Как компьютерам с определенными ip адресами дать прямой доступ в Интернет в обход прокси сервера squid?

Question

[dm86]

Есть сервер на Centos линукс с двумя сетевыми картами. Одна принимает Интернет провайдера eth 0, другая смотрит в локальную сеть eth1. Установлен прокси сервер Squid, через который ходят все компьютеры сети. Я уже задавал вопрос о том, что не могу настроить работу сервиса вебконференций Onwebinar, который работает по флеш-технологии p2p. Он не может связываться с другими участниками из-за нашего прокси-сервера. Что с этим делать - не знаю.
Если все же нельзя настроить работу этого сервиса через прокси-сервер, то можно как-нибудь заставить работать некоторые компьютеры локальной сети с определенными ip адресами (или отдельной подсетью) в обход прокси-сервера Squid. Наверное это можно как-то сделать через iptables, но я не знаю правильных команд и последовательности команд.
Сейчас в iptables вразделе nat прописаны редиректы портов на порт прокси-сервера 3128.

Answer 1

[kolupalkin]

Проброс портов поможет , только надо понимать какие порты открыть
Открытые UDP-порты в диапазоне 1024-65535.
magicpast.net/software/index.php?page=probros-port...

Comments

[dm86]

Для Onwebinar нужно открыть udp порты 1024-65535, но это почему то все равно не работает

Answer 2

[maxaon]

Можете настроить TURN сервер за натом. www.adobe.com/devnet/flashplayer/articles/rtmfp_ci...
Тестер cc.rtmfp.net
Проверте версию флеш плеера.

Или пробросте порты на какой-нибудь ip
iptables -t nat -I PREROUTING -p tcp --dport 1024:65535 -j DNAT --to-destination 192.168.1.100

Comments

[maxaon]

И временно разрешите все.

[dm86]

А порты нужно пробросить до команд редиректа на порты squid 3128? IP адрес 192.168.1.100 - это адрес определенного компьютера сети? И не подскажите, как можно временно разрешить всё. Я этим вопросом занимаюсь совсем недавно, так что извините за такие вопросы!

[maxaon]

Да, должно быть первым. -I вставит в самое начало.
Разрешить все -

iptables -P INPUT ACCEPT
iptables -P OUTPUT ACCEPT
iptables -P FORWARD ACCEPT

А лучше сначала все почистить.
192.168.1.100 - адрес на котором это теоретически должно работать и на котором вы будете проверять

[dm86]

А после этого по идее я могу на компьютере с адресом 192.168.1.100 не прописывать адрес и порт прокси-сервера? Или без них не выйдет в Интернет? И компьютер с адресом 192.168.1.100 будет ходить в Интернет в обход прокси-сервера? Я правильно понял? И если все работает, тогда после описанных вами разрешений (разрешить всё) можно будет прописать редиректы на прокси сервер всей сети?

[maxaon]

Все будет работать так же, как и раньше. Но запросы с мира будут перенаправлятся на 192.168.1.100

[maxaon]

@dm86 Что у вас cc.rtmfp.net показывает?

[maxaon]

@dm86 Еще один тестер. Попробуйте до и после

[dm86]

тестер выдает Failed to connect. Вообщем не работает. С самого же сервера все отлично-везде зеленые галочки, т.к. он же не идет через прокси сервер.

[maxaon]

@dm86 Скрин

Answer 3

[maxaon]

Кажется я понял что вам надо сделать. Первый вариант и наиболее простой - сделать у компьютеров белые IP адреса.
Второй вариант, который точно будет работать, это сделать дырку и вместо нормального NAT использовать full cone nat.

iptables -F
iptables -X
iptables -t nat -F
iptables -t nat -X
iptables -t mangle -F
iptables -t mangle -X
iptables -P INPUT ACCEPT
iptables -P FORWARD ACCEPT
iptables -P OUTPUT ACCEPT
echo 1 > /proc/sys/net/ipv4/ip_forward
iptables -t nat -A POSTROUTING -o <ваш исх интерфейс> -j MASQUERADE

Как я понял, RTMFP работает это через udp hole punching.
Доп материал
habrahabr.ru/post/150298
help.adobe.com/en_US/adobemediaserver/configadmin/...
en.wikipedia.org/wiki/UDP_hole_punching
habrahabr.ru/post/155803

Answer 4

[dm86]

Это скриншот с того компьютера сети, с которого хочу выходить в вебинар
yadi.sk/d/v4nZ1aXBEZFp2

