Свой proxy

Linux, безопасность, сети и все что с этим связано
Аватара пользователя
mungo
Фанатеющий
Сообщения: 151
Зарегистрирован: 10 сен 2006, 10:32
Откуда: Минск
Контактная информация:

Re: Свой proxy

Сообщение mungo »

Ларин писал(а):я пока не очень разбираюсь в iptables, но как я понял у тебя диманический ип, а значит следует использовать masquerade
примерно так
iptables -t nat -A POSTROUTING -o ppp0 -j MASQUERADE
ну и добавить разрешающие правила.
Жаль, но сей вариант не прокатывает. Тогда ВСЕ пакеты идут на ppp0, и сквид не учвствует. С этого я начинал, все никак не мог понять, почему кэш пустой, а страницы открываются...
Сомневаюсь, и вам советую!

Ларин
Неотъемлемая часть форума
Сообщения: 484
Зарегистрирован: 19 ноя 2007, 15:01
Контактная информация:

Re: Свой proxy

Сообщение Ларин »

Ключ --to-ports
Пример iptables -t nat -A POSTROUTING -p TCP -j MASQUERADE --to-ports 1024-31000
Описание Ключ --to-ports используется для указания порта источника или диапазона портов исходящего пакета. Можно указать один порт, например: --to-ports 1025, или диапазон портов как здесь: --to-ports 1024-3000. Этот ключ можно использовать только в правилах, где критерий содержит явное указание на протокол TCP или UDP с помощью ключа --protocol.
http://www.opennet.ru/docs/RUS/iptables ... RADETARGET
Two of the most famous products of Berkeley are LSD and BSD:)

Аватара пользователя
mungo
Фанатеющий
Сообщения: 151
Зарегистрирован: 10 сен 2006, 10:32
Откуда: Минск
Контактная информация:

Re: Свой proxy

Сообщение mungo »

Всё, заработало. Спасибо!
Сомневаюсь, и вам советую!

Аватара пользователя
mungo
Фанатеющий
Сообщения: 151
Зарегистрирован: 10 сен 2006, 10:32
Откуда: Минск
Контактная информация:

Re: Свой proxy

Сообщение mungo »

Возможно уже был ответ, но...
Сервер работает как надо, но так уж наши провайдеры устроены, что соединение у них не очень постоянное. Следить постоянно за сервером, как там pptp работает, утомительно. Бывало пару раз, что даже утром на этапе загрузки по непонятным причинам соединение "залипало" - "установка соединения" и ничего дальше.
Вот и вопрос родился - как можно научить его самостоятельно пересоединяться в случае обрыва?
ОСь: Gentoo.
Сомневаюсь, и вам советую!

Ларин
Неотъемлемая часть форума
Сообщения: 484
Зарегистрирован: 19 ноя 2007, 15:01
Контактная информация:

Re: Свой proxy

Сообщение Ларин »

пинговать хост->нету пинга->реконнект?
Two of the most famous products of Berkeley are LSD and BSD:)

Аватара пользователя
mungo
Фанатеющий
Сообщения: 151
Зарегистрирован: 10 сен 2006, 10:32
Откуда: Минск
Контактная информация:

Re: Свой proxy

Сообщение mungo »

А практически как? Я так думаю, что не я один задавался сим вопросом...
Сомневаюсь, и вам советую!

Ларин
Неотъемлемая часть форума
Сообщения: 484
Зарегистрирован: 19 ноя 2007, 15:01
Контактная информация:

Re: Свой proxy

Сообщение Ларин »

ну... если совсем просто, то скрипт в крон раз в минуту

Код: Выделить всё

ping -c 1 $IP | grep icmp_seq | wc -l
адын - зашибись
ноль - реконнект.
хотя это тоже не 100% вариант ибо удаленный хост тоже может лежать.
Two of the most famous products of Berkeley are LSD and BSD:)

Аватара пользователя
mungo
Фанатеющий
Сообщения: 151
Зарегистрирован: 10 сен 2006, 10:32
Откуда: Минск
Контактная информация:

Re: Свой proxy

Сообщение mungo »

Юзвери - страшный зверь...
Отфильтровал порно, рекламу, всяких разнокласников... Вроде всё ок, иногда даже работают...
Но! Теперь они все в аське сидят. И не то, чтобы я хотел им запретить. Пусть в обед сидят... Но проблема в том, что не все злоупотребляют. Поэтому надо бы кому-то разрешить, кому-то запретить.
Вот и вопрос. Раз траф от аськи не идет через прокси, как можно контролировать и кому-то разрешать, кому-то запрещать?
И ещё вопрос. Тут про почту решь шла... Не совсем понял, как можно тот же sendmail настроить для юзверей, если они, ессно, не хотят своими паролями со мной делиться?
Сомневаюсь, и вам советую!

