LINUX.ORG.RU
решено ФорумAdmin

Странная ситуация с проксиком


0

1

Имеем прокси сервер sams2+squid+bind9+win2003 server. В настройках 2003 сервака для dns запросов в нет задан bind. У локальных юзеров в насторйках сети задан только win dns (все днс запросы для интет ресурсов через 2003 идут к бинду)

фаервол на прокси

#!/bin/bash

modprobe ip_tables
modprobe ip_conntrack
modprobe ip_conntrack_ftp
modprobe ip_conntrack_irc
modprobe iptable_nat
#этот модуль позволяет работать с ftp в пассивном режиме
modprobe ip_nat_ftp
modprobe ip_nat_irc
#очистка цепочек
iptables -F INPUT
iptables -F FORWARD
iptables -F OUTPUT
iptables -t nat -F PREROUTING
iptables -t nat -F POSTROUTING
iptables -t mangle -F
#Запрет всего
iptables -P INPUT DROP
iptables -P OUTPUT ACCEPT
iptables -P FORWARD DROP

#разрешаем все входящие пакеты на интрефейс замыкания на себя иначе ничего не работает 
iptables -A INPUT -i lo -j ACCEPT

#РАЗРЕШЕНЫ ТОЛЬКО ВХОДЯЩИЕ СОЗДАННЫЕ НАШИМИ ИСХОДЯЩИМИ
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
#Правила повышающие безопасность
#Блочим входящие tcp соединения не syn пакетом (либо ошибка либо атака)
iptables -I INPUT -m conntrack --ctstate NEW -p tcp ! --syn -j DROP
iptables -I INPUT -m conntrack --ctstate NEW,INVALID -p tcp --tcp-flags SYN,ACK SYN,ACK -j REJECT

#Фильтруем ICMP по типам

iptables -A INPUT -p icmp --icmp-type 3 -j ACCEPT
iptables -A INPUT -p icmp --icmp-type 8 -j ACCEPT
iptables -A INPUT -p icmp --icmp-type 12 -j ACCEPT

iptables -A OUTPUT -p icmp --icmp-type 0 -j ACCEPT
iptables -A OUTPUT -p icmp --icmp-type 3 -j ACCEPT
iptables -A OUTPUT -p icmp --icmp-type 4 -j ACCEPT
iptables -A OUTPUT -p icmp --icmp-type 11 -j ACCEPT
iptables -A OUTPUT -p icmp --icmp-type 12 -j ACCEPT


#Запрещаем пинги из локальной сети 

iptables -I FORWARD -s 192.168.3.0/24 -p icmp -j DROP

#Разрешаем принимать dns запросы на 53 udp и tcp порт от сервера горгаза 192.168.3.74

iptables -A INPUT -i eth0 -s 192.168.3.74 -p udp --dport 53  -j ACCEPT
iptables -A INPUT -i eth0 -s 192.168.3.74 -p tcp --dport 53  -j ACCEPT

#разрешаем доступ из локальной сети на порты 22(ssh),3128 прокси squid,80 - apache веб морды

iptables -A INPUT -i eth0 -p tcp -m multiport --dport 22,80,3128 -j ACCEPT

#Разрешаем хождение через цепочку форвард пакетов идущих в ответ на пакеты с eth0

iptables -A FORWARD -i ppp0 -o eth0 -m state --state ESTABLISHED,RELATED -j ACCEPT

#Пробрасывем ip внет на всех портах 192.168.3.50 - тот кого надо прокинуть
#iptables -A FORWARD -s 192.168.3.50 -o ppp0 -j ACCEPT
#Пробрасывем ip внет на 25,110  портах 192.168.3.90 - тот кого надо прокинуть
#iptables -A FORWARD -s 192.168.3.90 -o ppp0 -p tcp -m multiport --dport 25,110 -j ACCEPT

###Компы ходящие мимо прокси !!!####



iptables -A FORWARD -s 192.168.3.97 -o ppp0 -j ACCEPT

# андрей линукс 

iptables -A FORWARD -s 192.168.3.15 -o ppp0 -j ACCEPT
iptables -A FORWARD -s 192.168.3.82 -d ftp.kamenskgaz-ru.1gb.ru -o ppp0 -j ACCEPT

#Спг Люdа почта на webmail

iptables -A FORWARD -s 192.168.3.19 -d webmail.1gb.ru -o ppp0 -j ACCEPT
iptables -A FORWARD -s 192.168.3.19 -d webmail-10.1gb.ru -o ppp0 -j ACCEPT



iptables -A FORWARD -s 192.168.3.90 -o ppp0 -p tcp --dport 25 -j ACCEPT
iptables -A FORWARD -s 192.168.3.90 -o ppp0 -p tcp --dport 110 -j ACCEPT
iptables -A FORWARD -s 192.168.3.90 -d 212.42.44.151 -o ppp0 -p tcp --dport 80 -j ACCEPT
iptables -A FORWARD -s 192.168.3.90 -d 87.226.173.6 -o ppp0 -p tcp --dport 80 -j ACCEPT
#iptables -A FORWARD -s 192.168.3.90 -d kamenskgaz-ru.1gb.ru -o ppp0 -p tcp --dport 21 -j ACCEPT
iptables -A FORWARD -s 192.168.3.90 -d kamenskgaz-ru.1gb.ru -o ppp0 -j ACCEPT

