https://slinkov.ru/openforum/vsluhforumID1/94851.html Здравствуйте, друзья!<br><br>Есть роутер (ip: 10.99.99.100/24). <br>Прописан статический маршрут в сеть 10.0.0.0/24<br><br>netstat -rn:<br>10.0.0.0 10.99.99.9 255.255.255.0 UG 0 0 0 eth0<br>10.99.99.0 0.0.0.0 255.255.255.0 U 0 0 0 eth0<br><br>Делаю прозрачный прокси на соседней коробке (ip: 10.0.0.5/24).<br>Вот по этому ману: http://www.tldp.org/HOWTO/TransparentProxy-6.html<br><br>Создаю таблицу:<br>ip rule add fwmark 2 table proxy<br><br>Пытаюсь сделать:<br>ip route add default via 10.0.0.5 dev eth0 table proxy<br><br>Получаю ошибку:<br>RTNETLINK answers: No such process<br><br>Нижеследующее, конечно же, работает, так как этот "via" находится в одной сети с роутером.<br>ip route add default via 10.99.99.5 dev eth0 table proxy<br><br>Помогите, пожалуйста, сделать дефолт роутинг помеченных пакетов на айпи из другой сети<br>(наверное, я правильно сформулировал).<br><br>Спасибо заранее!<br><br> https://slinkov.ru/openforum/vsluhforumID1/94851.html#25 Fri, 26 Jul 2013 10:23:12 GMT <br>&gt; А ввиду всей дискуссии выше, я <br>&gt; понял, что роутер и прокси должны находиться в одной сети.<br><br>Нет, могут и в разных, но на разных интерфейсах - eth{0,1}, тогда если <br>все с маршрутами верно(на обоих устройствах) SNAT не нужен.<br><br>Если честно можно и вашу схему, реализовать c помощью alias -<br>eth0 - 10.99.99.100/24 eth0:1 - 10.0.0.2/24, но не советую,<br>гонять туда-сюда по одному проводу, одни и теже пакеты,<br>как минимум два раза, плохая затея, на уровне МАС адресов будет чехорда и плохо<br>уловимые ошибки.<br><br> https://slinkov.ru/openforum/vsluhforumID1/94851.html#24 Fri, 26 Jul 2013 06:21:07 GMT &gt;&gt;&gt; 10.0.0.1/10.99.99.9 может организовать логическую подсеть между 10.99.99.100 и прокси?<br>&gt;&gt; Я к сожалению, не владею терминологией. Что имеется ввиду?<br>&gt; vlan, bridge если можно прокси воткнуть в отдельный интерфейс <br><br>Понял вас. Что-то подобное я и сделаю. Но это уже за пределами топика.<br>Еще раз спасибо!<br> https://slinkov.ru/openforum/vsluhforumID1/94851.html#23 Fri, 26 Jul 2013 06:10:59 GMT &gt;[оверквотинг удален]<br>&gt; Тестовая машина тоже в сети 10.0.0.0/24. Ответ идет напрямую и ничего <br>&gt; путного не получается.<br>&gt; Финита ля комедиа.<br>&gt; Спасибо вам большое, вы меня в правильную сторону развернули вопросами) <br>&gt; Тем не менее, моя задача не решена, поскольку на прокси сервере теперь <br>&gt; нельзя дифференцировать запросы по айпи (все они приходят с роутера, естественно). <br>&gt; Поэтому, придется работать через fwmark. А ввиду всей дискуссии выше, я <br>&gt; понял, что роутер и прокси должны находиться в одной сети.<br>&gt;&gt; 10.0.0.1/10.99.99.9 может организовать логическую подсеть между 10.99.99.100 и прокси?<br>&gt; Я к сожалению, не владею терминологией. Что имеется ввиду?<br><br>vlan, bridge если можно прокси воткнуть в отдельный интерфейс<br><br>&gt; Спасибо вам за уделенное мне время! https://slinkov.ru/openforum/vsluhforumID1/94851.html#22 Thu, 25 Jul 2013 16:28:49 GMT Итак, я нашел у себя ошибку в схеме с DNAT'ом и схема заработала! Я в SNAT'e неправильно прописал последний ip.<br><br>$Ipt -t nat -A PREROUTING -i eth0 ! -s $proxy -p tcp --dport 80 -j DNAT --to 10.0.0.5:3128<br>$Ipt -t nat -A POSTROUTING -o eth0 -s $int_net -d 10.0.0.5 -j SNAT --to 10.99.99.100<br><br>Верно ваше утверждение, что без SNATa, обратные пакеты не пройдут через 10.99.99.100. Тестовая машина тоже в сети 10.0.0.0/24. Ответ идет напрямую и ничего путного не получается.<br>Финита ля комедиа.<br><br>Спасибо вам большое, вы меня в правильную сторону развернули вопросами)<br><br>Тем не менее, моя задача не решена, поскольку на прокси сервере теперь нельзя дифференцировать запросы по айпи (все они приходят с роутера, естественно). Поэтому, придется работать через fwmark. А ввиду всей дискуссии выше, я понял, что роутер и прокси должны находиться в одной сети.<br><br><br>&gt; 10.0.0.1/10.99.99.9 может организовать логическую подсеть между 10.99.99.100 и прокси? <br><br>Я к сожалению, не владею терминологией. Что имеется ввиду?<br><br><br>Спаси https://slinkov.ru/openforum/vsluhforumID1/94851.html#21 Thu, 25 Jul 2013 15:50:38 GMT &gt;&gt;&gt; Может у вас есть успешный опыт настройки прозрачного прокси (squid-3.1) на отдельной <br>&gt;&gt;&gt; от роутера коробке при помощи DNAT? Буду весьма признателен.<br>&gt;&gt; а в чем собственно проблема?