LINUX.ORG.RU
ФорумAdmin

squid, iptables, openmeetings

 , ,


0

1

есть

 debian gw0 squid eth0(lan) eth0:1(wan)

iptables -n -L -v --line-numbers
Chain INPUT (policy ACCEPT 554K packets, 32M bytes)
num   pkts bytes target     prot opt in     out     source               destination         
1      11M 9552M ACCEPT     all  --  *      *       0.0.0.0/0            0.0.0.0/0            state RELATED,ESTABLISHED
2       61  3996 ACCEPT     all  --  lo     *       0.0.0.0/0            0.0.0.0/0           
3       94  7770 ACCEPT     icmp --  *      *       0.0.0.0/0            0.0.0.0/0           
4        9   592 ACCEPT     tcp  --  eth0   *       0.0.0.0/0            0.0.0.0/0            tcp dpt:22
5    94228 7249K ACCEPT     udp  --  eth0   *       0.0.0.0/0            0.0.0.0/0            udp dpt:53
6        2   112 ACCEPT     tcp  --  eth0   *       0.0.0.0/0            0.0.0.0/0            tcp dpt:53
7     6017  311K ACCEPT     tcp  --  eth0   *       0.0.0.0/0            0.0.0.0/0            tcp dpt:80

Chain FORWARD (policy ACCEPT 194K packets, 12M bytes)
num   pkts bytes target     prot opt in     out     source               destination         
1       15  1140 ACCEPT     all  --  *      *       0.0.0.0/0            0.0.0.0/0            state RELATED,ESTABLISHED

Chain OUTPUT (policy ACCEPT 12M packets, 9793M bytes)
num   pkts bytes target     prot opt in     out     source               destination         
1        0     0 ACCEPT     tcp  --  *      *       0.0.0.0/0            0.0.0.0/0            tcp dpt:143
2        0     0 ACCEPT     tcp  --  *      *       0.0.0.0/0            0.0.0.0/0            tcp dpt:995
3      210 12555 ACCEPT     tcp  --  *      *       0.0.0.0/0            0.0.0.0/0            tcp dpt:53
4     192K   14M ACCEPT     udp  --  *      *       0.0.0.0/0            0.0.0.0/0            udp dpt:53
В squid открыты порты
acl Safe_ports port 1025-65535
для работы openmeetings(находится в локальной сети) нужно открыть порты 5080,1935 в squid и на роутере -открыто. Если из локальной сети обратится по доменному имени на openmeetings.origin.ru:5080, то сайт открывается, но когда входишь в профель на сайте, он начинается грузится и грузится не загружается. Я думаю, что трафик от клиента в локальной сети заворачивается на squid port 3128-> уходит на сайn, но обратно вернуться не может доходит до шлюза. на gw при обращении клиента к сайту из локалки в инет
tcpdump port 5080
14:53:36.637310 IP > 192.168.0.10.41540: Flags [.], ack 1013755, win 1582, options [nop,nop,TS val 4892264 ecr 20201615], length 0
14:53:36.638708 IP 5080 > 192.168.0.10.41540: Flags [.], ack 1016651, win 1817, options [nop,nop,TS val 4892264 ecr 20201615], length 0
14:53:36.639405 IP 5080 > 192.168.0.10.41540: Flags [.], ack 1019547, win 1943, options [nop,nop,TS val 4892264 ecr 20201615], length 0
14:53:36.639412 .5080 > 192.168.0.10.41540: Flags [.], ack 1022443, win 1943, options [nop,nop,TS val 4892264 ecr 20201615], length 0
14:53:36.639415 IP 5080 > 192.168.0.10.41540: Flags [.], ack 1025339, win 1943, options [nop,nop,TS val 4892265 ecr 20201615], length 0
14:53:36.639417 IP .5080 > 192.168.0.10.41540: Flags [.], ack 1028235, win 1943, options [nop,nop,TS val 4892265 ecr 20201615], length 0
14:53:36.639419 .5080 > 192.168.0.10.41540: Flags [.], ack 1031131, win 1943, options [nop,nop,TS val 4892265 ecr 20201616], length 0
14:53:36.639421 IP .5080 > 192.168.0.10.41540: Flags [.], ack 1034027, win 1943, options [nop,nop,TS val 4892265 ecr 20201616], length 0
14:53:36.639423 IP .5080 > 192.168.0.10.41540: Flags [.], ack 1036923, win 1943, options [nop,nop,TS val 4892266 ecr 20201616], length 0
14:53:36.639608 IP .5080 > 192.168.0.10.41540: Flags [.], ack 1039819, win 1943, options [nop,nop,TS val 4892266 ecr 20201616], length 0
14:53:36.639899 IP .5080 > 192.168.0.10.41540: Flags [.], ack 1042715, win 1943, options [nop,nop,TS val 4892266 ecr 20201616], length 0
14:53:36.640145 IP .5080 > 192.168.0.10.41540: Flags [.], ack 1045611, win 1943, options [nop,nop,TS val 4892266 ecr 20201616], length 0
14:53:36.640411 IP .5080 > 192.168.0.10.41540: Flags [.], ack 1048507, win 1943, options [nop,nop,TS val 4892267 ecr 20201616], length 0
14:53:36.640524 IP .5080 > 192.168.0.10.41540: Flags [.], ack 1049530, win 1946, options [nop,nop,TS val 4892267 ecr 20201616], length 0
Пакеты весят «0» напишите, пожалуйста в чем косяк и как его решить?


