Как вынести прокси на отдельный сервер?

Question

[Максим]

Не могу собразить как будет правильно
Я себе представляю так: клиент идет в интенет, шлюз его редиректом перекидывает на прокси, которая после обработки обратно кидает на шлюз и тот дальше идет в интернет.

есть две сети 10.214.2.128/25 192.168.1.0/24 прокси 10.214.2.138 шлюз 10.214.2.134 и 192.168.1.5 из всех сетей должен быть доступ к инету. как написать правильно правила?

Answer 1

[Swartalf]

добавьте маскарад, что то вроде:
iptables -t nat -A POSTROUTING -j MASQURADE

Comments

[Максим]

что это даст?

[Swartalf]

что бы ответы прокси доходили до клиента, а не оставались на шлюзе.

Answer 2

[Макс]

нет, не будет - у Вас правило для 192.168.18.0/24, а прокся 192.168.17.6
на пакеты от прокси правило не применится

Comments

[Максим]

я опечатлся прокся тоже в этой сети

[Макс]

Максим: ок. в таком случае - классика iptables -t nat -A PREROUTING -s ! 192.168.18.6 -p tcp —dport 80 -j DNAT —to 192.168.18.6:3127
то, что Вы делаете, называется Transparrent Proxy eddnet.org/?p=645
к слову - только 80 порта мало. Я бы добавил как минимум 443 - https

[Максим]

Макс: спасибо, а что касается 443 порта это само собой)

[Максим]

Макс: я окончательно запутался))) направьте на путь истинный. обновил вопрос

[Макс]

Максим: ну смотрите. правило прероутинга должно завернуть ВСЕ пакеты на проксю, кроме пакетов от самой прокси. Пакеты от прокси надо за-натить. Т.е. в правиле, которое Вы уже писали, надо 192.168.18.6 заменить на 10.214.2.138. это обеспечит перенаправление всех клиентов на прокси. NAT сами загуглите?

Answer 3

[gad26032]

на шлюзе
-A PREROUTING -s 192.168.1.0/24 -i eth6(вместо eth6 пропишите ваш интерфейс на котором внутренняя сеть) -p tcp -m tcp --dport 80 -j DNAT --to-destination 10.214.2.134:3128

-A PREROUTING -s 10.214.2.128/25 -i eth6(вместо eth6 пропишите ваш интерфейс на котором Внешняя сеть) -p tcp -m tcp --dport 80 -j DNAT --to-destination 10.214.2.134:3128

Если не заработает для внутренней сети на 192.... то пропишите правило маскарада

-A POSTROUTING -s 192.168.1.0/24 -i eth6(вместо eth6 пропишите ваш интерфейс на котором внутренняя сеть) -o eth7(вместо eth7 пропишите ваш интерфейс на котором Внешняя сеть) -j MASQUERADE

Comments

[Serg New]

а что в логах кальмара будет: в инет ходил шлюз, или клиенты?

[gad26032]

Sergey Nev: Если будет ходить черехз маскарад то само собой в роли хоста будет шлюз, но это у же другой вопрос.
Тут уже нужно логирование делать на шлюзе... либо на проксе поднимать какой нить vpn и жестко привязывать клиентов к ipи по ним уже смотреть....
Но почему то мне кажется что Максим это не надо... или надо?

[Максим]

gad26032: по всей видимости придется ставить на шлюз