NAT и отдельные протоколы.

artcats115 · 15-03-11 21:24:56

IvanOFF пишет:

HTTPS вообще нет смысла заворачивать на прокси, это отдельный протокол с весьма специфичным применением, лучше всего его пускать напрямую через NAT.

Раз уж подняли тему то вопрос:
Как завернуть отдельные протоколы на Nat оставив остальные на прокси?
Конкретно в моем случае хотелось бы пустить через NAT Icmp/bittorent.

nixadmin · 15-03-11 22:05:16

artcats115 пишет:

Конкретно в моем случае хотелось бы пустить через NAT Icmp

iptables -t NAT -A POSTROUTING -o $IF_WAN -p icmp -s <адрес_локалки> -j MASQUERADE
или
iptables -t NAT -A POSTROUTING -o $IF_WAN -p icmp -s <адрес_локалки> -j SNAT --to-source <ip_шлюза>

artcats115 пишет:

bittorent.

В общем случае никак. Bittorent использует в своей работе большое колличество tcp и udp портов, можно попробовать настроить L7Filter, но он точно не сможет работать с шифрованным bittorrent-трафиком. Но если есть возможность ограничить используемые порты в клиенте, можно сделать так:

iptables -t nat -A POSTROUTING -o $IF_WAN -p tcp -m multiport --sport <начальный_порт>:<конечный_порт> -s <адрес_локалки> -j MASQUERADE
iptables -t nat -A POSTROUTING -o $IF_WAN -p udp -m multiport --sport <начальный_порт>:<конечный_порт> -s <адрес_локалки> -j MASQUERADE

nixadmin · 15-03-11 22:21:29

petrun пишет:

А как?

не знаю, вот я и написал "если есть возможность". Лично я поступил дома проще - выделил под торренты отдельную виртуалку. Теперь весь торрент-трафик у меня идёт с одной айпишки (так и учитываю при шейпинге). Но это решение только для дома.

Редактировался nixadmin (15-03-11 22:23:05)

IvanOFF · 15-03-11 23:31:32

artcats115 пишет:

Как завернуть отдельные протоколы на Nat оставив остальные на прокси?
Конкретно в моем случае хотелось бы пустить через NAT Icmp/bittorent.

Что-то вы плясать не с той стороны начали. По умолчанию все пакеты идут как раз таки через NAT, специально ничего заворачивать не надо, через прокси, в свою очередь, работает ограниченное число протоколов, в основном HTTP. Пустить через прокси те же POP3 или SMTP без танцев с бубнами и набора костылей нереально. Оптимальный вариант - HTTP через прокси, остальное через NAT, при этом можно без труда настроить что пускать, а что блокировать.

Вообще какая цель использования прокси в вашей сети?

artcats115 · 15-03-11 23:53:16

IvanOFF пишет:

. По умолчанию все пакеты идут как раз таки через NAT, специально ничего заворачивать не надо, через прокси, в свою очередь, работает ограниченное число протоколов, в основном HTTP.

Изначально NAT не был вообще настроен. Я просто поставил прокси и указал его на клиентах.

IvanOFF пишет:

Оптимальный вариант - HTTP через прокси, остальное через NAT,

Вот-вот. Что-то вроде этого я и хочу сейчас настроить. При этом открывать тотальный NAT который включит в том числе HTTP мне не хочется, так как в этом случае можно будет попасть на запрещенные сайты просто отключив прокси.

Редактировался artcats115 (15-03-11 23:56:10)

IvanOFF · 16-03-11 01:21:02

Делаете прозрачный прокси, а в iptables запрещаете по умолчанию форвардинг пакетов, потом разрешаете то, что вам надо.

Примерно так:

# Запрещаем все по умолчанию
iptables -P FORWARD DROP (или REJECT, разницу, надеюсь, знаете)

# Разрешаем нужные службы (FTP, SMTP, POP3)
iptables -A FORWARD -i eth1 -p tcp --dport 21 -j ACCEPT
iptables -A FORWARD -i eth1 -p tcp --dport 25 -j ACCEPT
iptables -A FORWARD -i eth1 -p tcp --dport 110 -j ACCEPT

nixadmin · 16-03-11 08:14:43

IvanOFF, может Вы знаете как разрешить Форвард для bittorrent-трафика?

IvanOFF · 16-03-11 15:30:13

nixadmin пишет:

может Вы знаете как разрешить Форвард для bittorrent-трафика?

