форумы  помощь  поиск  регистрация  майллист  вход/выход  слежка

Вариант для распечатки		Пред. тема | След. тема
Форумы Настройка Squid и других прокси серверов (Public)
Изначальное сообщение		[ Отслеживать ]

"Исходящий трафик SQUID - в SNAT\MASQUARADE"

Сообщение от Format C on 11-Апр-09, 03:00

Хелп! Уважаемые! Перерыл весь Гугл - не нашел ответов по интересующему вопросу. Собсно, сабж: имеется Убунту 8.10 сервер, SQUID. Очень хочется использовать его совместно с iptables SNAT. То есть, не просто заворачивать на него 80, 443, 8080 и т.п. порты, а еще в этих пакетах потом НАТом транслировать локальный адрес обратившегося компа в адрес внешнего интерфейса Убунты. Для чего это надо? Объясню - начальство поставило задачу контроллировать трафик юзверей, и при этом чтобы локалка не была видна... А сейчас у меня получается - либо через iptables без светящегося адреса, либо через SQUID, с аутентификацией в Мелкомягком домене - но локальный IP видно :(... Настроил прозрачный прокси, завернул на него трафик по портам - а вот правило SNAT не работает, то есть после СКВИДа пакеты уходят прямо на сеть, не успевают iptables подменить адрес в заголовке.. Умоляю - помогите!!!! Или хотя бы скажите, что это невозможно.. (Хоть начальнику будет что сказать :))

Высказать мнение | Ответить | Правка | Cообщить модератору

Сообщения по теме

[Сортировка по времени | RSS]

1. "Исходящий трафик SQUID - в SNAT\MASQUARADE"

Сообщение от Format C on 11-Апр-09, 03:31

P.S. решил приложить настройки iptables. (В данній момент даже пробовал прописать проксю - то есть, прероутинг не применялся. Все то же самое) /etc/iptables.rules *nat :PREROUTING ACCEPT [21924:1951927] -A PREROUTING -i eth0 -p tcp -m tcp --dport 80 -j REDIRECT --to-ports 3128 :POSTROUTING ACCEPT [2010:142947] -A POSTROUTING -o eth1 -j SNAT --to-source #In.et.I.P# :OUTPUT ACCEPT [2010:142947] COMMIT # Completed on Sat Apr 11 02:11:09 2009 # Generated by iptables-save v1.4.0 on Sat Apr 11 02:11:09 2009 *filter :INPUT ACCEPT [15751:6477343] :FORWARD ACCEPT [2598:1085130] :OUTPUT ACCEPT [14724:6350439] COMMIT # Completed on Sat Apr 11 02:11:09 2009 Как заставить трафик после прокси (или до??) заворачивать на правило построутинга??????

