Indice del forum www.zeroshell.net
Distribuzione Linux ZeroShell
 
 FAQFAQ   CercaCerca  GruppiGruppi   RegistratiRegistrati 
 ProfiloProfilo  Log inLog in   Messaggi privatiMessaggi privati 

Http proxy e NAT

 
Nuovo argomento   Rispondi    Indice del forum -> ZeroShell
Precedente :: Successivo  
Autore Messaggio
daniele72



Registrato: 29/06/09 08:26
Messaggi: 25

MessaggioInviato: Dom Ago 23, 2009 2:24 pm    Oggetto: Http proxy e NAT Rispondi citando

Salve,
ho configurato un server ZS con due schede di rete in modo da consentire l' accesso di alcuni utenti ad internet.

Sulle scheda interna ETH1 ho attivato il captive portal, il HTTP proxy trasparente ed il servizio DHCP, ho inoltre impostato come default gateway di ZS l' indirizzo IP del modem sulla ETH0.
Gli utenti riescono a navigare solo se attivo anche la funzione di NAT sulla ETH0 quando secondo me non sarebbe necessaria.
Qualcuno mi sa dire perchè?

Ho anche un altra domanda come posso impedire che gli utenti della ETH1
possano (impostando sul browser l' indirizzo della macchina ZS) entrare nella schermata di loging di ZS?

Grazie
Top
Profilo Invia messaggio privato
VITO



Registrato: 03/04/07 23:29
Messaggi: 352

MessaggioInviato: Lun Ago 24, 2009 8:29 am    Oggetto: Rispondi citando

forse servirebbe che ti leggessi un pò di documentazione l'ì c'è spiegato
Saluti Vito
Top
Profilo Invia messaggio privato
daniele72



Registrato: 29/06/09 08:26
Messaggi: 25

MessaggioInviato: Lun Ago 24, 2009 11:39 am    Oggetto: Rispondi citando

La documentazione l' ho letta e purtroppo non ho trovato l' indicazione di come impedire agli utenti di accedere alla pagina di zs e nemmeno la ragione per la quale devo abilitare il NAT quando ho avviato il proxy http.

D
Top
Profilo Invia messaggio privato
redfive



Registrato: 26/06/09 22:21
Messaggi: 772

MessaggioInviato: Lun Ago 24, 2009 2:45 pm    Oggetto: Rispondi citando

Prova da setup>>https Allow access only from -Interface ETH00- cosi' entri solo dall' eth00 , potresti anche impostare un ip appartenente all' eth01 ma al di fuori del range di ip assegnati dal dhcp attivo sull eth01 , pero se qualcuno che non sei tu si imposta propio quell ip in modo statico, entra lo stesso ...
Top
Profilo Invia messaggio privato
daniele72



Registrato: 29/06/09 08:26
Messaggi: 25

MessaggioInviato: Lun Ago 24, 2009 6:37 pm    Oggetto: Rispondi citando

Grazie del suggerimento cosi funziona.

Mi sai dire niente a proposito del primo quesito circa il fatto che nonostante abbia attivato il proxy http comunque ho dovuto nattare Eth0?

grazie
Top
Profilo Invia messaggio privato
redfive



Registrato: 26/06/09 22:21
Messaggi: 772

MessaggioInviato: Lun Ago 24, 2009 7:01 pm    Oggetto: Rispondi citando

se utilizzi 2 interfacce eth , eth00 lato wan ed eth01 lato lan, devi mettere in
nat enable interface solo la eth00 Wink
Top
Profilo Invia messaggio privato
fulvio
Site Admin


Registrato: 01/11/06 17:45
Messaggi: 1558

MessaggioInviato: Lun Ago 24, 2009 8:49 pm    Oggetto: Rispondi citando

Si potrebbe pensare alla funzione di NAT come ad un proxy di basso livello (livello di rete) in cui il router viene delegato dai client ad apparire su Internet al loro posto. Il proxy http agisce invece ad un livello superiore (livello applicativo) e viene delegato dai browser solo per quel che riguarda il traffico http.
Accettando questa osservazione, appare corretto abilitare il il proxy http senza la necessità di effettuare il NAT. E' ovvio pero' che i client riuscirebbero solo ad usare il web, mentre altri protocolli come smtp, ftp, sip, ... non funzionerebbero.

Detto ciò, il motivo per cui daniele72 è costretto ad abilitare anche il NAT è secondo me il fatto che il proxy trasparente non sta intercettando le richieste dei browser.
Hai aggiunto l'interfaccia connessa alla LAN tra le regole di cattura delle richieste http?

Ciao
Fulvio
Top
Profilo Invia messaggio privato
daniele72



Registrato: 29/06/09 08:26
Messaggi: 25

MessaggioInviato: Mar Ago 25, 2009 12:03 pm    Oggetto: Rispondi citando

Fulvio grazie della risposta e della spiegazione.
La tua stessa considerazione l' avevo fatta anch' io ed è per questo che mi chiedevo perchè senza NAT gli utenti della ETH0 non navigano su internet che è agganciata alla ETH1.

