Прозрачный прокси!

[kvirtu]

НЕ пинайте, тема не нова, но у меня не выходит !!!
Помогите с маскарадингом.
значит есть два компа: на первом (ВиньXP) входящий спут.канал (SkyDSL)+прокси (Глобакс) c адресом 192.168.1.2, на втором с адресом 192.168.1.1 (freebsd 5.4) исходящий канал+биллинг. Юзверы конектятся на 192.168.1.1 по впн и получают адреса из подсети 192.168.200.0/24. Надо организовать перенаправление всех запросов на адрес 192.168.1.2 на порт 3128, так как при впн-конекте инет юзверы получают по земле.
ядро сконфигурировал с поддержкой:
options IPFIREWALL
options IPFIREWALL_VERBOSE=100
options IPFIREWALL_FORWARD
options IPDIVERT
/etc/rc.firewall:
#/bin/sh
/sbin/ipfw -f flush
/sbin/ipfw add divert natd all from any to any via xl0
/sbin/ipfw add pass all from any to any
Заранее всем спасибо !

[Хостинг HostFood.ru]

Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/

[Alex Keda]

ifconfig дай
====
по тем данным что ты дал - примерно так -

Код: Выделить всё

fwd 127.0.0.1,3128 tcp from 192.168.200.0/24 to any 80 via xl0

тока надо учесть что исходящий по одному а входящий по другому....
т.е. вохможно придётся поиграть с fwd и конфигом сквида в плане интерфейса и оутгоинг_аддресс...

[kvirtu]

Код: Выделить всё

xl0: flags=8943<UP,BROADCAST,RUNNING,PROMISC,SIMPLEX,MULTICAST> mtu 1500
options=9<RXCSUM,VLAN_MTU>
inet 192.168.5.48 netmask 0xffffff00 broadcast 192.168.5.255
inet6 fe80::210:5aff:fed8:265c%xl0 prefixlen 64 scopeid 0x1 
ether 00:10:5a:d8:26:5c
media: Ethernet autoselect (100baseTX <full-duplex>)
status: active
rl0: flags=8843<UP,BROADCAST,RUNNING,SIMPLEX,MULTICAST> mtu 1500
options=8<VLAN_MTU>
inet 192.169.251.1 netmask 0xffffff00 broadcast 192.169.251.255
inet6 fe80::2e0:7dff:fee5:5519%rl0 prefixlen 64 scopeid 0x2 
ether 00:e0:7d:e5:55:19
media: Ethernet autoselect (100baseTX)
status: active
lo0: flags=8049<UP,LOOPBACK,RUNNING,MULTICAST> mtu 16384
inet 127.0.0.1 netmask 0xff000000 
inet6 ::1 prefixlen 128 
inet6 fe80::1%lo0 prefixlen 64 scopeid 0x3

[Alex Keda]

а интерфейсов при коннекте клиента не создаётся?

[kvirtu]

а интерфейсов при коннекте клиента не создаётся?

создается tun0,1

[kvirtu]

я пробывал так
ipfw add fwd 192.168.2.1,3128 tcp from 192.168.200.0/24 to any 80 via xl0
ipfw add divert natd ip from 192.168.200.0/24 to any out via xl0
ipfw add divert natd ip from any to 192.168.1.2 in via xl0
у меня xlo - 192.168.1.1 - интерфейс смотрит на инет запросный, rl0 - 192.168.1.3 смотрит на 192.168.1.2
сории если не дал сразу все данные ...

[Alex Keda]

ну а для них ifconfig где?
====
и зачем тебе IPv6? - это конечно к делу не относится но если не юзаешь - отключил бы нахер

[Alex Keda]

ipfw add fwd 192.168.2.1,3128 tcp from 192.168.200.0/24 to any 80 via xl0

это верно. тока сквиду надо указать по какому интерфейсу работать, или в фаере разрулить - что пакеты с локалхота уходили так а приходили так.

