Главная » Форум » Gentoo Linux » Общие вопросы

Выход в интернет через маршрутизатор, подключенный к прокси серверу [РЕШЕНО]

OUTMan 12 июня, 2007 - 07:04

Ребят помогите пожалуйста.
Стоит компьютер на Gentoo 2007.0 x86.
У нее выход в интернет через прокси (один порт для фтп нттр, вобщем для всего :) ) и одна сетевая карта.
Тоесть все компютеры в одной подсети а у прокси доступ только на этот комп, остальным доступ закрыт.
Задача оргинизовать выход в инет через этот комп другому компу и только 1 ему из всей сети.

‹ загрузочная флешка ddd + php + dbg как заставить работать ›
»

NAT ??

Автор roman, дата создания 12 июня, 2007 - 12:26.

NAT ??

»

Автор Enchant, дата создания 12 июня, 2007 - 13:23.

http://www.gentoo.org/doc/ru/home-router-howto.xml

»

Помогите плизз

Автор OUTMan, дата создания 13 июня, 2007 - 03:43.

Скорее всего я чего то не понимаю. Ну не полчаются у меня правила для ната. Визде пишется как минимум о 2 сетевых картах, а в моем случае одна.
Как написать правило чтобы в одной сети с 1 компьютера перебрасывало на прокси сервер в этой же сети.
Тоесть сеть одна и дпрямой доступ к прокси, а надо чтобы к прокси соединялись через промежуточный комп который тоже в этой сети.

»

Те есть прокси

Автор KiberGus, дата создания 13 июня, 2007 - 10:30.

Те есть прокси не прозрачный, требуется его прописывать в различных программах? Тогда надо ставить у себя еще один прокси, squid.

»

Одни гуру

Автор OUTMan, дата создания 13 июня, 2007 - 08:06.

Смотрю по разным темам в основном издиваются над неопытными. А как спросишь достаточно сложный вопрос никто толком не ответит, а жаль. :(
Вот уже часов 8-10 сижу и никак не могу придумать, как настроить инет :(
Для знатоков цепочка то простая я думаю:
клиент <--> ????(и клиент, и ?, и прокси в одной подсети!) <--> Прокси.
Нат крутил крутил ниче не выкрутил, может не правильно, но откравенно не понимаю ни одну из найденых док. по нату. Во фре полегче :(.
Расталкуйте мне пожалуйста как решить, если через нат буду благодарен если потратите пару минут и напишите набросок :).

»

Когда я

Автор NWhisper, дата создания 13 июня, 2007 - 10:33.

Когда я столкнулся с похожим вопросом, то нашел вот такую статью:
http://linuxportal.ru/entry.php/P95_0_3_0/
По ней я все настроил и все нормально работает.
Будут вопросы - задавай.
_________________
Уважайте себя - откажитесь от пиратского ПО

»

Если я

Автор TolicH, дата создания 13 июня, 2007 - 11:03.

Если я правильно понял суть проблемы...

Цепочка: Твоя подсеть -> Прокси на твоем компе -> Внешний прокси -> Инет

Как это сделать:
1. emerge squid
2. nano squid.conf, туда нужно написать примерно следующее:

# Определяем свою подсеть
acl our_networks src 192.168.1.0/24 192.168.2.0/24
# Разрешаем доступ к прокси из своей подсети и запрещаем
# всему остальному миру
http_reply_access allow our_networks
http_reply_access deny all
# proxy.com и порт вместо 8080 ставишь свои
acl all src 0.0.0.0/0.0.0.0
cache_peer proxy.com parent 8080 0 no-query no-digest no-netdb-exchange default
cache_peer_access proxy.com allow all
acl Scan_HTTP proto HTTP
never_direct allow Scan_HTTP

Да, еще надо вычистить все, что было с этим связано и стояло в конфиге по умолчанию.

Если где не прав - будьте добры, учаснеги сообщества, поправьте.
_________________
~? **!

»

Нужно сделать

Автор Rinus, дата создания 13 июня, 2007 - 11:42.

