Sziasztok a gondom a következő. Van egy gépem amit szeretnék beállítani transzparens proxynak a hálózatomba, de azt nem tudom megoldani, hogy ő legyen az átjáró. Van hozzáférésem a tűzfalhoz. Mit kéne tennem, hogy működjön a dolog? Próbálkoztam dst-nat-al de valahogy nem jött össze. Bekapcsoltam a sysctl-be a forwardot is. Valaki nem tudna egy részletes leírással megdobni? Ja ha mint proxy megyek rá direktbe akkor müxik. De transzparensként nem. Az ip címe 192.168.1.247 az átjáróé 192.168.1.254 és a 3128-as porton figyel a squid3-om. Köszönet előre is.
- 4166 megtekintés
Hozzászólások
Proxyn:
Kapja meg az eddigi átjáró ip címét + echo 1 > /proc/sys/net/ipv4/ip_forward + Squid transparens proxy-ként konfigurálni
Átjáró:
Adj egy új ip-t neki + iptables-en a 80-as forgalmat a proxy-ra rányomni.
Klienseken:
Konfiguráció maradhat az eddigi.
- A hozzászóláshoz be kell jelentkezni
Köszi de le tudnád írni pontosan mire gondolsz? Lépésenként és utasításonként? Köszi előre is.
- A hozzászóláshoz be kell jelentkezni
tetszik ez a gondolatmenet :)
addig én is úgy csinálnám, hogy a proxy kapja meg az átjáró címét, így lehet ő a transparent squid, de én itt tolnék egy 80 > 3128 portforwardot + nat és az ő átjárója pedig lenne az eddigi átjáró, aminek persze megváltoztatja a címét
mondjuk ennyi erővel ha van hozzáférésed a tűzfalhoz, miért nem az a proxy is?
- A hozzászóláshoz be kell jelentkezni
Köszi de ez egy mikro számítógép Router OS-el. Így nem használható proxynak. Nincs benne csak 32 Mb ram.
- A hozzászóláshoz be kell jelentkezni
a RouterOS pont tud lenni transzparens proxy.
persze itt a tűzfalban tudsz csinálni redirect szabályt.
wiki.mikrotik.com
- A hozzászóláshoz be kell jelentkezni
Gyakorlatban használta valaki (sebesség érdekel), mondjuk egy 5-10 fős irodában?
- A hozzászóláshoz be kell jelentkezni
+1
- A hozzászóláshoz be kell jelentkezni
a tűzfal konfiguráció a kulcsa az egésznek, ahol viszont több trükk is van, amire oda kell figyelni:
- a proxy-t kivételként kell kezelni - csúnya loop lesz abból, ha a proxyról kimenő kérést is redirecteli a tűzfal a proxyhoz :-)
- nem elég a DNAT, hanem SNAT avagy MASQUERADE is kell. Ennek az az oka, hogy a válasz csomagnak ugyanazon az útvonalon kell visszamennie, ahogy a kérés csomag ment. Ha a tűzfal nem maszkol, akkor a proxy gép direktben vissza fogja adni a választ az eredeti kérést szülő gépnek - az viszont nem tud a proxyról, nem is vár választ tőle, így eldobja a csomagot, amire viszont várná a választ, arra sosem fog jönni. A masquerade miatt viszont a proxy a tűzfalnak fogja adni a választ, így ott megtörténik a demask és így már jó válasz fog visszamenni, a proxy innen kezdve működik
a dolog szépség hibája: a proxyhoz minden kérés úgy fog beesni, mintha a tűzfal kérdezne le, így gépre bontott statisztika nem készíthető. mivel a proxy transzparens, így authentikáció sem játszik, tehát user szintű statisztika sem készíthető
a "szép" megoldás, hogy a proxy külön subnetbe kerül - akkor is, ha fizikailag ugyanaz a LAN - és ekkor a tűzfal route-ol a két subnet között. Ebben a felállásban nem kell a SNAT/MASQUERADE.
- A hozzászóláshoz be kell jelentkezni
- A hozzászóláshoz be kell jelentkezni
Köszi de az előbb leírt loop miatt nem ilyen egyszerű. Azért köszi.
- A hozzászóláshoz be kell jelentkezni
- A hozzászóláshoz be kell jelentkezni
Azt meg hogyan a dolog így néz ki.
Tűzfal Mirotik.
IP: 10.0.2.254
Szabály: Dnat 80 port -> 10.0.2.237:3128
Ubi Linux Squid.
IP: 10.0.2.237
Köszi.
- A hozzászóláshoz be kell jelentkezni
Mikrotik-ot nem ismerem, de elvileg felveszel ez elé egy másik szabályt, hogy a 10.0.237 felől a külvilág 80-as portja felé enged-ed. A legelső illeszkedő szabályt fogja alkalmazni.
- A hozzászóláshoz be kell jelentkezni
Köszi.
- A hozzászóláshoz be kell jelentkezni
+1
--
A legértékesebb idő a pillanat amelyben élsz.
http://phoenix-art.hanzo.hu/
- A hozzászóláshoz be kell jelentkezni