iptables + squid исключение удаленного ip из proxy

0

1

Подскажите пожалуйста как исключить конкретный удаленный ip (Сайта, сервера) чтоб пользователи могли посещать его без proxy. т.е. Чтоб конкретный ip iptables не направлял в squid. порты нужны все. т.е. не только 80-ый или 443 а целая куча. Может что-то вроде Port range можно указать?

Ссылка

←	Git сервер. Разграничение прав доступа на директории.

Как поднять два туннеля от TunnelBroker

→

iptables -t nat -I PREROUTING -d 1.2.3.4 -j ACCEPT

Mike_RM ★
(09.09.19 19:10:35 MSK)

Ответ на: комментарий от Mike_RM 09.09.19 19:10:35 MSK

Спасибо. Утром попробую.

gruz123
(09.09.19 19:12:56 MSK) автор топика

Ссылка

Ответ на: комментарий от Mike_RM 09.09.19 19:10:35 MSK

Все равно идёт через squid

gruz123
(10.09.19 09:49:27 MSK) автор топика

Ответ на: комментарий от gruz123 10.09.19 09:49:27 MSK

Покажите вывод:

sudo iptables -nvL -t nat
sudo iptables -nvL -t mangle

Mike_RM ★
(10.09.19 10:09:21 MSK)

Ответ на: комментарий от Mike_RM 10.09.19 10:09:21 MSK

sudo iptables -nvL -t nat

Chain PREROUTING (policy ACCEPT 685K packets, 562M bytes)
 pkts bytes target     prot opt in     out     source               destination
    0     0 ACCEPT     all  --  *      *       0.0.0.0/0            xx.xx.188.53
   54  3240 DNAT       tcp  --  *      *       xx.xx.186.4         xx.xx.187.142       tcp dpt:20022 to:192.168.1.20:22
   55  3300 DNAT       tcp  --  *      *       xx.xx.186.3         xx.xx.187.142       tcp dpt:20022 to:192.168.1.20:22
 135K 8066K DNAT       tcp  --  *      *       xx.xx.186.2         xx.xx.187.142       tcp dpt:20022 to:192.168.1.20:22
    0     0 RETURN     tcp  --  *      *       0.0.0.0/0            cc.cc.181.75       tcp
    0     0 RETURN     tcp  --  *      *       0.0.0.0/0            zz.zz.112.135       tcp
    0     0 RETURN     tcp  --  *      *       0.0.0.0/0            xx.xx.188.53        tcp
    0     0 RETURN     tcp  --  *      *       0.0.0.0/0            xx.xx.188.53        tcp
    0     0 RETURN     tcp  --  *      *       0.0.0.0/0            xx.xx.188.53        tcp dpt:80
    0     0 RETURN     tcp  --  *      *       0.0.0.0/0            xx.xx.188.53        tcp dpt:80

Chain INPUT (policy ACCEPT 38418 packets, 2169K bytes)
 pkts bytes target     prot opt in     out     source               destination

Chain OUTPUT (policy ACCEPT 19730 packets, 1230K bytes)
 pkts bytes target     prot opt in     out     source               destination

Chain POSTROUTING (policy ACCEPT 122K packets, 89M bytes)
 pkts bytes target     prot opt in     out     source               destination
 1762  106K SNAT       all  --  *      *       192.168.123.0/28     0.0.0.0/0            to:xx.xx.187.142
    1    84 SNAT       all  --  *      *       0.0.0.0/0            0.0.0.0/0            source IP range 192.168.113.1-192.168.113.13 to:xx.xx.187.142
32025 3980K SNAT       all  --  *      *       192.168.38.11        0.0.0.0/0            to:xx.xx.187.142
    0     0 RETURN     all  --  *      *       192.168.122.0/24     224.0.0.0/24
    0     0 RETURN     all  --  *      *       192.168.122.0/24     255.255.255.255
    0     0 MASQUERADE  tcp  --  *      *       192.168.122.0/24    !192.168.122.0/24     masq ports: 1024-65535
    0     0 MASQUERADE  udp  --  *      *       192.168.122.0/24    !192.168.122.0/24     masq ports: 1024-65535
    0     0 MASQUERADE  all  --  *      *       192.168.122.0/24    !192.168.122.0/24
 180K 9603K SNAT       all  --  *      *       192.168.32.147      !pp.pp.119.0/24      to:xx.xx.187.142

