กฎ IPtables เพื่อข้ามพร็อกซีปลาหมึก

ฉันคิดว่าฉันแค่ต้องการการตรวจสุขภาพเกี่ยวกับกฎของ iptables (สปอยล์เตือนว่าไม่ดี)

ปัญหาพื้นฐาน เรามีเซิร์ฟเวอร์ Squid Proxy ที่รบกวนทรัพยากรอินเทอร์เน็ตต่างๆ ฉันอยู่ไกลและต้องการอัปเดตกฎ IPTable บนพร็อกซีเซิร์ฟเวอร์ เพื่อไม่ให้ทราฟฟิกเข้าถึงบริการพร็อกซีจริงๆ นี่เป็นการแก้ไขชั่วคราวในขณะที่ฉันดำเนินการย้ายเครือข่ายไปยังฮาร์ดแวร์เครือข่ายจริง

ดังนั้นเป้าหมายคือกำหนดเส้นทางการรับส่งข้อมูลทั้งหมดที่ไม่ใช่ SSH จากเครือข่ายท้องถิ่น (enp5s0 10.90.30.1/16) ไปยัง "เราเตอร์" (192.168.165.1/24) ด้วยอินเทอร์เฟซ (enp4s0 192.168.165.1/24)

iptables -t nat -A PREROUTING -p tcp --dport 22 -d 10.90.30.1 -j อินพุต
iptables -t nat -A PREROUTING -p tcp --dport 80 -d 10.90.30.1 -j อินพุต
iptables -t nat -A PREROUTING -i enp5s0 -d 10.90.30.1 -j DNAT --to 192.168.165.1
iptables -t nat -A PREROUTING -i enp4s0 -d 192.168.165.151 -j DNAT --to 10.90.30.1
iptables -A INPUT -tcp --dport 22 -d 10.90.30.1 -j ยอมรับ
iptables -A ไปข้างหน้า -i enp5s0 -d 10.90.30.1 --dport 22 ยอมรับ
iptables -t nat -A โพสต์ -o enp4s0 -j ​​MASQUERADE
iptables -t nat -A โพสต์ -o enp5s0 -j ​​MASQUERADE

ฉันขอขอบคุณความช่วยเหลือทั้งหมดที่ฉันได้รับ ฉันชอบคิดว่าฉันเข้าใจ Iptables มากพอที่จะตั้งค่าไฟร์วอลล์พื้นฐาน แต่การกำหนดเส้นทางขั้นสูงเป็นสิ่งที่ฉันไม่เคยต้องทำ

NAT เท่าไหร่ NAT มากเกินไป? NAT มากขนาดนี้

ดังนั้นเหตุผลที่พร็อกซีแบบโปร่งใสใช้งานได้ก็คือโปรโตคอลชั้นบนมีข้อมูลตำแหน่งที่จะเชื่อมต่อ ใน HTTP มันคือไฟล์ เจ้าภาพ หัวข้อ; ใน TLS เป็นส่วนหัว SNI

แต่เมื่อคุณเปลี่ยนเส้นทางแพ็กเก็ตบนพื้นฐานเลเยอร์ 3 ซึ่งเป็นที่ที่เราเตอร์ทำงาน เราเตอร์ที่ได้รับแพ็คเกจที่เขียนใหม่จะไม่รู้ว่าจะทำอย่างไรกับมัน ปลายทางจะแสดงเป็น IP ของเราเตอร์ ซึ่งอาจไม่ได้รับฟังจากพอร์ตปลายทาง ถ้ามันกำลังฟัง มันจะส่งแพ็กเก็ตไปยังซอฟต์แวร์ใดๆ ก็ตามที่ฟังอยู่ และจะไม่ส่งต่อมัน

ดังนั้นสิ่งที่คุณพยายามทำอาจไม่ได้ผล เพราะเราเตอร์ไม่รู้ว่าจะทำอย่างไรกับทราฟฟิก

คุณอาจทำเครื่องหมายแพ็คเก็ตด้วย iptables จากนั้นมีตารางเส้นทางเฉพาะสำหรับแพ็คเกจที่ทำเครื่องหมายเหล่านั้น เพียงตัวอย่างวิธีการทำงาน:

# ที่อยู่ IPv4 ของพร็อกซี
PROXYIP4=192.168.1.45

# ที่อยู่ IPv6 ของพร็อกซี
PROXYIP6=fd48:2b50:6a95:a6db::73:7175:6964

# ส่วนต่อประสานกับลูกค้าและลูกค้าที่ต้องถูกทำให้เป็นปลาหมึก
CLIENTIFACE=br-lan
CLIENTIP=smart-tv.lan

# เครื่องหมายโดยพลการที่ใช้เพื่อกำหนดเส้นทางแพ็กเก็ตโดยไฟร์วอลล์ อาจเป็นอะไรก็ได้ตั้งแต่ 1 ถึง 64
FWMARK=8

# chain (ควรเป็น OUTPUT บนไคลเอนต์และ PREROUTING บนเราเตอร์)
CHAIN=การพรีเอาท์

# รหัสตารางเส้นทาง
TABLEID=252


# อนุญาติให้ Squid box ออกสู่อินเตอร์เน็ต
#iptables -t mangle -A $CHAIN ​​-p tcp --dport 80 -s $PROXYIP4 -j ยอมรับ
#ip6tables -t mangle -A $CHAIN ​​-p tcp --dport 80 -s $PROXYIP6 -j ยอมรับ

# ทำเครื่องหมายทุกอย่างบนพอร์ต 80 เพื่อกำหนดเส้นทางไปยังกล่อง Squid
iptables -t mangle -A $CHAIN ​​-p tcp -s $CLIENTIP -m หลายพอร์ต --dports 80,443 -j MARK --set-mark $FWMARK
ip6tables -t mangle -A $CHAIN ​​-p tcp -s $CLIENTIP -m หลายพอร์ต --dports 80,443 -j MARK --set-mark $FWMARK

# NP: ตรวจสอบให้แน่ใจว่าอนุญาตให้รับส่งข้อมูลจากภายในเครือข่ายวนกลับเข้าไปภายในอีกครั้ง
iptables -t filter -A FORWARD -i $CLIENTIFACE -o $CLIENTIFACE -p tcp --dport 80 -j ACCEPT
ip6tables -t filter -A FORWARD -i $CLIENTIFACE -o $CLIENTIFACE -p tcp --dport 80 -j ACCEPT

กฎ ip เพิ่ม fwmark ตาราง $FWMARK $TABLEID
เส้นทาง ip เพิ่มค่าเริ่มต้นผ่านตาราง $PROXYIP4 $TABLEID
กฎ ip -6 เพิ่ม fwmark ตาราง $FWMARK $TABLEID
เส้นทาง ip -6 เพิ่มค่าเริ่มต้นผ่านตาราง $PROXYIP6 $TABLEID

ไม่สามารถใช้กับคุณได้หากไม่มีการแก้ไข เพราะจริงๆ แล้วทำตรงกันข้าม â เปลี่ยนเส้นทางการรับส่งข้อมูลไปยัง Squid proxy (เป็นไปได้ว่าฉันได้รับจากบทช่วยสอนด้วย) ประเด็นของฉันคือการแสดงให้เห็นว่าคุณสามารถใช้ตารางเส้นทางอื่นสำหรับแพ็คเกจที่ทำเครื่องหมายไว้ได้ และฉันคิดว่านี่คือสิ่งที่คุณต้องทำเช่นกัน