в моем случае маскарадинг не подходит.

kresh1
() автор топика

Нифига не понял, начиная с:

eth0(lan) eth0:1(wan)

С каких это пор алиас стал отдельным интерфейсом?

Вы пишите что внутри локалки не работает, или это разные локалки? И в первой сделан проброс портов до сервера? Или все в одной локалке а в dns у сервера белый статик, прописан, тогда хотя бы понятно причем тут роутер. Вобщем гадать можно долго. Нарисуйте схемку.

anc ★★★★★
()
Ответ на: комментарий от anc

есть в локальной сети хост на нем openmeetings:5080, есть статика в инет. Если подключаться к сайду из «дома» то все нормально сайт функционирует, а если подключаться к нему на работе из локальной сети, то после ввода логина и пароля сайт бесконечно грузится. В локальной сети есть шлюз на шлюзе squid в squid разрешены порты 1025-65535. Проблема в том, что трафик затыкается на шлюзе и не проходит в локалку, как решить проблему?

kresh1
() автор топика
Ответ на: комментарий от anc

на шлюзе

iptables-save
# Generated by iptables-save v1.4.21 on Thu Dec  6 10:51:11 2018
*raw
:PREROUTING ACCEPT [18839601:16871222275]
:OUTPUT ACCEPT [14962382:13697491449]
COMMIT
# Completed on Thu Dec  6 10:51:11 2018
# Generated by iptables-save v1.4.21 on Thu Dec  6 10:51:11 2018
*mangle
:PREROUTING ACCEPT [18839601:16871222275]
:INPUT ACCEPT [14143867:13483052723]
:FORWARD ACCEPT [4654622:3385993469]
:OUTPUT ACCEPT [14962392:13697492489]
:POSTROUTING ACCEPT [19565752:17078261505]
COMMIT
# Completed on Thu Dec  6 10:51:11 2018
# Generated by iptables-save v1.4.21 on Thu Dec  6 10:51:11 2018
*nat
:PREROUTING ACCEPT [696990:44174217]
:INPUT ACCEPT [537421:32065658]
:OUTPUT ACCEPT [346951:57108625]
:POSTROUTING ACCEPT [228431:15656495]
-A PREROUTING -s 192.168.80.0/24 ! -d 192.168.80.0/24 -p tcp -m tcp --dport 80 -j REDIRECT --to-ports 3128
-A POSTROUTING -s 192.168.80.0/24 -o eth0:1 -j MASQUERADE
-A POSTROUTING -s 192.168.80.0/24 -o eth2 -j MASQUERADE
COMMIT
# Completed on Thu Dec  6 10:51:11 2018
# Generated by iptables-save v1.4.21 on Thu Dec  6 10:51:11 2018
*filter
:INPUT ACCEPT [512371:30288887]
:FORWARD ACCEPT [333715:21727223]
:OUTPUT ACCEPT [14703759:13677237482]
-A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
-A INPUT -i lo -j ACCEPT
-A INPUT -p icmp -j ACCEPT
-A INPUT -i eth0 -p tcp -m tcp --dport 22 -j ACCEPT
-A INPUT -i eth0 -p udp -m udp --dport 53 -j ACCEPT
-A INPUT -i eth0 -p tcp -m tcp --dport 53 -j ACCEPT
-A INPUT -i eth0 -p tcp -m tcp --dport 80 -j ACCEPT
-A FORWARD -m state --state RELATED,ESTABLISHED -j ACCEPT
-A OUTPUT -p tcp -m tcp --dport 143 -j ACCEPT
-A OUTPUT -p tcp -m tcp --dport 995 -j ACCEPT
-A OUTPUT -p tcp -m tcp --dport 53 -j ACCEPT
-A OUTPUT -p udp -m udp --dport 53 -j ACCEPT
COMMIT

