iptables + внешний proxy

0

1

Доброго времени.

Мучаюсь с попытками связать шлюз локальной сети с прокси-сервером за пределами локальной сети при помощи iptables.

Отправляю все пакеты приходящие на 80 порт с локальной машины на внешний IP командой:

iptables -t mangle -A PREROUTING -s 192.168.222.7 -p tcp --dport 80 -j TPROXY --on-ip 123.123.123.123 --on-port 777

На 123.123.123.123 ищу данные пакеты, но все глухо...

iptables -t mangle -A PREROUTING -p tcp --sport 777 -j LOG --log-prefix "KUKU: "

Собственно вопрос: возможна ли в принципе такая конструкция, когда прокси находится за пределами локальной сети и можно ли на него перебрасывать пакеты таким образом? Может на прокси какую-либо директиву изменить надо чтобы пакеты доходили хотябы до mangle если в получателе указан другой IP?

ШЛЮЗ# uname -a Linux 4.2.6-1-xxx #x86_64 GNU/Linux iptables v1.4.21

PROXY# uname -a Linux 3.14.32-xxxx-grs-ipv6-64 #x86_64 GNU/Linux iptables v1.4.21

На обоих устройствах включено: echo 1 > /proc/sys/net/ipv4/ip_forward

Ссылка

←	Как создавать «шаблонный Екстеншен» по вводу диапазона номеров

dovecot сильно грузит сервер (cpu 100% и растущий load overage)

→

Емнип TPROXY не меняет заголовок, у вас пакеты так и улетают с адреса 192.168.222.7.
И да, для тестирования есть tpcdump, использовать iptables -j LOG для выяснения прилетел/улетел плохая идея.

anc ★★★★★
(19.09.16 17:28:41 MSK)

Ответ на: комментарий от anc 19.09.16 17:28:41 MSK

Спасибо за tcpdump, но там тоже глухо, ни по порту не вижу ничего, ни по 192.168.222.7 ...

Тут в мане по TPROXY вижу такие слова: It redirects the packet to a local socket

и начинаю огорчаться. Неужели только локально перенаправляет?..

kof
(19.09.16 20:12:45 MSK) автор топика

Ответ на: комментарий от kof 19.09.16 20:12:45 MSK

В мане есть еще более волшебные слова: «without changing the packet header in any way.» :)

Неужели только локально перенаправляет?..

Нет, но для вашего случая это nat

anc ★★★★★
(19.09.16 20:36:43 MSK)

Ответ на: комментарий от anc 19.09.16 20:36:43 MSK

Тоесть tproxy здесь не подходит?

Вообще задача такая: нужно от пользователей локальной сети скрыть настоящий внешний IP-адрес. Как идея - использовать промежуточный прозрачный прокси-сервер для этого. По факту нужно для HTTP, IMAP (на 993 порту) и SMTP (на 465 порту).

Есть мысли как можно решить такую задачку?

kof
(19.09.16 21:07:33 MSK) автор топика

Ответ на: комментарий от kof 19.09.16 21:07:33 MSK

нужно от пользователей локальной сети скрыть настоящий внешний IP-адрес.

Бред. Причем полный. Пример: Я отправлю себе письмо на другой почтовый адрес и в заголовке благополучно увижу ваш ip. Или возможно я не распарсил вопрос, и вы говорите про ip который не на удаленном сервере. Вобщем чуть больше «золота» дайте для задачи.

anc ★★★★★
(19.09.16 21:14:51 MSK)
Последнее исправление: anc 19.09.16 21:17:57 MSK (всего исправлений: 1)

Ответ на: комментарий от anc 19.09.16 21:14:51 MSK

Подробнее: нужно скрыть реальный ip адрес который выделен провайдером интернет, через который все из локальной сети выходят в интернет. Пусть все видят любой другой IP адрес, будь то прокся или еще что. Тоесть по факту нужно чтобы видели не тот IP адрес который выдает провайдер.

kof
(19.09.16 21:23:48 MSK) автор топика

Ответ на: комментарий от kof 19.09.16 21:23:48 MSK

Тогда туннели, по вкусу.

anc ★★★★★
(19.09.16 21:25:26 MSK)

Ответ на: комментарий от anc 19.09.16 21:25:26 MSK

А можно чуть поподробнее? Или ссылку на мануал... Буду благодарен.

kof
(19.09.16 21:27:46 MSK) автор топика

Ответ на: комментарий от kof 19.09.16 21:27:46 MSK

google волшебное слово vpn. Тем про это не просто много, а очень много.

anc ★★★★★
(19.09.16 21:29:43 MSK)

Ссылка

Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.

←	Как создавать «шаблонный Екстеншен» по вводу диапазона номеров

Admin

dovecot сильно грузит сервер (cpu 100% и растущий load overage)

→

Похожие темы