Код: Выделить всё

ipfw add divert natd ip from 192.168.200.0/24 to any out via xl0
ipfw add divert natd  ip from any to 192.168.1.2 in via xl0

если я правильно понимаю то у тебя должно быть три интерфейса - по одному со спутника ходящий траффик, по другому исходящий (и в обе стороны если спутник лежит) и третий в локалку.
ну сколькото tun* для клиентов...

[kvirtu]

ну а для них ifconfig где?
====
и зачем тебе IPv6? - это конечно к делу не относится но если не юзаешь - отключил бы нахер

tun0: flags=8051<UP,POINTOPOINT,RUNNING,MULTICAST> mtu 1460
inet6 fe80::210:5aff:fed8:265c%tun0 prefixlen 64 scopeid 0x4
inet 192.168.1.1 --> 192.168.200.2 netmask 0xffffffff
Opened by PID 2658
IPv6 - да вроде не включал я его в ядро

[kvirtu]

ipfw add fwd 192.168.2.1,3128 tcp from 192.168.200.0/24 to any 80 via xl0

это верно. тока сквиду надо указать по какому интерфейсу работать, или в фаере разрулить - что пакеты с локалхота уходили так а приходили так.

Код: Выделить всё

ipfw add divert natd ip from 192.168.200.0/24 to any out via xl0
ipfw add divert natd  ip from any to 192.168.1.2 in via xl0

если я правильно понимаю то у тебя должно быть три интерфейса - по одному со спутника ходящий траффик, по другому исходящий (и в обе стороны если спутник лежит) и третий в локалку.
ну сколькото tun* для клиентов...

у меня на 192.168.1.1 - два интерфейса (2 сетевухи) xl0 - исходящий & rl0 - входящий со спутника, смотрящий на 192.168.1.2

[Alex Keda]

Код: Выделить всё

xl0:
inet 192.168.5.48 netmask 0xffffff00 broadcast 192.168.5.255

rl0: 
inet 192.169.251.1 netmask 0xffffff00 broadcast 192.169.251.255

а это тогда как понимать?
к какой железке адрес 192.168.1.1 привязан?

[kvirtu]

Код: Выделить всё

xl0:
inet 192.168.5.48 netmask 0xffffff00 broadcast 192.168.5.255

rl0: 
inet 192.169.251.1 netmask 0xffffff00 broadcast 192.169.251.255

а это тогда как понимать?
к какой железке адрес 192.168.1.1 привязан?

вах, ошибочка, это старые данные дал
вот реальные:
xl0 - 192.168.1.1
rl0 - 192.168.1.3

[Alex Keda]

двай ещё раз вывод ifconfig
нормальный....

[kvirtu]

двай ещё раз вывод ifconfig
нормальный....

Мне кажется что у меня просто не рабоатет форвардинг, хотя в ядре прописано, как это можно узнать ???

[zorg]

Сделай ipfw show да посмотри идут там пакеты по этому правилу или нет.

[kvirtu]

Сделай ipfw show да посмотри идут там пакеты по этому правилу или нет.

вот к примеру ввожу правило: указываю адрес и порт , которых у меня нет.
ipfw add fwd 10.0.1.1,3145 tcp from any to any 80
а вот ipdw show:
00500 83 8664 divert 8668 ip from any to any via xl0
00600 0 0 fwd 10.0.1.1 tcp from any to any dst-port 80
65535 7424 874225 allow ip from any to any
но юзверы прродолжают ходит по земле в инет ???

[kvirtu]

Сделай ipfw show да посмотри идут там пакеты по этому правилу или нет.

вот к примеру ввожу правило: указываю адрес и порт , которых у меня нет.
ipfw add fwd 10.0.1.1,3145 tcp from any to any 80
а вот ipfw show:
00500 83 8664 divert 8668 ip from any to any via xl0
00600 0 0 fwd 10.0.1.1 tcp from any to any dst-port 80
65535 7424 874225 allow ip from any to any
но юзверы прродолжают ходит по земле в инет, хотя доспуп вообще должен отсутствовать ???

