t nat -A PREROUTING -i eth0 -p tcp -m multiport --dports 80,8080 -j REDIRECT --to-port 5555

sysctl net.ipv4.ip_forward=1
Пользователь решил продолжить мысль 03 Марта 2010, 18:05:20:Да, забыл предупредить. Этот скрипт, в отличии от исходного, по-настоящему закрывает входящие порты с внешки, оставляя доступ к серверу только из локалки.

[Ar3s]

Он запустился без проблем, но данные все-равно не пробрасывает. Хотя на 80 и 8080 пропускает как нужно.
Пример - захожу на сайт. Норм. Ввожу логин/пароль - меня перебрасывает уже на https и все. На этом все останавливается.

[Mam(O)n]

А DNS на клиентах настроен и работает?

[Ar3s]

на клиентах стоит "получать dns сервер автоматически"

А на серваке - стоит dns proxy

[Mam(O)n]

Ну и вторая часть вопроса. Оно работает?
на клиенте:

Код: [Выделить]

nslookup ya.ru
ping 8.8.8.8Пользователь решил продолжить мысль 03 Марта 2010, 19:27:20:

"получать dns сервер автоматически"

Получает?

[Ar3s]

Если на всех клиентах обычный http работает - значит dns удачно получает.

хотя вывод nslockup странный...

Код: [Выделить]

PS C:\Documents and Settings\Ar3s> nslookup.exe ya.ru
*** Can't find server name for address 192.168.5.110: Non-existent domain
*** Default servers are not available
Server:  UnKnown
Address:  192.168.5.110

Non-authoritative answer:
Name:    ya.ru
Addresses:  77.88.21.8, 93.158.134.8, 213.180.204.8


[Mam(O)n]

Если на всех клиентах обычный http работает - значит dns удачно получает.

На всех клиентах юзается прокси а значит резолвинг идёт через прокси протокол. Что там насчёт пинга?

[Ar3s]

пинг не идет, т.к. он не на 80 и не на 8080 порту. т.е. его просто не пропускает.

[Mam(O)n]

Остальное, что не на 80 и 8080 должно по идее идти мимо. Нужно смотреть iptables-save.

[Ar3s]

Код: [Выделить]

root@proxy:/etc/network/if-up.d# iptables-save
# Generated by iptables-save v1.4.4 on Thu Mar  4 12:41:03 2010
*mangle
:PREROUTING ACCEPT [228270:118285845]
:INPUT ACCEPT [225832:118160683]
:FORWARD ACCEPT [2321:120490]
:OUTPUT ACCEPT [254703:125347482]
:POSTROUTING ACCEPT [257010:125466908]
COMMIT
# Completed on Thu Mar  4 12:41:03 2010
# Generated by iptables-save v1.4.4 on Thu Mar  4 12:41:03 2010
*nat
:PREROUTING ACCEPT [4400:423667]
:POSTROUTING ACCEPT [15021:910869]
:OUTPUT ACCEPT [15363:936021]
-A PREROUTING -i eth0 -p tcp -m tcp --dport 80 -j REDIRECT --to-ports 5555
-A PREROUTING -i eth0 -p tcp -m tcp --dport 8080 -j REDIRECT --to-ports 5555
-A POSTROUTING -o ppp1 -j MASQUERADE
COMMIT
# Completed on Thu Mar  4 12:41:03 2010
# Generated by iptables-save v1.4.4 on Thu Mar  4 12:41:03 2010
*filter
:INPUT ACCEPT [563:32521]
:FORWARD ACCEPT [2203:114770]
:OUTPUT ACCEPT [254690:125346974]
-A INPUT -i lo -j ACCEPT
-A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
-A INPUT ! -i ppp1 -m state --state NEW -j ACCEPT
-A FORWARD -i ppp1 -o eth0 -m state --state RELATED,ESTABLISHED -j ACCEPT
-A FORWARD -i eth0 -o ppp1 -j ACCEPT
-A FORWARD -i ppp1 -o eth0 -j REJECT --reject-with icmp-port-unreachable
COMMIT
# Completed on Thu Mar  4 12:41:03 2010