LINUX.ORG.RU

Раздача инета через инет


1

1

Доброго времени суток! Вероятно, моя проблема уже решена в какой-нибудь из тем форума, но я не нашёл. В гугле - тоже; похожие проблемы обсасываются, но решения не увидел. Если тема уже была, прошу извинить и ткнуть носом.

Суть. Злые люди поставили на одном РС инет-фильтр. Имеется необходимость помочь этому РС раздачей инета с другого, удалённого, РС. Проблема отягощается тем, что на первом РС нет админа, а злые люди, кроме того, пристально следят за системой. Попытка использовать TOR ничего не дала - ни напрямую, ни через бриджи. Своим нубовским умом я прикинул, что коль скоро вариант с созданием VPN не пройдёт, вполне резонно будет поднять у себя прокси сервер (тем паче, что на стороне клиента не нужно никаких телодвижений, кроме настройки какого-нибудь вторичного браузера на прокси). В общем, прокси я поднял (squid3, на Debian Linux), прописал в его конфиге IP нашего обделённого бедолаги. Разрешил в файерволле доступ с этого IP на порт прокси (3128) и решил, что вроде всё пучком и всё должно работать. Но при попытке соединиться на стороне клиента: «Соединение закрыто удалённым сервером». А в логах Сквайда нет никаких упоминаний о попытке подключиться к нему с удалённого ПК. Для меня, через 127.0.0.1 всё пучком, всё через прокси работает. В чём может быть фэйл? Или фэйл - я сам с моей нубической логикой и отдача инета в инет без VPN невозможна в принципе?

может быть злые админы на той стороне блокируют все исходящие соединения, кроме тех, у которых порт назначения 80, например. Ну тоесть я имею ввиду перевесить сквид на 80 порт
еще как вариант - iodined

ii343hbka ★★★ ()
Последнее исправление: ii343hbka (всего исправлений: 1)

Конфиг squid'а:

acl SSL_ports port 443 acl Safe_ports port 80 # http acl Safe_ports port 21 # ftp acl Safe_ports port 443 # https acl Safe_ports port 70 # gopher acl Safe_ports port 210 # wais acl Safe_ports port 1025-65535 # unregistered ports acl Safe_ports port 280 # http-mgmt acl Safe_ports port 488 # gss-http acl Safe_ports port 591 # filemaker acl Safe_ports port 777 # multiling http acl CONNECT method CONNECT

http_port 3128 icp_port 0 acl manager proto cache_object acl Ari src IP_бедолаги http_access allow Ari http_access allow manager http_access deny all http_access deny !Safe_ports http_access deny CONNECT !SSL_ports icp_access allow Ari icp_access deny all htcp_access deny all htcp_clr_access deny all miss_access allow Ari miss_access deny all ident_lookup_access deny all

cache_mem 256 MB maximum_object_size_in_memory 512 KB cache_dir ufs /var/spool/squid3 256 16 256 cache_access_log /var/log/squid3/access.log cache_log /var/log/squid3/cache.log cache_store_log /var/log/squid3/store.log

forwarded_for off via off

DoubleNoob ()
Ответ на: комментарий от DoubleNoob

А на какие сайты вообще можно заходить (без прокси)? Прямое соединение с вэб сайтом почти ничем не отличается от соединения с сайтом через прокси. Только в GET указывается полный путь и всего-то, т.е. если работают другие сайты, то и через прокси должно работать.

P.S. Используй для конфигов тэг code

Black_Roland ★★★★ ()
Последнее исправление: Black_Roland (всего исправлений: 3)
Ответ на: комментарий от Black_Roland

На очень немногие можно. Например, гугл-поиск (яндекс итп) доступны (а вот гугл-транслейт уже почему-то нет). Ещё десяток сайтов открывались, а в основном - дуля.

P.S. Ага, понял, спасибо.

DoubleNoob ()
Ответ на: комментарий от DoubleNoob

Может стоять прозрачный прокси с фильтрацией, а может фильтрация делается файрволом.

Можно еще SSH туннель попробовать на 443 порту. Я не знаю что там за ОС на компе за файрволом, но на линуксах подключаться так:

ssh root@computer -D 1080 -p 443
На клиентском компе откроется SOCKS-прокси на порту 1080. Если не подключиться, значит соединения режутся файрволом и тогда можно использовать iodine (в первом комментарии советовали).

