Proxy de hogyan?

UNIX haladó

HEllo!
Az lenne a kérdésem hogy valaki tudna e valamilyen segítséget nyújtani (akár msn en akár ebook ban vagy valamilyen weboldalon) abban hogy hogyan tudnák feltelepíteni egy proxy szervert az ubuntus gépemre?
Nem gondolok valami hatalmas felhasznáró egyedül egy gép amivel netezek tehát 2 gép egymás mellet eggyiken ubuntu linux másikon xp hogy rakjak fel proxy szervert az ubis gépre hogy menjen a net a másik gépen? (Milyen csomagokat rakjak fel ,miket állítsak be?)
A válaszokat előre is kösz ;)

  • 3942 megtekintés

( gthomas | 2006. 10. 29., v – 22:46 )

Ha csak HTTP/FTP proxyt akarsz, akkor squid
felrakod, a tűzfaladon (ubis gép) megnyitod a 3128-as portot, az XP-s gépen beállítod, hogy azt használja, és megy is.

Sziasztok!

Visszatérve a beszélgetésnek a Tinyproxy részéhez.
Szóval, felraktam a tűzfalra be is konfigoltam, ahogy az a doksikban meg van adva, a tűzfal (iptables szabály is létre van hozva)
de az istenért sem akar működni... :(
Már kezdek egy kicsit elkeseredni, mert nem találok sehol megoldást, vagy kiinduló pontot a hibára.

A tinyproxy.log-ban a következő látszik.

CONNECT Nov 04 14:42:37 [16803]: Connect (file descriptor 7): gentoo-power.mydomain.hu [192.178.10.39]
CONNECT Nov 04 14:42:37 [16803]: Request (file descriptor 7): GET /firefox?client=firefox-a&rls=org.mozilla:hu:official HTTP/1.1
ERROR Nov 04 14:42:37 [16803]: process_request: Unknown URL type on file descriptor 7
INFO Nov 04 14:42:37 [16803]: Not sending client headers to remote machine

Ha segítenétek, azt megköszönném!

üdv,
Dodder

( bounty v | 2006. 10. 29., v – 23:25 )

squid, de ha csak annyit akarsz, hogy lehessen netezni a másik gépen, ahhoz nem kell proxy, csak netmegosztás (nat, masquerading)

( mokuska | 2006. 10. 30., h – 07:29 )

Ahham köszönöm mindenkinek csak rosszul írtam le :S nem csak azt akarom hogy a webezés arrol mennyen hanem a conter strike is az msn is torrent dc stb stb erre is jo az a squid vagy mi?

The life is hard...

"hanem a conter strike is az msn is torrent dc stb stb erre is jo az a squid vagy mi?"

A squid (proxy) nem erre valo. A proxy szerver http/ftp/gopher/stb lekerdezeseket forwardol es cachel. Vagyis igazabol akkor van ertelme, ha van egy par gepes halozat, ahol rendszeresen latogatjak a userek ugyanazon webhelyeket es nem a bongeszok sajat cache-e tarolja a gyakran letoltott informaciot (pl. kepek), hanem egy kozos helyen tarolja a proxy.

Ugyan a proxy megoldja a fenti protokollok forwardolasat is a halo fele, de a tobbi portot nem tovabbitja (pl. levelezes, counter strike, stb).

Ami neked kell az sima packet forwarding.

---------------------
Minél korszakalkotóbb ötlettel állsz elő, annál több hülyén kell átverekedned magadat.

( mokuska | 2006. 10. 30., h – 07:49 )

mert az lenne az egész lényege hogy ne az én ipmet lássák és a net meg minden azon a gépen keresztül jönne át amin az ubuntu van és ha lehet akkkor valami fürgekező linuxos virus&spyware keresőt is felkellene rakni arra a gépre és akkkor nagyobb biztonságban lenne a mostani gépem szvsz.
The life is hard...

akkor a legegyszerubb: `apt-get install ipmasq`. ez megkerdezi, hogy melyik iface-n akarsz kilatni a nagyvilagba (ppp0, pl.), a tobbit megcsinalja (gyk. csinal egy relative kulturalt, de semmito"l nem ve'do" iptables-t.)

