Перенаправление трафика хостов на локальную машину с прокси, как?

Question

[Bega]

Помогите помочь настроить прохождение трафика хостов через шлюз(linux) который подключен прокси серверу.
хост > шлюз > прокси
Задача очень странная, но другого выхода нет.
Пытался сделать через iptables

iptables -t nat -A PREROUTING -s 192.168.0.0/24 -p tcp -m multiport --dports 80,8080,443 -j REDIRECT  --to-ports 10808
iptables -t nat -A POSTROUTING -s 192.168.0.0/24 -j MASQUERADE

но выходит ошибка

2022/01/11 06:12:37 tcp:192.168.0.5:62481 rejected  v2ray.com/core/proxy/socks: unknown Socks version: 22

v2ray слушает два порта socks5 10808 http 10809
Пытался настроить прокси глобально для linux через /etc/environment. Сам linux ходит через прокси, хосты напрямую. Голову сломал как можно провернуть сей финт ушами

Answer 1

[Владимир Дубровин]

Вы трафик HTTP/HTTPS перенаправили в порт SOCKS прокси, чего сокс прокси не ожидает (он ожидает, что придет SOCKS клиент).

Есть три возможных решения:
1. Делать редирект на уровне HTTP, для этого для HTTPS потребуется подмена сертификата, трафик надо перенаправлять в http/https прокси, а уже из него перенапрвлять дальше
2. Для HTTP делать на уровне HTTP, для HTTPS брать имя назначения из SNI, http перенаправлять в http прокси, https перенаправлять в отдельный порт который будет делать SNI.
3. Использовать прокси поддерживающий транспарентное перенаправления
Что из этого поддерживает v2ray я не в курсе, 3proxy поддерживает варианты 1 и 3, squid поддерживает вариант 2, я бы рекомендовал третий. Далее из 3proxy трафик можно перенаправить в родительский прокси, например в SOCKSv5 от v2ray. Обсуждается например здесь:
https://3proxy.ru/plugins/TransparentPlugin/
https://github.com/3proxy/3proxy/issues/724

Comments

[Bega]

Владимир, благодарю за ответ. У меня была такая мысль использовать родительский прокси на сквиде, но не получилось собрать из исходников сам сквид. По вашим ссылкам настроил простейшую конфигурацию и все работает.Единственное, что не понял, это
allow * * * 80
parent 1000 http 0.0.0.0 0
allow *
parent 1000 socks5 SOCKS5_IP SOCKS5_PORT USER PASSWORD
transparent
tcppm -iLOCAL_IP 12345 127.0.0.1 11111
notransparent
proxy

Клиент прозрачно ходит в интернет через родительский прокси
Может кому понадобится

Мой рецепт /etc/3proxy/3proxy.cfg

setgid <ваш gid>
setuid  <ваш uid>

nserver 77.88.8.2
nserver 8.8.8.8

nscache 65536
timeouts 1 5 30 60 180 1800 15 60
daemon

log /var/log/3proxy/3proxy.log D
logformat "- +_L%t.%. %N.%p %E %U %C:%c %R:%r %O %I %h %T"
rotate 30

auth iponly
allow *
parent 1000 socks5 127.0.0.1 10808
plugin /etc/3proxy/TransparentPlugin.ld.so transparent_plugin
tcppm 31281 127.0.0.1 31282

В iptables

iptables -A PREROUTING -s 192.168.0.0/24 -p tcp -m multiport --dports 80,8080,443 -j REDIRECT --to-ports 31281

[Владимир Дубровин]

allow * * * 80
parent 1000 http 0.0.0.0 0

перенаправляет трафик по 80му порту в локальный http прокси, это позволяет видеть в логах HTTP запросы и писать правила специфичные для HTTP, если этого не требуется -- можно убрать. transparent/notransparent влюкчает транспарентный режим для tcppm и отключает для сервисов ниже. proxy в вашей конфигурации скорей всего не нужен, если вы его не используете и его можно убрать

[Bega]

В целом и без transparent работает, спасибо

[Bega]

Владимир Дубровин, а что насчет редиректов днс запросов на прозрачный прокси а дальше на родительский прокси? провайдер перехватывает запросы и отдает ип заглушки

[Владимир Дубровин]

Можно сделать проксирование DNS запросов на внешний DNS сервер, но только по tcp, это сделает разрешение имен немного медленней.

flush
nserver 8.8.8.8/tcp
allow *
parent 1000 ....
dnspr -p12345 -i127.0.0.1

запускает DNS-прокси который использует родительский прокси для разрешения имен через DNS гугла, после чего можно заруливать DNS трафик в dnspr.

[Bega]

Владимир Дубровин, Замучился настраивать

flush
nserver 8.8.8.8/tcp
plugin /etc/3proxy/TransparentPlugin.ld.so transparent_plugin
allow *
parent 1000 socks5 127.0.0.1 10808
dnspr -p12345 -i127.0.0.1

Не идет трафик через dnspr

[Владимир Дубровин]

Bega, а что вы этой конфигурацией хотели сделать? Зачем там transparent и как вы трафик перенаправляете в dnspr?

