| Предыдущая тема :: Следующая тема |
| Автор |
Сообщение |
alesha
Зарегистрирован: 12.11.2004
Сообщения: 159
|
 Добавлено: Чт Авг 25 2005 08:48 Заголовок сообщения: Совместное использование NAT и прокси |
 |
|
Всем доброго времени суток!
Использую прозрачное проксирование и нат... Хочу чтобы доступ в Интернет регулировался прокси, но не получается... Поднимаю нат и все кому не лень из локалки получают доступ в Интернет...
Что не так? Буду признателен за советы и за показанные ссылки... |
|
| Вернуться к началу |
|
 |
dio
Зарегистрирован: 07.10.2004
Сообщения: 722
Откуда: Дважды орденоносная Кубань,Краснодар
|
| Добавлено: Чт Авг 25 2005 09:00 Заголовок сообщения: |
|
|
Привет Леша. Ты не сказал основное - на какой системе ты все это пытаешься поднимать? А то, что мы тебе раньше помогали под ASPLinux уже не работает? Уточняй все - поможем! 
_________________
All is not lost! |
|
| Вернуться к началу |
|
|
dio
Зарегистрирован: 07.10.2004
Сообщения: 722
Откуда: Дважды орденоносная Кубань,Краснодар
|
| Добавлено: Чт Авг 25 2005 09:03 Заголовок сообщения: Re: Совместное использование NAT и прокси |
|
|
| alesha писал(а): | Всем доброго времени суток!
Использую прозрачное проксирование и нат... Хочу чтобы доступ в Интернет регулировался прокси, но не получается... Поднимаю нат и все кому не лень из локалки получают доступ в Интернет...
Что не так? Буду признателен за советы и за показанные ссылки... |
В любом случае и на любой системе ты должен все пакеты заворачивать на вход прокси, если хочешь чтобы она работала - или руками у пользователей "Использовать прокси - сервер ip_adr" в браузерах
или сделай прозрачную проксю, ...вот как у меня например.
Мне еще давным-давно and3008 помог и до сих пор работает все ок!
_________________
All is not lost! |
|
| Вернуться к началу |
|
|
alesha
Зарегистрирован: 12.11.2004
Сообщения: 159
|
| Добавлено: Чт Авг 25 2005 09:09 Заголовок сообщения: Совместное использование NAT и прокси |
|
|
| dio писал(а): | | Привет Леша. Ты не сказал основное - на какой системе ты все это пытаешься поднимать? А то, что мы тебе раньше помогали под ASPLinux уже не работает? Уточняй все - поможем! |
НАТ не совсем так работает, сторонние люди видят адрес моей локалки... |
|
| Вернуться к началу |
|
|
dio
Зарегистрирован: 07.10.2004
Сообщения: 722
Откуда: Дважды орденоносная Кубань,Краснодар
|
| Добавлено: Чт Авг 25 2005 09:17 Заголовок сообщения: |
|
|
ты интернет "вывернул" в свою локалку...все наоборот сделал. Какая система, я спрашиваю...а ты не отвечаешь...тебе не нужна помощь?
_________________
All is not lost! |
|
| Вернуться к началу |
|
|
alesha
Зарегистрирован: 12.11.2004
Сообщения: 159
|
| Добавлено: Чт Авг 25 2005 09:20 Заголовок сообщения: Совместное использование NAT и прокси |
|
|
| dio писал(а): | | ты интернет "вывернул" в свою локалку...все наоборот сделал. Какая система, я спрашиваю...а ты не отвечаешь...тебе не нужна помощь? |
ASP Linux 7.3 |
|
| Вернуться к началу |
|
|
dio
Зарегистрирован: 07.10.2004
Сообщения: 722
Откуда: Дважды орденоносная Кубань,Краснодар
|
| Добавлено: Чт Авг 25 2005 09:28 Заголовок сообщения: |
|
|
Нужны правила для iptables...приведи их тут. У меня все под Free работает, но пока гуру под Linux не придет, может и я чем помогу.