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	2. "Исходящий трафик SQUID - в SNAT\MASQUARADE"
	Сообщение от Tux (??) on 11-Апр-09, 10:54
	>[оверквотинг удален] ># Generated by iptables-save v1.4.0 on Sat Apr 11 02:11:09 2009 >*filter >:INPUT ACCEPT [15751:6477343] >:FORWARD ACCEPT [2598:1085130] >:OUTPUT ACCEPT [14724:6350439] >COMMIT ># Completed on Sat Apr 11 02:11:09 2009 > > >Как заставить трафик после прокси (или до??) заворачивать на правило построутинга?????? Вы сами не понимаете что настраиваете- в общем учитесь и не морочте людям голову, чтобы было не видно локалку надо сквид настроить как онанимный прокси(гугл в помощь), одно из преимуществ прокси сервера- то чт идет не прямое соединение от клинта с удаленым сервером, а поднимаеться  новое (!) соединения от шлюза до этого удаленного сервера PS при настройки сквида в этом режиме некоторые специфичные сайты могут отвалиться
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	3. "Исходящий трафик SQUID - в SNAT\MASQUARADE"
	Сообщение от reader (ok) on 11-Апр-09, 20:55
	forwarded_for off
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	4. "Исходящий трафик SQUID - в SNAT\MASQUARADE"
	Сообщение от Format C on 13-Апр-09, 11:19
	>forwarded_for off Спасибо огромное!.. да, курить мне еще мануалы и курить... Получилось  все. Только вот есть еще вопрос - при анонимном режиме будет ли работать авторизация из АД? (Как раз собрался настраивать.)
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	5. "Исходящий трафик SQUID - в SNAT\MASQUARADE"
	Сообщение от reader (ok) on 13-Апр-09, 11:51
	>>forwarded_for off > >Спасибо огромное!.. да, курить мне еще мануалы и курить... Получилось  все. >Только вот есть еще вопрос - при анонимном режиме будет ли >работать авторизация из АД? (Как раз собрался настраивать.) а как они друг другу могут мешать?
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	6. "Исходящий трафик SQUID - в SNAT\MASQUARADE"
	Сообщение от Format C on 13-Апр-09, 11:57
	> >а как они друг другу могут мешать? Ну в принципе я просто поинтересовался - в гугле где-то видел такую инфу, что перестает работать ЛДАП-аутентификация, если анонимный прокси... Кстати, тут еще вопрос созрел. 443-й порт я на прокси перенаправил (прокся прозрачная, iptables перенаправляют), а оно мне ошибку SSL выкинуло, и на https ходить не хочет... Щас правда попробую без транспарента - пойдет или нет....
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	7. "Исходящий трафик SQUID - в SNAT\MASQUARADE"
	Сообщение от reader (ok) on 13-Апр-09, 12:26
	> >> >>а как они друг другу могут мешать? > >Ну в принципе я просто поинтересовался - в гугле где-то видел такую >инфу, что перестает работать ЛДАП-аутентификация, если анонимный прокси... анонимный или прозрачный? при прозрачном не будет, почему поймете когда будет понимание принципа работы > >Кстати, тут еще вопрос созрел. 443-й порт я на прокси перенаправил (прокся >прозрачная, iptables перенаправляют), а оно мне ошибку SSL выкинуло, и на >https ходить не хочет... > >Щас правда попробую без транспарента - пойдет или нет....
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	9. "Исходящий трафик SQUID - в SNAT\MASQUARADE"
	Сообщение от Format C on 13-Апр-09, 12:32
	> >анонимный или прозрачный? при прозрачном не будет, почему поймете когда будет понимание >принципа работы Уже понял, кажется. Во всяком случае этот пункт: я так понимаю, что при прозрачности все пакеты перенаправляются с помощью локалхоста, и потому идентифицировать клиента, который выполнил запрос, СКВИД не может - а, соответственно, аутентификацию выполнять не будет, да?
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	11. "Исходящий трафик SQUID - в SNAT\MASQUARADE"
	Сообщение от reader (ok) on 13-Апр-09, 12:37
	> >> >>анонимный или прозрачный? при прозрачном не будет, почему поймете когда будет понимание >>принципа работы > >Уже понял, кажется. Во всяком случае этот пункт: >я так понимаю, что при прозрачности все пакеты перенаправляются с помощью локалхоста, >и потому идентифицировать клиента, который выполнил запрос, СКВИД не может - >а, соответственно, аутентификацию выполнять не будет, да? нет, браузер не знает что идет через прокси и соответственно ни какой информации для аутентификацию предоставлять не будет
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	8. "Исходящий трафик SQUID - в SNAT\MASQUARADE"
	Сообщение от Вячеслав (??) on 13-Апр-09, 12:28
	>[оверквотинг удален] >>а как они друг другу могут мешать? > >Ну в принципе я просто поинтересовался - в гугле где-то видел такую >инфу, что перестает работать ЛДАП-аутентификация, если анонимный прокси... > >Кстати, тут еще вопрос созрел. 443-й порт я на прокси перенаправил (прокся >прозрачная, iptables перенаправляют), а оно мне ошибку SSL выкинуло, и на >https ходить не хочет... > >Щас правда попробую без транспарента - пойдет или нет.... а ты в конфиге SQUIDа порт то прописал acl SSL_ports port 443 ???
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	10. "Исходящий трафик SQUID - в SNAT\MASQUARADE"
	Сообщение от Format C on 13-Апр-09, 12:34
	> >а ты в конфиге SQUIDа порт то прописал >acl SSL_ports port 443 ??? Ну, на это меня хватило  :) Без прозрачности все пакеты ходят отлично.
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить	Индекс форумов | Темы | Пред. тема | След. тема
Оцените тред (1=ужас, 5=супер)? [ 1 | 2 | 3 | 4 | 5 ] [Рекомендовать для помещения в FAQ]