Помогите настроить прозрачный прокси

[Denikin]

Есть роутер с eth0 и eth1
Есть прокси в подсетке на eth1
Хочу чтобы весь веб-трафик шел через проксик который в локалке.

Прописал
iptables -t nat -I PREROUTING 1 -p tcp --dport 80 -j DNAT --to-destination 192.168.128.10:8080

Вот полностью таблица

Код: Выделить всё

Chain PREROUTING (policy ACCEPT)
target     prot opt source               destination
DNAT       tcp  --  anywhere             anywhere            tcp dpt:www to:192.168.128.10:8080

Chain POSTROUTING (policy ACCEPT)
target     prot opt source               destination
SNAT       all  --  anywhere             anywhere            to:$INET_IP

Chain OUTPUT (policy ACCEPT)
target     prot opt source               destination

После этого сайты не открываются.
В чем загвоздка?

[mandreika]

В squid волшебное слово указал?
http://tuxes.ru/squid-transparent-proxy

[Denikin]

В squid волшебное слово указал?
http://tuxes.ru/squid-transparent-proxy

волшебное слово
http_port 8080 transparent
указал
форфардинг ip_forward включил, файрфол даже отключил
все равно не работает
пакеты до сквида не доходят
причем не работает даже на сквидовской машине

[Denikin]

одно замечание - все ето делается в виртуалбоксе на убунте, сеть до гостей через tun . Может это бокс глючит, все же должно работать правильно? Или я что-то упустил?

[*Sasha*]

пакеты до сквида не доходят

А куда доходят, tcpdump что говорит?

[phantomSSL]

конфиг покажите весь + tcpdump

[Denikin]

вот что пишет на сентосе со сквидом

Код: Выделить всё

[root@centos ~]# tcpdump dst port 80
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on eth0, link-type EN10MB (Ethernet), capture size 96 bytes
17:02:19.658732 IP centos.network.local.46389 > mail.ru.http: S 3833441204:3833441204(0) win 5840 <mss 1460,sackOK,timestamp 255104 0,nop,wscale 4>
17:02:22.691441 IP centos.network.local.46389 > mail.ru.http: S 3833441204:3833441204(0) win 5840 <mss 1460,sackOK,timestamp 258104 0,nop,wscale 4>

2 packets captured
2 packets received by filter
0 packets dropped by kernel

при этом в браузере маил ру не открывается, а висит надпись "Ожидание ответа от маил ру"