[Alex Keda]

Сделай ipfw show да посмотри идут там пакеты по этому правилу или нет.

вот к примеру ввожу правило: указываю адрес и порт , которых у меня нет.
ipfw add fwd 10.0.1.1,3145 tcp from any to any 80
а вот ipfw show:
00500 83 8664 divert 8668 ip from any to any via xl0
00600 0 0 fwd 10.0.1.1 tcp from any to any dst-port 80
65535 7424 874225 allow ip from any to any
но юзверы прродолжают ходит по земле в инет, хотя доспуп вообще должен отсутствовать ???

потомучто диверт раньше. они по диверту ходят. пакет обрабатывается до первого вхождения. после него он из фаера выходит, или рубится - смотря какое вхождение было

[kvirtu]

Сделай ipfw show да посмотри идут там пакеты по этому правилу или нет.

вот к примеру ввожу правило: указываю адрес и порт , которых у меня нет.
ipfw add fwd 10.0.1.1,3145 tcp from any to any 80
а вот ipfw show:
00500 83 8664 divert 8668 ip from any to any via xl0
00600 0 0 fwd 10.0.1.1 tcp from any to any dst-port 80
65535 7424 874225 allow ip from any to any
но юзверы прродолжают ходит по земле в инет, хотя доспуп вообще должен отсутствовать ???

потомучто диверт раньше. они по диверту ходят. пакет обрабатывается до первого вхождения. после него он из фаера выходит, или рубится - смотря какое вхождение было

поменял местами правила, теперь
00600 0 0 fwd 10.0.1.1,3145 tcp from any to any dst-port 80
00500 83 8664 divert 8668 ip from any to any via xl0
65535 7424 874225 allow ip from any to any
но проблемы это не решило

[Alex Keda]

ну - форвардить в никуда не хочет значит...
и интерфейс укажи, чтоль...

[kvirtu]

ну - форвардить в никуда не хочет значит...
и интерфейс укажи, чтоль...

сделал так, но ......
ipfw add fwd 10.0.1.1,3145 tcp from any to any 80 out via xl0

[Alex Keda]

и? каким номером оно попало? ккак пробуешь-то хоть?
===
давай так. нарисуй картинку, всё-таки. с сервером, интерфейсами, клиентами, и т.п.
дай ipfw show; ifconfig (хоть с одним клиентом)
===
потом будем копать дальше... а то какие-то куски мозаики....

[kvirtu]

посидев, помудрив, сделал так:
ipfw add divert natd all from 192.169.250.2 to any in via rlo
ipfw add divert natd all from 192.169.250.2 to any out via xlo
ipfw add divert natd all from any to any in ia xl0
ipfw add divert natd all from any to any out ia xl0
192.169.250.2 - впн-юзер,
192.169.250.1 - адрес впн-сервера
остался не решеным вопрос как сделать правильно редирект на прокси 192.169.251.1 на порт 3128,
т.к. впн-юзверы получают шлюз по умолчанию 192.169.250.1, и дальше их не пускает ......

[kvirtu]

посидев, помудрив, изменив адреса сделал так:
ipfw add divert natd all from 192.169.250.2 to any in via rlo
ipfw add divert natd all from 192.169.250.2 to any out via xlo
ipfw add divert natd all from any to any in ia xl0
ipfw add divert natd all from any to any out ia xl0
192.169.250.2 - впн-юзер,
192.169.250.1 - адрес впн-сервера
остался не решеным вопрос как сделать правильно редирект на прокси 192.169.251.1 на порт 3128,
т.к. впн-юзверы получают шлюз по умолчанию 192.169.250.1, и дальше их не пускает ......

[Alex Keda]

дальше шлюза не пускает?