Кентавр 6 — Прозрачное перенаправление на прокси провайдера [решено]

[asy]

Код: [Выделить]

iptables -t nat -L

А если "iptables -t nat -vL" ? Счётчик растёт ?

[berkut_174]

если "iptables -t nat -vL" ? Счётчик растёт ?

Чуть-чуть
Открыл три вкладки: 74.ru, mail.ru, forum.altlinux.org (только эту открыл )

Код: [Выделить]

[root@server ~]# iptables -t nat -vL
Chain PREROUTING (policy ACCEPT 5744 packets, 381K bytes)
 pkts bytes target     prot opt in     out     source               destination         
  978 48368 DNAT       tcp  --  eth1   any     anywhere            !192.168.112.0/24    multiport dports http,webcache to:192.168.112.112:3128

Chain POSTROUTING (policy ACCEPT 140 packets, 20909 bytes)
 pkts bytes target     prot opt in     out     source               destination         
 3934  242K MASQUERADE  all  --  any    eth0    anywhere             anywhere           

Chain OUTPUT (policy ACCEPT 1988 packets, 142K bytes)
 pkts bytes target     prot opt in     out     source               destination         
[root@server ~]# iptables -t nat -vL
Chain PREROUTING (policy ACCEPT 5856 packets, 388K bytes)
 pkts bytes target     prot opt in     out     source               destination         
  988 48888 DNAT       tcp  --  eth1   any     anywhere            !192.168.112.0/24    multiport dports http,webcache to:192.168.112.112:3128

Chain POSTROUTING (policy ACCEPT 142 packets, 21118 bytes)
 pkts bytes target     prot opt in     out     source               destination         
 3987  245K MASQUERADE  all  --  any    eth0    anywhere             anywhere           

Chain OUTPUT (policy ACCEPT 2033 packets, 145K bytes)
 pkts bytes target     prot opt in     out     source               destination         
[root@server ~]#


[asy]

вообще странно, что работает избирательно. Можно попробовать посмотреть tcpdump-ом, что уходит, что возвращается...

[berkut_174]

вообще странно, что работает избирательно. Можно попробовать посмотреть tcpdump-ом, что уходит, что возвращается...

Во-во, точно, избирательно! Касперыч на виндовс с трудом, но обновляется, team viewer на виндовс тоже работает (причем никаких обрывов нет при удаленном доступе!), ...
Порой даже пинги с клиента идут до майла, например, а через браузер не открывает. В чем беда...
Попробую tcpdump.

[asy]

В общем случае такие грабли бывают при проблемах с MTU, но под это дело не попадает нормальная работа в режиме обычного прокси. Если только проблема эта не сразу в локалке.

[berkut_174]

Если только проблема эта не сразу в локалке.

А что может быть не так ? Ведь если вручную прописать — все работает! Более того, странно то, что пинги-то порой даже идут, а через браузер не идет. Бывает пинги вовсе не идут, неизвестный хост. Странно... раньше все так прекрасно работало, а тут вдруг...
Вот сейчас, например, пинги идут, а через IE ya.ru не открывает

Код: [Выделить]

ping ya.ru

Обмен пакетами с ya.ru [213.180.193.3] по 32 байт:

Ответ от 213.180.193.3: число байт=32 время=48мс TTL=55
Ответ от 213.180.193.3: число байт=32 время=45мс TTL=55
Ответ от 213.180.193.3: число байт=32 время=45мс TTL=55
Ответ от 213.180.193.3: число байт=32 время=45мс TTL=55

Статистика Ping для 213.180.193.3:
    Пакетов: отправлено = 4, получено = 4, потеряно = 0 (0% потерь),
Приблизительное время приема-передачи в мс:
    Минимальное = 45мсек, Максимальное = 48 мсек, Среднее = 45 мсекЧто за чудеса

[berkut_174]

С IP 27 логинелся в пиджин, регистрация не прошла:

