ALT Linux Community general discussions
 help / color / mirror / Atom feed
* [Comm] Завернуть трафик на прокси
@ 2005-06-20  8:41 Кочетков Владимир
  2005-06-20  8:53 ` Alexey Morsov
  2005-06-21 20:37 ` Pavel S. Khmelinsky
  0 siblings, 2 replies; 6+ messages in thread
From: Кочетков Владимир @ 2005-06-20  8:41 UTC (permalink / raw)
  To: community

Здравствуйте, community !

Ситуация такая. Есть шлюз в мою сеть, доступ в инет вся сетка получает
через прокси, установленный на нем. Прокси ходит через выделенный
виртуальный интерфейс. Сам прокси прозрачный, трафик на него
заворичивается в PREROUTING iptables.
Например:
-A PREROUTING -s 192.168.1.39 -p tcp -m tcp --dport 80 -j REDIRECT --to-ports 8080

Повторюсь, доступ в инет только через прокси. Или, если точнее, только
от ip адреса, заданного виртуальному интерфейсу, через который ходит
прокси.

Не могу придумать как завернуть трафик самого шлюза на прохождение
через прокси. Речь сейчас идет только об обновлении clamav.
Логичным представляется добавление аналогичного правила заворота в
цепочку OUTPUT, но по какому признаку отделить трафик clamav от
трафика самого прокси ?

-- 
С уважением,
 Кочетков Владимир                      mailto:kvn@toltc.samen.elektra.ru
 Тольяттинские тепловые сети




^ permalink raw reply	[flat|nested] 6+ messages in thread

* Re: [Comm] Завернуть трафик на прокси
  2005-06-20  8:41 [Comm] Завернуть трафик на прокси Кочетков Владимир
@ 2005-06-20  8:53 ` Alexey Morsov
  2005-06-20  9:42   ` Re[2]: " Кочетков Владимир
  2005-06-21 20:37 ` Pavel S. Khmelinsky
  1 sibling, 1 reply; 6+ messages in thread
From: Alexey Morsov @ 2005-06-20  8:53 UTC (permalink / raw)
  To: community


Кочетков Владимир wrote:

> Логичным представляется добавление аналогичного правила заворота в
> цепочку OUTPUT, но по какому признаку отделить трафик clamav от
> трафика самого прокси ?
по -d :) если у вас кроме самого clamav на его сервера лазить не собирается

-- 
Всего наилучшего,
Системный Администратор ЗАО "ИК "РИКОМ-ТРАСТ"
Алексей Морсов
ICQ: 196766290
Jabber: Samurai@jabber.pibhe.com
http://www.ricom.ru
http://www.fondmarket.ru


^ permalink raw reply	[flat|nested] 6+ messages in thread

* Re[2]: [Comm] Завернуть трафик на прокси
  2005-06-20  8:53 ` Alexey Morsov
@ 2005-06-20  9:42   ` Кочетков Владимир
  2005-06-20 10:08     ` Alexey Morsov
  0 siblings, 1 reply; 6+ messages in thread
From: Кочетков Владимир @ 2005-06-20  9:42 UTC (permalink / raw)
  To: Alexey Morsov

Здравствуйте, Alexey.

Вы писали 20 июня 2005 г., 13:53:45:


AM> Кочетков Владимир wrote:

>> Логичным представляется добавление аналогичного правила заворота в
>> цепочку OUTPUT, но по какому признаку отделить трафик clamav от
>> трафика самого прокси ?
AM> по -d :) если у вас кроме самого clamav на его сервера лазить не собирается

Думал.
Только вот по database.clamav.net дается 12 ip адресов, какой выбрать?

И вдобавок если кто то через прокси захочет туда-же ? Зациклится ?

Хотя есть идея, если прокси пустить через родительский.
Видимо все запросы прокси будут направлены только ему ?
Если завернуть все, кроме адреса родительского - сработает ?

-- 
С уважением,
 Кочетков                          mailto:kvn@toltc.samen.elektra.ru




^ permalink raw reply	[flat|nested] 6+ messages in thread

* Re: [Comm] Завернуть трафик на прокси
  2005-06-20  9:42   ` Re[2]: " Кочетков Владимир
@ 2005-06-20 10:08     ` Alexey Morsov
  2005-06-20 10:58       ` Re[2]: " Кочетков Владимир
  0 siblings, 1 reply; 6+ messages in thread
From: Alexey Morsov @ 2005-06-20 10:08 UTC (permalink / raw)
  To: community


Кочетков Владимир wrote:
> 
> Думал.
> Только вот по database.clamav.net дается 12 ip адресов, какой выбрать?
Так.. а вообще от куда это clamav ломиться?
Может пустить его напрямую

-- 
Всего наилучшего,
Системный Администратор ЗАО "ИК "РИКОМ-ТРАСТ"
Алексей Морсов
ICQ: 196766290
Jabber: Samurai@jabber.pibhe.com
http://www.ricom.ru
http://www.fondmarket.ru


^ permalink raw reply	[flat|nested] 6+ messages in thread

* Re[2]: [Comm] Завернуть трафик на прокси
  2005-06-20 10:08     ` Alexey Morsov
@ 2005-06-20 10:58       ` Кочетков Владимир
  0 siblings, 0 replies; 6+ messages in thread
From: Кочетков Владимир @ 2005-06-20 10:58 UTC (permalink / raw)
  To: Alexey Morsov

Здравствуйте, Alexey.

