transparentní proxy server (Linux)

[KUBA]

Potřeboval bych rad. Snažím se nastavit v síti transparentní proxy server. Tedy aby každej počítač jel automaticky přes proxy a nemuselo se to nikde nastavovat.
Proxy mi jede bez problémů (Squid 2.5, Trustix Secure Linux 2.1), ale nedaří se mi ho ztransparentnit. Na routeru přes kterej prochází provoz, kterej chci přesměrovat jsem udělal toto

Kód:

iptables -t nat -A PREROUTING -p tcp --dport 80 -i eth0 -j DNAT --to 10.112.1.3:3128

a nefunguje to. To eth0 chápu jako rozhraní, ze kterýho se jdou požadavky, který se budou přesměrovávat (router má eth0 - tam jsou připojeni uživatelé a wlan0 - tam je uplink na nadřazený router).
Určitě není problém v tom, že by to přesměrovávalo i požadavky generované Squidem a cyklylo se to.

[Fox!MURDER]

urcite bych tam jeste dal podminku ze zdrojova ip je ip ty podsite na eth0 (precijen by to problemy mohlo delat)
jinak mi to prijde logicky spravne. zkousels tcpdumpovat provoz jesli to na tu proxy dotece nebo ne ?

[KUBA]

Hmm, podle tcpdumpu to vypadá, že to nepřesměrovává, požadavky jdou přímo

Kód:

root@gw-kacin ~# tcpdump port not ssh |grep kuba
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on eth0, link-type EN10MB (Ethernet), capture size 96 bytes
11:59:57.615723 IP kuba.lysafree.czf.1872 > 62.24.64.132.http: P 3946546348:3946547373(1025) ack 802290866 win 65268
11:59:57.654378 IP 62.24.64.132.http > kuba.lysafree.czf.1872: . ack 1025 win 11275
11:59:57.865743 IP 62.24.64.132.http > kuba.lysafree.czf.1871: FP 796256161:796256666(505) ack 3946183318 win 10900
11:59:58.083408 IP 62.24.64.132.http > kuba.lysafree.czf.1872: . 1:1461(1460) ack 1025 win 11275
11:59:58.083797 IP 62.24.64.132.http > kuba.lysafree.czf.1872: P 1461:1546(85) ack 1025 win 11275

a definovat subnet sendera jsem taky zkusil

Kód:

iptables -t nat -A PREROUTING -p tcp -s 10.112.0.0/16 --dport 80 -i eth0 -j DNAT --to 10.112.1.3:3128

.

Tak mě napadlo, jestli požadavky na proxy nemaj vypadat jinak než na http, ale to by to zase neběhalo vůbec.

[Fox!MURDER]

Tak mě napadlo, jestli požadavky na proxy nemaj vypadat jinak než na http, ale to by to zase neběhalo vůbec.

maj a nemaj ...

btw. takhle to resi shorewall
REDIRECT tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:80 redir ports 3128

[VOiD]

http://www.siliconvalleyccie.com/lin...m#_Toc78302724

Je třeba překonfigurovat i squid, aby ty požadavky chápal. Používám to tak v podstatě všude a funguje to.

[Rainbow]

Aj Squid musi byt spravne nastaveny. Cital si toto? http://en.tldp.org/HOWTO/TransparentProxy.html

[KUBA]

Ve squid.conf mám vše nastaveno podle návodů viz. výše, takže v tom problém není.
V těch příkladech je toho sice víc, ale myslim si, že by mělo stačit to, co tam mám já.

Kód:

-s ! squid-box

ošetřuje, aby se požadavek necyklyl, to v mém případě problém není

Kód:

iptables -t nat -A PREROUTING -i eth0 -s ! squid-box -p tcp --dport 80 -j DNAT --to squid-box:3128
iptables -t nat -A POSTROUTING -o eth0 -s local-network -d squid-box -j SNAT --to iptables-box
iptables -A FORWARD -s local-network -d squid-box -i eth0 -o eth0 -p tcp --dport 3128 -j ACCEPT

Tady bych ten druhej ani třetí neměl potřebovat. Můj iptables-box má dvě rozhraní, takže provoz jinak než přes něj jít nemůže - tím vypouštím druhej řádek. Na iptables-boxu není firewall, takže požadavky nic nefiltruje - tudíž třetí řádek taky není potřeba.

[Fox!MURDER]

Ve squid.conf mám vše nastaveno podle návodů viz. výše, takže v tom problém není.
V těch příkladech je toho sice víc, ale myslim si, že by mělo stačit to, co tam mám já.

Kód:

-s ! squid-box

ošetřuje, aby se požadavek necyklyl, to v mém případě problém není

Kód:

iptables -t nat -A PREROUTING -i eth0 -s ! squid-box -p tcp --dport 80 -j DNAT --to squid-box:3128
iptables -t nat -A POSTROUTING -o eth0 -s local-network -d squid-box -j SNAT --to iptables-box
iptables -A FORWARD -s local-network -d squid-box -i eth0 -o eth0 -p tcp --dport 3128 -j ACCEPT

Tady bych ten druhej ani třetí neměl potřebovat. Můj iptables-box má dvě rozhraní, takže provoz jinak než přes něj jít nemůže - tím vypouštím druhej řádek. Na iptables-boxu není firewall, takže požadavky nic nefiltruje - tudíž třetí řádek taky není potřeba.

hele a nenatuje se ti to teda jen jednim smerem ?
z toho tcpdumpu neni videt komunikace s klientem ...


resp. na kterym interface vzhledem k routeru mas tu proxynu ?

[KUBA]

takhle to vypadá

[Fox!MURDER]

tak jeste potrebuju vedet jestli a kde mas nejakej NAT popripade kde mas jaky IP rozsahy.

[KUBA]

tak jeste potrebuju vedet jestli a kde mas nejakej NAT popripade kde mas jaky IP rozsahy.

Upravil jsem ilustraci.

NAT (klasická maškaráda) je na routeru mezi internetem a sítí. Subnety jsem psal jen poslední dva oktety, první jsou 10.112, ale na tom nezáleží.

[Fox!MURDER]

tak jeste potrebuju vedet jestli a kde mas nejakej NAT popripade kde mas jaky IP rozsahy.

Upravil jsem ilustraci.

NAT (klasická maškaráda) je na routeru mezi internetem a sítí. Subnety jsem psal jen poslední dva oktety, první jsou 10.112, ale na tom nezáleží.

hmhm divne
muzes prosim udelat stejnej tcpdump jako predtim ale na wlan0 ?

[KUBA]

Aaah, už to asi mám .

Ono to vypadá, že to přecejen přes cache jede, ale chyba je mezi židlí a klávesnicí. Já jsem to totiž zkoušel zadáním nějaký nesmyslný URL. Když jsem měl proxy nastaveno, tak squid vyhodil hlášku, že ta adresa neexistuje. Teď to samozřejmě zahlásí přímo prohlížeč. Neuvědomil jsem si totiž, že to resolvuje přímo prohlížeč a až teprv posílá požadavek na port 80 - tzn. až potom se to přesměruje na squida.

Ještě to potestim, ale zřejmě je to v pohodě.
Tak se omlouvám za mystifikaci .

Díky všem za rady!