А это с самого сервера, там все хорошо
yadi.sk/d/uDneOt5sEZFqm

Answer 5

[dm86]

Вот сам iptables
*nat
:PREROUTING ACCEPT [1:386067]
:POSTROUTING ACCEPT [1:194678]
:OUTPUT ACCEPT [1:194678]
-A PREROUTING -i 192.168.1.195 -p tcp -m tcp --dport 80 -j ACCEPT
-A PREROUTING -i eth1 -p tcp -m tcp --dport 80 -j REDIRECT --to-ports 3128.
-A PREROUTING -i eth1 -p tcp -m tcp --dport 8080 -j REDIRECT --to-ports 3128.
-A PREROUTING -i eth1 -p tcp -m tcp --dport 280 -j REDIRECT --to-ports 3128.
-A PREROUTING -i eth1 -p tcp -m tcp --dport 488 -j REDIRECT --to-ports 3128.
-A PREROUTING -i eth1 -p tcp -m tcp --dport 777 -j REDIRECT --to-ports 3128.
-A POSTROUTING -s 192.168.1.0/24 -o eth0 -j MASQUERADE.

COMMIT
# Completed on Sat Oct 19 01:13:14 2013
# Generated by iptables-save v1.4.7 on Sat Oct 19 01:13:14 2013

*mangle
:PREROUTING ACCEPT [371263:162270149]
:INPUT ACCEPT [1024:161464707]
:FORWARD ACCEPT [1024:794498]
:OUTPUT ACCEPT [397486:196075533]
:POSTROUTING ACCEPT [403223:197038940]
-A POSTROUTING -o virbr0 -p udp -m udp --dport 68 -j CHECKSUM --checksum-fill.
-A POSTROUTING -o virbr0 -p udp -m udp --dport 68 -j CHECKSUM --checksum-fill.

*filter
:FORWARD ACCEPT [1024:65535]
:INPUT ACCEPT [1024:65535]
:OUTPUT ACCEPT [1024:65535]
-A INPUT -p tcp -m state -m tcp --dport 80 --state NEW -j ACCEPT
-A FORWARD -i eth1 -o eth0 -j ACCEPT
-A INPUT -p tcp -m state --state NEW -m tcp --dport 1024:65535 -j ACCEPT
-A INPUT -p udp -m state --state NEW -m udp --dport 1024:65535 -j ACCEPT
-A INPUT -m state --state NEW -m tcp -p tcp --dport 1024:65535 -j ACCEPT
-A FORWARD -m state --state NEW -i eth1 -s 192.168.1.0/24 -j ACCEPT
-A FORWARD -s 192.168.1.0/24 -j ACCEPT
-A FORWARD -s 192.168.1.195/24 -i eth1 -j ACCEPT
-A FORWARD -d 192.168.1.195/24 -i eth0 -j ACCEPT
COMMIT
# Completed on Sat Oct 19 01:13:14 2013

Comments

[maxaon]

Как-то вообще странно, что даже подключится не может. У вас нет вышестоящих провайдеров со странными наклонностями?
Сделайте как я сказал выше. Очистите все и добавьте правило. У вас на сервере белый IP?

[maxaon]

@dm86 У вас /proc/sys/net/ipv4/ip_forward равен единице?

[maxaon]

Еще, что за странная строчка

-A PREROUTING -i 192.168.1.195 -p tcp -m tcp --dport 80 -j ACCEPT

Вместо IP должно стоять название интерфейса, лучше удалите.

[maxaon]

и уберите

-A POSTROUTING -o virbr0 -p udp -m udp --dport 68 -j CHECKSUM --checksum-fill.
-A POSTROUTING -o virbr0 -p udp -m udp --dport 68 -j CHECKSUM --checksum-fill.

[dm86]

Сегодня веером попробую сделать, то вы сказали.
FORWARD равен 1.
А как проверить белый ли IP?

[maxaon]

Интерфейс имеет ip из зарезервированных+?

[maxaon]

@dm86 и давайте обеняемя контактами для более живого общения, а то времени пройдет много.

[dm86]

Подойдет Skyip и ICQ
Skype: demon-panov
ICQ: demon-panov@mail.ru

[dm86]

Я пока ещё не успел попробывать ваши советы

Answer 6

[D1abloRUS]

А пчоему именно MASQUERADE а не SNAT?
Странные у вас правила iptables вообще

Comments

[dm86]

Не знаю, поэтому обратился за помощью, т.к. совсем недавно этим занимаюсь, а нужно очень срочно! Буду благодарен за помощь!