Не открывается сайт при явном указании прокси.

Проблемы с установкой, настройкой и работой системных и сетевых программ.

Модераторы: GRooVE, alexco

Правила форума
Убедительная просьба юзать теги [code] при оформлении листингов.
Сообщения не оформленные должным образом имеют все шансы быть незамеченными.
razdao
рядовой
Сообщения: 10
Зарегистрирован: 2012-05-21 10:15:55

Не открывается сайт при явном указании прокси.

Непрочитанное сообщение razdao » 2014-06-27 22:08:25

Приветствую. Впервые встречаю такое, нужен совет.

Имеем:
1. Хост под управлением linux, настроенный iptables на accept по всем цепочкам. Является гейтвеем для локальной сети (Сеть1) в большой мир.
Имеется на борту squid 3.0, слушающий интерфейс eth1 на 3128 порту и работающий как в прозрачном режиме, так и с явным указанием прокси. С помощью iptables заворачивается весь трафик на 80 порту, проходящий через хост, на порт 3128.
eth0=1.1.1.2/24
eth1=192.168.0.1/24

2. Хост под управлением FreeBSD, ipfw на allow all. Имеется squid 3.3 на 3128 порту, не прозрачный, слушает все интерфейсы (прокси для "тестов" и для людей, что любят канал потолще). Является гейтвеем в другую сеть (Сеть 2), особенность которой в том, что в ней используются белые адреса. Сети связаны каналом и требования таковы, что любое обращение из моей локальной сети к их внешним адресам должно проходить через этот канал.
em0=192.168.0.2/24
em1=2.2.2.2/24

3. Настроенную статическую маршрутизацию (и работающую), указывающую, что весь не локальный трафик и трафик идущий не в Сеть2 идет через 1.1.1.1, что и проделывается регулярно. Трафик идущий в Сеть2 идет через 192.168.0.2 и уходит по линку в другую сеть, что регулярно так же проделывается.

Проблема в следующем: в Сети2 есть web сервер, пусть будет 2.2.2.5. С рабочей машины из Сети1, под управлением Win, необходим доступ к этому сайту. Gateway 192.168.0.1. Тут у меня 3 варианта:
а) Убираем настройки прокси. Заходим на сайт - сайт открывается.
б) Выставляем прокси 192.168.0.2. Заходим на сайт - сайт открывается.
в) Выставляем прокси 192.168.0.1 - заходим на сайт.. и ничего. Ответ прокси сервера о недоступности по таймауту.

И именно пункт <b>в</b> используется вочти во всей сети - настроен прокси 192.168.0.1. Перебивать любыми средствами на пользовательских машинах займет много времени.

При ловле трафика средствами iptables -j LOG, с выставленным прокси 0.1. ловятся пакеты примерно с таким содержанием:

src=192.168.0.1 dst 192.168.0.x proto=icmp gateway 192.168.0.2 [src 192.168.0.x dst=2.2.2.5]

Собственно вопросы: что это за поведение? Как добиться того, что бы сайт на 2.2.2.5 открывался при явном указании прокси 0.1? Где стоит поискать ответы еще?

З.Ы.: тряпками попрошу не бить, надеюсь на коллективный разум. Сам пока ищу ответы в других местах.

Хостинговая компания Host-Food.ru
Хостинг HostFood.ru
 

Услуги хостинговой компании Host-Food.ru

Хостинг HostFood.ru

Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/

razdao
рядовой
Сообщения: 10
Зарегистрирован: 2012-05-21 10:15:55

Re: Не открывается сайт при явном указании прокси.

Непрочитанное сообщение razdao » 2014-06-27 22:54:30

Распотрошил пакет, нашел, ответ ICMP о необходимости использовать другой gateway (192.168.0.2). Это сообщение послается отправителю 192.168.0.х, а сам пакет отправляется к 192.168.0.2. Но на интерфейсах 192.168.0.2 никаких пакетов от 192.168.0.1 и 192.168.0.х нет..

Аватара пользователя
Alex Keda
стреляли...
Сообщения: 35466
Зарегистрирован: 2004-10-18 14:25:19
Откуда: Made in USSR
Контактная информация:

Re: Не открывается сайт при явном указании прокси.

Непрочитанное сообщение Alex Keda » 2014-06-29 23:14:30

то что отправителю ушёл пакет "использовать гейт такой-то" не означает что отправитель будет его использовать

Код: Выделить всё

bkp0# sysctl -d net.inet.icmp.drop_redirect
net.inet.icmp.drop_redirect: Ignore ICMP redirects
bkp0# sysctl net.inet.icmp.drop_redirect
net.inet.icmp.drop_redirect: 1
bkp0# 
и тазик будет забивать на такие сообщения
Убей их всех! Бог потом рассортирует...