Сутки проторчал в гугле - ничего полезного не нашел ... Хочется сделать redirect любой попытки зайти из intranet на любой http в local proxy - чтобы в обход него невозможно было. Не получилось. Его вообще можно конфигурить на лету, без ребутов ? И может где-то все же есть внятные доки ? -- AY7-UANIC || AY15-RIPE =================================================================== uanog mailing list. To Unsubscribe: send mail to majordomo@uanog.kiev.ua with "unsubscribe uanog" in the body of the message
On Mon, Jun 30, 2003 at 09:55:08PM +0300, Alexander Yeremenko wrote:
Хочется сделать redirect любой попытки зайти из intranet на любой http в local proxy - чтобы в обход него невозможно было. Не получилось.
по идее proxy-rule port 80 server your-proxy-ip:your-proxy-port
Его вообще можно конфигурить на лету, без ребутов ? И может где-то все же есть внятные доки ?
если твои пакеты не проходят через natd, то ты его всегда можешь рестартануть; i.e. вместо add divert natd all from any to any via IF используй add divert natd ip from internal-range to any out xmit outgoing-IF add divert natd ip from any to external-IP in recv external-IF и если ты не находишься в internal-range, то рестарт natd твои пакеты не заденет... или рестартуй его скриптом, который на экран ничего не выводит; и если не запустился из-за ошибок в конфиге - стартует с резервным, заведомо правильным. или еще проще - выключи divert в ipfw, reconfig/restart natd, включи. --igor =================================================================== uanog mailing list. To Unsubscribe: send mail to majordomo@uanog.kiev.ua with "unsubscribe uanog" in the body of the message
On Mon, Jun 30, 2003 at 07:49:38PM -0700, Igor Sviridov wrote:
On Mon, Jun 30, 2003 at 09:55:08PM +0300, Alexander Yeremenko wrote:
Хочется сделать redirect любой попытки зайти из intranet на любой http в local proxy - чтобы в обход него невозможно было. Не получилось.
по идее proxy-rule port 80 server your-proxy-ip:your-proxy-port
Его вообще можно конфигурить на лету, без ребутов ? И может где-то все же есть внятные доки ?
если твои пакеты не проходят через natd, то ты его всегда можешь рестартануть; i.e. вместо
add divert natd all from any to any via IF Dear Sia, какой такой add divert natd, когда речь идет не об ipfw, а об ipmon ? :) Ну нэту у меня natd вааще ж:)
-- AY7-UANIC || AY15-RIPE =================================================================== uanog mailing list. To Unsubscribe: send mail to majordomo@uanog.kiev.ua with "unsubscribe uanog" in the body of the message
On Mon, Jun 30, 2003 at 09:55:08PM +0300, Alexander Yeremenko wrote:
Сутки проторчал в гугле - ничего полезного не нашел ... Хочется сделать redirect любой попытки зайти из intranet на любой http в local proxy - чтобы в обход него невозможно было. Не получилось.
Вроде где-то живой пример был. Если я правильно понял задачу, речь идёт о transparent proxy? Тогда точно можно, я делал, но давненько.
Его вообще можно конфигурить на лету, без ребутов ?
ipnat -v -F вроде как сбрасывает активные правила.
И может где-то все же есть внятные доки ?
М-м... А то, что в /usr/share/examples/ipfilter/ - не подойдёт? Regards, -- Igor A. Karpov phone: +380(44)238-0624 JID:jc@mash.minjust.gov.ua Unix System Administrator Light speed is too slow! =================================================================== uanog mailing list. To Unsubscribe: send mail to majordomo@uanog.kiev.ua with "unsubscribe uanog" in the body of the message
On Tue, Jul 01, 2003 at 10:33:47AM +0300, Igor Karpov wrote:
On Mon, Jun 30, 2003 at 09:55:08PM +0300, Alexander Yeremenko wrote:
Сутки проторчал в гугле - ничего полезного не нашел ... Хочется сделать redirect любой попытки зайти из intranet на любой http в local proxy - чтобы в обход него невозможно было. Не получилось.
Вроде где-то живой пример был. Если я правильно понял задачу, речь идёт о transparent proxy? Тогда точно можно, я делал, но давненько. Верю. А вспомни как :)
М-м... А то, что в /usr/share/examples/ipfilter/ - не подойдёт? Не-а. Там мало и не по теме. Они прикололись на разных block, ftp-proxy etc, а об rdr прчти ни слова.