На убунте вот что видется

Код: Выделить всё

den@den-desktop:~$ sudo tcpdump -i tun0
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on tun0, link-type EN10MB (Ethernet), capture size 96 bytes
17:22:53.789686 IP centos.local.47680 > suse.local.domain: 10390+ AAAA? mail.ru. (25)
17:22:53.794148 IP suse.local.29726 > ns2.mail.ru.domain: 64459 [1au] AAAA? mail.ru. (36)
17:22:53.850719 IP ns2.mail.ru.domain > suse.local.29726: 64459*- 0/1/1 (86)
17:22:53.857559 ARP, Request who-has centos.local tell suse.local, length 28
17:22:53.857567 ARP, Request who-has centos.local tell suse.local, length 28
17:22:53.858563 ARP, Reply centos.local is-at 08:00:27:8b:ff:72 (oui Unknown), length 28
17:22:53.859004 IP suse.local.domain > centos.local.47680: 10390 0/1/0 (75)
17:22:53.860150 IP centos.local.51761 > suse.local.domain: 26449+ AAAA? mail.ru.network.local. (39)
17:22:53.865035 IP suse.local.domain > centos.local.51761: 26449 NXDomain* 0/1/0 (85)
17:22:53.866030 IP centos.local.59486 > suse.local.domain: 8386+ A? mail.ru. (25)
17:22:53.868287 IP suse.local.domain > centos.local.59486: 8386 4/6/6 A 217.69.128.43,[|domain]
17:22:53.876907 IP centos.local.35170 > mail.ru.www: Flags [S], seq 3724056947, win 5840, options [mss 1460,sackOK,TS val 133863 ecr 0,nop,wscale 4], length 0
17:22:53.876984 IP centos.local.35170 > centos.local.http-alt: Flags [S], seq 3724056947, win 5840, options [mss 1460,sackOK,TS val 133863 ecr 0,nop,wscale 4], length 0
17:22:53.877005 IP centos.local.58642 > suse.local.domain: 50170+ PTR? 43.128.69.217.in-addr.arpa. (44)
17:22:53.879335 IP suse.local.43419 > ns3.mail.ru.domain: 3263 [1au] PTR? 43.128.69.217.in-addr.arpa. (55)
17:22:53.935977 IP ns3.mail.ru.domain > suse.local.43419: 3263*- 1/6/7 (279)
17:22:53.937751 IP suse.local.domain > centos.local.58642: 50170 1/6/6 (268)
17:22:53.940995 IP centos.local.37987 > suse.local.domain: 23220+ PTR? 10.128.168.192.in-addr.arpa. (45)
17:22:53.942478 IP suse.local.domain > centos.local.37987: 23220* 1/1/1 (114)
17:22:54.067143 IP den-desktop.local.mdns > 224.0.0.251.mdns: 0 PTR (QM)? 21.128.168.192.in-addr.arpa. (45)
17:22:54.083084 IP suse.local.mdns > 224.0.0.251.mdns: 0*- [0q] 1/0/0 (63)
17:22:54.083095 IP suse.local.mdns > 224.0.0.251.mdns: 0*- [0q] 1/0/0 (63)
17:22:54.297114 IP den-desktop.local.mdns > 224.0.0.251.mdns: 0 PTR (QM)? 10.128.168.192.in-addr.arpa. (45)
17:22:54.300234 IP centos.local.mdns > 224.0.0.251.mdns: 0*- [0q] 1/0/0 (65)
17:22:54.300249 IP centos.local.mdns > 224.0.0.251.mdns: 0*- [0q] 1/0/0 (65)
17:22:54.668351 IP den-desktop.local.mdns > 224.0.0.251.mdns: 0 PTR (QM)? 251.0.0.224.in-addr.arpa. (42)
17:22:55.668454 IP den-desktop.local.mdns > 224.0.0.251.mdns: 0 PTR (QM)? 251.0.0.224.in-addr.arpa. (42)
17:22:57.669795 IP den-desktop.local.mdns > 224.0.0.251.mdns: 0 PTR (QM)? 251.0.0.224.in-addr.arpa. (42)
17:22:58.790394 ARP, Request who-has den-desktop.local tell suse.local, length 28
17:22:58.790416 ARP, Reply den-desktop.local is-at f2:cc:04:2d:da:f4 (oui Unknown), length 28
17:22:58.869513 ARP, Request who-has centos.local tell den-desktop.local, length 28
17:22:58.869858 ARP, Reply centos.local is-at 08:00:27:8b:ff:72 (oui Unknown), length 28
17:22:59.784601 IP den-desktop.local.mdns > 224.0.0.251.mdns: 0 PTR (QM)? 1.128.168.192.in-addr.arpa. (44)
17:22:59.784741 IP den-desktop.local.mdns > 224.0.0.251.mdns: 0*- [0q] 1/0/0 (69)
17:23:04.671633 IP centos.local.35170 > mail.ru.www: Flags [S], seq 3724056947, win 5840, options [mss 1460,sackOK,TS val 136863 ecr 0,nop,wscale 4], length 0
17:23:04.671700 IP centos.local.35170 > centos.local.http-alt: Flags [S], seq 3724056947, win 5840, options [mss 1460,sackOK,TS val 136863 ecr 0,nop,wscale 4], length 0
17:23:13.529754 ARP, Request who-has suse.local tell centos.local, length 28
17:23:13.530224 ARP, Reply suse.local is-at 08:00:27:31:23:12 (oui Unknown), length 28
17:23:25.917494 ARP, Request who-has den-desktop.local tell centos.local, length 28
17:23:25.917519 ARP, Reply den-desktop.local is-at f2:cc:04:2d:da:f4 (oui Unknown), length 28
^C
40 packets captured
40 packets received by filter
0 packets dropped by kernel

При этом когда я делаю запрос на маил ру с сентоса , то на инетовском ифейсе убунты никакой активности на 80 порту нет

вот иптаблес на убунте
den@den-desktop:~$ sudo iptables -L -t nat

Код: Выделить всё

Chain PREROUTING (policy ACCEPT)
target     prot opt source               destination
DNAT       tcp  --  anywhere             anywhere            tcp dpt:www to:192.168.128.10:8080

Chain POSTROUTING (policy ACCEPT)
target     prot opt source               destination
SNAT       all  --  anywhere             anywhere            to:$MY_IP

Chain OUTPUT (policy ACCEPT)
target     prot opt source               destination

все остальные таблицы и чейны в ацепт

ps - suse это второй гость с днс,
пробовал в центосе напрямую прописать днс провайдера, но результат тот же

[Venegance]

iptables -t nat -A PREROUTING -p tcp -m tcp --dport 80 -j REDIRECT --to-ports 8080

[Denikin]

iptables -t nat -A PREROUTING -p tcp -m tcp --dport 80 -j REDIRECT --to-ports 8080

попробовал
теперь браузер не висит в ожидании ответа, а сразу выдает страницу - Сайт недоступен.
в дампе тоже самое

да и в сквид логе так же никакой активности

сквид рабочий, слушает на всех адресах на порту 8080

После удаления этого правила, все работает обычным образом, т.е если прокси прописать в настройке браузера, то ходит через прокси

[Denikin]

конфиг покажите весь + tcpdump

конфиг чего показать?
до сквида пакеты не доходят, тут дело явно не нем

[*Sasha*]

на 192.168.128.10 инет есть, если в браузере в ручную указать прокси работает?

