https://217.65.3.21/openforum/vsluhforumID10/4003.html Всем привет и заранее спасибо!<br>Начну с краткого вступления........ Задача состояла в том, что у на есть Jboss на котором поднят наш application по порту 8080 на реальной IP гдето в Европе :-))). Нужно его закрыть от любопытных глаз базовой аутентификацией, но сделать это средствами сервера нельзя поскольку ломается аутентификация самого приложения, а сделать её индексной нехорошо поскольку для демонстрации нужен режим гостя. Вот такие пироги.<br><br>Было принято решение что поднимается Squid на том же IP на порту 8888 с минимальными настройками и будет использоваться его аутентификация (он настроен и успешно работает). Но теперь нужно сделать REDIRECT на прокси с 8080 порта на прокси, а прокси уже обращалось на сервер, то есть когда пользователь обращался к серверу по URL ( допустим ) http://www.possible.com:8080 то пере направлялся на прокси. Было создано правило:<br><br>iptables -t nat -A PREROUTING -s ! xxx.xxx.xx.xxx -d xxx.xxx.xx.xxx -p tcp --dport 8080 -j REDIRECT --to-ports 8888<br><br>Только вот не задач https://217.65.3.21/openforum/vsluhforumID10/4003.html#8 Thu, 23 Oct 2008 05:27:23 GMT &gt;[оверквотинг удален]<br>&gt;&gt;Только вот не задача не работает, пакеты теряются, куда оно его перенаправляет <br>&gt;&gt;ума не приложу. Все пересмотрел, где провтык не знаю. Помогите не <br>&gt;&gt;оставьте в биде!!! <br>&gt;<br>&gt;Опцию прозрачного прокси включил? <br>&gt;squid.conf <br>&gt;http_port XXX.XXX.XXX.XXX:8888 transparent <br>&gt; <br>&gt; <br>&gt; ^^^^^^^^^^^ <br><br>Не факт, эта опция появилась только в версии 2.6. В 2.5 включается по другому<br><br>Может поможет - http://www.sys-adm.org.ua/www/squid-transparent.php<br> https://217.65.3.21/openforum/vsluhforumID10/4003.html#7 Fri, 10 Oct 2008 08:42:41 GMT &gt;[оверквотинг удален]<br>&gt;-j ACCEPT <br>&gt;-A RH-Firewall-1-INPUT -m state --state NEW -m tcp -p tcp --dport 1521 <br>&gt;-j ACCEPT <br>&gt;-A RH-Firewall-1-INPUT -m state --state NEW -m tcp -p tcp --dport 9999 <br>&gt;-j ACCEPT <br>&gt;-A RH-Firewall-1-INPUT -m state --state NEW -m tcp -p tcp --dport 9998 <br>&gt;-j ACCEPT <br>&gt;-A RH-Firewall-1-INPUT -j REJECT --reject-with icmp-host-prohibited <br>&gt;COMMIT <br>&gt;# Completed on Fri Oct 10 09:53:36 2008 <br><br>а так http://www.possible.com:8888 соединение есть?<br> https://217.65.3.21/openforum/vsluhforumID10/4003.html#6 Fri, 10 Oct 2008 07:53:49 GMT &gt;очень хорошо, тут все нормально, может очередную порцию правил покажите, а то <br>&gt;как то ни таблицы NAT, ни MANGLE, ни правил по умолчанию <br>&gt;тут нет, а у меня как на зло кофе только растворимый <br>&gt;остался. <br>&gt;может все таки вывод iptables-save, а не файл /etc/sysconfig/iptables <br><br>:-) будите смеяться но остальных правил просто нет !!! Совсем нет!!!<br><br><br># Generated by iptables-save v1.2.11 on Fri Oct 10 09:53:36 2008<br>*nat<br>:PREROUTING ACCEPT [1418460:94735059]<br>:POSTROUTING ACCEPT [1796992:115957419]<br>:OUTPUT ACCEPT [1796990:115957299]<br>COMMIT<br># Completed on Fri Oct 10 09:53:36 2008<br># Generated by iptables-save v1.2.11 on Fri Oct 10 09:53:36 2008<br>*mangle<br>:PREROUTING ACCEPT [120266808:37407615958]<br>:INPUT ACCEPT [120266808:37407615958]<br>:FORWARD ACCEPT [0:0]<br>:OUTPUT ACCEPT [122872811:45709355779]<br>:POSTROUTING ACCEPT [122929375:45710487813]<br>COMMIT<br># Completed on Fri Oct 10 09:53:36 2008<br># Generated by iptables-save v1.2.11 on Fri Oct 10 09:53:36 2008<br>*filter<br>:INPUT ACCEPT [3918:696674]<br>:FORWARD AC