-- AY7-UANIC || AY15-RIPE =================================================================== uanog mailing list. To Unsubscribe: send mail to majordomo@uanog.kiev.ua with "unsubscribe uanog" in the body of the message
On Tue, Jul 01, 2003 at 11:00:59AM +0300, Alexander Yeremenko wrote:
On Tue, Jul 01, 2003 at 10:33:47AM +0300, Igor Karpov wrote:
On Mon, Jun 30, 2003 at 09:55:08PM +0300, Alexander Yeremenko wrote:
Сутки проторчал в гугле - ничего полезного не нашел ... Хочется сделать redirect любой попытки зайти из intranet на любой http в local proxy - чтобы в обход него невозможно было. Не получилось.
Вроде где-то живой пример был. Если я правильно понял задачу, речь идёт о transparent proxy? Тогда точно можно, я делал, но давненько. Верю. А вспомни как :)
rdr xl0 192.168.0.0/0 port 80 -> x.x.x.x port 3128 где x.x.x.x - реальный ip прокси. Оба интерфейса принадлежат одной и той же машине. Regards, -- Igor A. Karpov phone: +380(44)238-0624 JID:jc@mash.minjust.gov.ua Unix System Administrator Oh, no, not another learning experience! =================================================================== uanog mailing list. To Unsubscribe: send mail to majordomo@uanog.kiev.ua with "unsubscribe uanog" in the body of the message
On Tue, Jul 01, 2003 at 11:53:14AM +0300, Igor Karpov wrote:
On Tue, Jul 01, 2003 at 11:00:59AM +0300, Alexander Yeremenko wrote:
On Tue, Jul 01, 2003 at 10:33:47AM +0300, Igor Karpov wrote:
On Mon, Jun 30, 2003 at 09:55:08PM +0300, Alexander Yeremenko wrote:
Сутки проторчал в гугле - ничего полезного не нашел ... Хочется сделать redirect любой попытки зайти из intranet на любой http в local proxy - чтобы в обход него невозможно было. Не получилось.
Вроде где-то живой пример был. Если я правильно понял задачу, речь идёт о transparent proxy? Тогда точно можно, я делал, но давненько. Верю. А вспомни как :)
rdr xl0 192.168.0.0/0 port 80 -> x.x.x.x port 3128 ^^^^^^^^^^^^^ Маски 0 тут не бывает. ipnat понимает это дело как 0/0 и бредит. А если поставить нормальную маску, то выходит :
client[10.0.0.2]> MSIE dst router> ipmon -l List of active MAP/Redirect filters: map oif 10.0.0.0/8 -> uplink/32 portmap tcp/udp 10000:65000 map oif 10.0.0.0/8 -> uplink/32 rdr iif 10.0.0.0/8 port 80 -> true_local_proxy port 3128 tcp List of active sessions: MAP 10.0.0.2 1170 <- -> uplink 10002 [dst 80] MAP 10.0.0.2 1169 <- -> uplink 10001 [dst 80] MAP 10.0.0.2 1167 <- -> uplink 10000 [dst 80] Пакетики ходят, но никакого редиректа -- AY7-UANIC || AY15-RIPE =================================================================== uanog mailing list. To Unsubscribe: send mail to majordomo@uanog.kiev.ua with "unsubscribe uanog" in the body of the message
On Tue, Jul 01, 2003 at 12:36:23PM +0300, Alexander Yeremenko wrote:
On Tue, Jul 01, 2003 at 11:53:14AM +0300, Igor Karpov wrote:
On Tue, Jul 01, 2003 at 11:00:59AM +0300, Alexander Yeremenko wrote:
On Tue, Jul 01, 2003 at 10:33:47AM +0300, Igor Karpov wrote:
On Mon, Jun 30, 2003 at 09:55:08PM +0300, Alexander Yeremenko wrote:
Сутки проторчал в гугле - ничего полезного не нашел ... Хочется сделать redirect любой попытки зайти из intranet на любой http в local proxy - чтобы в обход него невозможно было. Не получилось.
Вроде где-то живой пример был. Если я правильно понял задачу, речь идёт о transparent proxy? Тогда точно можно, я делал, но давненько. Верю. А вспомни как :)
rdr xl0 192.168.0.0/0 port 80 -> x.x.x.x port 3128 ^^^^^^^^^^^^^ Маски 0 тут не бывает. ipnat понимает это дело как 0/0 и бредит.