1217K  323M SNAT       all  --  *      *       0.0.0.0/0            0.0.0.0/0            source IP range 192.168.109.60-192.168.109.80 to:xx.xx.187.142
    0     0 SNAT       all  --  *      *       10.1.3.77           !pp.pp.119.0/24      to:xx.xx.187.142
6543K  362M SNAT       all  --  *      *       192.168.109.194     !pp.pp.119.0/24      to:xx.xx.187.142
9010K  559M SNAT       all  --  *      *       192.168.12.20        0.0.0.0/0            to:xx.xx.187.142
    0     0 SNAT       all  --  *      *       192.168.32.139      !pp.pp.119.0/24      to:xx.xx.187.142
 1621 84217 SNAT       all  --  *      *       192.168.0.0/16       xx.xx.188.52        to:xx.xx.187.142
    0     0 SNAT       all  --  *      *       192.168.77.8        !pp.pp.119.0/24      to:xx.xx.187.142
1330K   64M MASQUERADE  all  --  *      *       0.0.0.0/0            xx.xx.190.36
    0     0 SNAT       all  --  *      *       192.168.22.204       kk.kk.58.199       to:xx.xx.187.142
    0     0 RETURN     all  --  *      *       192.168.122.0/24     224.0.0.0/24
    0     0 RETURN     all  --  *      *       192.168.122.0/24     255.255.255.255
    0     0 MASQUERADE  tcp  --  *      *       192.168.122.0/24    !192.168.122.0/24     masq ports: 1024-65535
    0     0 MASQUERADE  udp  --  *      *       192.168.122.0/24    !192.168.122.0/24     masq ports: 1024-65535
    0     0 MASQUERADE  all  --  *      *       192.168.122.0/24    !192.168.122.0/24
24660 1696K MASQUERADE  all  --  *      *       192.168.1.20         0.0.0.0/0

sudo iptables -nvL -t mangle

Chain PREROUTING (policy ACCEPT 54G packets, 48T bytes)
 pkts bytes target     prot opt in     out     source               destination

Chain INPUT (policy ACCEPT 6244M packets, 8913G bytes)
 pkts bytes target     prot opt in     out     source               destination

Chain FORWARD (policy ACCEPT 47G packets, 39T bytes)
 pkts bytes target     prot opt in     out     source               destination

Chain OUTPUT (policy ACCEPT 4974M packets, 9155G bytes)
 pkts bytes target     prot opt in     out     source               destination

Chain POSTROUTING (policy ACCEPT 43G packets, 40T bytes)
 pkts bytes target     prot opt in     out     source               destination
    0     0 CHECKSUM   udp  --  *      virbr0  0.0.0.0/0            0.0.0.0/0            udp dpt:68 CHECKSUM fill
    0     0 CHECKSUM   udp  --  *      virbr0  0.0.0.0/0            0.0.0.0/0            udp dpt:68 CHECKSUM fill

gruz123
(10.09.19 11:07:42 MSK) автор топика

Ответ на: комментарий от gruz123 10.09.19 11:07:42 MSK

xx.xx.188.53 Это адрес на который я хочу ходить мимо прокси. Спасибо что помогаете!

gruz123
(10.09.19 11:14:33 MSK) автор топика

Ссылка

Ответ на: комментарий от gruz123 10.09.19 11:07:42 MSK

У вас в клиенте жёстко прописан прокси, ни один пакет под новое правило не попал:

pkts bytes target     prot opt in     out     source               destination
    0     0 ACCEPT     all  --  *      *       0.0.0.0/0            xx.xx.188.53

Я вообще не вижу правил для прозрачного проксирования. Почему решили что оно есть?