"""linuxos virus&spyware kereső""": hm, lasd me'g: ures halmaz?

ez az ipmasq megve'd a kulso tamadasoktol, de ha a windoz kezdemenyezi a kapcsolatot (pl be akar konnektalni az fbi-hoz/m$-hez/"aktivalja" maga't), es ezt valaki/valami virus kihasznalja, akkor persze barmi rossz megtortenhet... es ez persze a hulyeseg ellen se ve'd ("klikkolj ide es cicisneniket mutatok neked" es ehelyett kapsz egy tonna {spy,ad,mal}ware-t).

semmi extra nem kell hozzá... pakold bele a két kártyát, imserje fel a rendszer, onnan kezdve 2 perc alatt és pár sorral megoldható amit akarsz...

iptables NAT -olás (MASQUERADE) és ip_forward -ra lesz szükséged... esetleg még egy transzparans proxy-t is bekonfigolhatsz ha akarsz, de az nem szükséges

coder: lehetséges lenne hogy felvennél msn enre ha van vagy skype ra?
msn : tdt@vipmail.hu skype:mokuss001
vagy ha semmikép nem akkarsz ilyen kapcsolatot akkor ha lennél szives megtennéd azt hogy leírnád nekem hogy miket csináljak és pontosan hogyan? Bocs ha kicsit sokat kérek de mivel kezdő unixos vagyok elkell a segítség :S
The life is hard...

azért van a fórum, h itt beszéljük meg, így más is okulhat belőle! :)

szóval:
- két hálókari gépbe
- rendszer indít, hálókarikat bekonfigol (milyen disztró?) /etc/network/interfaces file általában...
- ifconfig paranccsal ellenőrizni hogy minden ok e, az esetleg felhúzni a 2. kártyát (pl.: ifup eht1)
- echo "1" > /proc/sys/net/ipv4/ip_forward ha nem volna bekapcsolva
- és egy alap iptables cucc, h menjen a MASQERADE:

iptables -t nat -A PREROUTING -j ACCEPT
iptables -t nat -A POSTROUTING -j MASQUERADE

(ez azért így elég alap, nem árt jobban specifikálni, h kinek mit hova)

- ezen kívűl azért legyen meg a rendszer saját csomagszűrő szabálylánca az INPUT CHAIN -re legalább!
- a win -es gépnek beállítod a második kártyád ip címét átjárónak és kész is

- ha szeretnéd "gyorsítani" a webezést akkor pl transparens squid itt: transparent squid howto

egy pl. rá:

---
auto lo
iface lo inet loopback

# The primary network interface
auto eth0 eth1

iface eth0 inet static
#a külső interface ami a netre csatlakozik és az oda vonatkozó beállítások
address 1.2.3.4
netmask 255.255.255.0
network 1.2.3.0
broadcast 1.2.3.255
gateway 1.2.3.1
# dns-* options are implemented by the resolvconf package, if installed
dns-nameservers 195.228.240.249

iface eth1 inet static
# a belső kártyád
address 192.168.0.1
netmask 255.255.255.0
network 192.168.0.0
broadcast 192.168.0.255
---

ha ez megvan akkor a win -es géped lehet pl 192.168.0.10, az átjárója pedig 192.168.0.1

ok akkor az interfaces filom így néz ki :
auto lo
.iface lo inet loopback

# The primary network interface
auto eth0 eth1

iface eth0 inet static
#a külső interface ami a netre csatlakozik és az oda vonatkozó beállítások
address 192.168.1.178
netmask 255.255.255.0
network 192.1681.1.178
broadcast 192.168.255
gateway 192.168.1.1
# dns-* options are implemented by the resolvconf package, if installed
dns-nameservers 195.228.240.249

iface eth1 inet static
# a belső kártyád
address 192.168.0.1
netmask 255.255.255.0
network 192.168.0.0
broadcast 192.168.0.255

az ifconfigra ezt mondja :
mokus@Apollo:/etc/network$ ifconfig
eth0 Link encap:Ethernet HWaddr 00:02:44:7C:6A:7A
inet addr:192.168.1.180 Bcast:192.168.1.255 Mask:255.255.255.0
inet6 addr: fe80::202:44ff:fe7c:6a7a/64 Scope:Link
UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1
RX packets:552 errors:0 dropped:0 overruns:0 frame:0
TX packets:382 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:1000
RX bytes:192650 (188.1 KiB) TX bytes:52546 (51.3 KiB)
Interrupt:10 Base address:0xe400

lo Link encap:Local Loopback
inet addr:127.0.0.1 Mask:255.0.0.0
inet6 addr: ::1/128 Scope:Host
UP LOOPBACK RUNNING MTU:16436 Metric:1
RX packets:17792 errors:0 dropped:0 overruns:0 frame:0
TX packets:17792 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:0
RX bytes:1366522 (1.3 MiB) TX bytes:1366522 (1.3 MiB)
az echos cuccra meg ezt :
bash: /proc/sys/net/ipv4/ip_forward: Hozzáférés megtagadva
mokus@Apollo:/etc/network$ sudo echo "1" > /proc/sys/net/ipv4/ip_forward
bash: /proc/sys/net/ipv4/ip_forward: Hozzáférés megtagadva

