[Sysadmins] прозрачный прокси и несколько локальных подсеток

[Sysadmins] прозрачный прокси и несколько локальных подсеток

[Anton Gorlov]

Появилось желание поднять прозрачный прокси..Точнее он уже есть на 
тестовом сервере и даже работает.. Но встала 1 задача - добиться чтоб на 
несколько локальных подсеток трафик ходил мимо прокси.
На сколько я понимаю в правиле для iptables нельзя несколько -d указать.
Что здесь можно придумать?

# iptables -t NAT -A PREROUTING -d ! адрес_самого_сервера \
	-i внутренний_сетевой_интерфейс -p tcp -m tcp --dport 80 \
-j REDIRECT --to-ports 3128




-- 
   np: silence ( Winamp ушел в Партизаны ;-)

Re: [Sysadmins] прозрачный прокси и несколько локальных подсеток

[Шенцев Алексей Владимирович]

В сообщении от 10 июля 2006 13:13 Anton Gorlov написал(a):
> # iptables -t NAT -A PREROUTING -d ! адрес_самого_сервера \
> 	-i внутренний_сетевой_интерфейс -p tcp -m tcp --dport 80 \
> -j REDIRECT --to-ports 3128
Не адрес самой подсетки ... :) И несколько правил для каждой подсетки.
-- 
С уважением Шенцев Алексей Владимирович.
E-mail: ashen@nsrz.ru
ICQ: 271053845

Re: [Sysadmins] прозрачный прокси и несколько локальных подсеток

[Anton Gorlov]

Шенцев Алексей Владимирович пишет:
> В сообщении от 10 июля 2006 13:13 Anton Gorlov написал(a):
>> # iptables -t NAT -A PREROUTING -d ! адрес_самого_сервера \
>> 	-i внутренний_сетевой_интерфейс -p tcp -m tcp --dport 80 \
>> -j REDIRECT --to-ports 3128
> Не адрес самой подсетки ... :) И несколько правил для каждой подсетки.

э.. не понял.. Что значит не адресс самой подсетки?

и как должны правила выглядеть получается...
бо если я тут сделаю скажем -d ! 192.168.1.0/24 то для всех остальных 
подсеток оно уже завернётся.


-- 
   np: silence ( Winamp ушел в Партизаны ;-)

Re: [Sysadmins] прозрачный прокси и несколько локальных подсеток

[Dank Bagryantsev]

Здравствуйте, Anton.

Вы писали понедельник 10 июля 2006 г., 12:13:04:

AG> Появилось желание поднять прозрачный прокси..Точнее он уже есть на 
AG> тестовом сервере и даже работает.. Но встала 1 задача - добиться чтоб на
AG> несколько локальных подсеток трафик ходил мимо прокси.
AG> На сколько я понимаю в правиле для iptables нельзя несколько -d указать.
AG> Что здесь можно придумать?

AG> # iptables -t NAT -A PREROUTING -d ! адрес_самого_сервера \
AG>         -i внутренний_сетевой_интерфейс -p tcp -m tcp --dport 80 \
AG> -j REDIRECT --to-ports 3128

2 варианта:
1. Через ACCEPT:
$IPTABLES -t nat -A PREROUTING -p tcp -i внутренний_сетевой_интерфейс -d 192.168.1.0/24 --dport 80 -j ACCEPT
$IPTABLES -t nat -A PREROUTING -p tcp -i внутренний_сетевой_интерфейс -d 192.168.2.0/24 --dport 80 -j ACCEPT
$IPTABLES -t nat -A PREROUTING -p tcp -i внутренний_сетевой_интерфейс -d адрес_самого_сервера --dport 80 -j ACCEPT
$IPTABLES -t nat -A PREROUTING -p tcp -i внутренний_сетевой_интерфейс --dport 80 -j REDIRECT --to-ports 3128

2. Через mark:
$IPTABLES -t mangle -A PREROUTING -i внутренний_сетевой_интерфейс -d 192.168.1.0/24 -j MARK --set-mark 100
$IPTABLES -t mangle -A PREROUTING -i внутренний_сетевой_интерфейс -d 192.168.2.0/24 -j MARK --set-mark 100
$IPTABLES -t mangle -A PREROUTING -i внутренний_сетевой_интерфейс -d адрес_самого_сервера -j MARK --set-mark 100

$IPTABLES -t nat -A PREROUTING -m mark --mark ! 100 -p tcp --dport 80 -j REDIRECT --to-ports 3128
или
$IPTABLES -t nat -A PREROUTING -m mark --mark 100 -p tcp --dport 80 -j ACCEPT
$IPTABLES -t nat -A PREROUTING -p tcp --dport 80 -j REDIRECT --to-ports 3128


