Sziasztok!
RENIERSCT cyber Jack RFID basic kártyaolvasóval küzdök. Windows 10 kliensről a külső szerverre kellene hitelesítenem.
Squid proxy van, azon keresztül nem megy azt tudom. Linux tűzfalon kellene átvarázsolni a eth1 külső eth0 belső láb, iptables szűr. Próbáltam a NAT-olni, de nem sikerült. Elvileg a 4443 és 5443 TCP portokat kellene kifelé nyitni, de nem sikerül. A kártyaolvasó USB-én kapcsolódik a klienshez. Valakinek van tapasztalata kártyaolvasóval. Milyen port, protokoll kell neki. Először egy weboldalra kell bejelentkeznem és ott indítom a hitelesítést. A kártyaolvasónak van egy kliens szoftvere a gépre telepítve, gondolom annak kell valami plusz kommunikációs csatorna. Amikor elindítom a hitelesítést a böngésző sarkában látszik a 127.0.0.1 címen várja választ. Próbáltam PAC file-t írni a böngészőnek az IP cím kizárására a proxyból az sem jó.
Ha közvetlen internetkapcsolattal próbálom akkor minden gond nélkül megy. A hitelesítés indítása után elődob egy plusz ablakot a hitelesítés részleteivel azt elfogadom és megy.
kösz a segítséget!
- 1182 megtekintés
Hozzászólások
Ha azt akarom az adott IP cím ne proxy keresztül menjen akkor beállítok a böngészőnek egy PAC filet a DIRECT kapcsolatra.
function FindProxyForURL(url, host){
var proxy_yes = "PROXY XXX:XXX:XXX:XXX:8080";
var proxy_no = "DIRECT";
if (shExpMatch(url, "*XXX:XXX:XXX:XXX")) { return proxy_no; }
//Proxy anything else
return proxy_yes;
}
Iptables:
PREROUTING
-A PREROUTING -s IP_BELSŐ -d XXX.XXX.XXX.XXX -j ACCEPT
-A PREROUTING -s IP_BELSŐ -d XXX.XXX.XXX.XXX -j ACCEPT
POSTROUTING
-A PREROUTING -s IP_BELSŐ -d XXX.XXX.XXX.XXX --dport 4443 -j MASQERADE
-A PREROUTING -s IP_BELSŐ -d XXX.XXX.XXX.XXX --dport 4443 -j ACCEPT
-A PREROUTING -s IP_BELSŐ -d XXX.XXX.XXX.XXX --dport 5443 -j MASQERADE
-A PREROUTING -s IP_BELSŐ -d XXX.XXX.XXX.XXX --dport 5443 -j ACCEPT
Ha jól tudom a NAT-ra rakok valamit akkor az a proxy-t elkerüli ugye? A belső IP-k az INPUT-ban vannak átirányítva a 8080 portra. Minden egyéb internet szolgáltatás és böngészés megy különben már régóta.
Ezt próbáltam, de nem jó. Ötlet???
- A hozzászóláshoz be kell jelentkezni
Olvasd el ezt: http://tldp.org/HOWTO/TransparentProxy-6.html
Nem ismerve a tűzfaladat valami ilyesmivel lehetne próbálkozni:
iptables -I PREROUTING -t nat -i eth0 ! --source "az én gépem ip-je" -p tcp --dport 80 -j REDIRECT --to-port 3128
- A hozzászóláshoz be kell jelentkezni
Azt szeretném tudni hogy mi a csomagok sorrendje ha squid proxyt használok.
kliens - squid port (8080) - iptables - külső Ip
kliens - iptables ( PREROUTING ) - suid port ( 8080 ) - külső Ip
Ha squid az első hogyan tudom elkerülni, ha iptables akkor miért nem tudok peroutingot használni egyedi címhez?
- A hozzászóláshoz be kell jelentkezni
ASP miatt küzdesz?
Ha igen, akkor nagy valószínűséggel jogosultsági problémad lesz, vagy hiányzik szbeszemélyit kezelő szoftver. Esetleg mind a kettő
- A hozzászóláshoz be kell jelentkezni
Igen ASP. Szoftver megvan. Tűzfalon kívül megy a hitelesítés, belépés a kliensről.Lehet hogy a proxyt ki kell iktatni, vagy lecserélni másikra, de én keresem a módját proxy mellett is. Proxyn nem megy át az biztos. De nem értem hogy nem tudom a proxyt elkerülni, vagy én nem tudok valamit az tűzfal konfigban jól csinálni.
- A hozzászóláshoz be kell jelentkezni
tshark programmal tesztelve a szerver belső lábán ICMP: Destination Unreachable ( Port Unreachable )üzenet jön amikor a kliens keresi a külső szervert. Valószínű portot kell nyitnom kifelé. Már agyon próbálgattam minden variációt. PREROUTINGON kell a SQUID miatt mert az INPUT-on hallgat. Hogyan lehet portot nyitni, van valakinek ötlete. Már mindenféle portnyitást próbáltam PREROUTING ÉS FORWARD láncon, de nem megy. A portok 4443 és 5443.
- A hozzászóláshoz be kell jelentkezni