The life is hard...

jujj...

nem tudom h csak elírások e, de azért nézd meg a következőket:

.iface lo inet loopback

a pont az elején?

eth0 -nál:
network 192.1681.1.178

hm?
esetleg: 192.168.1.0

broadcast 192.168.255

esetleg: 192.168.1.255

a második jónak néz ki

ha ezt így bekonfigoltad akkor következő boot során felhúzza már mindkét kártyát, de menet közben alapban nem, ezért kell az ifup eth1, utána ifconfig kimenet ellenőrizés

ami az echos -s dolgot illeti, természetesen root jogokkal kellene csinálni, tehát root belépés után, su -zás után v. sudo -zás után...

szerk:
ja és valóban ez lenne a net felé néző kártyád valós beállítása? tuti? a dns -t is úgy állítsd ahogy kaptad a szolgáltatótól!

( tibyke | 2006. 10. 30., h – 10:52 )

szoval akkor ez a UNIX halado szint...

t

( mokuska | 2006. 10. 30., h – 11:12 )

hm ne mmüxik ezt nem kellet volna megcsinálnom?
"ezen kívűl azért legyen meg a rendszer saját csomagszűrő szabálylánca az INPUT CHAIN -re legalább!"
The life is hard...

root@Apollo:~# ifconfig
eth0 Link encap:Ethernet HWaddr 00:02:44:7C:6A:7A
inet addr:192.168.1.180 Bcast:192.168.1.255 Mask:255.255.255.0
inet6 addr: fe80::202:44ff:fe7c:6a7a/64 Scope:Link
UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1
RX packets:2545 errors:0 dropped:0 overruns:0 frame:0
TX packets:1345 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:1000
RX bytes:1100739 (1.0 MiB) TX bytes:213495 (208.4 KiB)
Interrupt:10 Base address:0xe400

eth1 Link encap:Ethernet HWaddr 00:08:C7:EB:58:37
inet addr:192.168.0.1 Bcast:192.168.0.255 Mask:255.255.255.0
inet6 addr: fe80::208:c7ff:feeb:5837/64 Scope:Link
UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1
RX packets:2127 errors:0 dropped:0 overruns:0 frame:0
TX packets:3 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:1000
RX bytes:194088 (189.5 KiB) TX bytes:126 (126.0 b)

lo Link encap:Local Loopback
inet addr:127.0.0.1 Mask:255.0.0.0
inet6 addr: ::1/128 Scope:Host
UP LOOPBACK RUNNING MTU:16436 Metric:1
RX packets:33648 errors:0 dropped:0 overruns:0 frame:0
TX packets:33648 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:0
RX bytes:2799824 (2.6 MiB) TX bytes:2799824 (2.6 MiB)

root@Apollo:~# route -n
Kernel IP routing table
Destination Gateway Genmask Flags Metric Ref Use Iface
192.168.1.0 0.0.0.0 255.255.255.0 U 0 0 0 eth0
192.168.0.0 0.0.0.0 255.255.255.0 U 0 0 0 eth1
0.0.0.0 192.168.1.1 0.0.0.0 UG 0 0 0 eth0
root@Apollo:~# iptables -L -n
Chain INPUT (policy DROP)
target prot opt source destination
ACCEPT all -- 0.0.0.0/0 0.0.0.0/0
LOG all -- 127.0.0.0/8 0.0.0.0/0 LOG flags 0 level 4
DROP all -- 127.0.0.0/8 0.0.0.0/0
ACCEPT all -- 0.0.0.0/0 255.255.255.255
ACCEPT all -- 0.0.0.0/0 192.168.1.180
ACCEPT all -- 0.0.0.0/0 192.168.1.255
LOG all -- 0.0.0.0/0 0.0.0.0/0 LOG flags 0 level 4
DROP all -- 0.0.0.0/0 0.0.0.0/0

Chain FORWARD (policy DROP)
target prot opt source destination
LOG all -- 0.0.0.0/0 0.0.0.0/0 LOG flags 0 level 4
DROP all -- 0.0.0.0/0 0.0.0.0/0