_________________
All is not lost! |
|
| Вернуться к началу |
|
|
alesha
Зарегистрирован: 12.11.2004
Сообщения: 159
|
| Добавлено: Чт Авг 25 2005 09:34 Заголовок сообщения: Совместное использование NAT и прокси |
|
|
| dio писал(а): | | Нужны правила для iptables...приведи их тут. У меня все под Free работает, но пока гуру под Linux не придет, может и я чем помогу. |
Нат поднимаю вот так
iptables -t nat -A POSTROUTING -o eth0 -s 0/0 -j MASQUERADE |
|
| Вернуться к началу |
|
|
dio
Зарегистрирован: 07.10.2004
Сообщения: 722
Откуда: Дважды орденоносная Кубань,Краснодар
|
| Добавлено: Чт Авг 25 2005 10:33 Заголовок сообщения: Re: Совместное использование NAT и прокси |
|
|
| alesha писал(а): | | dio писал(а): | | Нужны правила для iptables...приведи их тут. У меня все под Free работает, но пока гуру под Linux не придет, может и я чем помогу. |
Нат поднимаю вот так
iptables -t nat -A POSTROUTING -o eth0 -s 0/0 -j MASQUERADE |
Я это делал так
iptables -t nat -A PREROUTING -i ETH0 -s nnnn/nnnn -j DROP
iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE
_________________
All is not lost! |
|
| Вернуться к началу |
|
|
dio
Зарегистрирован: 07.10.2004
Сообщения: 722
Откуда: Дважды орденоносная Кубань,Краснодар
|
| Добавлено: Чт Авг 25 2005 10:34 Заголовок сообщения: Re: Совместное использование NAT и прокси |
|
|
| dio писал(а): | | alesha писал(а): | | dio писал(а): | | Нужны правила для iptables...приведи их тут. У меня все под Free работает, но пока гуру под Linux не придет, может и я чем помогу. |
Нат поднимаю вот так
iptables -t nat -A POSTROUTING -o eth0 -s 0/0 -j MASQUERADE |
Я это делал так
iptables -t nat -A PREROUTING -i ETH0 -s nnnn/nnnn -j DROP
iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE |
ДА! eth0 - смотрит во внешнюю сеть.
_________________
All is not lost! |
|
| Вернуться к началу |
|
|
a-m-d
Зарегистрирован: 09.09.2004
Сообщения: 1498
Откуда: SPb
|
| Добавлено: Чт Авг 25 2005 10:39 Заголовок сообщения: |
|
|
Все смешалось, кони, люди...
Давай по порядку.
Во-первых, что за прокси? В дальнейшем предполагаю, что squid
Во-вторых, кто, какими средствами видит адреса твоей локалки? (судя по тому, что выход в инет из локалки получают все кому не лень, нат у тебя все же на правильном интерфейсе висит)
В-третьих, для знающего народа, распиши, что есть что. eth0 это внешний интерфейс?
IMHO, сделать так, чтобы вэб и фтп работали через прокси, остальное через нат и при этом доступ в инет регулировался средствами прокси нельзя. (Посмотри темку на днях проплывавшую про подсчет трафика сквидом)
Далее, сквид в прозрачном режиме проксирования не занимается авторизацией. А если не нужна авторизация, нафига поднимать вопрос, что в инет все ходЮт? А если основываться на IP компа, то что мешает Васе, не имеюшему доступа в инет, подсесть ненадолго к компу Пети?
Чтобы немного поправить ситуацию в фаерволе:
1. Сначала заворачивай пакеты, которые должны идти через прокси.
2. Направляй на NAT только то, что требуется, а не все оставшееся скопом.
Хотя можно и наоборот , сначала избранное на NAT, затем полженное сквиду на сквид .
_________________
Век живи - век учись!.. Дураком помрёшь. |
|
| Вернуться к началу |
|
|
alesha
Зарегистрирован: 12.11.2004
Сообщения: 159
|
| Добавлено: Чт Авг 25 2005 10:43 Заголовок сообщения: Совместное использование NAT и прокси |
|
|
| a-m-d писал(а): | Все смешалось, кони, люди...
Давай по порядку.
Во-первых, что за прокси? В дальнейшем предполагаю, что squid
Во-вторых, кто, какими средствами видит адреса твоей локалки? (судя по тому, что выход в инет из локалки получают все кому не лень, нат у тебя все же на правильном интерфейсе висит)
В-третьих, для знающего народа, распиши, что есть что. eth0 это внешний интерфейс?
