Задать вопрос

Как компьютерам с определенными ip адресами дать прямой доступ в Интернет в обход прокси сервера squid?

Есть сервер на Centos линукс с двумя сетевыми картами. Одна принимает Интернет провайдера eth 0, другая смотрит в локальную сеть eth1. Установлен прокси сервер Squid, через который ходят все компьютеры сети. Я уже задавал вопрос о том, что не могу настроить работу сервиса вебконференций Onwebinar, который работает по флеш-технологии p2p. Он не может связываться с другими участниками из-за нашего прокси-сервера. Что с этим делать - не знаю.
Если все же нельзя настроить работу этого сервиса через прокси-сервер, то можно как-нибудь заставить работать некоторые компьютеры локальной сети с определенными ip адресами (или отдельной подсетью) в обход прокси-сервера Squid. Наверное это можно как-то сделать через iptables, но я не знаю правильных команд и последовательности команд.
Сейчас в iptables вразделе nat прописаны редиректы портов на порт прокси-сервера 3128.
  • Вопрос задан
  • 8681 просмотр
Подписаться 3 Оценить Комментировать
Пригласить эксперта
Ответы на вопрос 6
oia
@oia
Проброс портов поможет , только надо понимать какие порты открыть
Открытые UDP-порты в диапазоне 1024-65535.
magicpast.net/software/index.php?page=probros-port...
Ответ написан
maxaon
@maxaon
Можете настроить TURN сервер за натом. www.adobe.com/devnet/flashplayer/articles/rtmfp_ci...
Тестер cc.rtmfp.net
Проверте версию флеш плеера.

Или пробросте порты на какой-нибудь ip
iptables -t nat -I PREROUTING -p tcp --dport 1024:65535 -j DNAT --to-destination 192.168.1.100
Ответ написан
maxaon
@maxaon
Кажется я понял что вам надо сделать. Первый вариант и наиболее простой - сделать у компьютеров белые IP адреса.
Второй вариант, который точно будет работать, это сделать дырку и вместо нормального NAT использовать full cone nat.

iptables -F
iptables -X
iptables -t nat -F
iptables -t nat -X
iptables -t mangle -F
iptables -t mangle -X
iptables -P INPUT ACCEPT
iptables -P FORWARD ACCEPT
iptables -P OUTPUT ACCEPT
echo 1 > /proc/sys/net/ipv4/ip_forward
iptables -t nat -A POSTROUTING -o <ваш исх интерфейс> -j MASQUERADE

Как я понял, RTMFP работает это через udp hole punching.
Доп материал
habrahabr.ru/post/150298
help.adobe.com/en_US/adobemediaserver/configadmin/...
en.wikipedia.org/wiki/UDP_hole_punching
habrahabr.ru/post/155803
Ответ написан
Комментировать
@dm86 Автор вопроса
Это скриншот с того компьютера сети, с которого хочу выходить в вебинар
yadi.sk/d/v4nZ1aXBEZFp2

А это с самого сервера, там все хорошо
yadi.sk/d/uDneOt5sEZFqm
Ответ написан
Комментировать
@dm86 Автор вопроса
Вот сам iptables
*nat
:PREROUTING ACCEPT [1:386067]
:POSTROUTING ACCEPT [1:194678]
:OUTPUT ACCEPT [1:194678]
-A PREROUTING -i 192.168.1.195 -p tcp -m tcp --dport 80 -j ACCEPT
-A PREROUTING -i eth1 -p tcp -m tcp --dport 80 -j REDIRECT --to-ports 3128.
-A PREROUTING -i eth1 -p tcp -m tcp --dport 8080 -j REDIRECT --to-ports 3128.
-A PREROUTING -i eth1 -p tcp -m tcp --dport 280 -j REDIRECT --to-ports 3128.
-A PREROUTING -i eth1 -p tcp -m tcp --dport 488 -j REDIRECT --to-ports 3128.
-A PREROUTING -i eth1 -p tcp -m tcp --dport 777 -j REDIRECT --to-ports 3128.
-A POSTROUTING -s 192.168.1.0/24 -o eth0 -j MASQUERADE.

COMMIT
# Completed on Sat Oct 19 01:13:14 2013
# Generated by iptables-save v1.4.7 on Sat Oct 19 01:13:14 2013

*mangle
:PREROUTING ACCEPT [371263:162270149]
:INPUT ACCEPT [1024:161464707]
:FORWARD ACCEPT [1024:794498]
:OUTPUT ACCEPT [397486:196075533]
:POSTROUTING ACCEPT [403223:197038940]
-A POSTROUTING -o virbr0 -p udp -m udp --dport 68 -j CHECKSUM --checksum-fill.
-A POSTROUTING -o virbr0 -p udp -m udp --dport 68 -j CHECKSUM --checksum-fill.

*filter
:FORWARD ACCEPT [1024:65535]
:INPUT ACCEPT [1024:65535]
:OUTPUT ACCEPT [1024:65535]
-A INPUT -p tcp -m state -m tcp --dport 80 --state NEW -j ACCEPT
-A FORWARD -i eth1 -o eth0 -j ACCEPT
-A INPUT -p tcp -m state --state NEW -m tcp --dport 1024:65535 -j ACCEPT
-A INPUT -p udp -m state --state NEW -m udp --dport 1024:65535 -j ACCEPT
-A INPUT -m state --state NEW -m tcp -p tcp --dport 1024:65535 -j ACCEPT
-A FORWARD -m state --state NEW -i eth1 -s 192.168.1.0/24 -j ACCEPT
-A FORWARD -s 192.168.1.0/24 -j ACCEPT
-A FORWARD -s 192.168.1.195/24 -i eth1 -j ACCEPT
-A FORWARD -d 192.168.1.195/24 -i eth0 -j ACCEPT
COMMIT
# Completed on Sat Oct 19 01:13:14 2013
Ответ написан
D1abloRUS
@D1abloRUS
А пчоему именно MASQUERADE а не SNAT?
Странные у вас правила iptables вообще
Ответ написан
Ваш ответ на вопрос

Войдите, чтобы написать ответ

Похожие вопросы