Indice del forum www.zeroshell.net
Distribuzione Linux ZeroShell
 
 FAQFAQ   CercaCerca  GruppiGruppi   RegistratiRegistrati 
 ProfiloProfilo  Log inLog in   Messaggi privatiMessaggi privati 

ZS in rete con proxy

 
Nuovo argomento   Rispondi    Indice del forum -> ZeroShell
Precedente :: Successivo  
Autore Messaggio
salvatoredileo



Registrato: 05/10/15 11:03
Messaggi: 13

MessaggioInviato: Lun Ott 05, 2015 11:14 am    Oggetto: ZS in rete con proxy Rispondi citando

Buongiorno a tutti, mi chiamo Salvatore. Vorrei chiedervi se vi è mai capitato di configurare ZS in una rete dove è gia presente un proxy x.x.x.x:4312 e se è possibile configurare ZS in una rete cosi. Lavoro in una scuola ed il mio scopo è quello di creare un box ZS che funga da gateway solo per il mio laboratorio e che quest'ultimo rigiri poi tutto il traffico sul proxy principale di Istituto. In questo modo potrei innanzitutto risparmiarmi il lavoro di modifica delle impostazioni di rete su tutti i browser di tutti i pc e poi potrei attivare ulteriori blocchi per gli studenti.
Grazie
Salvatore
Top
Profilo Invia messaggio privato
salvatoredileo



Registrato: 05/10/15 11:03
Messaggi: 13

MessaggioInviato: Mar Ott 06, 2015 10:18 am    Oggetto: Rispondi citando

Mi spiego meglio vorrei avere una situazione come la seguente:


Laboratorio --> ZS --> Proxy gia esistente --> Internet

dovrei catturare il traffico del mio lab sulla porta 80 e reindirizzarlo sul proxy esistente che è in ascolto sulla porta 4312 e uscire.

Al momento ho configurato il mio box ZS con due interfacce di rete in BRIDGE, "credo" mi manchi un altro passaggio per completare l'opera

Nessuno mi puo aiutare?
Top
Profilo Invia messaggio privato
salvatoredileo



Registrato: 05/10/15 11:03
Messaggi: 13

MessaggioInviato: Mer Ott 07, 2015 12:45 pm    Oggetto: Rispondi citando

Un'altra soluzione, magari più semplice, che potrei adottare sarebbe quella di attivare HAVP nel mio proxy trasparente e filtrare il traffico da li... l'unica cosa è che dovrei cambiare la porta di ascolto dell'HAVP.... qualcuno sa dirmi come si puo fare se si puo fare....
Top
Profilo Invia messaggio privato
salvatoredileo



Registrato: 05/10/15 11:03
Messaggi: 13

MessaggioInviato: Mar Nov 10, 2015 8:31 am    Oggetto: Rispondi citando

Ho provato questo ma non funziona... Qualcuno sa darmi una mano?


iptables -t nat -A PREROUTING -p tcp --dport 80 -j DNAT --to-destination 172.16.200.210:4312

iptables -t nat -A POSTROUTING -j MASQUERADE
Top
Profilo Invia messaggio privato
redfive



Registrato: 26/06/09 22:21
Messaggi: 747

MessaggioInviato: Mar Nov 10, 2015 3:24 pm    Oggetto: Rispondi citando

Hai provato inserendo l'interfaccia di ingresso in PREROUTING e l'interfaccia di uscita in POSTROUTING ? Tipo
Codice:
iptables -t nat -A PREROUTING -i ETH00 -p tcp --dport 80 -j DNAT --to-destination 172.16.200.210:4312
iptables -t nat -A POSTROUTING -o ETH01 -j MASQUERADE

Con 'Append' (-A) le regole vengono eseguite se non c'è un match con qualche regola precedente, o guardi come è la situazione ( iptables -t nat -nvL), o le inserisci al primo posto (-I al posto di -A).
ciao
Top
Profilo Invia messaggio privato
salvatoredileo



