LINUX.ORG.RU
ФорумAdmin

iptables + squid исключение удаленного ip из proxy

 , ,


0

1

Подскажите пожалуйста как исключить конкретный удаленный ip (Сайта, сервера) чтоб пользователи могли посещать его без proxy. т.е. Чтоб конкретный ip iptables не направлял в squid. порты нужны все. т.е. не только 80-ый или 443 а целая куча. Может что-то вроде Port range можно указать?



Последнее исправление: gruz123 (всего исправлений: 2)
Ответ на: комментарий от Mike_RM

sudo iptables -nvL -t nat

Chain PREROUTING (policy ACCEPT 685K packets, 562M bytes)
 pkts bytes target     prot opt in     out     source               destination
    0     0 ACCEPT     all  --  *      *       0.0.0.0/0            xx.xx.188.53
   54  3240 DNAT       tcp  --  *      *       xx.xx.186.4         xx.xx.187.142       tcp dpt:20022 to:192.168.1.20:22
   55  3300 DNAT       tcp  --  *      *       xx.xx.186.3         xx.xx.187.142       tcp dpt:20022 to:192.168.1.20:22
 135K 8066K DNAT       tcp  --  *      *       xx.xx.186.2         xx.xx.187.142       tcp dpt:20022 to:192.168.1.20:22
    0     0 RETURN     tcp  --  *      *       0.0.0.0/0            cc.cc.181.75       tcp
    0     0 RETURN     tcp  --  *      *       0.0.0.0/0            zz.zz.112.135       tcp
    0     0 RETURN     tcp  --  *      *       0.0.0.0/0            xx.xx.188.53        tcp
    0     0 RETURN     tcp  --  *      *       0.0.0.0/0            xx.xx.188.53        tcp
    0     0 RETURN     tcp  --  *      *       0.0.0.0/0            xx.xx.188.53        tcp dpt:80
    0     0 RETURN     tcp  --  *      *       0.0.0.0/0            xx.xx.188.53        tcp dpt:80

Chain INPUT (policy ACCEPT 38418 packets, 2169K bytes)
 pkts bytes target     prot opt in     out     source               destination

Chain OUTPUT (policy ACCEPT 19730 packets, 1230K bytes)
 pkts bytes target     prot opt in     out     source               destination

Chain POSTROUTING (policy ACCEPT 122K packets, 89M bytes)
 pkts bytes target     prot opt in     out     source               destination
 1762  106K SNAT       all  --  *      *       192.168.123.0/28     0.0.0.0/0            to:xx.xx.187.142
    1    84 SNAT       all  --  *      *       0.0.0.0/0            0.0.0.0/0            source IP range 192.168.113.1-192.168.113.13 to:xx.xx.187.142
32025 3980K SNAT       all  --  *      *       192.168.38.11        0.0.0.0/0            to:xx.xx.187.142
    0     0 RETURN     all  --  *      *       192.168.122.0/24     224.0.0.0/24
    0     0 RETURN     all  --  *      *       192.168.122.0/24     255.255.255.255
    0     0 MASQUERADE  tcp  --  *      *       192.168.122.0/24    !192.168.122.0/24     masq ports: 1024-65535
    0     0 MASQUERADE  udp  --  *      *       192.168.122.0/24    !192.168.122.0/24     masq ports: 1024-65535
    0     0 MASQUERADE  all  --  *      *       192.168.122.0/24    !192.168.122.0/24
 180K 9603K SNAT       all  --  *      *       192.168.32.147      !pp.pp.119.0/24      to:xx.xx.187.142

1217K  323M SNAT       all  --  *      *       0.0.0.0/0            0.0.0.0/0            source IP range 192.168.109.60-192.168.109.80 to:xx.xx.187.142
    0     0 SNAT       all  --  *      *       10.1.3.77           !pp.pp.119.0/24      to:xx.xx.187.142
6543K  362M SNAT       all  --  *      *       192.168.109.194     !pp.pp.119.0/24      to:xx.xx.187.142
9010K  559M SNAT       all  --  *      *       192.168.12.20        0.0.0.0/0            to:xx.xx.187.142
    0     0 SNAT       all  --  *      *       192.168.32.139      !pp.pp.119.0/24      to:xx.xx.187.142
 1621 84217 SNAT       all  --  *      *       192.168.0.0/16       xx.xx.188.52        to:xx.xx.187.142
    0     0 SNAT       all  --  *      *       192.168.77.8        !pp.pp.119.0/24      to:xx.xx.187.142
1330K   64M MASQUERADE  all  --  *      *       0.0.0.0/0            xx.xx.190.36
    0     0 SNAT       all  --  *      *       192.168.22.204       kk.kk.58.199       to:xx.xx.187.142
    0     0 RETURN     all  --  *      *       192.168.122.0/24     224.0.0.0/24
    0     0 RETURN     all  --  *      *       192.168.122.0/24     255.255.255.255
    0     0 MASQUERADE  tcp  --  *      *       192.168.122.0/24    !192.168.122.0/24     masq ports: 1024-65535
    0     0 MASQUERADE  udp  --  *      *       192.168.122.0/24    !192.168.122.0/24     masq ports: 1024-65535
    0     0 MASQUERADE  all  --  *      *       192.168.122.0/24    !192.168.122.0/24
24660 1696K MASQUERADE  all  --  *      *       192.168.1.20         0.0.0.0/0 