Вы писали 20 июня 2005 г., 15:08:06:


AM> Кочетков Владимир wrote:
>> 
>> Думал.
>> Только вот по database.clamav.net дается 12 ip адресов, какой выбрать?
AM> Так.. а вообще от куда это clamav ломиться?
AM> Может пустить его напрямую


Так со шлюза и ломится, и прокси на нем же.
Только прямо его никто не пропустит.
Нужно чтобы обращение шло с определенного ip адреса. Этот ip адрес
висит на виртуальном интерфейсе через который ходит прокси.

Хотя... Может если через nat поменять источник.
Обдумаю.

-- 
С уважением,
 Кочетков                          mailto:kvn@toltc.samen.elektra.ru




^ permalink raw reply	[flat|nested] 6+ messages in thread

* Re: [Comm] Завернуть трафик на прокси
  2005-06-20  8:41 [Comm] Завернуть трафик на прокси Кочетков Владимир
  2005-06-20  8:53 ` Alexey Morsov
@ 2005-06-21 20:37 ` Pavel S. Khmelinsky
  1 sibling, 0 replies; 6+ messages in thread
From: Pavel S. Khmelinsky @ 2005-06-21 20:37 UTC (permalink / raw)
  To: community



Кочетков Владимир wrote:
> Здравствуйте, community !
> 
> Ситуация такая. Есть шлюз в мою сеть, доступ в инет вся сетка получает
> через прокси, установленный на нем. Прокси ходит через выделенный
> виртуальный интерфейс. Сам прокси прозрачный, трафик на него
> заворичивается в PREROUTING iptables.
> Например:
> -A PREROUTING -s 192.168.1.39 -p tcp -m tcp --dport 80 -j REDIRECT --to-ports 8080
> 
> Повторюсь, доступ в инет только через прокси. Или, если точнее, только
> от ip адреса, заданного виртуальному интерфейсу, через который ходит
> прокси.
> 
> Не могу придумать как завернуть трафик самого шлюза на прохождение
> через прокси. Речь сейчас идет только об обновлении clamav.
> Логичным представляется добавление аналогичного правила заворота в
> цепочку OUTPUT, но по какому признаку отделить трафик clamav от
> трафика самого прокси ?

Т.е. у Вас есть какой-то хитрый прокси, который сам в интрнет попадает, но на 
столько не стандартными средствами что никто кроме этого проски в инет ходить не 
умеет на прямую? Проблема на лицо, она же и решение. ;)

Не нужно отделять трафик кламава от прокси. Нужно ВЫДЯЛЕТЬ трафик прокси от 
всего остального. Т.е. в таблице OUTPUT делаете серии правил следующего смысла
все что прокси -j ACCEPT
все что не проски -j ЗАВОРАЧИВАЕМ НА ПРОСКИ

В Вашем случае прокси -- это, скорее всего, два в одном прокси+демон тунеля, а 
значит уже "запроксированный" трафик выглядит совершенно определенным образом, 
например идет на строго определенный адрес (или набор адресов), если это не так, 
и Ваш прокси ходит в интернет стандартными средствами я не вижу причин почему 
прочие программы Вашего сервера не могут делать тоже самое.


-- 
Pavel S. Khmelinsky <hmepas@yauza.ru>
System Administrator,
ISP Yauza Telecom
http://www.yauza.ru


^ permalink raw reply	[flat|nested] 6+ messages in thread

end of thread, other threads:[~2005-06-21 20:37 UTC | newest]

Thread overview: 6+ messages (download: mbox.gz / follow: Atom feed)
-- links below jump to the message on this page --
2005-06-20  8:41 [Comm] Завернуть трафик на прокси Кочетков Владимир
2005-06-20  8:53 ` Alexey Morsov
2005-06-20  9:42   ` Re[2]: " Кочетков Владимир
2005-06-20 10:08     ` Alexey Morsov
2005-06-20 10:58       ` Re[2]: " Кочетков Владимир
2005-06-21 20:37 ` Pavel S. Khmelinsky

ALT Linux Community general discussions

This inbox may be cloned and mirrored by anyone:

	git clone --mirror http://lore.altlinux.org/community/0 community/git/0.git

	# If you have public-inbox 1.1+ installed, you may
	# initialize and index your mirror using the following commands:
	public-inbox-init -V2 community community/ http://lore.altlinux.org/community \
		mandrake-russian@linuxteam.iplabs.ru community@lists.altlinux.org community@lists.altlinux.ru community@lists.altlinux.com
	public-inbox-index community

Example config snippet for mirrors.
Newsgroup available over NNTP:
	nntp://lore.altlinux.org/org.altlinux.lists.community


AGPL code for this site: git clone https://public-inbox.org/public-inbox.git