openmeetings в локальной сети

kresh1
() автор топика
Ответ на: комментарий от kresh1

Эм чего-то я недопонимаю, но я в упор не вижу dnat-та на 5080. При этом вы говорите что из дома работает. Как вы на него попадаете?

anc ★★★★★
()
Ответ на: комментарий от anc

на роутре есть проброс порта из инета 5080 в сеть 192.168.0.0.24 5080. в этой под сети находится openmmetings. Локальная сеть имеет адрес 192.168.80.0/24. Интернет-> роутер-> сеть 192.168.0.0/24-> gw -> 192.168.80.0/24. где-то затык gw

kresh1
() автор топика
Ответ на: комментарий от kresh1

Адрес сервера openmmetings из сети 192.168.80.0/24 резолвится в тот же белый статик как из инета?
Покажите еще ip a и ip r s с gw

anc ★★★★★
()
Ответ на: комментарий от anc
1: lo: <LOOPBACK,UP,LOWER_UP> mtu 65536 qdisc noqueue state UNKNOWN group default 
    link/loopback 00:00:00:00:00:00 brd 00:00:00:00:00:00
    inet 127.0.0.1/8 scope host lo
       valid_lft forever preferred_lft forever
    inet6 ::1/128 scope host 
       valid_lft forever preferred_lft forever
2: eth0: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc pfifo_fast state UP group default qlen 1000
    link/ether ae:7e:5f:6e:ff:e4 brd ff:ff:ff:ff:ff:ff
    inet 192.168.80.254/24 brd 192.168.80.255 scope global eth0
       valid_lft forever preferred_lft forever
    inet 192.168.0.10/24 brd 192.168.0.255 scope global eth0:1
       valid_lft forever preferred_lft forever
    inet6 fe80::888:8888:fe6e:888/64 scope link 
       valid_lft forever preferred_lft forever
3: eth1: <BROADCAST,MULTICAST> mtu 1500 qdisc noop state DOWN group default qlen 1000
    link/ether 5e:25:77:1e:9f:f3 brd ff:ff:ff:ff:ff:ff
4: eth2: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc pfifo_fast state UP group default qlen 1000
    link/ether ae:88:43:52:888:68 brd 88:ff:88:ff:ff:ff
    inet 172.21.129.17/30 brd 172.21.129.19 scope global eth2
       valid_lft forever preferred_lft forever
    inet6 fe80:8888:43ff:8888:e68/64 scope link 
       valid_lft forever preferred_lft forever
default via 192.168.0.1 dev eth0 
100.0.10.0/24 via 119.40.129.30 dev eth2 
172.21.129.16/30 dev eth2  proto kernel  scope link  src 119.40.129.40 
192.168.0.0/24 dev eth0  proto kernel  scope link  src 192.168.0.10 
192.168.80.0/24 dev eth0  proto kernel  scope link  src 192.168.80.254


 
kresh1
() автор топика
Ответ на: комментарий от kresh1

Вы не ответили на вопрос «Адрес сервера openmmetings из сети 192.168.80.0/24 резолвится в тот же белый статик как из инета?»

anc ★★★★★
()
Ответ на: комментарий от kresh1

И до кучи мой первый вопрос:

С каких это пор алиас стал отдельным интерфейсом?

anc ★★★★★
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.