Для торрента, чтобы он принимал входящие подключения лучше сделать проброс портов (или виртуальный сервер, это одно и тоже). Если такой задачи не стоит, просто разрешите форвардинг для диапазона портов, которые укажете в торрент клиенте.

Гареев Станислав · 17-03-11 00:08:40

хм.. А если мне надо не запретить всем кроме пары сайтов, а для нескольких IP оставить полный доступ. IP будут раздаваться на частично по mac адересам.
Как мне это сделать?

artcats115 · 17-03-11 00:21:11

IvanOFF пишет:

Делаете прозрачный прокси

После поднятия прозрачного прокси участились подобные ошибки.

Не знаете почему?

IvanOFF · 17-03-11 01:14:08

Английским по белому написано же - не удалось получить IP адрес для хоста, смотрите что у вас с DNS.

artcats115 · 17-03-11 01:18:37

IvanOFF пишет:

смотрите что у вас с DNS.

DNS провайдерские я их не контролирую.

Редактировался artcats115 (17-03-11 01:19:09)

IvanOFF · 17-03-11 01:25:08

Причем тут это, т.к. про DNS вам пишет squid первым делом проверьте что у вас написано в resolv.conf

artcats115 · 17-03-11 01:26:15

cat /etc/resolv.conf

nameserver 212.109.32.5
nameserver 212.109.32.9
domain beeline.ua
search beeline.ua

Собственно те самые сервера провайдера о которых я говорил.

Редактировался artcats115 (17-03-11 01:27:39)

IvanOFF · 17-03-11 01:27:07

Что указано в качестве DNS на клиенте?

artcats115 · 17-03-11 01:32:20

# Generated by NetworkManager
nameserver 192.168.0.1

Бардак конечно, но этот DNS я поднимал для того чтобы работало nslookup с клиента(Когда NAT еще не было). Он тупо пересылает DNS-запросы гуглу. Но при проксировании он насколько я понимаю не используется.

IvanOFF · 17-03-11 01:39:40

Поставьте на сервер dnsmasq, получите кэширование и пересылку DNS запросов к вышестоящим серверам, должно решить ваши проблемы.

artcats115 · 17-03-11 14:14:09

Поставил. Настроил по этой инструкции. Ошибка продолжает появляться.

nixadmin · 17-03-11 15:11:26

попробуйте в конфиге сквида жёстко прописать DNS

dns_nameservers 212.109.32.5 212.109.32.9

Если не поможет, попробуйте:

dns_nameservers 8.8.8.8

Ибо, проблема может быть в DNS-серверах провайдера

artcats115 · 17-03-11 17:27:31

Помогло. Похоже проблема действительно в серверах провайдера.
Спасибо всем кто поучаствовал в решении проблемы.

Редактировался artcats115 (17-03-11 17:28:17)

Форум StopLinux

Объявление

#1 15-03-11 21:24:56

NAT и отдельные протоколы.

#2 15-03-11 22:05:16

Re: NAT и отдельные протоколы.

#3 15-03-11 22:21:29

Re: NAT и отдельные протоколы.

#4 15-03-11 23:31:32

Re: NAT и отдельные протоколы.

#5 15-03-11 23:53:16

Re: NAT и отдельные протоколы.

#6 16-03-11 01:21:02

Re: NAT и отдельные протоколы.

#7 16-03-11 08:14:43

Re: NAT и отдельные протоколы.

#8 16-03-11 15:30:13

Re: NAT и отдельные протоколы.

#9 17-03-11 00:08:40

Re: NAT и отдельные протоколы.

#10 17-03-11 00:21:11

Re: NAT и отдельные протоколы.

#11 17-03-11 01:14:08

Re: NAT и отдельные протоколы.

#12 17-03-11 01:18:37

Re: NAT и отдельные протоколы.

#13 17-03-11 01:25:08

Re: NAT и отдельные протоколы.

#14 17-03-11 01:26:15

Re: NAT и отдельные протоколы.

#15 17-03-11 01:27:07

Re: NAT и отдельные протоколы.

#16 17-03-11 01:32:20

Re: NAT и отдельные протоколы.

#17 17-03-11 01:39:40

Re: NAT и отдельные протоколы.

#18 17-03-11 14:14:09

Re: NAT и отдельные протоколы.

#19 17-03-11 15:11:26

Re: NAT и отдельные протоколы.

#20 17-03-11 17:27:31

Re: NAT и отдельные протоколы.

Подвал форума