NAT и отдельные протоколы.

artcats115 · 15-03-11 20:24:56

IvanOFF пишет:

HTTPS вообще нет смысла заворачивать на прокси, это отдельный протокол с весьма специфичным применением, лучше всего его пускать напрямую через NAT.

Раз уж подняли тему то вопрос:
Как завернуть отдельные протоколы на Nat оставив остальные на прокси?
Конкретно в моем случае хотелось бы пустить через NAT Icmp/bittorent.

nixadmin · 15-03-11 21:05:16

artcats115 пишет:

Конкретно в моем случае хотелось бы пустить через NAT Icmp

iptables -t NAT -A POSTROUTING -o $IF_WAN -p icmp -s <адрес_локалки> -j MASQUERADE
или
iptables -t NAT -A POSTROUTING -o $IF_WAN -p icmp -s <адрес_локалки> -j SNAT --to-source <ip_шлюза>

artcats115 пишет:

bittorent.

В общем случае никак. Bittorent использует в своей работе большое колличество tcp и udp портов, можно попробовать настроить L7Filter, но он точно не сможет работать с шифрованным bittorrent-трафиком. Но если есть возможность ограничить используемые порты в клиенте, можно сделать так:

iptables -t nat -A POSTROUTING -o $IF_WAN -p tcp -m multiport --sport <начальный_порт>:<конечный_порт> -s <адрес_локалки> -j MASQUERADE
iptables -t nat -A POSTROUTING -o $IF_WAN -p udp -m multiport --sport <начальный_порт>:<конечный_порт> -s <адрес_локалки> -j MASQUERADE

petrun · 15-03-11 21:09:02

nixadmin пишет:

Но если есть возможность ограничить используемые порты в клиенте, можно сделать так:

А как? исходящие соединения все одно идут на произвольный порт.

nixadmin · 15-03-11 21:21:29

petrun пишет:

А как?

не знаю, вот я и написал "если есть возможность". Лично я поступил дома проще - выделил под торренты отдельную виртуалку. Теперь весь торрент-трафик у меня идёт с одной айпишки (так и учитываю при шейпинге). Но это решение только для дома.

Отредактировано nixadmin (15-03-11 21:23:05)

petrun · 15-03-11 21:51:37

nixadmin пишет:

не знаю, вот я и написал "если есть возможность".

Можно попробовать поковыряться в клиенте насчет поля TOS, но это уже шаманство.

IvanOFF · 15-03-11 22:31:32

artcats115 пишет:

Как завернуть отдельные протоколы на Nat оставив остальные на прокси?
Конкретно в моем случае хотелось бы пустить через NAT Icmp/bittorent.

Что-то вы плясать не с той стороны начали. По умолчанию все пакеты идут как раз таки через NAT, специально ничего заворачивать не надо, через прокси, в свою очередь, работает ограниченное число протоколов, в основном HTTP. Пустить через прокси те же POP3 или SMTP без танцев с бубнами и набора костылей нереально. Оптимальный вариант - HTTP через прокси, остальное через NAT, при этом можно без труда настроить что пускать, а что блокировать.

Вообще какая цель использования прокси в вашей сети?

artcats115 · 15-03-11 22:53:16

IvanOFF пишет:

. По умолчанию все пакеты идут как раз таки через NAT, специально ничего заворачивать не надо, через прокси, в свою очередь, работает ограниченное число протоколов, в основном HTTP.

Изначально NAT не был вообще настроен. Я просто поставил прокси и указал его на клиентах.

IvanOFF пишет:

Оптимальный вариант - HTTP через прокси, остальное через NAT,

Вот-вот. Что-то вроде этого я и хочу сейчас настроить. При этом открывать тотальный NAT который включит в том числе HTTP мне не хочется, так как в этом случае можно будет попасть на запрещенные сайты просто отключив прокси.

Отредактировано artcats115 (15-03-11 22:56:10)

petrun · 15-03-11 23:14:47

artcats115 пишет:

При этом открывать тотальный NAT который включит в том числе HTTP мне не хочется, так как в этом случае можно будет попасть на запрещенные сайты просто отключив прокси.

Ну так сделайте прозрачный прокси. Или тупо запретите коннекты к 80 портам.

IvanOFF · 16-03-11 00:21:02

Делаете прозрачный прокси, а в iptables запрещаете по умолчанию форвардинг пакетов, потом разрешаете то, что вам надо.

Примерно так:

# Запрещаем все по умолчанию
iptables -P FORWARD DROP (или REJECT, разницу, надеюсь, знаете)

# Разрешаем нужные службы (FTP, SMTP, POP3)
iptables -A FORWARD -i eth1 -p tcp --dport 21 -j ACCEPT
iptables -A FORWARD -i eth1 -p tcp --dport 25 -j ACCEPT
iptables -A FORWARD -i eth1 -p tcp --dport 110 -j ACCEPT

nixadmin · 16-03-11 07:14:43

IvanOFF, может Вы знаете как разрешить Форвард для bittorrent-трафика?

wr224 · 16-03-11 08:43:52

nixadmin пишет:

IvanOFF, может Вы знаете как разрешить Форвард для bittorrent-трафика?

Поднимается виртуальный сервер (для iptables это правила FORWARD+DNAT), можно еще через апач реверс прокси сделать наверно

IvanOFF · 16-03-11 14:30:13

nixadmin пишет:

может Вы знаете как разрешить Форвард для bittorrent-трафика?