[Denikin]

на 192.168.128.10 инет есть, если в браузере в ручную указать прокси работает?

сентос (128.10)работает и через прокси в браузере и обычным образом (без прокси) - только если убрать правило на убунте (128.1):
iptables -t nat -I PREROUTING 1 -p tcp --dport 80 -j DNAT --to-destination 192.168.128.10:8080
, которая выступает в качестве роутера (через tun0)

[*Sasha*]

Возможно нежно перечитать руководство по iptables, пункт 6.5.2. Действие DNAT, и сделать что-то типа.

Код: Выделить всё

iptables -t nat -I PREROUTING 1 -p tcp --dport 80 -j DNAT --to-destination 192.168.128.10:8080
iptables -t nat -A POSTROUTING -p tcp -d 192.168.128.10  --dport 8080 -j SNAT --to-s 192.168.128.1
iptables -t nat -A OUTPUT -d 192.168.128.1 -p tcp --dport 80 -j DNAT --to-d 192.168.128.10:8080

[Denikin]

Возможно нежно перечитать руководство по iptables, пункт 6.5.2. Действие DNAT, и сделать что-то типа.

Код: Выделить всё

iptables -t nat -I PREROUTING 1 -p tcp --dport 80 -j DNAT --to-destination 192.168.128.10:8080
iptables -t nat -A POSTROUTING -p tcp -d 192.168.128.10  --dport 8080 -j SNAT --to-s 192.168.128.1
iptables -t nat -A OUTPUT -d 192.168.128.1 -p tcp --dport 80 -j DNAT --to-d 192.168.128.10:8080

Перечитал пункт 6.5.2
Действительно надо было добавить еще 2 правила, НО воз и ныне там. Вот что сейчас на убунте (шлюз 192,168,128,1)

Код: Выделить всё

den@den-desktop:~$ sudo iptables -L -t nat -n
Chain PREROUTING (policy ACCEPT)
target     prot opt source               destination
DNAT       tcp  --  0.0.0.0/0            0.0.0.0/0           tcp dpt:80 to:192.168.128.10:8080

Chain POSTROUTING (policy ACCEPT)
target     prot opt source               destination
SNAT       tcp  --  0.0.0.0/0            192.168.128.10      tcp dpt:8080 to:192.168.128.1
SNAT       all  --  0.0.0.0/0            0.0.0.0/0           to:$INET_IP

Chain OUTPUT (policy ACCEPT)
target     prot opt source               destination

Код: Выделить всё

den@den-desktop:~$ sudo iptables -L
Chain INPUT (policy ACCEPT)
target     prot opt source               destination

Chain FORWARD (policy ACCEPT)
target     prot opt source               destination

Chain OUTPUT (policy ACCEPT)
target     prot opt source               destination

ип форвард включен ()

на сентосе (192,168,128,10) соотвественно

Код: Выделить всё

Chain INPUT (policy ACCEPT)
target     prot opt source               destination

Chain FORWARD (policy ACCEPT)
target     prot opt source               destination

Chain OUTPUT (policy ACCEPT)
target     prot opt source               destination

ип форвардинг включен, брэндмауэр отключен

куда дальше копать?
p/s правило на OUTPUT пока не добавлял, чтобы еще более не усложнять ситуацию

[*Sasha*]

Когда пытаешься зайти что показывает?

Код: Выделить всё

tcpdump -i eth0 -n -nn -ttt dst port 80
tcpdump -i eth0 -n -nn -ttt dst port 8080

[Denikin]

Когда пытаешься зайти что показывает?

Код: Выделить всё

tcpdump -i eth0 -n -nn -ttt dst port 80
tcpdump -i eth0 -n -nn -ttt dst port 8080