Registrato: 05/10/15 11:03
Messaggi: 13

MessaggioInviato: Mer Nov 11, 2015 8:27 am    Oggetto: Rispondi citando

Ciao Redfive! grazie per la risposta! La tua soluzione sembra non funzionare, se posso ti rubo 2 minuti del tuo tempo per spiegarti come è configurata la rete di questo isituto.
La rete è composta da una serie di Vlan, per poter navigare ai pc del mio lab sono stati assegnati i seguenti parametri:

IP: 172.17.100.x
Subnet 255.255.255.0
gateway 172.17.100.200
DNS 172.16.200.240

Ad ogni macchina poi devi configurare i browser ed impostare il Proxy di istituto che ha il seguente indirizzo: 172.16.200.210:4312

Dato che il proxy viene scavalcato facilmente dagli studenti e non ci sono regole, ho pensato di mettere un box ZS tra la mia rete di lab ed il proxy. Vorrei farli navigare senza modificare ogni volta i browser e far fare il lavoro di dirottamento del traffico dalla porta 80 alla porta 4312 al box ZS.

I pc li ho configurati cosi:
IP 192.168.1.x
Subnet 255.255.255.0
gateway 192.168.1.76 (indirizzo della ETH00 di ZS)

Poi sul box ZS ho messo un'altra interfaccia di rete ETH01 con il seguente indirizzo: 172.17.100.220
Subnet 255.255.255.0
Gateway predefinito 172.17.100.200
Ho attivato il NAT su ETH01

Poi ho inserito le iptables che mi hai seggerito ma non va...
in realtà se pingo un indirizzo ip pubblico di un server che ho da un'altra parte mi risponde ma non naviga; praticamente è lo stesso comportamento che hanno i pc finche non configuro il proxy nei loro browsers, cioè esco col ping ma non navigano.

Ho pensato che avendo attivato il NAT c'è un problema di restituzione pacchetti da parte del proxy d'istituto....
Dove sbaglio? C'è un'altra soluzione?
Grazie ancora per la tua attenzione
Salvatore
Top
Profilo Invia messaggio privato
salvatoredileo



Registrato: 05/10/15 11:03
Messaggi: 13

MessaggioInviato: Mer Nov 11, 2015 8:30 am    Oggetto: Rispondi citando

...a proposito... mi sono dimentico di dire che lo stesso box ZS non naviga... Ping l'ip pubblico che dicevo prima ma non riceve le informazioni sulla message board
Top
Profilo Invia messaggio privato
salvatoredileo



Registrato: 05/10/15 11:03
Messaggi: 13

MessaggioInviato: Mer Nov 11, 2015 8:53 am    Oggetto: Rispondi citando

Dalle utilities di ZS ho provato a pingare www.google.it, il ping risponde mentre mi da il seguente errore ARP:

WARNING: the host 216.58.210.227 is not directly connected on the ETH01 LAN but is reachable via
the gateway 172.17.100.200: ARP is a Layer 2 Protocol and it cannot be routed by routers!
Top
Profilo Invia messaggio privato
salvatoredileo



Registrato: 05/10/15 11:03
Messaggi: 13

MessaggioInviato: Mer Nov 11, 2015 10:14 am    Oggetto: Rispondi citando

Ciao ho risolto modificando da shell il file havp.config e impostando da li il proxyparent. Ora il traffico viene girato sul proxy esterno ma riscontro altri problemi... con questa configurazione non riesco a visualizzare i siti https e google è uno di questi... Ho sempre usato ZS come cuore pulsante di una rete ed ha sempre funzionato più che egregiamente ma forse da "gregario" non riesce a sfruttare tutte le sue potenzialità.
Grazie cmq dell'aiuto
Top
Profilo Invia messaggio privato
Mostra prima i messaggi di:   
Nuovo argomento   Rispondi    Indice del forum -> ZeroShell Tutti i fusi orari sono GMT + 1 ora
Pagina 1 di 1

 
Vai a:  
Non puoi inserire nuovi argomenti
Non puoi rispondere a nessun argomento
Non puoi modificare i tuoi messaggi
Non puoi cancellare i tuoi messaggi
Non puoi votare nei sondaggi


Powered by phpBB © 2001, 2005 phpBB Group
phpbb.it