IMHO, сделать так, чтобы вэб и фтп работали через прокси, остальное через нат и при этом доступ в инет регулировался средствами прокси нельзя. (Посмотри темку на днях проплывавшую про подсчет трафика сквидом)
Далее, сквид в прозрачном режиме проксирования не занимается авторизацией. А если не нужна авторизация, нафига поднимать вопрос, что в инет все ходЮт? А если основываться на IP компа, то что мешает Васе, не имеюшему доступа в инет, подсесть ненадолго к компу Пети?
Чтобы немного поправить ситуацию в фаерволе:
1. Сначала заворачивай пакеты, которые должны идти через прокси.
2. Направляй на NAT только то, что требуется, а не все оставшееся скопом.
Хотя можно и наоборот , сначала избранное на NAT, затем полженное сквиду на сквид . |
eth0 - это интерфейс, который смотрит во внешний мир...
Адреса локалки узнают при использовании ICQ, при приёме почты... |
|
| Вернуться к началу |
|
|
alesha
Зарегистрирован: 12.11.2004
Сообщения: 159
|
| Добавлено: Чт Авг 25 2005 10:44 Заголовок сообщения: Совместное использование NAT и прокси |
|
|
| a-m-d писал(а): | Все смешалось, кони, люди...
Давай по порядку.
Во-первых, что за прокси? В дальнейшем предполагаю, что squid
Во-вторых, кто, какими средствами видит адреса твоей локалки? (судя по тому, что выход в инет из локалки получают все кому не лень, нат у тебя все же на правильном интерфейсе висит)
В-третьих, для знающего народа, распиши, что есть что. eth0 это внешний интерфейс?
IMHO, сделать так, чтобы вэб и фтп работали через прокси, остальное через нат и при этом доступ в инет регулировался средствами прокси нельзя. (Посмотри темку на днях проплывавшую про подсчет трафика сквидом)
Далее, сквид в прозрачном режиме проксирования не занимается авторизацией. А если не нужна авторизация, нафига поднимать вопрос, что в инет все ходЮт? А если основываться на IP компа, то что мешает Васе, не имеюшему доступа в инет, подсесть ненадолго к компу Пети?
Чтобы немного поправить ситуацию в фаерволе:
1. Сначала заворачивай пакеты, которые должны идти через прокси.
2. Направляй на NAT только то, что требуется, а не все оставшееся скопом.
Хотя можно и наоборот , сначала избранное на NAT, затем полженное сквиду на сквид . |
прокси squid |
|
| Вернуться к началу |
|
|
dio
Зарегистрирован: 07.10.2004
Сообщения: 722
Откуда: Дважды орденоносная Кубань,Краснодар
|
| Добавлено: Чт Авг 25 2005 10:45 Заголовок сообщения: |
|
|
| a-m-d писал(а): | Все смешалось, кони, люди...
Давай по порядку.
Во-первых, что за прокси? В дальнейшем предполагаю, что squid
Во-вторых, кто, какими средствами видит адреса твоей локалки? (судя по тому, что выход в инет из локалки получают все кому не лень, нат у тебя все же на правильном интерфейсе висит)
В-третьих, для знающего народа, распиши, что есть что. eth0 это внешний интерфейс?
IMHO, сделать так, чтобы вэб и фтп работали через прокси, остальное через нат и при этом доступ в инет регулировался средствами прокси нельзя. (Посмотри темку на днях проплывавшую про подсчет трафика сквидом)
Далее, сквид в прозрачном режиме проксирования не занимается авторизацией. А если не нужна авторизация, нафига поднимать вопрос, что в инет все ходЮт? А если основываться на IP компа, то что мешает Васе, не имеюшему доступа в инет, подсесть ненадолго к компу Пети?
Чтобы немного поправить ситуацию в фаерволе:
1. Сначала заворачивай пакеты, которые должны идти через прокси.
2. Направляй на NAT только то, что требуется, а не все оставшееся скопом.
Хотя можно и наоборот , сначала избранное на NAT, затем полженное сквиду на сквид . |
Согласен с уважаемым amd, но не со всем...не делает авторизации, но можно ограничить доступ по ip например, используя ACL - это уже не плохо для начала...
_________________
All is not lost! |
|
| Вернуться к началу |
|
|
dio
Зарегистрирован: 07.10.2004
Сообщения: 722
Откуда: Дважды орденоносная Кубань,Краснодар
|
| Добавлено: Чт Авг 25 2005 10:47 Заголовок сообщения: |
|
|
| dio писал(а): | | a-m-d писал(а): | Все смешалось, кони, люди...
Давай по порядку.
