LINUX.ORG.RU

Сообщения chiper

 

Перенаправить трафик в Mikrotik

Есть роутер mikrotik. (192.168.1.1) Также есть отдельный сервак со squid`ом (192.168.1.2)

Есть клиентские машины (192.168.1.10-30) Вопрос. Каким способом будет лучше перенаправить весь трафик на 80 и 8080 порты от клиентских машины на сервак со сквидом, работающим в прозрачном режиме.

Полазил по сусекам интернета и нашел 2 мануала:

http://adminnote2.blogspot.ru/2014/05/mikrotik-squida.html - этот вообще замороченный тем, что нужно маркировать определенные пакеты, а потом их перенаправлять на сервер, где обязательно должно быть правило перенаправления с 80 на 3128

http://network.24sport.info/mikrotik/howto-redirect-http-traffic-to-proxy/ - этот не рабочий. Ибо пакеты до сервака, хоть и криво но идут, но почему-то сквидом не воспринимаются.

Остальные мануалы - либо нереально заморочены, либо, рассчитаны на большую, сложную топологию, либо с нерабочими примерами.

Нужно простое, по возможности, решение. Раньше, вместо микротика стояла обычная сборная железка, которая выполняла роль маршрутизатора, так там все это дело реализовывалось одной строкой в iptables: iptables -t nat -A PREROUTING -i eth1 ! -d 192.168.1.0/24 -p tcp -m multiport --dport 80,8080 -j DNAT --to 192.168.1.1:3128

И все прекрасно работало.

Есть идеи, господа?

 , ,

chiper
()

VPN net-to-net Ipsec нужна помощь с iptables

Есть центральный офис. В качестве шлюза выхода в интернет - имеется d-link DFL-800, на котором поднято 2 интерфейса:

Внешний: 10.10.20.1 Внутренний: 192.168.0.1

Также на роутере штатными средствами поднят VPN gate, работающий через IPsec c PSK ключом.

Есть филлиал, на котором в качестве роутера был собран и настроен сервер на Debian 7. Сервер имеет также 2 интерфейса:

Внешний: eth0 10.10.30.1 Внутренний: eth1 192.168.7.1

Для НАТа существуют следующие правила:

# Включаем форвардинг пакетов
echo 1 > /proc/sys/net/ipv4/ip_forward

# Разрешаем трафик на loopback-интерфейсе
iptables -A INPUT -i lo -j ACCEPT

# Разрешаем доступ из внутренней сети наружу
iptables -A FORWARD -i eth1 -o eth0 -j ACCEPT

# Включаем NAT 
iptables -t nat -A POSTROUTING -o eth0 -s 192.168.7.0/24 -j MASQUERADE 

# Разрешаем ответы из внешней сети
iptables -A FORWARD -i eth0 -m state --state ESTABLISHED,RELATED -j ACCEPT

#Разрешаем доступ во внутреннюю сеть для оффиса

#iptables -A FORWARD -i eth0 -o eth1 -j ACCEPT


# Проброс DNS
iptables -t nat -I PREROUTING -i eth1 -p udp --dport 53 -j DNAT --to-destination 195.177.123.1

# Добавляем в iptables строчку перенаправления запросов юзеров с 80-го порта на порт сквида 3128:

iptables -t nat -A PREROUTING -i eth1 ! -d 192.168.7.0/24 -p tcp -m multiport --dport 80,8080 -j DNAT --to 192.168.7.1:3128

Вопрос заключается в том, что из сети головного офиса (192.168.0.0/24) узлы прекрасно пингуются и доступны, а вот обратно (из 192.168.7.0/24) - пинг не проходит. Хотя конфигурация на роутере рабочая, так как раньше, вместо сервера на дебиане, стояла такая-же железка, как и в головном офисе и между ними была нормальная связь.

По задачам, вот: На сервере филиала нужно:

1. Настроить NAT. и разрешить клиентам из внутренней сети выходить в интернет.
2. Настроить проброс DNS запросов на адрес 195.177.123.1 (для внутреннего интерфейса)
3. Настроить заворачивание http трафика нв сквид, который крутится на 192.168.7.1:3128
4. И Самое главное, настроить беспрепятственного обмена пакетами через VPN с подсеткой 192.168.0.0

Все остальное, в целях безопасности, можно заблокировать.

 , , ,

chiper
()

RSS подписка на новые темы