прокси и транзит входящих адресов

Обсуждение ПО и его настройки
Ответить
Gudini
Сообщения: 36
Зарегистрирован: 14 янв 2013, 14:43

Доброго дня. Никак не могу понять как исправить (или как бороться)
Итак - внешний трафик приходит на 80 порт и редиректится на прокси 8080.
Прокси раскидывает дальше по правилам (web proxi access) на соответствующие сервера..

Заходя в статистику веб сервера - я вижу, что все входят с одного внешнего ип адреса (который и есть белый айпи микротика). Вот и как вести статистику посещений (или отправлять в стоп лист)

Получается, что при редиректе микротик убирает адрес отправителя запроса и ставит себя. Если натить трафик на собственный прокси - ситуация аналогичная.

Вот и вопрос - как сделать перенаправление входящих запросов на 80-й порт с сохранением адреса отправителя запроса.
Насколько я понял - нужно маркировать входящие\исходящие соединения и как то проводить через прокси.
Пока сделал так:
1. Маркируем соединения входящие на прокси 8080
2. Маркируем соединения исходящие на прокси 8080
3. и 4. Маркируем пакеты входящие\исходящие у которых маркировка пакетов из 1. и 2.
т.е. например: 1 и 2 п. маркировка transpert-proxy-connection у 3. и 4. будет маркировка transpert-proxy-packet

По идее - через прокси должны идти уникальные соединения.. Куда копать дальше ?

Что то интернет особо не распространяется на эту тему. Как только решу проблему - с меня фак про веб сервисы за микротиком.


iSupport
Сообщения: 2359
Зарегистрирован: 06 фев 2011, 20:44

Какими правилами файерволла заворачиваете пакеты на прокси

посмотрите снниффером пакеты на прокси


Граждане, сколько раз просил =) чем понятнее и точнее сформулирован вопрос - тем понятнее и точнее будет на него ответ.
Я просматриваю ВСЕ темы форума и стараюсь помочь в каждой из них
Поэтому, НА ЛС отвечаю в последнюю очередь
Gudini
Сообщения: 36
Зарегистрирован: 14 янв 2013, 14:43

На прокси стоит redirect с 80 порта интернета на 8080 порт.
Самое интересное, что mangle считает пакеты как полагается.

Маркировка простая:
 
Flags: X - disabled, I - invalid, D - dynamic
0 chain=prerouting action=mark-connection new-connection-mark=YA
passthrough=yes dst-address-list=YA

1 chain=input action=mark-connection
new-connection-mark=transpert-proxy-connection passthrough=yes
protocol=tcp dst-port=8080

2 chain=output action=mark-connection
new-connection-mark=transpert-proxy-connection passthrough=yes
protocol=tcp src-port=8080

3 chain=input action=mark-packet new-packet-mark=transpert-proxy-packet
passthrough=yes connection-mark=transpert-proxy-connection

4 chain=output action=mark-packet new-packet-mark=transpert-proxy-packet
passthrough=yes connection-mark=transpert-proxy-connection


Трафик на прокси попадает так :
 
2 ;;; proxy
chain=dstnat action=redirect to-ports=8080 protocol=tcp
in-interface=ether1 dst-port=80


Больше всего меня интересует - а есть ли ошибка в рассуждениях ? Может я просто не понимаю - что должно за этим следовать.
В общем - в первую очередь пытаюсь понять хождение трафика через устройство.
Вроде все просто:
Внешний трафик заворачиваем на прокси.
Маркируем соединения на и из прокси.
Маркируем пакеты внутри этих соединений.
Вполне вероятно, что причина кроется в непонимании смысла маркировать пакеты (я так понимаю, что такие пакеты ходят через прокси с не только по идентификаторам, но и с srs адресами)
Пока вопрос без решения.


iSupport
Сообщения: 2359
Зарегистрирован: 06 фев 2011, 20:44

скорее всего у вас на правило mascarade стоит маскардинг в том числе в сторону прокси

вот прокси и получчает отмаскараденные пакеты

уберите маскардинг в сторону прокси

dst-adress=0.0.0.0/0
dst-adress-list=!PROXY

в адресс-лист PROXY пишем ип от прокси-сервера


Граждане, сколько раз просил =) чем понятнее и точнее сформулирован вопрос - тем понятнее и точнее будет на него ответ.
Я просматриваю ВСЕ темы форума и стараюсь помочь в каждой из них
Поэтому, НА ЛС отвечаю в последнюю очередь
Ответить