<br>&gt; делал вот так: <br>&gt; iptables -t nat -A PREROUTING -i eth0 ! -s squid-box -p tcp <br>&gt; --dport 80 -j DNAT --to squid-box:3128 <br><br>tcpdump ответные пакеты показывал?<br>логи прокси смотрели? <br>прокси запустился и netstat видит что он слушает порт 3128?<br>были обращения клиентов в логах?<br><br>если клиенты тоже идут через 10.0.0.1/10.99.99.9 , то возможно ответ доходил до этого роутера и дальше шел клиенту, не дойдя до 10.99.99.100 и не пройдя обратного преобразования на nat<br> <br>&gt; Пакет до прокси доходит, я вижу его tcpdump'ом. Но дальше ничего не <br>&gt; происходит.<br>&gt; а когда вот так делаю: <br>&gt; iptables -t nat -A PREROUTING -i eth0 ! -s squid-box -p tcp <br>&gt; --dport 80 -j DNAT --to squid-box:3128 <br>&gt; iptables -t nat -A POSTROUTING -o eth0 -s local-network -d squid-box -j <br>&gt; SNAT --to iptables-box <br>&gt; Пакет до прокси не доходит вообще, https://slinkov.ru/openforum/vsluhforumID1/94851.html#20 Thu, 25 Jul 2013 14:12:44 GMT &gt;&gt; Может у вас есть успешный опыт настройки прозрачного прокси (squid-3.1) на отдельной <br>&gt;&gt; от роутера коробке при помощи DNAT? Буду весьма признателен.<br>&gt; а в чем собственно проблема?<br><br>делал вот так:<br><br>iptables -t nat -A PREROUTING -i eth0 ! -s squid-box -p tcp --dport 80 -j DNAT --to squid-box:3128<br><br>Пакет до прокси доходит, я вижу его tcpdump'ом. Но дальше ничего не происходит.<br><br>а когда вот так делаю:<br>iptables -t nat -A PREROUTING -i eth0 ! -s squid-box -p tcp --dport 80 -j DNAT --to squid-box:3128<br>iptables -t nat -A POSTROUTING -o eth0 -s local-network -d squid-box -j SNAT --to iptables-box<br><br>Пакет до прокси не доходит вообще, хотя выходят из роутера (видно tcpdump'ом). Наверное, из-за особенностей моей топологии.<br>Еще раз картинка: <br><br>http://leprastuff.ru/data/img/20130725/4e464bcd38048b1134437e50299a17e2.jpg<br><br><br>На всякий случай, конфиг прокси:<br><br># cat /etc/squid/squid.conf<br><br><br>visible_hostname domain.local<br>#<br># Recommended minimum configuration:<br>#<br>acl manager proto cache_object<br>acl loc https://slinkov.ru/openforum/vsluhforumID1/94851.html#19 Thu, 25 Jul 2013 13:51:48 GMT &gt;[оверквотинг удален]<br>&gt;&gt;&gt; ?<br>&gt;&gt; Кажется, понял. Да, работать по макам - это не наш путь.<br>&gt;&gt; Может у вас есть успешный опыт настройки прозрачного прокси (squid-3.1) на отдельной <br>&gt;&gt; от роутера коробке при помощи DNAT? Буду весьма признателен.<br>&gt; есть.<br>&gt; для начала определитесь нужно ли что бы ip прокси был из той <br>&gt; же подсети что и клиент , если да то на коробке <br>&gt; придется еще и snat для заворачиваемых пакетов делать для правильного хождения <br>&gt; ответов, но при этом в логах прокси будет ip роутера, а <br>&gt; не клиента <br><br>Клиент, прокси и роутер будут в разных сетях. Соответственно, для примера: <br><br>10.0.1.10/24 - клиент<br>10.0.0.5/24 - прокси<br>10.99.99.100/24 - роутер.<br><br>Если же в этом случае в логах прокси будут ip только роутера - тогда этот вариант не годится.<br><br>У меня всегда остается вариант поставить прокси в ту же сеть, что и роутер. Не очень желательно (придется менять архтектуру со всеми вытекающими), но как вариант. <br> https://slinkov.ru/openforum/vsluhforumID1/94851.html#18 Thu, 25 Jul 2013 13:44:28 GMT &gt; Может у вас есть успешный опыт настройки прозрачного прокси (squid-3.1) на отдельной <br>&gt; от роутера коробке при помощи DNAT? Буду весьма признателен.<br><br>а в чем собственно проблема?<br> https://slinkov.ru/openforum/vsluhforumID1/94851.html#17 Thu, 25 Jul 2013 13:42:51 GMT &gt;[оверквотинг удален]<br>&gt; Ага.<br>&gt;&gt; 10.0.0.5 - mac 1:2:3 <br>&gt;&gt; 10.99.99.9 - mac 4:5:6 <br>&gt;&gt; 10.99.99.100 допустим догадывается что шлюз по умолчанию за 10.99.99.9 и пересылает пакет <br>&gt;&gt; на mac 4:5:6 , как 10.99.99.9 поймет что это пакет нужно <br>&gt;&gt; переслать на mac 1:2:3, ip 10.0.0.5 вить в пакете не фигурирует <br>&gt;&gt; ?<br>&gt; Кажется, понял. Да, работать по макам - это не наш путь.<br>&gt; Может у вас есть успешный опыт настройки прозрачного прокси (squid-3.1) на отдельной <br>&gt; от роутера коробке при помощи DNAT? Буду весьма признателен.<br><br>есть.<br><br>для начала определитесь нужно ли что бы ip прокси был из той же подсети что и клиент , если да то на коробке придется еще и snat для заворачиваемых пакетов делать для правильного хождения ответов, но при этом в логах прокси будет ip роутера, а не клиента<br>