Автор Тема: Настроить трафик через 80 порт с подсети через iptables (Прочитано 318 раз)

Уменялапки · « : 25.07.2022 09:30:14 »

Здравствуйте.
Вводная
Компьютер с двумя сетевыми картами и АльтСервером 8. Первая получает интернет напрямую от провайдера. На второй сетевой карте с айпи адресом 182.25.10.2 настроен Сквид.
Есть две подсети: 182.25.10.2/192 маска и 182.25.4.49/240 маска.
Компьютеры первой подсети получают интернет напрямую от прокси. Если упрощённо то так: 182.25.10.6 - 182.25.10.2(прокси Сквид)
Компьютеры второй подсети получают интернет так: 182.25.4.55 - 182.25.4.49(выступает шлюзом для подсети) - 182.25.10.2(прокси Сквид)

Что сделать
Пустить трафик браузера напрямую в интернет в обход прокси сервера из подсети 182.25.4.49/240

Как работает сейчас.
В настройках системы прописан прокси сервер - интернет в браузере есть. Стираем настройки прокси в системе - интернета нет.

Частичное решение
Так как первая подсеть и прокси Сквид находятся в одном диапазоне то правило в iptables написал такое -t nat -A prerouting -p tcp -s 182.25.10.11 --dport 80 -j ACCEPT.
Как итог стираю настройки прокси из системы и интернет работает.

А вот с компьютерами из подсети 182.25.4.49/240 проблема. Такое жа правило в iptables естественно не работает. А соображалки не хватает чтобы правильное правило написать.

Помогите пожалуйста написать верное правило в iptables.

Александр Ерещенко · « **Ответ #1 :** 25.07.2022 10:37:51 »

Цитата: Уменялапки от 25.07.2022 09:30:14

Компьютеры второй подсети получают интернет так: 182.25.4.55 - 182.25.4.49(выступает шлюзом для подсети) - 182.25.10.2

Когда вы написали "выступает шлюзом для подсети", вы же настроили соответственно на этом шлюзе маскарадинг (правило в таблице POSTROUTING с действием -j MASQUERADE или -j SNAT (snat в вашем варианте предпочтительней)) ?

ЗЫ. Я так понимаю, адреса 182.*.*.* для внутренней сети вы показали просто для примера? Иначе, если это реальные, то вы внезапно можете не попасть на ряд индонезийских хостингов :))

Уменялапки · « **Ответ #2 :** 25.07.2022 11:03:06 »

Цитата: Александр Ерещенко от 25.07.2022 10:37:51

Цитата: Уменялапки от 25.07.2022 09:30:14
Компьютеры второй подсети получают интернет так: 182.25.4.55 - 182.25.4.49(выступает шлюзом для подсети) - 182.25.10.2
Когда вы написали "выступает шлюзом для подсети", вы же настроили соответственно на этом шлюзе маскарадинг (правило в таблице POSTROUTING с действием -j MASQUERADE или -j SNAT (snat в вашем варианте предпочтительней)) ?

Доступа к этим настройкам у меня нет. К сожалению я понятия не имею что там написано.

Александр Ерещенко · « **Ответ #3 :** 25.07.2022 11:26:47 »

Т.е. у вас нет доступа к настройкам сервера, описанного в вводной? Как же вы тогда собрались решать описанную задачу? :)

Уменялапки · « **Ответ #4 :** 25.07.2022 11:41:20 »

Цитата: Александр Ерещенко от 25.07.2022 11:26:47

Т.е. у вас нет доступа к настройкам сервера, описанного в вводной? Как же вы тогда собрались решать описанную задачу? :)

Простите видимо я вас не понял и запутал.
Доступ к серверу с Прокси у меня есть. В разделе NAT Postrouting написано -o enp3s0 -j MASQUERADE.

Александр Ерещенко · « **Ответ #5 :** 25.07.2022 12:54:27 »

На 182.25.4.49, как я понимаю, тоже 2 интерфейса, каждый смотрит в соответствующую подсеть, и настроена простая маршрутизация между сетями.
Самый простой и правильный вариант - именно на этом шлюзе настроить SNAT, например только для портов http и https и возможно только для избранных компов из сети 182.25.4.*

Уменялапки · « **Ответ #6 :** 26.07.2022 07:13:50 »

Цитата: Александр Ерещенко от 25.07.2022 12:54:27

На 182.25.4.49, как я понимаю, тоже 2 интерфейса, каждый смотрит в соответствующую подсеть, и настроена простая маршрутизация между сетями.
Самый простой и правильный вариант - именно на этом шлюзе настроить SNAT, например только для портов http и https и возможно только для избранных компов из сети 182.25.4.*

182.25.4.49 простенький роутер который настроен провайдером в режиме моста для объединения с другими подсетями. У меня нет доступа к нему.

Александр Ерещенко · « **Ответ #7 :** 26.07.2022 08:09:34 »

Попробуйте добавить на линуксовом сервере правило в NAT Postrouting (наверное даже лучше перед строчкой с маскарадингом):
-o enp2s0 -s 182.25.4.49/28 -j SNAT --to-source адрес_сетевой_смотрящей_в_инет

Кстати, не обратил сразу внимание: что это за форма записи маски - 182.25.4.49/240 ?
Тут либо 182.25.4.49/24 , либо 182.25.4.49/255.255.255.240, что соответствует 182.25.4.49/28
(есть хорошая консольная программка ipcalc - ip calculator)

ЗЫ. И всё-таки странная у вас адресация во внутренней локальной сети - мало того, что подсеть выделена из реальных инетных адресов, так и диапазоны какие-то маленькие для локалки.

Уменялапки · « **Ответ #8 :** 26.07.2022 08:22:14 »

Цитата: Александр Ерещенко от 26.07.2022 08:09:34

Попробуйте добавить на линуксовом сервере правило в NAT Postrouting (наверное даже лучше перед строчкой с маскарадингом):
-o enp2s0 -s 182.25.4.49/28 -j SNAT --to-source адрес_сетевой_смотрящей_в_инет

Кстати, не обратил сразу внимание: что это за форма записи маски - 182.25.4.49/240 ?
Тут либо 182.25.4.49/24 , либо 182.25.4.49/255.255.255.240, что соответствует 182.25.4.49/28
(есть хорошая консольная программка ipcalc - ip calculator)

ЗЫ. И всё-таки странная у вас адресация во внутренней локальной сети - мало того, что подсеть выделена из реальных инетных адресов, так и диапазоны какие-то маленькие для локалки.

Я наобум написал, для примера. И с маской тоже написал неверное. Простите. Правило попробую. Отпишусь по результату.

Форум сообщества
Альт Линукс