iptables -A FORWARD -s 192.168.3.90 -d ftp.kamenskgaz-ru.1gb.ru -o ppp0 -j ACCEPT
iptables -A FORWARD -s 192.168.3.90 -d serverfst.eias.ru -o ppp0 -p tcp --dport 80 -j ACCEPT



iptables -A FORWARD -s 192.168.3.81 -d onp-r61.nalog.ru -o ppp0 -j ACCEPT
iptables -A FORWARD -s 192.168.3.81 -d sos40.keydisk.ru -o ppp0 -j ACCEPT
iptables -A FORWARD -s 192.168.3.81 -d rostov.pfr190p.keydisk.ru -o ppp0 -j ACCEPT
iptables -A FORWARD -s 192.168.3.81 -d 94.79.10.44 -o ppp0 -j ACCEPT
iptables -A FORWARD -s 192.168.3.81 -d iit.keydisk.ru -o ppp0 -j ACCEPT
iptables -A FORWARD -s 192.168.3.81 -d gpr.keydisk.ru -o ppp0 -j ACCEPT
iptables -A FORWARD -s 192.168.3.81 -d edi.iitrust.ru -o ppp0 -j ACCEPT



iptables -A FORWARD -s 192.168.3.85 -d 212.42.44.151 -o ppp0 -p tcp -m multiport --dport 80,9000,443 -j ACCEPT



#iptables -A FORWARD -s 192.168.3.127 -o ppp0 -p  tcp -m multiport --dport 25,21,20,110 -j ACCEPT
iptables -A FORWARD -s 192.168.3.127 -o ppp0 -p tcp --dport 25 -j ACCEPT
iptables -A FORWARD -s 192.168.3.127 -o ppp0 -p tcp --dport 21 -j ACCEPT
iptables -A FORWARD -s 192.168.3.127 -o ppp0 -p tcp --dport 20 -j ACCEPT
iptables -A FORWARD -s 192.168.3.127 -o ppp0 -p tcp --dport 110 -j ACCEPT
iptables -A FORWARD -s 192.168.3.127 -d 93.153.157.82 -o ppp0 -p tcp --dport 65229 -j ACCEPT
iptables -A FORWARD -s 192.168.3.127 -d pop3-21.1gb.ru -o ppp0 -p tcp --dport 110 -j ACCEPT
iptables -A FORWARD -s 192.168.3.127 -d 193.161.85.43 -o ppp0 -p tcp --dport 4003 -j ACCEPT
iptables -A FORWARD -s 192.168.3.127  -d 62.75.180.22 -o ppp0 -p tcp --dport 4003 -j ACCEPT


iptables -A FORWARD -s 192.168.3.84 -o ppp0 -p tcp --dport 25 -j ACCEPT
iptables -A FORWARD -s 192.168.3.84 -o ppp0 -p tcp --dport 110 -j ACCEPT

#Компы и другие устройства цепляющиеся через WiFi


#Маскарадим то что прошло через цепочку forward
iptables -t nat -I POSTROUTING -s 192.168.3.0/24 -o ppp0 -j MASQUERADE

С настройками браузера на прокси все работает замечательно . Возникает проблема когда я пробрасываю какойнибудь ip миом прокси к примеру

iptables -A FORWARD -s 192.168.3.19 -d webmail.1gb.ru -o ppp0 -j ACCEPT
iptables -A FORWARD -s 192.168.3.19 -d webmail-10.1gb.ru -o ppp0 -j ACCEPT

Этот ip не заведен на прокси ему дан доступ к 2 двум сайтам (Веб морда почты). На локальной тачке шлюз прописан, браузером с пустыми настройками прокси заходим в веб морду проходим авторизацию , НО очень мала скорость подключения , в чем может быть причина ? Обычный заведенный на прокси юзер на эти ресурсы заходи без проблем

Ответ на: комментарий от zgen

1 host ходит к ресурсу webmail.1gb.ru через проксик на хорошей скорости

2) 192.168.3.19 ходит мимо прокси , и его скорость подключения к ресурсу очень мала

Вопрос почему так проиходит

drac753 ★★ ()
Ответ на: комментарий от zgen

гммм ситуация немного прояснилась . Есть два компа один из них ходит через проксик безкаких либо проблем , второй мимо проксика с помощью правила iptables -A FORWARD -s 192.168.3.19 -o ppp0 -j ACCEPT. Проблема на втором компе - не все сайты открываются работают google, yandex , а к примеру rambler молчит(nslookup rambler.ru отработает нормально). В чем может заключаться проблема ? Возможно стоит покрутить MTU ?

drac753 ★★ ()
Ответ на: комментарий от drac753

мои настройки pppoe

noipdefault
defaultroute
replacedefaultroute
hide-password
#lcp-echo-interval 30
#lcp-echo-failure 4
noauth
persist
#mtu 1492
#persist
#maxfail 0
#holdoff 20
plugin rp-pppoe.so eth1
usepeerdns
user "********"

drac753 ★★ ()
Ответ на: комментарий от Pinkbyte

имеете в виду что нужно добавить в правила фаервола что-то типа токого

iptables -A FORWARD -p tcp --tcp-flags SYN,RST SYN -j TCPMSS  --clamp-mss-to-pmtu 

drac753 ★★ ()
Ответ на: комментарий от Pinkbyte

Спсибо за совет после правила, iptables -A FORWARD -p tcp --tcp-flags SYN,RST SYN -j TCPMSS --clamp-mss-to-pmtu с обоих машин хожу внет без проблем.

drac753 ★★ ()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.