естественно, еще:
IPTABLES="/sbin/iptables"
$IPTABLES -t nat -A OUTPUT -p tcp --dport 80 -j ACCEPT


-- 
С уважением,
 Dank

Re: [Sysadmins] прозрачный прокси и несколько локальных подсеток

[Шенцев Алексей Владимирович]

В сообщении от 10 июля 2006 13:37 Anton Gorlov написал(a):
> Шенцев Алексей Владимирович пишет:
> > В сообщении от 10 июля 2006 13:13 Anton Gorlov написал(a):
> >> # iptables -t NAT -A PREROUTING -d ! адрес_самого_сервера \
> >> 	-i внутренний_сетевой_интерфейс -p tcp -m tcp --dport 80 \
> >> -j REDIRECT --to-ports 3128
> >
> > Не адрес самой подсетки ... :) И несколько правил для каждой подсетки.
>
> э.. не понял.. Что значит не адресс самой подсетки?
Ты пишешь "-d ! адрес_самого_сервера", а надо "-d ! адрес_самой_подсети / 
маска_самой_подсети"  ... :)
>
> и как должны правила выглядеть получается...
> бо если я тут сделаю скажем -d ! 192.168.1.0/24 то для всех остальных
> подсеток оно уже завернётся.
iptables -t nat -A PREROUTIG -s ip_адрес_смотрящий_в_подсеть1 -i 
интерфейс_смотрящий_в_саму_подсеть -d ! адрес_самой_подсети / 
маска_самой_подсети -p m tcp --dport 80 -j REDIRECT --to-ports 3128
-- 
С уважением Шенцев Алексей Владимирович.
E-mail: ashen@nsrz.ru
ICQ: 271053845

Re: [Sysadmins] прозрачный прокси и несколько локальных подсеток

[Anton Gorlov]

Шенцев Алексей Владимирович пишет:

> Ты пишешь "-d ! адрес_самого_сервера", а надо "-d ! адрес_самой_подсети / 
> маска_самой_подсети"  ... :)
А..так вы про это..
так это понятно..только у меня 4 отдельных подсети..между некоторыми 
роутинг настроен.

>> и как должны правила выглядеть получается...
>> бо если я тут сделаю скажем -d ! 192.168.1.0/24 то для всех остальных
>> подсеток оно уже завернётся.
> iptables -t nat -A PREROUTIG -s ip_адрес_смотрящий_в_подсеть1 -i 
> интерфейс_смотрящий_в_саму_подсеть -d ! адрес_самой_подсети / 
> маска_самой_подсети -p m tcp --dport 80 -j REDIRECT --to-ports 3128

Хм. Мне  как раз надо чтоб я мог спокойно смотреть в подсеть1 с 
айпишником подсеть2. И так для всех 4 подсетей. Думаю сделать точто мне 
предложил Dank. Вроде похоже на правду - щас тестирую.



-- 
   np: Там - где

Re: [Sysadmins] прозрачный прокси и несколько локальных подсеток

[Шенцев Алексей Владимирович]

В сообщении от 10 июля 2006 14:15 Anton Gorlov написал(a):
> Хм. Мне  как раз надо чтоб я мог спокойно смотреть в подсеть1 с
> айпишником подсеть2. И так для всех 4 подсетей. Думаю сделать точто мне
> предложил Dank. Вроде похоже на правду - щас тестирую.
А в таком порядке не пробывал?

iptables -t nat -A PREROUTIG -s ip_адрес_смотрящий_в_подсеть1 -i 
интерфейс_смотрящий_в_саму_подсеть -p m tcp --dport 80 -d ! 
адрес_самой_подсети /маска_самой_подсети -j REDIRECT --to-ports 3128
-- 
С уважением Шенцев Алексей Владимирович.
E-mail: ashen@nsrz.ru
ICQ: 271053845

Re: [Sysadmins] прозрачный прокси и несколько локальных подсеток

[Anton Gorlov]

Шенцев Алексей Владимирович пишет:

>> Хм. Мне  как раз надо чтоб я мог спокойно смотреть в подсеть1 с
>> айпишником подсеть2. И так для всех 4 подсетей. Думаю сделать точто мне
>> предложил Dank. Вроде похоже на правду - щас тестирую.
> А в таком порядке не пробывал?
> iptables -t nat -A PREROUTIG -s ip_адрес_смотрящий_в_подсеть1 -i 
> интерфейс_смотрящий_в_саму_подсеть -p m tcp --dport 80 -d ! 
> адрес_самой_подсети /маска_самой_подсети -j REDIRECT --to-ports 3128

Пробывал - оно завернуло трафф для остальных подсеток как раз на проксю.
так как -dисключает только 1 сеть в данном случае.

-- 
   np: silence ( Winamp ушел в Партизаны ;-)