Однако было. Взято из некогда рабочего конфига. Сказать, на какой версии это работало, не могу. Что-то из 4.x И squid, собранный с соответствующими опциями работал через такую конструкцию.
А если поставить нормальную маску, то выходит :
client[10.0.0.2]> MSIE dst
router> ipmon -l List of active MAP/Redirect filters: map oif 10.0.0.0/8 -> uplink/32 portmap tcp/udp 10000:65000 map oif 10.0.0.0/8 -> uplink/32 rdr iif 10.0.0.0/8 port 80 -> true_local_proxy port 3128 tcp
List of active sessions: MAP 10.0.0.2 1170 <- -> uplink 10002 [dst 80] MAP 10.0.0.2 1169 <- -> uplink 10001 [dst 80] MAP 10.0.0.2 1167 <- -> uplink 10000 [dst 80]
Пакетики ходят, но никакого редиректа
Я уже сильно подзабыл ipfilter, но, может, в порядке эксперимента временно уберёшь map из конфигурации? :) Regards, -- Igor A. Karpov phone: +380(44)238-0624 JID:jc@mash.minjust.gov.ua Unix System Administrator All races recognize Kosh. All races have Swedish meatballs. Hmmm... =================================================================== uanog mailing list. To Unsubscribe: send mail to majordomo@uanog.kiev.ua with "unsubscribe uanog" in the body of the message
Сидел чайник у форточки :) Бог с ним с ipnat :) Ну понастроил я разных редиректов и файерволов. Все вроде заработало, как я хочу. Пока я проверял посредством telnet somewhere 80 etc. Довольный, как слон, я пустил MSIE. Все разлетелось в куски @#!$!$! lynx видите ли работает, а MSIE нос воротит. Чего этой заразе надо ? -- AY7-UANIC || AY15-RIPE =================================================================== uanog mailing list. To Unsubscribe: send mail to majordomo@uanog.kiev.ua with "unsubscribe uanog" in the body of the message
On Wed, Jul 02, 2003 at 03:05:24AM +0300, Alexander Yeremenko wrote:
Сидел чайник у форточки :) Бог с ним с ipnat :) Ну понастроил я разных редиректов и файерволов. Все вроде заработало, как я хочу. Пока я проверял посредством telnet somewhere 80 etc. Довольный, как слон, я пустил MSIE. Все разлетелось в куски @#!$!$! lynx видите ли работает, а MSIE нос воротит. Чего этой заразе надо ?
А симптомы какие? Может, там у него прокси прописан и где-нибудь на редиректах и файрволлах он того? Regards, -- Igor A. Karpov phone: +380(44)238-0624 JID:jc@mash.minjust.gov.ua Unix System Administrator I don't have any HIDDEN prejudices! =================================================================== uanog mailing list. To Unsubscribe: send mail to majordomo@uanog.kiev.ua with "unsubscribe uanog" in the body of the message
On Wed, Jul 02, 2003 at 10:06:16AM +0300, Igor Karpov wrote:
On Wed, Jul 02, 2003 at 03:05:24AM +0300, Alexander Yeremenko wrote:
Сидел чайник у форточки :) Бог с ним с ipnat :) Ну понастроил я разных редиректов и файерволов. Все вроде заработало, как я хочу. Пока я проверял посредством telnet somewhere 80 etc. Довольный, как слон, я пустил MSIE. Все разлетелось в куски @#!$!$! lynx видите ли работает, а MSIE нос воротит. Чего этой заразе надо ?
А симптомы какие? Может, там у него прокси прописан и где-нибудь на редиректах и файрволлах он того? А симптомы у него такие : Абсолютно голая 2000, я ее лично на днях ставил, ничего не прописывал и никому не давал. Стрился я с соседнего Unix клиента из того же intraneta. Когда пошло, пересел за винду и для разминки пустил из Command Prompt telnet www.microsoft.com 80 GET http://www.microsoft.com HTTP/1.1
Все пошло. Пускаю MSIE 6.last i The page can not be found ..... HTTP 400 - Bad Request Content-Lenght глюка ? Какой собственно запрос шлет MSIE ? -- AY7-UANIC || AY15-RIPE =================================================================== uanog mailing list. To Unsubscribe: send mail to majordomo@uanog.kiev.ua with "unsubscribe uanog" in the body of the message
participants (3)
-
Alexander Yeremenko -
Igor Karpov -
Igor Sviridov