Код: [Выделить]

tcpdump -i eth1 -n -nn -ttt 'dst host 192.168.112.112 and not ( src host 192.168.112.27 and dst port 22 )'

tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on eth1, link-type EN10MB (Ethernet), capture size 65535 bytes
00:00:00.000000 IP 192.168.112.27.51480 > 192.168.112.112.123: NTPv4, Client, length 48
00:00:04.731720 ARP, Reply 192.168.112.41 is-at bc:aa:c5:b4:b2:b7, length 46
00:00:09.288373 IP 192.168.112.23.2161336583 > 192.168.112.112.2049: 172 getattr [|nfs]
00:00:00.000260 IP 192.168.112.23.993 > 192.168.112.112.2049: Flags [.], ack 2038497325, win 42075, length 0
00:00:10.695248 IP 192.168.112.41.63773 > 192.168.112.112.53: 59987+ A? s.gateway.messenger.live.com. (46)
00:00:11.591807 IP 192.168.112.27.34802 > 192.168.112.112.53: 48334+ A? api.login.icq.net. (35)
00:00:05.005524 IP 192.168.112.27.34802 > 192.168.112.112.53: 48334+ A? api.login.icq.net. (35)
00:00:05.001000 ARP, Request who-has 192.168.112.112 tell 192.168.112.27, length 46
00:00:00.005565 IP 192.168.112.27.43975 > 192.168.112.112.53: 28783+ A? api.login.icq.net.school. (42)
00:00:00.001570 IP 192.168.112.27.36446 > 192.168.112.112.53: 15251+ A? api.login.icq.net.localdomain. (47)
00:00:07.995162 IP 192.168.112.27 > 192.168.112.112: ICMP 192.168.112.27 udp port 34802 unreachable, length 521
00:00:00.000141 IP 192.168.112.27 > 192.168.112.112: ICMP 192.168.112.27 udp port 34802 unreachable, length 521
00:00:02.492365 IP 192.168.112.27.60538 > 192.168.112.112.53: 13696+ A? api.login.icq.net. (35)
00:00:08.138972 ARP, Reply 192.168.112.41 is-at bc:aa:c5:b4:b2:b7, length 46
00:00:09.233494 IP 192.168.112.23.2178113799 > 192.168.112.112.2049: 172 getattr [|nfs]
00:00:00.000258 IP 192.168.112.23.993 > 192.168.112.112.2049: Flags [.], ack 49, win 42075, length 0
00:00:05.007719 ARP, Request who-has 192.168.112.112 tell 192.168.112.23, length 46
00:00:11.817531 ARP, Reply 192.168.112.41 is-at bc:aa:c5:b4:b2:b7, length 46
00:00:05.002488 ARP, Request who-has 192.168.112.112 tell 192.168.112.27, length 46
^C
19 packets captured
19 packets received by filter
0 packets dropped by kernel
Я тут подумал, может провайдер опять "моросит"... Просто у меня без прокси провайдер не пускает, только через skf.umc74.ru, напрямую выход закрыт. Раньше если пробуешь ломиться через браузер напрямую, то вылазило сообщение мол произведите необходимые настройки в браузере, настройтесь на прокси. А теперь, если я просто шлюз делаю, без перенаправления на прокси, то вообще ничего не вылазит, страница не найдена, ошибка. Видимо что-то со шлюзом у меня или iptables криво настроен... Хотя опять же, почему тогда forum.altlinux.org грузится без проблем! всегда! на любом браузере! на любой ОС!

[asy]

А что может быть не так ?

Основная проблема всех редиректов - не работает mtu discovery. Потому в пределах тех хостов, где такое происходит, всё должно быть заранее определено. Но, как я уже сказал, в пределах локалки когда, эти проблемы ближе к фантастике. После первого сквида это уже не проблема, так как сквид запросы сам выполняет. И я правильно понял, что NAT на одном хосте, а сквид на другом ?

[berkut_174]

И я правильно понял, что NAT на одном хосте, а сквид на другом ?

