Перенаправление трафика на Прокси

Обсуждение ПО и его настройки
djserg-minyar
Сообщения: 61
Зарегистрирован: 19 июн 2012, 06:34

Всем привет, ребята подскажите,
решил завернуть трафик tcp с портов 80 и 8080, на прокси сервер.
Каким образом настроить dstnat, что бы он трафик данных портов перебрасывал на проксю?

Прокси на отдельной машинке, в той же сети.
В исключения этого правила (dstnat) эта машина будет включена, чтобы не было закольцованности трафика.

Сейчас сделал так:
chain=dstnat action=redirect to-ports=3129 protocol=tcp src-address-list=!Not_Users in-interface=ether2-master-local dst-port=80,8080

/ip firewall address-list> print
Flags: X - disabled, D - dynamic
# LIST ADDRESS
0 Not_Users 192.168.1.11

включаю webproxy на микротике:
/ip proxy> print
enabled: yes
src-address: 0.0.0.0
port: 3129
parent-proxy: 192.168.1.11
parent-proxy-port: 3128
max-cache-size: unlimited
cache-on-disk: no
max-client-connections: 600
max-server-connections: 600
max-fresh-time: 50m
serialize-connections: yes
always-from-cache: no
cache-hit-dscp: 4
cache-drive: system

и в прозрачном режиме перенаправляю весь трафик на проксю в локалке.

А хотелось бы сделать без участия webproxy микротика, потому как в статистике потом, весь трафик виден как трафик от адреса шлюза.


Аватара пользователя
simpl3x
Модератор
Сообщения: 1532
Зарегистрирован: 19 апр 2012, 14:03

а если попробовать так:

Код: Выделить всё

chain=dstnat action=dst-nat to-address=192.168.1.11 to-ports=3128 protocol=tcp src-address-list=!Not_Users in-interface=ether2-master-local dst-port=80,8080


djserg-minyar
Сообщения: 61
Зарегистрирован: 19 июн 2012, 06:34

Пробовал так, но трафик не попадает на прокси как я понял.


Аватара пользователя
simpl3x
Модератор
Сообщения: 1532
Зарегистрирован: 19 апр 2012, 14:03

а у вас прокся, внутри локальной сети? т.е. у нее адрес 192.168.1.11, а пользователи с какими адресами? 192.168.1.0/24?
если так, то вам бы еще не плохо было бы сделать src-nat правило.

Код: Выделить всё

chain=srcnat action=src-nat to-address=ТУТ.АДРЕС.МТИКа src-address-list=!Not_Users 

что то вроде этого. почему так, описано тут:
http://wiki.mikrotik.com/wiki/Hairpin_NAT


djserg-minyar
Сообщения: 61
Зарегистрирован: 19 июн 2012, 06:34

Схема такая, проски и пользователи в одной подсети 192.168.1.0/24

и прокси ip 192.168.1.11 порт 3128.

Так вот хочется на микротике завернуть трафик всех пользователей на прокси сервер.

Редирект не работает, пробовал даже так:
/ip firewall nat
add chain=dstnat action=redirect to-addresses=192.168.1.11 to-ports=3128 protocol=tcp src-address-list=!Not_Users in-interface=ether2-master-local dst-port=80,8080

только нету в правиле редирект поля для IP адреса, и данный выше финт, не удался((

по dstnat тоже не получилось.

пробовал так же использовать netmap, там есть поле для IP адреса, но не работает.

сейчас попробовал вот так:
chain=srcnat action=src-nat to-address=192.168.1.1 src-address-list=!Not_Users
chain=dstnat action=dst-nat to-address=192.168.1.11 to-ports=3128 protocol=tcp src-address-list=!Not_Users in-interface=ether2-master-local dst-port=80,8080

Но, тоже не заработало(((


djserg-minyar
Сообщения: 61
Зарегистрирован: 19 июн 2012, 06:34

добавил
chain=srcnat action=src-nat to-address=192.168.1.1 src-address-list=!Not_Users dst.port=3128

трафик пошел, через прокси, минуя web proxy микротика.

Но на прокси он прилетает так же с адреса шлюза 192.168.1.1.
т.е. весь трафик идет с ip 192.168.1.1, что не дает полной картины по статистике об использовании инета пользователями.


Аватара пользователя
simpl3x
Модератор
Сообщения: 1532
Зарегистрирован: 19 апр 2012, 14:03

я же вам показал, почему так происходит (ссылка про hairpin nat). естественно трафик будет прилетать от лица микротика:

Код: Выделить всё

chain=srcnat action=src-nat to-address=192.168.1.1 src-address-list=!Not_Users dst.port=3128 

это правило как бы и предполагает это. чтобы обойти эту проблему, надо вынести адрес прокси сервера из подсети, где у вас пользователи гуляют и убрать верхнее правило. тогда будет все работать.
резюмируем:
1. добавляем на интерфейс микротика еще один адрес, например 192.168.2.1. либо можете разделить виртуальным интерфейсом. либо можете в другой физический интерфейс воткнуть проксю. как душе угодно.
2. меняем адрес прокси сервера на 192.168.2.2
3. разрешаем хождение трафика между 192.168.1.0/24 и 192.168.2.0/24, если таковое запрещено.
4. меняем правило на:

Код: Выделить всё

chain=dstnat action=dst-nat to-address=192.168.2.2 to-ports=3128 protocol=tcp src-address-list=!Not_Users in-interface=ether2-master-local dst-port=80,8080

5. удаляем правило:

Код: Выделить всё

chain=srcnat action=src-nat to-address=192.168.1.1 src-address-list=!Not_Users dst.port=3128

6. profit


djserg-minyar
Сообщения: 61
Зарегистрирован: 19 июн 2012, 06:34

попробовал, прописал

Код: Выделить всё

chain=dstnat action=dst-nat to-addresses=192.168.10.2 to-ports=3128 protocol=tcp src-address-list=!Not_Users in-interface=ether2-master-local     dst-port=80,8080 


на локальный интерфейс повесил 192.168.10.1
на компе с проксей прописал 192.168.10.2

на проксе инет есть, локальная сеть (192,168,1,0) пингуется, с локалки прокся так же пингуется.

Но заворота трафика нет. Прописываю на компе в качестве прокси 192,168,10,2 трафик идет через проксю.


Ну чеж такое то(((((((
а без указания прокси не получает


Аватара пользователя
simpl3x
Модератор
Сообщения: 1532
Зарегистрирован: 19 апр 2012, 14:03

а правило вообще срабатывает? на нем счетчик изменяется?


djserg-minyar
Сообщения: 61
Зарегистрирован: 19 июн 2012, 06:34

Ссори, каюсь, упустил один момент. забыл новый ip прокси сервера пустить в обход заворота.

Теперь все робит, спасибо.


Ответить