sudo iptables -nvL -t mangle

Chain PREROUTING (policy ACCEPT 54G packets, 48T bytes)
 pkts bytes target     prot opt in     out     source               destination

Chain INPUT (policy ACCEPT 6244M packets, 8913G bytes)
 pkts bytes target     prot opt in     out     source               destination

Chain FORWARD (policy ACCEPT 47G packets, 39T bytes)
 pkts bytes target     prot opt in     out     source               destination

Chain OUTPUT (policy ACCEPT 4974M packets, 9155G bytes)
 pkts bytes target     prot opt in     out     source               destination

Chain POSTROUTING (policy ACCEPT 43G packets, 40T bytes)
 pkts bytes target     prot opt in     out     source               destination
    0     0 CHECKSUM   udp  --  *      virbr0  0.0.0.0/0            0.0.0.0/0            udp dpt:68 CHECKSUM fill
    0     0 CHECKSUM   udp  --  *      virbr0  0.0.0.0/0            0.0.0.0/0            udp dpt:68 CHECKSUM fill
gruz123
() автор топика
Ответ на: комментарий от gruz123

xx.xx.188.53 Это адрес на который я хочу ходить мимо прокси. Спасибо что помогаете!

gruz123
() автор топика
Ответ на: комментарий от gruz123

У вас в клиенте жёстко прописан прокси, ни один пакет под новое правило не попал:

pkts bytes target     prot opt in     out     source               destination
    0     0 ACCEPT     all  --  *      *       0.0.0.0/0            xx.xx.188.53

Я вообще не вижу правил для прозрачного проксирования. Почему решили что оно есть?

Mike_RM
()
Ответ на: комментарий от Mike_RM

Понял, мой косяк. Все плохо. Прокси не прозрачный и на стороне клиента добавлять исключения не годиться. может есть варианты как оставить его в прокси и дать доступ диапазону udp/tcp портов?

gruz123
() автор топика
Ответ на: комментарий от vodz

Скорее речь о том чтоб открыть порты в iptables для удаленного ip ибо я так понимаю у меня весь трафик блокируется, кроме того что идет через прокси

gruz123
() автор топика
Ответ на: комментарий от gruz123

Возможно с учетом ваших правил это будет не правильно, но работать должно

iptables -t nat -I POSTROUTING -s $LAN_NET -o $EXT_IF -j MASQUERADE
iptables -I FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -I FORWARD -s $LAN_NET -j ACCEPT
«причесать» (добавить дополнительные условия) по вкусу

anc ★★★★★
()
Последнее исправление: anc (всего исправлений: 1)
Ответ на: комментарий от anc

Вот такое он мне выдает, вообще не ясно ничего. у меня очень много интерфейсов

iptables v1.6.2: host/network `-o' not found
gruz123
() автор топика
Ответ на: комментарий от gruz123

Прокси не прозрачный и на стороне клиента добавлять исключения не годиться.

Ты, сначала, на стороне клиента этот сервер включи в no proxy for, переменная no_proxy. Потом уже на прокси пропускай.

anonymous
()
Ответ на: комментарий от anc

Понял, спасибо. у меня тут миллиард вланов, сейчас буду разбираться!

gruz123
() автор топика
Ответ на: комментарий от anonymous

не не не http, https пускай ходит через прокси мне не страшно, мне порты нужны. В основном UDP. Я так понимаю это задача iptables

gruz123
() автор топика
Ответ на: комментарий от gruz123

Я так понимаю это задача iptables

Сначала маршрутизации.

На шлюзе в iptables правила доя forwarding необходимо добавить, симетричны и ещё nat для локалки этой включить.

anonymous
()
Ответ на: комментарий от gruz123

гугли proxy.pac и способы его автоматической доставки на клиентов.

aol ★★★★★
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.