На убунте (128,1)
eth1 - это в инет
tun0 - это в виртуалку

Код: Выделить всё

den@den-desktop:/boot$ sudo tcpdump -i eth1 -n -nn -ttt dst port 80
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on eth1, link-type EN10MB (Ethernet), capture size 96 bytes
00:00:00.000000 IP 89.31.115.35.42533 > 89.104.102.12.80: Flags [S], seq 2638136496, win 5840, options [mss 1460,sackOK,TS val 688167 ecr 0,nop,wscale 7], length 0
00:00:00.069825 IP 89.31.115.35.42533 > 89.104.102.12.80: Flags [.], ack 2285703277, win 46, length 0
00:00:00.000109 IP 89.31.115.35.42533 > 89.104.102.12.80: Flags [P.], seq 0:1100, ack 1, win 46, length 1100
00:00:00.219929 IP 89.31.115.35.42533 > 89.104.102.12.80: Flags [.], ack 1461, win 69, length 0
00:00:00.000549 IP 89.31.115.35.42533 > 89.104.102.12.80: Flags [.], ack 2921, win 92, length 0
00:00:00.000077 IP 89.31.115.35.42533 > 89.104.102.12.80: Flags [.], ack 4055, win 115, length 0
00:00:00.071044 IP 89.31.115.35.42533 > 89.104.102.12.80: Flags [.], ack 5515, win 137, length 0
00:00:00.000062 IP 89.31.115.35.42533 > 89.104.102.12.80: Flags [.], ack 6975, win 160, length 0
00:00:00.006468 IP 89.31.115.35.42533 > 89.104.102.12.80: Flags [.], ack 8435, win 183, length 0
00:00:00.000064 IP 89.31.115.35.42533 > 89.104.102.12.80: Flags [.], ack 9895, win 206, length 0
00:00:00.010808 IP 89.31.115.35.42533 > 89.104.102.12.80: Flags [.], ack 11355, win 229, length 0
00:00:00.006310 IP 89.31.115.35.42533 > 89.104.102.12.80: Flags [.], ack 12815, win 251, length 0
00:00:00.046217 IP 89.31.115.35.42533 > 89.104.102.12.80: Flags [.], ack 14275, win 274, length 0
00:00:00.000359 IP 89.31.115.35.42533 > 89.104.102.12.80: Flags [.], ack 15735, win 297, length 0
00:00:00.000037 IP 89.31.115.35.42533 > 89.104.102.12.80: Flags [.], ack 16226, win 320, length 0
00:00:00.658301 IP 89.31.115.35.42533 > 89.104.102.12.80: Flags [P.], seq 1100:2292, ack 16226, win 320, length 1192
00:00:00.119636 IP 89.31.115.35.54373 > 88.212.196.101.80: Flags [S], seq 2662328868, win 5840, options [mss 1460,sackOK,TS val 688288 ecr 0,nop,wscale 7], length 0
00:00:00.045737 IP 89.31.115.35.42533 > 89.104.102.12.80: Flags [.], ack 17686, win 343, length 0
00:00:00.000052 IP 89.31.115.35.42533 > 89.104.102.12.80: Flags [.], ack 18750, win 365, length 0
00:00:00.001769 IP 89.31.115.35.38191 > 94.100.178.216.80: Flags [S], seq 2662283353, win 5840, options [mss 1460,sackOK,TS val 688293 ecr 0,nop,wscale 7], length 0
00:00:00.009633 IP 89.31.115.35.54373 > 88.212.196.101.80: Flags [.], ack 3872479849, win 46, options [nop,nop,TS val 688294 ecr 3895788099], length 0
00:00:00.000630 IP 89.31.115.35.54373 > 88.212.196.101.80: Flags [P.], seq 0:638, ack 1, win 46, options [nop,nop,TS val 688294 ecr 3895788099], length 638
00:00:00.045791 IP 89.31.115.35.38191 > 94.100.178.216.80: Flags [.], ack 2450959298, win 5840, length 0
00:00:00.000154 IP 89.31.115.35.38191 > 94.100.178.216.80: Flags [P.], seq 0:882, ack 1, win 5840, length 882
00:00:00.012248 IP 89.31.115.35.54373 > 88.212.196.101.80: Flags [.], ack 464, win 54, options [nop,nop,TS val 688300 ecr 3895788156], length 0
00:00:00.000282 IP 89.31.115.35.54373 > 88.212.196.101.80: Flags [F.], seq 638, ack 465, win 54, options [nop,nop,TS val 688300 ecr 3895788156], length 0
00:00:00.043666 IP 89.31.115.35.38191 > 94.100.178.216.80: Flags [.], ack 214, win 6432, length 0
00:00:00.000295 IP 89.31.115.35.38191 > 94.100.178.216.80: Flags [.], ack 893, win 8136, length 0
00:00:00.000511 IP 89.31.115.35.38191 > 94.100.178.216.80: Flags [F.], seq 882, ack 893, win 8136, length 0
00:01:14.921817 IP 89.31.115.35.42533 > 89.104.102.12.80: Flags [.], ack 18751, win 365, length 0
00:00:09.714106 IP 89.31.115.35.42533 > 89.104.102.12.80: Flags [F.], seq 2292, ack 18751, win 365, length 0