Нужно сделать двойной нат:
iptables -t nat -A PREROUTING -d 192.168.2.10 --dport 3128 -j DNAT --to-destination 192.168.2.1
iptables -t nat -A POSTROUTING -d 192.168.2.1 -j SNAT --to-source 192.168.2.10
iptables -P FORWARD DROP
iptables -A FORWARD -s x.x.x.x -d 192.168.2.1 -p tcp --dport 3128 -j ACCEPT

Где 192.168.2.10 - адрес вашей машины, у которой есть доступ к прокси
192.168.2.1 - адрес прокси в локалке.
x.x.x.x - адрес машины, которую нужно пустить в инет.

Останется на машине x.x.x.x прописать в качестве прокси 192.168.2.10:3128

»

Соб-но чуть

Автор Storm, дата создания 13 июня, 2007 - 12:14.

Соб-но чуть прокоментирую - оба предложеных решения (через squid и через iptables) верны. Имо решение через нат более корректное для поставленной задачи.

»

Я так пробывал :(

Автор OUTMan, дата создания 13 июня, 2007 - 16:56.

Я вот почти так же пробывал ничего не выходит :(

localhost ~ # iptables -L
Chain INPUT (policy ACCEPT)
target prot opt source destination

Chain FORWARD (policy DROP)
target prot opt source destination
ACCEPT tcp -- 10.101.97.191 10.50.144.36 tcp dpt:http-alt

Chain OUTPUT (policy ACCEPT)
target prot opt source destination

Chain com-allow (0 references)
target prot opt source destination
localhost ~ # iptables -t nat -L
Chain PREROUTING (policy ACCEPT)
target prot opt source destination
DNAT tcp -- anywhere 10.168.4.127 tcp dpt:http-alt to:10.50.144.36:8080

Chain POSTROUTING (policy ACCEPT)
target prot opt source destination
SNAT all -- anywhere 10.50.144.36 to:10.168.4.127

Chain OUTPUT (policy ACCEPT)
target prot opt source destination

порт 8080 нмапом находит выбираю в фаерфоксе (и других браузерах) прокси 10.168.4.127 8080 он как бы соединяется тоесть время проходит потом пишет тайаут соединения...
в чем может быть загвоздка?

»

а почему на

Автор DCrystal, дата создания 13 июня, 2007 - 16:59.

а почему на форварде дроп стоит?

BanderaZZZ читай внимательнее топ, там всего две машины, какая большая сеть))

»

ИМХО, Не

Автор BanderaZZZ (не зарегистрирован), дата создания 13 июня, 2007 - 13:37.

ИМХО, Не правильное решение. Ты собираешся пускать весь трафф на одну машину (причем в обоих направлениях) если сеть небольшая то соидет, если большая то проще отдельную машину и на ней прокси мутить
_________________
Экстремальный спорт - http://alternative.kondopoga.ru
Переводы документации- http://it.kondopoga.ru
Linux for every!!!
Нет времени ставь Шапку или Сьюз. И будет у тебя не то что тебе нужно, а то ЧТО ДРУГИЕ ПОСЧИТАЛИ нужным для тебя.

»

Решено

Автор OUTMan, дата создания 14 июня, 2007 - 01:45.

Спасибо всем! С миру по нитки - и все решилось! :)
Решил всетаки добить через NAT, потому что привычней работать с ним.
Увы с прокси вообще не имел дела.
Решение было собрано из кусочка приведенного выше с 2 уточнениями и доработками этой статьи.
Главным образом осмысления правила было вырожение:

Цитата:
"Маскарад - замена адреса на адрес машины, выполняющей маскарад."

А теперь выложу что у меня получилось и работает пока на ура:
------------------------

По умолчанию FORWARD DROP

$ iptables -A FORWARD -s 10.10.10.1 -j ACCEPT
$ iptables -A FORWARD -d 10.10.10.1 -j ACCEPT
$ iptables -A PREROUTING -d 10.10.10.2 -p tcp -m tcp --dport 8080 -j DNAT --to-destination 192.168.0.1:8080
$ iptables -A POSTROUTING -s 10.10.10.1 -o eth0 -j MASQUERADE
$ iptables -A POSTROUTING -d 10.10.10.1 -j SNAT --to-source 192.168.0.1

Из этого:
10.10.10.1 - IP клиента
10.10.10.2 - IP этого маршрутизатора
192.168.0.1:8080 - IP и порт прокси сервера

»

Настройки просмотра комментариев

Выберите нужный метод показа комментариев и нажмите "Сохранить установки".