Не понимаю, почему NAT не работает?

0

1

Хочу открыть порты для почты в локальной сети.
Вот что получилось: iptables -S http://paste.pocoo.org/show/252498/.
В /etc/sysctl.conf: net.ipv4.ip_forward = 1.

Но вот почтовый клиент на другой машине не хочет работать с почтой (там с почтой работают в опере).

Попутно смотрел логи сквида:
206 192.168.0.2 TCP_MISS/200 163 CONNECT mra1.mail.ru:443 - DIRECT/94.100.179.186 -

Я так понял, что на 443й порт он все-таки идет.

Где что я упустил?

Ссылка

←	Из разряда мистики

как можно вычислит минималные параметры OpenVpn servera

→

всё правильно вроде бы, но смущает отсутствие NEW в iptables

~~guilder~~ ★
(21.08.10 08:50:13 MSD)

Ответ на: комментарий от guilder 21.08.10 08:50:13 MSD

Где new отсутствует? - В какой строке?

Skala ★
(21.08.10 09:06:29 MSD) автор топика

Ссылка

так через нат не работает или через сквид? Правил для SNAT я не увидел....

najar ★
(21.08.10 09:08:25 MSD)

Ответ на: комментарий от najar 21.08.10 09:08:25 MSD

443й не работает через нат.

Skala ★
(21.08.10 09:12:16 MSD) автор топика

Ответ на: комментарий от Skala 21.08.10 09:12:16 MSD

так где для ната правила? что-то вроде:

$ipt -t nat -A POSTROUTING -p tcp -o eth1 -s 192.168.0.0/24 --dport 443   -j SNAT --to-source $IPS

najar ★
(21.08.10 09:19:00 MSD)

Ответ на: комментарий от najar 21.08.10 09:19:00 MSD

Эти правила по идее есть, т.к. в /var/lib/iptables/rules-save вижу строку -A POSTROUTING -o ppp0 -j MASQUERADE ( http://paste.pocoo.org/show/252638/ )

Skala ★
(21.08.10 09:22:56 MSD) автор топика

Ответ на: комментарий от Skala 21.08.10 09:22:56 MSD

покажите лучше

iptables -nL
iptables -nL -t nat
cat /proc/sys/net/ipv4/ip_forward

najar ★
(21.08.10 09:27:27 MSD)

Ответ на: комментарий от najar 21.08.10 09:27:27 MSD

iptables -nL http://paste.pocoo.org/show/252643/
iptables -nL -t nat http://paste.pocoo.org/show/252644/
#cat /proc/sys/net/ipv4/ip_forward
1

Skala ★
(21.08.10 10:20:58 MSD) автор топика

Ответ на: комментарий от Skala 21.08.10 10:20:58 MSD

С этого надобыло начинать — прозрачный прокси. Теперь вывод squid.conf

egrep -v ^# /etc/squid.conf

anton_jugatsu ★★★★
(21.08.10 10:56:42 MSD)

Ответ на: комментарий от anton_jugatsu 21.08.10 10:56:42 MSD

http://paste.pocoo.org/show/252646/

Skala ★
(21.08.10 11:08:46 MSD) автор топика

Ответ на: комментарий от Skala 21.08.10 11:08:46 MSD

IPTABLES -t filter -A FORWARD -p tcp -m tcp --dport 443 -j ACCEPT

anton_jugatsu ★★★★
(21.08.10 11:25:51 MSD)

Ссылка

Короче ситуация следушая:

Long answer: SSL is specifically designed to prevent «man in the middle» attacks, and setting up squid in such a way would be the same as such a «man in the middle» attack. You might be able to successfully achive this, but not without breaking the encryption and certification that is the point behind SSL.

Finally, as far as transparently proxing HTTPS (e.g. secure web pages using SSL, TSL, etc.), you can't do it. Don't even ask. For the explanation, do a search for 'man-in-the-middle attack'. Note that you probably don't really need to transparently proxy HTTPS anyway, since squid can not cache secure pages.

Короче, сквид не будет работать нормально в transparent-режиме, проксируя 443 порт.

Выход может быть следующий, как вариант:

Я уже писал

Вариант первый (самый простой): IPTABLES -t filter -A FORWARD -p tcp -m tcp --dport 443 -j ACCEPT

Второй вариант:

та же проблема, но решил пока так: заставил squid слушать два порта 3128 и 3129. в firewall в prerouting исходящие на порт 80 закручиваю на 3128. в forward tcp закрыл. получается: народ без настроек proxy идет в инет через squid сам того не зная. А тому, кому надо пускай настраивает проксю на порт 3129 на все порты.
squid.conf:
http_port 10.1.2.2:3128 transparent
http_port 10.1.2.2:3129
Вроде работает :)

anton_jugatsu ★★★★
(21.08.10 11:45:52 MSD)

Ответ на: комментарий от anton_jugatsu 21.08.10 11:45:52 MSD

anton_jugatsu> сквид не будет работать нормально в transparent-режиме, проксируя 443 порт.

Не squid (ему то пофиг), а ssl

~~sdio~~ ★★★★★
(21.08.10 13:41:01 MSD)

Ответ на: комментарий от sdio 21.08.10 13:41:01 MSD

Да, точно :)

anton_jugatsu ★★★★
(21.08.10 14:02:43 MSD)

Ссылка

Всем большое спасибо! Настроил так: http://paste.pocoo.org/show/253025/ Все работает, как надо.

Skala ★
(22.08.10 12:07:22 MSD) автор топика

Ссылка

Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.

←	Из разряда мистики

Admin

как можно вычислит минималные параметры OpenVpn servera

→

Похожие темы