LINUX.ORG.RU
ФорумAdmin

iptables + внешний proxy

 ,


0

1

Доброго времени.

Мучаюсь с попытками связать шлюз локальной сети с прокси-сервером за пределами локальной сети при помощи iptables.

Отправляю все пакеты приходящие на 80 порт с локальной машины на внешний IP командой:

iptables -t mangle -A PREROUTING -s 192.168.222.7 -p tcp --dport 80 -j TPROXY --on-ip 123.123.123.123 --on-port 777

На 123.123.123.123 ищу данные пакеты, но все глухо...

iptables -t mangle -A PREROUTING -p tcp --sport 777 -j LOG --log-prefix "KUKU: "

Собственно вопрос: возможна ли в принципе такая конструкция, когда прокси находится за пределами локальной сети и можно ли на него перебрасывать пакеты таким образом? Может на прокси какую-либо директиву изменить надо чтобы пакеты доходили хотябы до mangle если в получателе указан другой IP?

ШЛЮЗ# uname -a Linux 4.2.6-1-xxx #x86_64 GNU/Linux iptables v1.4.21

PROXY# uname -a Linux 3.14.32-xxxx-grs-ipv6-64 #x86_64 GNU/Linux iptables v1.4.21

На обоих устройствах включено: echo 1 > /proc/sys/net/ipv4/ip_forward


Емнип TPROXY не меняет заголовок, у вас пакеты так и улетают с адреса 192.168.222.7.
И да, для тестирования есть tpcdump, использовать iptables -j LOG для выяснения прилетел/улетел плохая идея.

anc ★★★★★ ()
Ответ на: комментарий от anc

Спасибо за tcpdump, но там тоже глухо, ни по порту не вижу ничего, ни по 192.168.222.7 ...

Тут в мане по TPROXY вижу такие слова: It redirects the packet to a local socket

и начинаю огорчаться. Неужели только локально перенаправляет?..

kof ()
Ответ на: комментарий от kof

В мане есть еще более волшебные слова: «without changing the packet header in any way.» :)

Неужели только локально перенаправляет?..

Нет, но для вашего случая это nat

anc ★★★★★ ()
Ответ на: комментарий от anc

Тоесть tproxy здесь не подходит?

Вообще задача такая: нужно от пользователей локальной сети скрыть настоящий внешний IP-адрес. Как идея - использовать промежуточный прозрачный прокси-сервер для этого. По факту нужно для HTTP, IMAP (на 993 порту) и SMTP (на 465 порту).

Есть мысли как можно решить такую задачку?

kof ()
Ответ на: комментарий от kof

нужно от пользователей локальной сети скрыть настоящий внешний IP-адрес.

Бред. Причем полный. Пример: Я отправлю себе письмо на другой почтовый адрес и в заголовке благополучно увижу ваш ip. Или возможно я не распарсил вопрос, и вы говорите про ip который не на удаленном сервере. Вобщем чуть больше «золота» дайте для задачи.

anc ★★★★★ ()
Последнее исправление: anc (всего исправлений: 1)
Ответ на: комментарий от anc

Подробнее: нужно скрыть реальный ip адрес который выделен провайдером интернет, через который все из локальной сети выходят в интернет. Пусть все видят любой другой IP адрес, будь то прокся или еще что. Тоесть по факту нужно чтобы видели не тот IP адрес который выдает провайдер.

kof ()
Ответ на: комментарий от anc

А можно чуть поподробнее? Или ссылку на мануал... Буду благодарен.

kof ()
Ответ на: комментарий от kof

google волшебное слово vpn. Тем про это не просто много, а очень много.

anc ★★★★★ ()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.