Redirecionamentos usando 2 links, por favor me ajudem !! [RESOLVIDO]

hardmaster2009
(usa Ubuntu)

Enviado em 07/12/2011 - 16:29h

Ola carinha blz !!, estou apanhando bastante tambem com a tabela mangle, mas vou fazer uma pergunta pra vc:
Vc usa squid ?? ou qq outro proxy de desvia o trafego para um processamento interno no linux como a porta 3128 ??, senão dai a coisa muda um pouco !! dai vc teria que usar -A OUTPUT ao inves de PREROUTING... verifique, tomara que eu não tenha dito besteira

jmuramatsu
(usa Ubuntu)

Enviado em 08/12/2011 - 07:58h

Olá Hard

Tenho squid3 e firewall no servidor.

Você fala em vez de colocar

#iptables -t nat -A PREROUTING -p tcp --dport 80 -j REDIRECT --to-port 3128

eu usar:

#iptables -t nat -A OUTPUT -p tcp --dport 80 -j REDIRECT --to-port 3128

no firewall?

Troquei e ele bloqueia o squid3, não navega.

Engraçado é que eu adiciono um IP pra sair por uma rota da tabela e ele ignora, eu fiz assim:

#ip rule add from 10.10.10.101 table speedy

E quando acesso o www.meuip.com.br pra ver o IP ele mostra o do outro link (virtua) e as vezes o do speedy, está balanceando.

Minhas infos:

#ip rule show
0: from all lookup local
32761: from 10.10.10.101 lookup speedy #aqui está o IP pra sair pelo speedy
32762: from 189.19.200.20 lookup speedy
32763: from all fwmark 0x2 lookup speedy
32764: from 201.52.136.191 lookup virtua
32765: from all fwmark 0x1 lookup virtua
32766: from all lookup main
32767: from all lookup default

XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX

#iptables -t nat -nvL
Chain PREROUTING (policy ACCEPT 1108 packets, 114K bytes)
pkts bytes target prot opt in out source destination
0 0 REDIRECT tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp dpt:80 redir ports 3128
0 0 DNAT tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp dpt:3390 to:10.10.10.157:3389
16 808 DNAT tcp -- eth+ * 0.0.0.0/0 0.0.0.0/0 tcp dpt:31295 to:10.10.10.157
32 1930 DNAT udp -- eth+ * 0.0.0.0/0 0.0.0.0/0 udp dpt:31295 to:10.10.10.157

Chain POSTROUTING (policy ACCEPT 16 packets, 808 bytes)
pkts bytes target prot opt in out source destination
613 40504 MASQUERADE all -- * eth0 0.0.0.0/0 0.0.0.0/0
151 10048 MASQUERADE all -- * eth1 0.0.0.0/0 0.0.0.0/0

Chain OUTPUT (policy ACCEPT 764 packets, 50552 bytes)
pkts bytes target prot opt in out source destination

XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX

#ip route list table speedy
189.19.200.0/24 dev eth1 scope link src 189.19.200.20
default via 189.19.200.1 dev eth1


Aparentemente tudo normal, ok? Lembrando que tirei o fwmark, quero primeiro tentar fazer um IP interno sair pelo speedy que é IP fixo por causa de sites de banco/receita/etc.

Valeu

hardmaster2009
(usa Ubuntu)

Enviado em 08/12/2011 - 12:06h

Ola, colega, tudo blz ?

Eu quiz dizer que pra fazer a marcação de pacotes com a tabela mangle, mas usando o squid, vc tem que colocar as regras de mangle na saida OUTPUT e não na PREROUTING, ja que o trafego da porta 80 é desviado pra processamento local (squid)

dai sim ele vai sair pela conexão que vc quer !!

jmuramatsu
(usa Ubuntu)

Enviado em 08/12/2011 - 14:45h

Tudo blz Hard

Então, marquei a mangle com o CONNMARK no OUTPUT:
#iptables -t mangle -A OUTPUT -p tcp -s 10.10.10.125 --dport 80 -j CONNMARK --set-mark 6

Marquei o iproute2 pra redirecionar o fwmark 6 pra tabela speedy:
#ip rule add fwmark 6 table speedy

Limpei o cache:
#ip route flush cache

E nada, ele pega os 2 IPs dos links fazendo o balanceamento.

Tentei também um:
#iptables -t nat -A POSTROUTING -s 10.10.10.125 -d 0/0 -j SNAT --to 189.19.200.20 #(IP fixo do speedy)

E nada, o que consegui foi adicionar no squid.conf:
acl ips_fixo src 10.10.10.125
tcp_outgoing_address 189.19.200.20 ips_fixo
http_access allow ips_fixo

Ai sim o IP interno acessa somente pelo IP do speedy, pelo iptables/iproute2 nada feito.

Valeu pela ajuda.

hardmaster2009
(usa Ubuntu)

Enviado em 08/12/2011 - 16:50h

voce tentou assim :
iptables -t mangle -A OUTPUT -p tcp -s 10.10.10.125 --dport 80 -j CONNMARK --set-mark 6

tente assim
iptables -t mangle -A OUTPUT -p tcp -s 10.10.10.125 --dport 80 -j MARK --set-mark 6

jmuramatsu
(usa Ubuntu)

Enviado em 09/12/2011 - 08:29h

Nada feito Hard, com MARK ou CONNMARK não vai, somente configurando no squid.conf que funciona, já to desistindo de fazer pelo iproute.

Valeu

jmuramatsu
(usa Ubuntu)

Enviado em 09/12/2011 - 16:00h

Olá Hard

Não me pergunte por que, mas eu estava pondo as configs "na mão", ia digitando no console e não estava dando certo, adicionei as linhas:

#iptables -t mangle -A PREROUTING -i $ETH_LAN -p tcp --dport 443 -j MARK --set-mark 6
#iptables -t mangle -A OUTPUT -p tcp --dport 443 -j MARK --set-mark 6
#ip rule add fwmark 6 table speedy
#ip route flush cache

No script do firewall e deu certo, ele sai com o IP do speedy pro HTTPS, agora não sei por que se coloca digitando no console não funciona.

Valeu pela força.

hardmaster2009
(usa Ubuntu)

Enviado em 09/12/2011 - 16:39h

No caso da porta 443 nem precisa colocar a regra na output, mas se foce a porta 80 dai sim precisa

a porta 443 não passa pelo squid

hardmaster2009
(usa Ubuntu)

Enviado em 12/12/2011 - 08:37h

E o meu problema ainda sem solução !!

jmuramatsu
(usa Ubuntu)

Enviado em 13/12/2011 - 11:03h

Hard, vc tá colocando as regras "na mão", via console ou está no script do firewall?
No meu caso era esse o problema, tinha que colocar as regras no script.

hardmaster2009
(usa Ubuntu)

Enviado em 13/12/2011 - 14:29h

ja fiz de tudo jeito, de traz pra frente de frente pra traz, de ponta cabeça, et etc etc , rsrsrsr !!

E com o ping eu consigo fazer o desvio certinho, externo pra localmente linux digo

hardmaster2009
(usa Ubuntu)

Enviado em 13/12/2011 - 14:58h

não consigo fazer o roteamento dos pacotes que redireciono (DNAT) para outra maquina, ex um server TS OU WEB
Putz sera que vou ter que comprar o tal do aparelho que faz isso ??