[Bega]

Владимир Дубровин, Конфигурация такого вида, не понимаю что делаю не так

plugin /etc/3proxy/TransparentPlugin.ld.so transparent_plugin
allow *
parent 1000 socks5 127.0.0.1 1080


tcppm 31281 127.0.0.1 31282

flush
nserver 8.8.8.8/tcp
allow *
parent 1000 socks5 127.0.0.1 1080
dnspr -p12345 -i127.0.0.1

В iptables сделал перенаправление 53 порта на 12345

[Владимир Дубровин]

Для DNS TransparentPlugin не требуется, если вы еще и транспарентный прокси используете то нужны команды transparent до tcppm и notransparent после. Убедитесь что вы трафик который идет от прокси не заворачиваете обратно в прокси.

[Bega]

В общем замаялся пытаясь настроить, при таком конфиге не работает. Либо родительский прокси не принимает подобное либо я что-то не то делаю

plugin /etc/3proxy/TransparentPlugin.ld.so transparent_plugin
allow *
parent 1000 socks5 127.0.0.1 1080


transparent
tcppm 31281 127.0.0.1 31282
notransparent


flush
auth iponly
nserver 8.8.8.8/tcp
nscache 65536
allow *
parent 1000 socks5 127.0.0.1 1080
dnspr

[Владимир Дубровин]

Bega, так включите логгирование-то

[Bega]

Владимир Дубровин,

лог

1644852496.099 DNSPR.53 00100 - 192.168.0.105:54315 0.0.0.0:0 0 0 0 0000//
1644852498.104 DNSPR.53 00100 - 192.168.0.105:54315 0.0.0.0:0 0 0 0 0000//
1644852499.777 DNSPR.53 00100 - 192.168.0.105:60921 0.0.0.0:0 0 0 0 0000//
1644852499.947 DNSPR.53 00100 - 192.168.0.105:60921 0.0.0.0:0 0 0 0 0000//
1644852500.949 DNSPR.53 00100 - 192.168.0.105:60921 0.0.0.0:0 0 0 0 0000//
1644852502.114 DNSPR.53 00100 - 192.168.0.105:54315 0.0.0.0:0 0 0 0 0000//
1644852502.954 DNSPR.53 00100 - 192.168.0.105:60921 0.0.0.0:0 0 0 0 0000//
1644852506.559 DNSPR.53 00100 - 192.168.0.105:58939 0.0.0.0:0 0 0 0 0000//
1644852506.711 DNSPR.53 00100 - 192.168.0.105:58939 0.0.0.0:0 0 0 0 0000//
1644852506.965 DNSPR.53 00100 - 192.168.0.105:60921 0.0.0.0:0 0 0 0 0000//
1644852507.714 DNSPR.53 00100 - 192.168.0.105:58939 0.0.0.0:0 0 0 0 0000//
1644852509.720 DNSPR.53 00100 - 192.168.0.105:58939 0.0.0.0:0 0 0 0 0000//
1644852513.730 DNSPR.53 00100 - 192.168.0.105:58939 0.0.0.0:0 0 0 0 0000//
1644852521.669 DNSPR.53 00100 - 192.168.0.105:50297 0.0.0.0:0 0 0 0 0000//
1644852521.837 DNSPR.53 00100 - 192.168.0.105:50297 0.0.0.0:0 0 0 0 0000//
1644852522.840 DNSPR.53 00100 - 192.168.0.105:50297 0.0.0.0:0 0 0 0 0000//

Текущий конфиг

setgid 117
setuid 113

timeouts 1 5 30 60 180 1800 15 60

#external 192.168.0.121
#internal 192.168.0.121

daemon

log /var/log/3proxy/3proxy.log D
logformat "- +_L%t.%. %N.%p %E %U %C:%c %R:%r %O %I %h %T"
rotate 30

flush
auth iponly

plugin /etc/3proxy/TransparentPlugin.ld.so transparent_plugin
allow *
parent 1000 socks5 127.0.0.1 10808
transparent
tcppm 31281 127.0.0.1 31282
notransparent

flush
auth iponly
nserver 8.8.8.8/tcp
nscache 65536
allow *
parent 1000 socks5 127.0.0.1 10808
dnspr (и так тоже пробовал dnspr -p1245 -i192.168.0.35)

Не понимаю в чем дело

Answer 2

[Rsa97]

Для перенаправления нужен не socks-, а http-прокси, причём в прозрачном режиме.
Например, можно использовать Squid с настройкой transparent proxy.
Для https-трафика нужно ещё и SSL-bumping настраивать с установкой своего корневого сертификата на все компьютеры.

Comments

[Bega]

Скажем я настроил squid. но как сделать так чтобы трафик шел через v2ray proxy?