Код: Выделить всё

den@den-desktop:/boot$ sudo tcpdump -i tun0 -n -nn -ttt dst port 80
[sudo] password for den:
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on tun0, link-type EN10MB (Ethernet), capture size 96 bytes
00:00:00.000000 IP 192.168.128.21.60340 > 130.57.4.24.80: Flags [S], seq 655652135, win 5840, options [mss 1460,sackOK,TS val 1559572 ecr 0,nop,wscale 5], length 0
00:00:02.988453 IP 192.168.128.21.60340 > 130.57.4.24.80: Flags [S], seq 655652135, win 5840, options [mss 1460,sackOK,TS val 1560322 ecr 0,nop,wscale 5], length 0
00:00:06.002525 IP 192.168.128.21.60340 > 130.57.4.24.80: Flags [S], seq 655652135, win 5840, options [mss 1460,sackOK,TS val 1561822 ecr 0,nop,wscale 5], length 0
00:00:12.000023 IP 192.168.128.21.60340 > 130.57.4.24.80: Flags [S], seq 655652135, win 5840, options [mss 1460,sackOK,TS val 1564822 ecr 0,nop,wscale 5], length 0
00:00:23.999804 IP 192.168.128.21.60340 > 130.57.4.24.80: Flags [S], seq 655652135, win 5840, options [mss 1460,sackOK,TS val 1570822 ecr 0,nop,wscale 5], length 0
00:00:47.997282 IP 192.168.128.21.60340 > 130.57.4.24.80: Flags [S], seq 655652135, win 5840, options [mss 1460,sackOK,TS val 1582822 ecr 0,nop,wscale 5], length 0
00:00:14.816071 IP 192.168.128.21.43856 > 74.125.87.100.80: Flags [S], seq 2356585530, win 5840, options [mss 1460,sackOK,TS val 1586526 ecr 0,nop,wscale 5], length 0
00:00:03.000067 IP 192.168.128.21.43856 > 74.125.87.100.80: Flags [S], seq 2356585530, win 5840, options [mss 1460,sackOK,TS val 1587276 ecr 0,nop,wscale 5], length 0
00:00:06.000305 IP 192.168.128.21.43856 > 74.125.87.100.80: Flags [S], seq 2356585530, win 5840, options [mss 1460,sackOK,TS val 1588776 ecr 0,nop,wscale 5], length 0
00:00:11.999601 IP 192.168.128.21.43856 > 74.125.87.100.80: Flags [S], seq 2356585530, win 5840, options [mss 1460,sackOK,TS val 1591776 ecr 0,nop,wscale 5], length 0
00:00:24.000004 IP 192.168.128.21.43856 > 74.125.87.100.80: Flags [S], seq 2356585530, win 5840, options [mss 1460,sackOK,TS val 1597776 ecr 0,nop,wscale 5], length 0
00:00:48.000334 IP 192.168.128.21.43856 > 74.125.87.100.80: Flags [S], seq 2356585530, win 5840, options [mss 1460,sackOK,TS val 1609776 ecr 0,nop,wscale 5], length 0
00:01:36.000142 IP 192.168.128.21.42481 > 74.125.87.101.80: Flags [S], seq 1004228672, win 5840, options [mss 1460,sackOK,TS val 1633776 ecr 0,nop,wscale 5], length 0
00:00:03.000906 IP 192.168.128.21.42481 > 74.125.87.101.80: Flags [S], seq 1004228672, win 5840, options [mss 1460,sackOK,TS val 1634526 ecr 0,nop,wscale 5], length 0
00:00:05.999936 IP 192.168.128.21.42481 > 74.125.87.101.80: Flags [S], seq 1004228672, win 5840, options [mss 1460,sackOK,TS val 1636026 ecr 0,nop,wscale 5], length 0
00:00:12.000071 IP 192.168.128.21.42481 > 74.125.87.101.80: Flags [S], seq 1004228672, win 5840, options [mss 1460,sackOK,TS val 1639026 ecr 0,nop,wscale 5], length 0
00:00:24.000294 IP 192.168.128.21.42481 > 74.125.87.101.80: Flags [S], seq 1004228672, win 5840, options [mss 1460,sackOK,TS val 1645026 ecr 0,nop,wscale 5], length 0