Chain OUTPUT (policy DROP)
target prot opt source destination
ACCEPT all -- 0.0.0.0/0 0.0.0.0/0
ACCEPT all -- 0.0.0.0/0 255.255.255.255
ACCEPT all -- 192.168.1.180 0.0.0.0/0
ACCEPT all -- 192.168.1.255 0.0.0.0/0
LOG all -- 0.0.0.0/0 0.0.0.0/0 LOG flags 0 level 4
DROP all -- 0.0.0.0/0 0.0.0.0/0
root@Apollo:~# iptables -L -n -t nat
Chain PREROUTING (policy ACCEPT)
target prot opt source destination
ACCEPT all -- 0.0.0.0/0 0.0.0.0/0

Chain POSTROUTING (policy ACCEPT)
target prot opt source destination
MASQUERADE all -- 0.0.0.0/0 0.0.0.0/0

Chain OUTPUT (policy ACCEPT)
target prot opt source destination
root@Apollo:~# cat /etc/resolv.conf
search localhost MSHOME
nameserver 192.168.1.1
domain MSHOME
root@Apollo:~#

The life is hard...

elég érdekesen néz ki az iptables filter táblája
csak úgy érdekesség kép egy iptables -L -nv is érdekes lehetne...

próbáld meg, h INPUT chain -be beengeded a win -es gépet...

iptables -I INPUT -s wingépipcíme -j ACCEPT

win es gép akkor jelenlegi állapot szerint pl. 192.168.0.10 kellene hogy legyen és átjárónak a 192.168.0.1 beállítva neki, dns meg ugyan az kell legyen mita linux -on

ha ez megvan akkor ellenőrizd linuxon:
- névfeloldás megy?
- net megy?
- ip_forward tuti engedélyezve?

ha igen, akkor win -en:
- gw-t (azaz 192.168.0.1 -et) eléred? (pl ping)
- a gw, netes lábát eléred?
- névfeloldás megy?
- továbbn látsz mint a gw netes lába?

köszönöm a segítséged!
most nemtudok itthon maradni szóval ha megtennéd hogy olyan este 8-9 fele ittlennél akkor ehet hogy lenne meg 1-2 kérdésem meg az egészet megcsinálom elölröl.
Addig is viszlát és tényleg nagyon köszönöm hog volt türelmed kibírni engem ;)

Nah hello itten vagyok.. Akkor elölröl:
két hálókártya bentvan
interfaces file beállítva
ifup beírva
echo s cuccot begépeltem enter elvileg müxik
iptables es parancsok beírva enter elvileg müxik
ennyit csináltam és ugy ahogy mondtad
nemtudom miért nem megy :S

ha lehetek kicsit (majdnem) offtopic.

Ha nagyon nem megy linux stb.-vel, es esetleg egyebkent is lusta vagy:

http://www.portforward.com/

nezz ki onnan egy szimpatikus broadband router-t
aztan beturol-beture csinald amit leir az adott alkalmazas jatek stb. eseten.
(wrt54gl v5-ot pl. nem javasolnam es meg ... ezugyben erdemes kozvelemeny kutatast tartani)

Ettol fuggetlenul a squid satobbi proxy-t meg mindig megcsinalhatod az "intranet"-eden magadnak :)

( smerli | 2006. 10. 30., h – 21:12 )

Szerintem egy eléggé felhasználóbarát megoldás, ha felrakod a firestartert.

apt-get install firestarter

Majd ennek van egy varázslója, amivel kényelmesen magyarul be tudod állítani.

Van itt valaki aki ismeri a firestarter nevü progot és tud segíteni?
Még 2 kérdésem lenne!
Hogy tudnám az ubuntu linuxom i386 os ra visszavarázsolni i686 osrol?
Ha összejön az hogy a net a linuxos gépröl jön akkor meglehetne oldani hogy valami virus spy ad mal ware kereső programot is beiktatok amivel átvizsgálja az átmenö adatfolyamot?

Az ubuntut nem ismerem; proxy szerverként pedig a squid-et használom; azt könnyű hadrendbe állítani, és annak a beállításában tudnék segíteni.

Spy- és malware keresőt nem nagyon ismerek.
A dansguardian viszont egy otthoni célra ingyenes webes forgalom szűrő, amit víruskeresővel (pl. clamav) lehet integrálni. A squid-el is jól együttműköködik
Általános hálózati forgalom szűrésre meg ott a snort.

---
Mondjon le!