Quy tắc IPtables để bỏ qua proxy mực

Tôi nghĩ rằng tôi chỉ cần kiểm tra lại một số quy tắc iptables. (cảnh báo spoiler nó không tốt.)

Vấn đề cơ bản. Chúng tôi có một máy chủ Squid Proxy đang can thiệp vào các tài nguyên internet khác nhau. Tôi ở xa và muốn cập nhật các quy tắc IPTable trên máy chủ proxy để lưu lượng truy cập không bao giờ thực sự đến được dịch vụ Proxy. Đây là cách khắc phục tạm thời trong khi tôi di chuyển mạng sang phần cứng mạng thực tế.

Vì vậy, mục tiêu là định tuyến tất cả lưu lượng truy cập không phải là SSH từ Mạng cục bộ (enp5s0 10.90.30.1/16) đến "Bộ định tuyến" (192.168.165.1/24) với giao diện (enp4s0 192.168.165.1/24)

iptables -t nat -A PREROUTING -p tcp --dport 22 -d 10.90.30.1 -j INPUT
iptables -t nat -A PREROUTING -p tcp --dport 80 -d 10.90.30.1 -j INPUT
iptables -t nat -A PREROUTING -i enp5s0 -d 10.90.30.1 -j DNAT --to 192.168.165.1
iptables -t nat -A PREROUTING -i enp4s0 -d 192.168.165.151 -j DNAT --to 10.90.30.1
iptables -A INPUT -tcp --dport 22 -d 10.90.30.1 -j CHẤP NHẬN
iptables -A Foward -i enp5s0 -d 10.90.30.1 --dport 22 chấp nhận
iptables -t nat -A POSTROUTING -o enp4s0 -j ​​MASQUERADE
iptables -t nat -A POSTROUTING -o enp5s0 -j ​​MASQUERADE

Tôi đánh giá cao tất cả sự giúp đỡ tôi có thể nhận được. Tôi muốn nghĩ rằng tôi hiểu Iptables đủ để thiết lập tường lửa cơ bản. Nhưng định tuyến nâng cao là điều tôi chưa bao giờ phải làm.

Bao nhiêu NAT là quá nhiều NAT? nhiều NAT này.

Bạn có thể đánh dấu các gói bằng iptables và sau đó có một bảng định tuyến cụ thể cho các gói được đánh dấu đó. Chỉ là một ví dụ về cách thức hoạt động của nó:

# Địa chỉ IPv4 của proxy
PROXYIP4=192.168.1.45

# Địa chỉ IPv6 của proxy
PROXYIP6=fd48:2b50:6a95:a6db::73:7175:6964

# giao diện đối mặt với khách hàng và khách hàng được mực hóa
CLIENTIFACE=br-lan
CLIENTIP=smart-tv.lan

# dấu tùy ý được sử dụng để định tuyến các gói bằng tường lửa. Có thể là bất cứ thứ gì từ 1 đến 64.
FWMARK=8

# chuỗi (phải là OUTPUT trên máy khách và PREROUTING trên bộ định tuyến)
CHAIN=PREROUTING

# id bảng định tuyến
TABLEID=252


# cho phép hộp Mực ra Internet
#iptables -t mangle -A $CHAIN ​​-p tcp --dport 80 -s $PROXYIP4 -j CHẤP NHẬN
#ip6tables -t mangle -A $CHAIN ​​-p tcp --dport 80 -s $PROXYIP6 -j CHẤP NHẬN

# đánh dấu mọi thứ khác trên cổng 80 để được chuyển đến hộp Mực
iptables -t mangle -A $CHAIN ​​-p tcp -s $CLIENTIP -m multiport --dports 80,443 -j MARK --set-mark $FWMARK
ip6tables -t mangle -A $CHAIN ​​-p tcp -s $CLIENTIP -m multiport --dports 80,443 -j MARK --set-mark $FWMARK

# NP: Đảm bảo rằng lưu lượng truy cập từ bên trong mạng được phép lặp lại bên trong một lần nữa.
iptables -t filter -A FORWARD -i $CLIENTIFACE -o $CLIENTIFACE -p tcp --dport 80 -j CHẤP NHẬN
ip6tables -t filter -A FORWARD -i $CLIENTIFACE -o $CLIENTIFACE -p tcp --dport 80 -j CHẤP NHẬN

quy tắc ip thêm bảng fwmark $FWMARK $TABLEID
tuyến ip thêm mặc định qua bảng $PROXYIP4 $TABLEID
quy tắc ip -6 thêm bảng fwmark $FWMARK $TABLEID
ip -6 route thêm mặc định qua bảng $PROXYIP6 $TABLEID

Nó không áp dụng cho bạn nếu không có sửa đổi, bởi vì nó thực sự làm ngược lại chuyển hướng lưu lượng truy cập ĐẾN proxy Squid. (Có vẻ như tôi cũng đã lấy nó từ một số hướng dẫn.) Quan điểm của tôi là chứng minh rằng bạn có thể áp dụng một bảng định tuyến khác cho các gói được đánh dấu và tôi nghĩ đây cũng là điều bạn cần làm.

Vì vậy, lý do một proxy trong suốt hoạt động là vì các giao thức lớp trên chứa thông tin về nơi kết nối. Trong HTTP đó là Chủ nhà tiêu đề; trong TLS, đó là tiêu đề SNI.

Nhưng khi bạn chuyển hướng các gói trên cơ sở lớp 3, đó là nơi các bộ định tuyến hoạt động, thì bộ định tuyến nhận gói được viết lại sẽ không biết phải làm gì với nó. Điểm đến được liệt kê là IP của bộ định tuyến, có thể không nghe được trên cổng đích. Nếu tình cờ nó đang nghe, nó sẽ chuyển gói tin đến bất kỳ phần mềm nào đang nghe chứ không chuyển tiếp nó.

Vì vậy, có thể những gì bạn đang cố gắng đạt được sẽ không hoạt động, bởi vì bộ định tuyến sẽ không biết phải làm gì với lưu lượng.