Код: Выделить всё

den@den-desktop:/boot$ sudo tcpdump -i tun0 -n -nn -ttt dst port 8080
[sudo] password for den:
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on tun0, link-type EN10MB (Ethernet), capture size 96 bytes
00:00:00.000000 IP 192.168.128.1.60340 > 192.168.128.10.8080: Flags [S], seq 655652135, win 5840, options [mss 1460,sackOK,TS val 1559572 ecr 0,nop,wscale 5], length 0
00:00:02.988420 IP 192.168.128.1.60340 > 192.168.128.10.8080: Flags [S], seq 655652135, win 5840, options [mss 1460,sackOK,TS val 1560322 ecr 0,nop,wscale 5], length 0
00:00:06.002521 IP 192.168.128.1.60340 > 192.168.128.10.8080: Flags [S], seq 655652135, win 5840, options [mss 1460,sackOK,TS val 1561822 ecr 0,nop,wscale 5], length 0
00:00:12.000024 IP 192.168.128.1.60340 > 192.168.128.10.8080: Flags [S], seq 655652135, win 5840, options [mss 1460,sackOK,TS val 1564822 ecr 0,nop,wscale 5], length 0
00:00:23.999806 IP 192.168.128.1.60340 > 192.168.128.10.8080: Flags [S], seq 655652135, win 5840, options [mss 1460,sackOK,TS val 1570822 ecr 0,nop,wscale 5], length 0
00:00:47.997304 IP 192.168.128.1.60340 > 192.168.128.10.8080: Flags [S], seq 655652135, win 5840, options [mss 1460,sackOK,TS val 1582822 ecr 0,nop,wscale 5], length 0
00:00:14.816066 IP 192.168.128.1.43856 > 192.168.128.10.8080: Flags [S], seq 2356585530, win 5840, options [mss 1460,sackOK,TS val 1586526 ecr 0,nop,wscale 5], length 0
00:00:03.000049 IP 192.168.128.1.43856 > 192.168.128.10.8080: Flags [S], seq 2356585530, win 5840, options [mss 1460,sackOK,TS val 1587276 ecr 0,nop,wscale 5], length 0
00:00:06.000304 IP 192.168.128.1.43856 > 192.168.128.10.8080: Flags [S], seq 2356585530, win 5840, options [mss 1460,sackOK,TS val 1588776 ecr 0,nop,wscale 5], length 0
00:00:11.999600 IP 192.168.128.1.43856 > 192.168.128.10.8080: Flags [S], seq 2356585530, win 5840, options [mss 1460,sackOK,TS val 1591776 ecr 0,nop,wscale 5], length 0
00:00:24.000011 IP 192.168.128.1.43856 > 192.168.128.10.8080: Flags [S], seq 2356585530, win 5840, options [mss 1460,sackOK,TS val 1597776 ecr 0,nop,wscale 5], length 0
00:00:48.000302 IP 192.168.128.1.43856 > 192.168.128.10.8080: Flags [S], seq 2356585530, win 5840, options [mss 1460,sackOK,TS val 1609776 ecr 0,nop,wscale 5], length 0
00:01:36.000158 IP 192.168.128.1.42481 > 192.168.128.10.8080: Flags [S], seq 1004228672, win 5840, options [mss 1460,sackOK,TS val 1633776 ecr 0,nop,wscale 5], length 0
00:00:03.000908 IP 192.168.128.1.42481 > 192.168.128.10.8080: Flags [S], seq 1004228672, win 5840, options [mss 1460,sackOK,TS val 1634526 ecr 0,nop,wscale 5], length 0
00:00:05.999934 IP 192.168.128.1.42481 > 192.168.128.10.8080: Flags [S], seq 1004228672, win 5840, options [mss 1460,sackOK,TS val 1636026 ecr 0,nop,wscale 5], length 0
00:00:12.000068 IP 192.168.128.1.42481 > 192.168.128.10.8080: Flags [S], seq 1004228672, win 5840, options [mss 1460,sackOK,TS val 1639026 ecr 0,nop,wscale 5], length 0
00:00:24.000291 IP 192.168.128.1.42481 > 192.168.128.10.8080: Flags [S], seq 1004228672, win 5840, options [mss 1460,sackOK,TS val 1645026 ecr 0,nop,wscale 5], length 0