Mike_RM ★
(10.09.19 11:30:15 MSK)

Ответ на: комментарий от Mike_RM 10.09.19 11:30:15 MSK

Понял, мой косяк. Все плохо. Прокси не прозрачный и на стороне клиента добавлять исключения не годиться. может есть варианты как оставить его в прокси и дать доступ диапазону udp/tcp портов?

gruz123
(10.09.19 13:03:29 MSK) автор топика

Ответ на: комментарий от gruz123 10.09.19 13:03:29 MSK

Можно подумать, что squid умеет udp и вообще что-то кроме http/https/ftp/gopher

vodz ★★★★★
(10.09.19 13:46:15 MSK)

Ответ на: комментарий от vodz 10.09.19 13:46:15 MSK

Скорее речь о том чтоб открыть порты в iptables для удаленного ip ибо я так понимаю у меня весь трафик блокируется, кроме того что идет через прокси

gruz123
(10.09.19 16:40:49 MSK) автор топика

Ответ на: комментарий от gruz123 10.09.19 16:40:49 MSK

Возможно с учетом ваших правил это будет не правильно, но работать должно

iptables -t nat -I POSTROUTING -s $LAN_NET -o $EXT_IF -j MASQUERADE
iptables -I FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -I FORWARD -s $LAN_NET -j ACCEPT

«причесать» (добавить дополнительные условия) по вкусу

anc ★★★★★
(10.09.19 17:30:02 MSK)
Последнее исправление: anc 10.09.19 17:31:09 MSK (всего исправлений: 1)

Ответ на: комментарий от anc 10.09.19 17:30:02 MSK

Большое спасибо, утром попробую

gruz123
(10.09.19 18:23:50 MSK) автор топика

Ссылка

Ответ на: комментарий от anc 10.09.19 17:30:02 MSK

Вот такое он мне выдает, вообще не ясно ничего. у меня очень много интерфейсов

iptables v1.6.2: host/network `-o' not found

gruz123
(11.09.19 15:36:22 MSK) автор топика

Ответ на: комментарий от gruz123 11.09.19 15:36:22 MSK

$LAN_NET - локалка
$EXT_IF - внешний интерфейс

anc ★★★★★
(12.09.19 01:04:19 MSK)

Ответ на: комментарий от gruz123 10.09.19 13:03:29 MSK

Прокси не прозрачный и на стороне клиента добавлять исключения не годиться.

Ты, сначала, на стороне клиента этот сервер включи в no proxy for, переменная no_proxy. Потом уже на прокси пропускай.

anonymous
(12.09.19 08:46:54 MSK)

Ответ на: комментарий от anc 12.09.19 01:04:19 MSK

Понял, спасибо. у меня тут миллиард вланов, сейчас буду разбираться!

gruz123
(12.09.19 11:10:05 MSK) автор топика

Ссылка

Ответ на: комментарий от anonymous 12.09.19 08:46:54 MSK

не не не http, https пускай ходит через прокси мне не страшно, мне порты нужны. В основном UDP. Я так понимаю это задача iptables

gruz123
(12.09.19 11:15:59 MSK) автор топика

Ответ на: комментарий от gruz123 12.09.19 11:15:59 MSK

Я так понимаю это задача iptables

Сначала маршрутизации.

На шлюзе в iptables правила доя forwarding необходимо добавить, симетричны и ещё nat для локалки этой включить.

anonymous
(12.09.19 15:17:50 MSK)

Ссылка

Ответ на: комментарий от gruz123 10.09.19 13:03:29 MSK

гугли proxy.pac и способы его автоматической доставки на клиентов.

aol ★★★★★
(12.09.19 15:40:26 MSK)

Ссылка

Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.

←	Git сервер. Разграничение прав доступа на директории.

Admin

Как поднять два туннеля от TunnelBroker

→

Похожие темы