https://217.65.3.21/openforum/vsluhforumID10/4003.html#5 Thu, 09 Oct 2008 17:28:05 GMT &gt;[оверквотинг удален]<br>&gt;-j ACCEPT <br>&gt;-A RH-Firewall-1-INPUT -m state --state NEW -m tcp -p tcp --dport 8888 <br>&gt;-j ACCEPT <br>&gt;-A RH-Firewall-1-INPUT -m state --state NEW -m tcp -p tcp --dport 1521 <br>&gt;-j ACCEPT <br>&gt;-A RH-Firewall-1-INPUT -m state --state NEW -m tcp -p tcp --dport 9999 <br>&gt;-j ACCEPT <br>&gt;-A RH-Firewall-1-INPUT -m state --state NEW -m tcp -p tcp --dport 9998 <br>&gt;-j ACCEPT <br>&gt;-A RH-Firewall-1-INPUT -j REJECT --reject-with icmp-host-prohibited <br><br>очень хорошо, тут все нормально, может очередную порцию правил покажите, а то как то ни таблицы NAT, ни MANGLE, ни правил по умолчанию тут нет, а у меня как на зло кофе только растворимый остался.<br>может все таки вывод iptables-save, а не файл /etc/sysconfig/iptables<br> https://217.65.3.21/openforum/vsluhforumID10/4003.html#4 Thu, 09 Oct 2008 14:17:11 GMT Опция прозрачного прокси уключина!!!<br><br><br>&gt;нат собран в ядре или подгружается модулем?<br>&gt;советую добавить логирование - и посмотреть, идут ли пакеты.<br><br>Логирование включал до правила пакет приходит после него он нигде не появляется ни в INPUT не в FORWARD !!!<br><br><br>&gt;для профи потому что нужно остальные правила угадать? :) <br>&gt;<br>&gt;может iptables-save покажите <br><br>Покажу вот:<br>-A INPUT -j RH-Firewall-1-INPUT<br>-A FORWARD -j RH-Firewall-1-INPUT<br>-A RH-Firewall-1-INPUT -i lo -j ACCEPT<br>-A RH-Firewall-1-INPUT -p icmp --icmp-type any -j ACCEPT<br>-A RH-Firewall-1-INPUT -p udp -m udp --dport 631 -j ACCEPT<br>-A RH-Firewall-1-INPUT -p udp -m udp --dport 53 -j ACCEPT<br>-A RH-Firewall-1-INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT<br>-A RH-Firewall-1-INPUT -m state --state NEW -m tcp -p tcp --dport 21 -j ACCEPT<br>-A RH-Firewall-1-INPUT -m state --state NEW -m tcp -p tcp --dport 22 -j ACCEPT<br>-A RH-Firewall-1-INPUT -m state --state NEW -m tcp -p tcp --dport 80 -j ACCEPT<br>-A RH-Firewall-1-INPUT -m state --state NEW -m tcp -p https://217.65.3.21/openforum/vsluhforumID10/4003.html#3 Mon, 06 Oct 2008 04:13:56 GMT &gt;[оверквотинг удален]<br>&gt;сервер, то есть когда пользователь обращался к серверу по URL ( <br>&gt;допустим ) http://www.possible.com:8080 то пере направлялся на прокси. Было создано <br>&gt;правило: <br>&gt;<br>&gt;iptables -t nat -A PREROUTING -s ! xxx.xxx.xx.xxx -d xxx.xxx.xx.xxx <br>&gt;-p tcp --dport 8080 -j REDIRECT --to-ports 8888 <br>&gt;<br>&gt;Только вот не задача не работает, пакеты теряются, куда оно его перенаправляет <br>&gt;ума не приложу. Все пересмотрел, где провтык не знаю. Помогите не <br>&gt;оставьте в биде!!! <br><br>Опцию прозрачного прокси включил?<br>squid.conf<br>http_port XXX.XXX.XXX.XXX:8888 transparent<br> ^^^^^^^^^^^<br><br><br> https://217.65.3.21/openforum/vsluhforumID10/4003.html#2 Sat, 04 Oct 2008 17:10:53 GMT для профи потому что нужно остальные правила угадать? :)<br><br>может iptables-save покажите<br> https://217.65.3.21/openforum/vsluhforumID10/4003.html#1 Sat, 04 Oct 2008 12:17:09 GMT &gt;iptables -t nat -A PREROUTING -s ! xxx.xxx.xx.xxx -d xxx.xxx.xx.xxx <br>&gt;-p tcp --dport 8080 -j REDIRECT --to-ports 8888 <br>&gt;<br>&gt;Только вот не задача не работает, пакеты теряются, куда оно его перенаправляет <br>&gt;ума не приложу. Все пересмотрел, где провтык не знаю. Помогите не <br>&gt;оставьте в биде!!! <br><br>нат собран в ядре или подгружается модулем?<br>советую добавить логирование - и посмотреть, идут ли пакеты.<br>