теперь на сузе с которой я пытаюсь открыть сайт

Код: Выделить всё

suse:~ # tcpdump -i eth0 -n -nn -ttt dst port 80
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on eth0, link-type EN10MB (Ethernet), capture size 96 bytes
000000 IP 192.168.128.21.60340 > 130.57.4.24.80: S 655652135:655652135(0) win 5840 <mss 1460,sackOK,timestamp 1559572 0,nop,wscale 5>
2. 999366 IP 192.168.128.21.60340 > 130.57.4.24.80: S 655652135:655652135(0) win 5840 <mss 1460,sackOK,timestamp 1560322 0,nop,wscale 5>
6. 002411 IP 192.168.128.21.60340 > 130.57.4.24.80: S 655652135:655652135(0) win 5840 <mss 1460,sackOK,timestamp 1561822 0,nop,wscale 5>
12. 000324 IP 192.168.128.21.60340 > 130.57.4.24.80: S 655652135:655652135(0) win 5840 <mss 1460,sackOK,timestamp 1564822 0,nop,wscale 5>
23. 999737 IP 192.168.128.21.60340 > 130.57.4.24.80: S 655652135:655652135(0) win 5840 <mss 1460,sackOK,timestamp 1570822 0,nop,wscale 5>
47. 997501 IP 192.168.128.21.60340 > 130.57.4.24.80: S 655652135:655652135(0) win 5840 <mss 1460,sackOK,timestamp 1582822 0,nop,wscale 5>
14. 816163 IP 192.168.128.21.43856 > 74.125.87.100.80: S 2356585530:2356585530(0) win 5840 <mss 1460,sackOK,timestamp 1586526 0,nop,wscale 5>
3. 000053 IP 192.168.128.21.43856 > 74.125.87.100.80: S 2356585530:2356585530(0) win 5840 <mss 1460,sackOK,timestamp 1587276 0,nop,wscale 5>
5. 999905 IP 192.168.128.21.43856 > 74.125.87.100.80: S 2356585530:2356585530(0) win 5840 <mss 1460,sackOK,timestamp 1588776 0,nop,wscale 5>
12. 000010 IP 192.168.128.21.43856 > 74.125.87.100.80: S 2356585530:2356585530(0) win 5840 <mss 1460,sackOK,timestamp 1591776 0,nop,wscale 5>
23. 999968 IP 192.168.128.21.43856 > 74.125.87.100.80: S 2356585530:2356585530(0) win 5840 <mss 1460,sackOK,timestamp 1597776 0,nop,wscale 5>
48. 000904 IP 192.168.128.21.43856 > 74.125.87.100.80: S 2356585530:2356585530(0) win 5840 <mss 1460,sackOK,timestamp 1609776 0,nop,wscale 5>
96. 000668 IP 192.168.128.21.42481 > 74.125.87.101.80: S 1004228672:1004228672(0) win 5840 <mss 1460,sackOK,timestamp 1633776 0,nop,wscale 5>
2. 999418 IP 192.168.128.21.42481 > 74.125.87.101.80: S 1004228672:1004228672(0) win 5840 <mss 1460,sackOK,timestamp 1634526 0,nop,wscale 5>
6. 000020 IP 192.168.128.21.42481 > 74.125.87.101.80: S 1004228672:1004228672(0) win 5840 <mss 1460,sackOK,timestamp 1636026 0,nop,wscale 5>
12. 000050 IP 192.168.128.21.42481 > 74.125.87.101.80: S 1004228672:1004228672(0) win 5840 <mss 1460,sackOK,timestamp 1639026 0,nop,wscale 5>
24. 000000 IP 192.168.128.21.42481 > 74.125.87.101.80: S 1004228672:1004228672(0) win 5840 <mss 1460,sackOK,timestamp 1645026 0,nop,wscale 5>

[*Sasha*]

Давай ещё на 192.168.128.10
tcpdump -i eth0 -n -nn -ttt

[Denikin]

Давай ещё на 192.168.128.10
tcpdump -i eth0 -n -nn -ttt

Код: Выделить всё

tcpdump -i eth0 -n -nn -ttt
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on eth0, link-type EN10MB (Ethernet), capture size 96 bytes
000000 IP 192.168.128.21.44855 > 130.57.4.24.80: S 2967234349:2967234349(0) win 5840 <mss 1460,sackOK,timestamp 1153640 0,nop,wscale 5>
002047 arp who-has 192.168.128.10 tell 192.168.128.1
001712 arp reply 192.168.128.10 is-at 08:00:27:8b:ff:72
769986 IP 192.168.128.21.44855 > 130.57.4.24.80: S 2967234349:2967234349(0) win 5840 <mss 1460,sackOK,timestamp 1154391 0,nop,wscale 5>
958679 arp who-has 192.168.128.1 tell 192.168.128.21
000012 arp reply 192.168.128.1 is-at de:71:ba:16:be:0a
185678 IP 192.168.128.21.44855 > 130.57.4.24.80: S 2967234349:2967234349(0) win 5840 <mss 1460,sackOK,timestamp 1155891 0,nop,wscale 5>
2. 549697 IP 192.168.128.21.44855 > 130.57.4.24.80: S 2967234349:2967234349(0) win 5840 <mss 1460,sackOK,timestamp 1158891 0,nop,wscale 5>
736687 arp who-has 192.168.128.10 tell 192.168.128.1
000046 arp reply 192.168.128.10 is-at 08:00:27:8b:ff:72
4. 409788 IP 192.168.128.21.44855 > 130.57.4.24.80: S 2967234349:2967234349(0) win 5840 <mss 1460,sackOK,timestamp 1164891 0,nop,wscale 5>
1. 457751 arp who-has 192.168.128.1 tell 192.168.128.21
000116 arp reply 192.168.128.1 is-at de:71:ba:16:be:0a
9. 860279 IP 192.168.128.21.44855 > 130.57.4.24.80: S 2967234349:2967234349(0) win 5840 <mss 1460,sackOK,timestamp 1176891 0,nop,wscale 5>
1. 256003 arp who-has 192.168.128.1 tell 192.168.128.21
000008 arp reply 192.168.128.1 is-at de:71:ba:16:be:0a
000002 arp who-has 192.168.128.10 tell 192.168.128.1
000048 arp reply 192.168.128.10 is-at 08:00:27:8b:ff:72

[Denikin]

что еще можно придумать?