Аватара пользователя
Llama
Неотъемлемая часть форума
Сообщения: 9749
Зарегистрирован: 06 фев 2002, 11:40
Откуда: Менск

Re: Свой proxy

Сообщение Llama »

mungo, никак, ICQ вездесцуще - юзера найдут прокси, гейты через альтернативные IM и т.п.. Лучше всего не запрещать, мониторить активность и действовать административными мерами.

Про sendmail - у пользователй должна быть корпоративная электронная почта. Никаких гмейлов и т.п. в обход корпоративного почтовика в идеале быть не должно.
Опыт растет прямо пропорционально выведенному из строя оборудованию

Ларин
Неотъемлемая часть форума
Сообщения: 484
Зарегистрирован: 19 ноя 2007, 15:01
Контактная информация:

Re: Свой proxy

Сообщение Ларин »

mungo писал(а):Юзвери - страшный зверь...
Отфильтровал порно, рекламу, всяких разнокласников... Вроде всё ок, иногда даже работают...
Но! Теперь они все в аське сидят. И не то, чтобы я хотел им запретить. Пусть в обед сидят... Но проблема в том, что не все злоупотребляют. Поэтому надо бы кому-то разрешить, кому-то запретить.
Вот и вопрос. Раз траф от аськи не идет через прокси, как можно контролировать и кому-то разрешать, кому-то запрещать?
NAT
mungo писал(а): И ещё вопрос. Тут про почту решь шла... Не совсем понял, как можно тот же sendmail настроить для юзверей, если они, ессно, не хотят своими паролями со мной делиться?
никак. либо ставить свой почтарь с блэкджеком и шлюхами. либо настраивать какой-нибудь fetchmail для сбора почты с внешних почт, но тут нужны пароли.
а почту можно через нат пускать.
Two of the most famous products of Berkeley are LSD and BSD:)

leave
Неотъемлемая часть форума
Сообщения: 1055
Зарегистрирован: 25 окт 2006, 14:50
Откуда: minsk
Контактная информация:

Re: Свой proxy

Сообщение leave »

А прозрачная прокся не судьба? Ну или для аськи отдельную соксовую поднять и на ней резать.

Аватара пользователя
mungo
Фанатеющий
Сообщения: 151
Зарегистрирован: 10 сен 2006, 10:32
Откуда: Минск
Контактная информация:

Re: Свой proxy

Сообщение mungo »

Прокся уже прозрачная, вот только к UDP и т.п. хрени не имеет отношения. Даже если порт 5190 перенаправить на свид это ничего не дает - просто перестает работать аська.
А насчет отдельной соксовой... эээ... а такое бывает? Просто других проксей не знаю.
Сомневаюсь, и вам советую!

Ларин
Неотъемлемая часть форума
Сообщения: 484
Зарегистрирован: 19 ноя 2007, 15:01
Контактная информация:

Re: Свой proxy

Сообщение Ларин »

mungo писал(а):Прокся уже прозрачная, вот только к UDP и т.п. хрени не имеет отношения. Даже если порт 5190 перенаправить на свид это ничего не дает - просто перестает работать аська.
потому, что сквид http only
mungo писал(а): А насчет отдельной соксовой... эээ... а такое бывает? Просто других проксей не знаю.
бывает:)
Two of the most famous products of Berkeley are LSD and BSD:)

Аватара пользователя
mungo
Фанатеющий
Сообщения: 151
Зарегистрирован: 10 сен 2006, 10:32
Откуда: Минск
Контактная информация:

Re: Свой proxy

Сообщение mungo »

Ларин, ну хоть немного больше информации. Я понимаю, что вы всё знаете, но я нет. То, что бывает, это понятно. Ну хоть чуточку направьте в нужном направлении...
Сомневаюсь, и вам советую!

Ларин
Неотъемлемая часть форума
Сообщения: 484
Зарегистрирован: 19 ноя 2007, 15:01
Контактная информация:

Re: Свой proxy

Сообщение Ларин »

mungo писал(а):Ларин, ну хоть немного больше информации. Я понимаю, что вы всё знаете, но я нет. То, что бывает, это понятно. Ну хоть чуточку направьте в нужном направлении...
выбираешь socks proxy. ставишь. прописываешь в клиентах и юзаешь.
http://en.wikipedia.org/wiki/SOCKS#SOCKS_software
я, например, не заморачивался с соксами, а пустил аську через nat
Two of the most famous products of Berkeley are LSD and BSD:)

Ответить