Проксирование трафика с сохранением ip адреса

Question

[Tranced]

Доброго времени суток, хабровчане!

Возможно ли пробрасывать трафик от пользователя к одному серверу(винда) через другой сервер(дебиан) так, что бы на первом сервере был виден ip адрес пользователя, а не проксирующего сервера? Также пользователь должен знать только ip-адрес прокси и не иметь прямого доступа к основному серверу.
Много гуглил, но конкретики не находил. Вероятнее всего мне нужен BiNAT, но под Linux-системы годных мануалов не нашлось. Стоит учесть одну особенность, что доступа к виндовому серверу нет. Squid не подходит, ибо трафик не http. Пробовал DNAT+SNAT, тоже не подходит. Так что надеюсь на вашу помощь и заранее благодарю за ответ!

Answer 1

[Пума Тайланд]

Это делается обычным dnat в iptables
какой нифиг binat

Answer 2

[Ilya Evseev]

1) binat в Линуксе делается либо парой правил snat\dnat в iptables, либо через iproute2: linux-ip.net/html/nat-stateless.html

2) если Windows будет видеть в заголовке приходящих IP-пакетов настоящий адрес отправителя,
то по умолчанию она будет отправлять ему ответы напрямую, а не через Дебиан.

3) решением могло бы стать туннельное соединение между Дебианом и Windows (например, OpenVPN)
и политика маршрутизации на Windows для данного протокола, но если к ней нет доступа, то увы.

Comments

[jcmvbkbc]

1) да зачем здесь snat+dnat? Достаточно dnat, он и так работает в две стороны, когда соединение установлено.
2) чтобы такого не было, на windows-сервере маршрут к сети откуда приходят клиенты должен лежать через прокси-сервер.

[Ilya Evseev]

на windows-сервере маршрут к сети откуда приходят клиенты должен лежать через прокси-сервер.

Такое будет работать только в двух случаях — либо целевой сервер находится в одном сегменте с прокси, либо между ними установлен туннель.

да зачем здесь snat+dnat?

Незачем, но раз спросили, то лучше ответить.
Здесь оно не нужно, но вообще полезно.

Достаточно dnat

Уже объяснили, почему он здесь не годится — вместо адреса клиента сервер будет видеть адрес прокси, а автору вопроса нужно наоборот.

[Tranced]

Туннель в принципе возможен, но нежелателен, машины находятся в разных сегментах. Более того, проксирующих серверов будет несколько.

[jcmvbkbc]

Уже объяснили, почему он здесь не годится — вместо адреса клиента сервер будет видеть адрес прокси

Да вы офигели: en.wikipedia.org/wiki/Network_address_translation#DNAT

Destination network address translation (DNAT) is a technique for transparently changing the destination IP address of an en route packet

На прокси в пакете идущем от клиента будет подменён адрес назначения, с адреса прокси на адрес windows-сервера.

[jcmvbkbc]

на windows-сервере маршрут к сети откуда приходят клиенты должен лежать через прокси-сервер.
Такое будет работать только в двух случаях — либо целевой сервер находится в одном сегменте с прокси, либо между ними установлен туннель.

Да нет же, не обязаны они быть в одном сегменте, просто между ними должен быть маршрут, и по нему должен отправлять пакеты обратно windows-сервер.

Answer 3

[Sergey]

Если речь про WEB-трафик, то задача решается при помощи заголовков x-forwarded-for или x-real-ip.

Comments

[Максим Клюшков]

Написано ведь: Squid не подходит, ибо трафик не http.

[Sergey]

Не заметил, читаю с телефона.

Answer 4

[ValdikSS]

Если у вас эти две машины в одной сети, то все должно решиться через SNAT+DNAT, ну и еще на маршрутизаторе тоже нужно будет делать DNAT, если же нет, то практически нереально без костылей.

Comments

[Tranced]

Вот костыли меня и интересуют.

[ValdikSS]

tranced у вас есть доступ вблизи виндовой машины? Можете ли вы поставить перед ней свой маршрутизатор?

[Tranced]

ValdikSS неа, нет

[Tranced]

Уже смирился :(