[zasadadada]

простите я конечно мало что понимаю в этом Но где то читал что бы организовать прозрачный прокси за место За место SNAT и DNAT используют REDIRECT

[Ленивая Бестолочь]

простите я конечно мало что понимаю в этом Но где то читал что бы организовать прозрачный прокси за место За место SNAT и DNAT используют REDIRECT

это логично только если прокси является шлюзом по умолчанию для машин сети.

п.с.

i	Уведомление от модератора
	пожалуйста, используйте хотя бы миниммально знаки препинания и не злоупотребляйте заглавными буквами в неожиданных местах.

[eddy]

Я сам долго бился, пытаясь сделать прозрачный прокси. Но, к сожалению, ничего не вышло. Поискал в интернете и понял, что squid пока еще слишком сырой для прозрачной работы: по 80му порту проксирование работает, а вот с https, ftp и другими протоколами - проблема.

[Denikin]

Я сам долго бился, пытаясь сделать прозрачный прокси. Но, к сожалению, ничего не вышло. Поискал в интернете и понял, что squid пока еще слишком сырой для прозрачной работы: по 80му порту проксирование работает, а вот с https, ftp и другими протоколами - проблема.

Так в моем случае даже по 80 порту не работает. Чйорд его знает, что не так.
Ладно на недельке попробую сквид на сузу поставить и через йаст настроить, может на ней заработает.

[eddy]

Я сам долго бился, пытаясь сделать прозрачный прокси. Но, к сожалению, ничего не вышло. Поискал в интернете и понял, что squid пока еще слишком сырой для прозрачной работы: по 80му порту проксирование работает, а вот с https, ftp и другими протоколами - проблема.

Так в моем случае даже по 80 порту не работает. Чйорд его знает, что не так.
Ладно на недельке попробую сквид на сузу поставить и через йаст настроить, может на ней заработает.

А как будете решать с https и ftp? А ведь та же гуглопочта без https не заработает.

[danger08]

squid пока еще слишком сырой для прозрачной работы: по 80му порту проксирование работает, а вот с https, ftp и другими протоколами - проблема.

Поддержка "прозрачного" http-проксирования задумана там изначально, она и поддерживается. Касательно https (и вообще ssl-based) "прозрачное" проксирование невозможно в принципе (т.е., воможно лишь в "непрозрачном" режиме прокси, методом CONNECT). Вообще, при соответствующей настройке, squid через CONNECT может проксировать что угодно (хоть 25/smtp), но естественно не в "прозрачном" режиме.

Насчет FTP - возможно, когда-нибудь появится поддержка "прозрачного" проксирования. Попробуйте frox, если требуется "прозрачное" проксирование для FTP.

Я сам долго бился, пытаясь сделать прозрачный прокси. Но, к сожалению, ничего не вышло. Поискал в интернете и понял, что squid пока еще слишком сырой для прозрачной работы: по 80му порту проксирование работает, а вот с https, ftp и другими протоколами - проблема.

Так в моем случае даже по 80 порту не работает. Чйорд его знает, что не так.
Ладно на недельке попробую сквид на сузу поставить и через йаст настроить, может на ней заработает.

А как будете решать с https и ftp? А ведь та же гуглопочта без https не заработает.

А зачем их вообще заворачивать на squid ? В чем выигрыш ?

[Denikin]

Настроил на сузе, ситуация не изменилась. Пущает если в браузере прописать, а прозрачно не работает. Точно также как на сентосе. Сдается мне что файрвол на убунте неверно настроен.Конкретно вот в таблице nat
den@den-desktop:~$ sudo iptables -L -t nat

Код: Выделить всё

Chain PREROUTING (policy ACCEPT)
target     prot opt source               destination
DNAT       tcp  --  anywhere             anywhere            tcp dpt:www to:192.168.128.21:3128

Chain POSTROUTING (policy ACCEPT)
target     prot opt source               destination
SNAT       tcp  --  anywhere             suse.local          tcp dpt:3128 to:192.168.128.1
SNAT       all  --  anywhere             anywhere            to:$myIP

Chain OUTPUT (policy ACCEPT)
target     prot opt source               destination

Сдается мне, что обратный трафик как-то неверно заворачивается (Chain POSTROUTING).

[*Sasha*]

так?
-A POSTROUTING -d suse.local/32 -p tcp -m tcp --dport 3128 -j SNAT --to-source 192.168.128.1:80

[Denikin]

так?
-A POSTROUTING -d suse.local/32 -p tcp -m tcp --dport 3128 -j SNAT --to-source 192.168.128.1:80

да так
уже по всякому пробовал и с указанием порта и без
в tcpdump на сузе видно что пакеты идут центоса на порт 80 сайта в интернете, а должны на порт 3128 сузы, значит правило PREROUTING не работает по какой-то причине.