Неее. Все на одном — 192.168.112.112.

[asy]

Код: [Выделить]

00:00:07.995162 IP 192.168.112.27 > 192.168.112.112: ICMP 192.168.112.27 udp port 34802 unreachable, length 521
00:00:00.000141 IP 192.168.112.27 > 192.168.112.112: ICMP 192.168.112.27 udp port 34802 unreachable, length 521

Это вот что такое и зачем ? Из 'dst host 192.168.112.112' надо dst убрать, будет видно. Я так понимаю, на 34802 ответ на запрос

Код: [Выделить]

00:00:11.591807 IP 192.168.112.27.34802 > 192.168.112.112.53: 48334+ A? api.login.icq.net. (35)
00:00:05.005524 IP 192.168.112.27.34802 > 192.168.112.112.53: 48334+ A? api.login.icq.net. (35)шёл, а его послали. Если ответы DNS блокируются случайным образом, это тоже причина случайно не работать.

[asy]

И я правильно понял, что NAT на одном хосте, а сквид на другом ?

Неее. Все на одном — 192.168.112.112.

Тогда предположение про MTU ещё более фантастично.

[berkut_174]

Это вот что такое и зачем ? Из 'dst host 192.168.112.112' надо dst убрать, будет видно. Я так понимаю, на 34802 ответ на запрос

Код: [Выделить]

00:00:11.591807 IP 192.168.112.27.34802 > 192.168.112.112.53: 48334+ A? api.login.icq.net. (35)
00:00:05.005524 IP 192.168.112.27.34802 > 192.168.112.112.53: 48334+ A? api.login.icq.net. (35)шёл, а его послали. Если ответы DNS блокируются случайным образом, это тоже причина случайно не работать.

Если убрать dst, то ооочень много инфы лезет по моему сеансу ssh, по порту 22. А нужного ничего нет.

[asy]

Если убрать dst, то ооочень много инфы лезет по моему сеансу ssh, по порту 22. А нужного ничего нет.

Ну так "not port 22". Хотя, лучше уже "host 192.168.112.112 and port 53" наверное.

[berkut_174]

Ну так "not port 22". Хотя, лучше уже "host 192.168.112.112 and port 53" наверное.

Как полностью команда будет ?

Разобрался:

Код: [Выделить]

tcpdump -i eth1 -n -nn -ttt host 192.168.112.112 and port 53

[berkut_174]

Вот в pidgin опять пытался залогинется, снова ошибка:

Код: [Выделить]

tcpdump -i eth1 -n -nn -ttt host 192.168.112.112 and port 53

tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on eth1, link-type EN10MB (Ethernet), capture size 65535 bytes
00:00:00.000000 IP 192.168.112.27.57947 > 192.168.112.112.53: 27404+ A? api.login.icq.net. (35)
00:00:05.005324 IP 192.168.112.27.57947 > 192.168.112.112.53: 27404+ A? api.login.icq.net. (35)
00:00:05.005544 IP 192.168.112.27.51343 > 192.168.112.112.53: 25318+ A? api.login.icq.net.school. (42)
00:00:00.000150 IP 192.168.112.112.53 > 192.168.112.27.51343: 25318 NXDomain* 0/1/0 (86)
00:00:00.000634 IP 192.168.112.27.39742 > 192.168.112.112.53: 62086+ A? api.login.icq.net.localdomain. (47)
00:00:00.000041 IP 192.168.112.112.53 > 192.168.112.27.39742: 62086 NXDomain* 0/1/0 (97)
00:00:09.993571 IP 192.168.112.112.53 > 192.168.112.27.57947: 27404 2/13/7 CNAME icqopenauthstg.egslb.aol.com., A 64.12.239.116 (485)
00:00:00.000115 IP 192.168.112.112.53 > 192.168.112.27.57947: 27404 2/13/7 CNAME icqopenauthstg.egslb.aol.com., A 64.12.239.116 (485)