Есть сеть 192.168.160.0/24
Прокся 192.168.160.1:3128, к которой у меня нет доступа
Web-сервер 192.168.160.5
Клиенты 192.168.160.11-254
Браузеры клиентов настроены на прокю. Но есть проблема: клиенты используют ПО, которое никак не блокируется проксей (qip например), а так же разного рода браузерные игры. Соответственно вмешаться в пользовательский трафик я не могу, потому что доступа к проксе нет и не предвидится.
За сим у меня появилась идея на веб-сервере настроить IPTables и указать клиентам в качестве шлюза по-умолчанию, а уже средствами IPTables перенаправлять пользовательский трафик на проксю, естественно отфильтровав его.
Так как все происходит в одном сегменте сети, как я понимаю таблица nat тут не при чем.
Так же, насколько я знаю, действие REDIRECT может изменить только порт в рамках одного хоста. (Я ошибаюсь?)
Я хочу дропнуть весь трафик, кроме идущего по 80 и 21 портам и только его направить на проксю.
Каким образом мне перенаправить трафик?
Нужна помощь с правилом IPTables
Модератор: Bizdelnick
Нужна помощь с правилом IPTables
Жестокий стоячий админ (с) коллега
Re: Нужна помощь с правилом IPTables
Так Вы сами ответили на свой вопрос - если на одной машине REDIRECT, если на другой DNAT.
Вот только боюсь все не так просто. Тот же qip свободно ходит через http-прокси. Да и чем Вы будете блокировать броузерный игры? Может есть возможность договорится с админом прокси-сервера и совместными усилиями настроить фильтрацию?
Либо как еще вариант - поднимите свой прокси-сервер и фильтруйте на нем. Ведь доступ к настройкам броузеров у Вас есть?
Вот только боюсь все не так просто. Тот же qip свободно ходит через http-прокси. Да и чем Вы будете блокировать броузерный игры? Может есть возможность договорится с админом прокси-сервера и совместными усилиями настроить фильтрацию?
Либо как еще вариант - поднимите свой прокси-сервер и фильтруйте на нем. Ведь доступ к настройкам броузеров у Вас есть?
Re: Нужна помощь с правилом IPTables
Да как отфильтровать я найду способ, я слабо представляю как сделать редирект.
Я хочу чтобы выглядело все примерно так:
Клиент -> 192.168.160.5(IPTables) -> 192.168.160.1(Squid).
Не пойму как правило редиректа написать.
Я хочу чтобы выглядело все примерно так:
Клиент -> 192.168.160.5(IPTables) -> 192.168.160.1(Squid).
Не пойму как правило редиректа написать.
Жестокий стоячий админ (с) коллега
Re: Нужна помощь с правилом IPTables
В приведенном Вами случае DNAT: iptables --append PREROUTING <уточнение по портам, протокалам и т.д.> --jump DNAT --to-destination <сервер>.
Но ведь у Вас есть доступ на 192,168,160,5? (А иначе как бы собирались редактировать правила iptables.) Ну так и поставьте там squid, и фильтруйте на здоровье.
Re: Нужна помощь с правилом IPTables
Все подчерпнуто из LXF № 94. Ситуация не идентичная, но похожая. Так что может полезные идеи появятся.
Машина с FC6 с установленными squid и squidguard. Маршрутизатор настроен только на доступ в интернет данной машины. FC6 назначается шлюзом по умолчанию, чтобы весь интернет-траффик проходил через него. Отредактировать /etc/sysctl.conf изменив окончание строки
net.ipv4.ip_forward=0
с 0 на 1. Потом набрать
service network restart
и перенастроить клиентов на использование IP этого компа в качестве сетевого шлюза. Проблема удаления пользователями прокси-настроек решается функцией squid "прозрачный прокси". Функция принудительно направляет все веб-запросы, проходящие через машину, на сквид и соответственно на сквидгард. Откройте в редакторе файл настроек сквида (обычно /etc/Squid/squid.conf), найдите строки с http_port, в файле они скорее всего выглядят так
http_port 8080
и измените на
http_port 80 transparent
что предписывает сквиду перехватывать все запросы, не зависимо от того настроен браузер на работу с прокси или нет. Нужно либо удалить из браузеров старую настройку прокси, или добавить строку обработки запрpfjd для старого порта 8080
http_port 8080 transparent
Другим методом можно оставить http_port на 80, а запросы, которые хотите пропускать через прокси, перенаправить с порта 80 на 8080 при помощи правила iptables.
Так же можно использовать iptables или графическую оболочку вроде FireStarter для блокировки исходящего трафика на любые порты, кроме стандартных.
Машина с FC6 с установленными squid и squidguard. Маршрутизатор настроен только на доступ в интернет данной машины. FC6 назначается шлюзом по умолчанию, чтобы весь интернет-траффик проходил через него. Отредактировать /etc/sysctl.conf изменив окончание строки
net.ipv4.ip_forward=0
с 0 на 1. Потом набрать
service network restart
и перенастроить клиентов на использование IP этого компа в качестве сетевого шлюза. Проблема удаления пользователями прокси-настроек решается функцией squid "прозрачный прокси". Функция принудительно направляет все веб-запросы, проходящие через машину, на сквид и соответственно на сквидгард. Откройте в редакторе файл настроек сквида (обычно /etc/Squid/squid.conf), найдите строки с http_port, в файле они скорее всего выглядят так
http_port 8080
и измените на
http_port 80 transparent
что предписывает сквиду перехватывать все запросы, не зависимо от того настроен браузер на работу с прокси или нет. Нужно либо удалить из браузеров старую настройку прокси, или добавить строку обработки запрpfjd для старого порта 8080
http_port 8080 transparent
Другим методом можно оставить http_port на 80, а запросы, которые хотите пропускать через прокси, перенаправить с порта 80 на 8080 при помощи правила iptables.
Так же можно использовать iptables или графическую оболочку вроде FireStarter для блокировки исходящего трафика на любые порты, кроме стандартных.
Я не знаю кто я. Не помню ни серии своей, ни инвентарного номера...
Мой блог http://fed71.livejournal.com
Мой блог http://fed71.livejournal.com