Для торрента, чтобы он принимал входящие подключения лучше сделать проброс портов (или виртуальный сервер, это одно и тоже). Если такой задачи не стоит, просто разрешите форвардинг для диапазона портов, которые укажете в торрент клиенте.

Гареев Станислав · 16-03-11 23:08:40

хм.. А если мне надо не запретить всем кроме пары сайтов, а для нескольких IP оставить полный доступ. IP будут раздаваться на частично по mac адересам.
Как мне это сделать?

petrun · 16-03-11 23:12:19

IvanOFF пишет:

Для торрента, чтобы он принимал входящие подключения лучше сделать проброс портов (или виртуальный сервер, это одно и тоже). Если такой задачи не стоит, просто разрешите форвардинг для диапазона портов, которые укажете в торрент клиенте.

А с исходящими-то что делать? Реальная проблема именно тут.

artcats115 · 16-03-11 23:21:11

IvanOFF пишет:

Делаете прозрачный прокси

После поднятия прозрачного прокси участились подобные ошибки.

Не знаете почему?

IvanOFF · 17-03-11 00:14:08

Английским по белому написано же - не удалось получить IP адрес для хоста, смотрите что у вас с DNS.

artcats115 · 17-03-11 00:18:37

IvanOFF пишет:

смотрите что у вас с DNS.

DNS провайдерские я их не контролирую.

Отредактировано artcats115 (17-03-11 00:19:09)

IvanOFF · 17-03-11 00:25:08

Причем тут это, т.к. про DNS вам пишет squid первым делом проверьте что у вас написано в resolv.conf

artcats115 · 17-03-11 00:26:15

cat /etc/resolv.conf

nameserver 212.109.32.5
nameserver 212.109.32.9
domain beeline.ua
search beeline.ua

Собственно те самые сервера провайдера о которых я говорил.

Отредактировано artcats115 (17-03-11 00:27:39)

IvanOFF · 17-03-11 00:27:07

Что указано в качестве DNS на клиенте?

artcats115 · 17-03-11 00:32:20

# Generated by NetworkManager
nameserver 192.168.0.1

Бардак конечно, но этот DNS я поднимал для того чтобы работало nslookup с клиента(Когда NAT еще не было). Он тупо пересылает DNS-запросы гуглу. Но при проксировании он насколько я понимаю не используется.

IvanOFF · 17-03-11 00:39:40

Поставьте на сервер dnsmasq, получите кэширование и пересылку DNS запросов к вышестоящим серверам, должно решить ваши проблемы.

artcats115 · 17-03-11 13:14:09

Поставил. Настроил по этой инструкции. Ошибка продолжает появляться.

nixadmin · 17-03-11 14:11:26

попробуйте в конфиге сквида жёстко прописать DNS

dns_nameservers 212.109.32.5 212.109.32.9

Если не поможет, попробуйте:

dns_nameservers 8.8.8.8

Ибо, проблема может быть в DNS-серверах провайдера

artcats115 · 17-03-11 16:27:31

Помогло. Похоже проблема действительно в серверах провайдера.
Спасибо всем кто поучаствовал в решении проблемы.

Отредактировано artcats115 (17-03-11 16:28:17)

Форум StopLinux

Объявление

#1 15-03-11 20:24:56

NAT и отдельные протоколы.

#2 15-03-11 21:05:16

Re: NAT и отдельные протоколы.

#3 15-03-11 21:09:02

Re: NAT и отдельные протоколы.

#4 15-03-11 21:21:29

Re: NAT и отдельные протоколы.

#5 15-03-11 21:51:37

Re: NAT и отдельные протоколы.

#6 15-03-11 22:31:32

Re: NAT и отдельные протоколы.

#7 15-03-11 22:53:16

Re: NAT и отдельные протоколы.

#8 15-03-11 23:14:47

Re: NAT и отдельные протоколы.

#9 16-03-11 00:21:02

Re: NAT и отдельные протоколы.

#10 16-03-11 07:14:43

Re: NAT и отдельные протоколы.

#11 16-03-11 08:43:52

Re: NAT и отдельные протоколы.

#12 16-03-11 14:30:13

Re: NAT и отдельные протоколы.

#13 16-03-11 23:08:40

Re: NAT и отдельные протоколы.

#14 16-03-11 23:12:19

Re: NAT и отдельные протоколы.

#15 16-03-11 23:21:11

Re: NAT и отдельные протоколы.

#16 17-03-11 00:14:08

Re: NAT и отдельные протоколы.

#17 17-03-11 00:18:37

Re: NAT и отдельные протоколы.

#18 17-03-11 00:25:08

Re: NAT и отдельные протоколы.

#19 17-03-11 00:26:15

Re: NAT и отдельные протоколы.

#20 17-03-11 00:27:07

Re: NAT и отдельные протоколы.

#21 17-03-11 00:32:20

Re: NAT и отдельные протоколы.

#22 17-03-11 00:39:40

Re: NAT и отдельные протоколы.

#23 17-03-11 13:14:09

Re: NAT и отдельные протоколы.

#24 17-03-11 14:11:26

Re: NAT и отдельные протоколы.

#25 17-03-11 16:27:31

Re: NAT и отдельные протоколы.

Подвал форума