Black_Roland ★★★★ ()
Последнее исправление: Black_Roland (всего исправлений: 1)
Ответ на: комментарий от Pirr

Турбо уже пробовали - ноль. Анонимайзеры закрыты, смотрели кучу. Конкретно этот не помню, смотрели или нет. Гугл-транслейт закрыт. Да и не вариант это - через него вся мультимедиа идёт лесом.

DoubleNoob ()
Ответ на: комментарий от DoubleNoob

Там мак-ось. Злые люди установили программку интернет-фильтр. Когда делается попытка соединения на заблокированный сайт выплывает вот этот адрес http://internet-filter.ru

Что-то у них на сайте вообще ни слова как оно работает, но SSH-туннель все равно попробуй, хотя шансов почти нет.

Но iodine должен помочь, хотя и настраивать геморно и скорость иногда не очень.

Black_Roland ★★★★ ()
Последнее исправление: Black_Roland (всего исправлений: 1)
Ответ на: комментарий от Black_Roland

Доступа с мака нет, поэтому от руки:

http://vk.com +multiline +nocomments +nocmd +noquestion +nostats +search
900 IN SOA a. gtld-servers.net nstld.verisign-grs.com
1396189120 ; serial
1800; refresh (30 min)
900 ;retry (15 min)
60480; expire (1 week)
86400 ; minimum (1 day)

И всё

DoubleNoob ()
Ответ на: комментарий от DoubleNoob

Ты с http:// вместе набирал? Тут http не надо. И вообще похоже на маке dig есть, потому можно просто так:

dig vk.com

Если доступа нет, то не обязательно все переписывать. Интересует только после ;; ANSWER SECTION: и то только IP адреса. Ну и ;; SERVER:

Black_Roland ★★★★ ()
Последнее исправление: Black_Roland (всего исправлений: 1)
Ответ на: комментарий от DoubleNoob

Телнет на мой 80-ый проходит, запрос GET http://vk.com отвечает

Что-то такое получается?

HTTP/1.1 302 Found
Server: nginx/1.2.4
Date: Sun, 30 Mar 2014 14:40:28 GMT
Content-Type: text/html; charset=windows-1251
Content-Length: 0
Connection: keep-alive
X-Powered-By: PHP/3.5257
Location: http://m.vk.com/
Proxy-Connection: keep-alive
Должен же работать прокси тогда.

Black_Roland ★★★★ ()

пробрось какой-нить порт по SSH. Например

ssh -D8080 remote_host

и в ФФ надо прописать прокси localhost SOCKS5 и порт 8080. Тогда инет будет с компьютера remote_host.

emulek ()
Ответ на: комментарий от DoubleNoob

тогда похоже файрволом режется, но днс работает (как я понял). тогда только iodine. на мак софт тоже нельзя ставить? virtualbox сильно помог бы. если есть телефон на андроиде с рутом, то iodine можно запустить на телефоне.

Black_Roland ★★★★ ()

там, похоже, файрвол по принципу белого списка
так что iodine
ну или туннель поверх icmp. Не помню названия демона

ii343hbka ★★★ ()
Ответ на: комментарий от Black_Roland

После dig vk.com

ASWER
vk.com 147 IN A 87.249.131.97
то же, 87,240,131,120
то же, 87.240.131.99
SERVER: 217.116.148.10#53 (217.116.148.10)

После dig @8.8.8.8

ANSWER
vk.com 367 IN A 87.240.131.99
то же, 87,240,143,242
то же, 87,240,131,117
SERVER^ 8.8.8.8#53 (8.8.8.8)

DoubleNoob ()
Ответ на: комментарий от DoubleNoob

кстати, подозрительная ерунда. на 8.8.8.8 на 53 UDP порт пустило. значит 53 UDP порт открыт. значит можно попробовать VPN на 53-ем UDP порту.

а вариант договориться с админами возможен?

Black_Roland ★★★★ ()
Ответ на: комментарий от DoubleNoob

почему он не коннектится к моему сквайду?

потому что файрволл сразу блокирует соединение к «левому» IP. по SSH скорее всего тоже самое будет. ты лучше на 443 порту проверяй, через него больше всего шансов.

Black_Roland ★★★★ ()
Ответ на: комментарий от Black_Roland

если точнее, то 443 TCP и 53 UDP. на 53 - VPN, а на 443 - SSH. но с SSH скорее всего облом будет.

Black_Roland ★★★★ ()

Тред не читал. Ты проверял доступность своего прокси с другого хоста извне (там где точно нет ограничений)?

zaharov ()
Ответ на: комментарий от Black_Roland

А еще, скорее всего, на 33434-33534 UDP. Эти порты для udp traceroute используют.

ValdikSS ★★★★★ ()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.