Во-первых, что за прокси? В дальнейшем предполагаю, что squid
Во-вторых, кто, какими средствами видит адреса твоей локалки? (судя по тому, что выход в инет из локалки получают все кому не лень, нат у тебя все же на правильном интерфейсе висит)
В-третьих, для знающего народа, распиши, что есть что. eth0 это внешний интерфейс?
IMHO, сделать так, чтобы вэб и фтп работали через прокси, остальное через нат и при этом доступ в инет регулировался средствами прокси нельзя. (Посмотри темку на днях проплывавшую про подсчет трафика сквидом)
Далее, сквид в прозрачном режиме проксирования не занимается авторизацией. А если не нужна авторизация, нафига поднимать вопрос, что в инет все ходЮт? А если основываться на IP компа, то что мешает Васе, не имеюшему доступа в инет, подсесть ненадолго к компу Пети?
Чтобы немного поправить ситуацию в фаерволе:
1. Сначала заворачивай пакеты, которые должны идти через прокси.
2. Направляй на NAT только то, что требуется, а не все оставшееся скопом.
Хотя можно и наоборот , сначала избранное на NAT, затем полженное сквиду на сквид . |
Согласен с уважаемым amd, но не со всем...не делает авторизации, но можно ограничить доступ по ip например, используя ACL - это уже не плохо для начала... |
А Петя по ушам получит разок за Васину работу и будет уходя комп блокировать!
_________________
All is not lost! |
|
| Вернуться к началу |
|
|
a-m-d
Зарегистрирован: 09.09.2004
Сообщения: 1498
Откуда: SPb
|
| Добавлено: Чт Авг 25 2005 11:12 Заголовок сообщения: |
|
|
| dio писал(а): | | ...А Петя по ушам получит разок за Васину работу и будет уходя комп блокировать! |
Отойдя малость от помощи alesha
Просто ACL будет маловато (или я с этим очень плохо разобрался). Вася войдет под своим логином и паролем - Петин комп не сменит свой IP из-за того, что пришел Вася.
"Мы пойдем другим путем". Я сделал доступ в инет через vpn. Надо тебе в инет - установи соединение a'la dial-up. А дальше, в зависимости от того, "кХто ты", получишь IP виртуального соединения и доступ, куда тебе полагается. Сделано во Free, сделано пока упрощенно и коряво, но работает так, как мне надо (вроде бы ) Уверен, подобное можно и в линуксе смонстрячить.
Да, единственный, но иногда может оказаться существенным, минус - у клиентов Win9x невозможно соорудить vpn поверх vpn (по крайней мере штатными средствами). То есть из локалки устанавливаем vpn-соединение для доступа в инет, а вот поверх него установить еще одно vpn-соединение с каким-то сервером в инете - шиш.
_________________
Век живи - век учись!.. Дураком помрёшь. |
|
| Вернуться к началу |
|
|
dio
Зарегистрирован: 07.10.2004
Сообщения: 722
Откуда: Дважды орденоносная Кубань,Краснодар
|
| Добавлено: Чт Авг 25 2005 11:23 Заголовок сообщения: |
|
|
молчу - молчу....чувствуется рука мастера
_________________
All is not lost! |
|
| Вернуться к началу |
|
|
a-m-d
Зарегистрирован: 09.09.2004
Сообщения: 1498
Откуда: SPb
|
| Добавлено: Чт Авг 25 2005 12:32 Заголовок сообщения: |
|
|
В Линуксе я менее чем слаб , поэтому даю только наводку:
<IMHO>
По поводу видимости внутренних IP-адресов посторонними. Тут дело даже не Линукса.
1. Почта. IP-адрес отправителя содержится в самОм письме. Проблема почтового сервера-отправителя показывать его или подменять. Настраивай почтовик, если он твой и имеет такую возможность.
2. ICQ. Опять же дело в настройке клиента - показывать/скрывать IP.
3. Нехорошо, это, что кто-то видит лишнее, но... какую практическую пользу сможет извлечь посторонний из знания внутреннего IP? Хотя, конечно, атака на сеть должна готовиться со сбора любых данных о цели.
</IMHO>
_________________
Век живи - век учись!.. Дураком помрёшь. |
|
| Вернуться к началу |
|
|
|
FAQ 
Поиск 
Пользователи 
Группы
Регистрация
Профиль 
Войти и проверить личные сообщения 
Вход 