La risposta alla tua domanda è affermativa ho aggiunto tra le regole di cattura del proxy http trasparente quella sulla porta ETH0.
Nei campi source e destination li ho lasciati vuoti.

Dovè che sbaglio?

Grazie
D
Top
Profilo Invia messaggio privato
fulvio
Site Admin


Registrato: 01/11/06 17:45
Messaggi: 1558

MessaggioInviato: Mar Ago 25, 2009 1:11 pm    Oggetto: Rispondi citando

Assicuriamoci che almeno quando il NAT e' abilitato il proxy stia effettivamente intercettando le richieste http. Per far cio' abilita il logging di tutte le richieste. In caso affermativo devi testare il buon funzionamento del DNS. Da un client dai il comando

nslookup www.zeroshell.net

Ciao
Fulvio
Top
Profilo Invia messaggio privato
daniele72



Registrato: 29/06/09 08:26
Messaggi: 25

MessaggioInviato: Mar Ago 25, 2009 2:15 pm    Oggetto: Rispondi citando

Non sono sicuro di aver compreso esattamente il suggerimento che mi hai dato.

Posso aggiungere un particolare circa la mia installazione che forse ti sarà utile a comprendere cosa sta succedendo.

Come detto ho abilitato il HTTP proxy sulla scheda interna (quella verso i client) e ho anche abilitato il captive portal (quest' ultimo non sposta di molto la questione).
Ho inoltre abilitato il connection tracking (forse era quello che suggerivi tu) e nell' area log trovo (sotto la voce) proxy tutti il log dei siti visitati dai client.
Da questo ritengo correggimi se sbaglio che il proxy stia funzionando.
però non mi spigo perchè serve il NAT sulla scheda interna.
Ti viene in mente null'altro.

Grazie
D

PS
Non te l' ho ancora detto ma il tuo lavoro è di primordine.
Complimenti.
Top
Profilo Invia messaggio privato
fulvio
Site Admin


Registrato: 01/11/06 17:45
Messaggi: 1558

MessaggioInviato: Mar Ago 25, 2009 3:33 pm    Oggetto: Rispondi citando

Disabilita il NAT e da un client prova il comando

nslookup www.kernel.org

Ciao
Fulvio
Top
Profilo Invia messaggio privato
daniele72



Registrato: 29/06/09 08:26
Messaggi: 25

MessaggioInviato: Mer Ago 26, 2009 11:48 am    Oggetto: Rispondi citando

Fatto la risposta è:

DNS request timed out.
Can't find server name for address 62.211.69.150
-----
DNS request timed out.
Can't find server name for address 212.48.4.15

I due sono i DNS che ho impostato nel server DHCP.

Cosa ne dici?

Grazie ancora.
D
Top
Profilo Invia messaggio privato
fulvio
Site Admin


Registrato: 01/11/06 17:45
Messaggi: 1558

MessaggioInviato: Mer Ago 26, 2009 12:42 pm    Oggetto: Rispondi citando

Come sospettavo stai facendo usare ai client dei DNS esterni. E' chiaro che i tuoi client, che hanno IP privato, non possono ricevere i pacchetti di risposta di tali DNS se non abiliti il NAT. Semplicemente, nel dhcp specifica come DNS l'indirizzo IP di Zeroshell (lato LAN). Così facendo il dns di Zeroshell lavorerà da DNS cache e si occuperà di contattare i DNS esterni.
Se proprio vuoi sfruttare il DNS esterno da te menzionato, specificalo come forwarder per il dominio ANY. In questa maniera il DNS di Zeroshell non interrogherà i ROOT DNS server, ma inoltrerà la richiesta direttamente al server specificato come forwarder. In altre parole, anche il dns ti lavorerebbe come proxy.

Ciao
Fulvio
Top
Profilo Invia messaggio privato
daniele72



Registrato: 29/06/09 08:26
Messaggi: 25

MessaggioInviato: Mer Ago 26, 2009 4:28 pm    Oggetto: Rispondi citando

Ora è chiaro proverò a fare quanto suggerito
Grazie mille.

Daniele
Top
Profilo Invia messaggio privato
Mostra prima i messaggi di:   
Nuovo argomento   Rispondi    Indice del forum -> ZeroShell Tutti i fusi orari sono GMT + 1 ora
Pagina 1 di 1

 
Vai a:  
Non puoi inserire nuovi argomenti
Non puoi rispondere a nessun argomento
Non puoi modificare i tuoi messaggi
Non puoi cancellare i tuoi messaggi
Non puoi votare nei sondaggi


Powered by phpBB © 2001, 2005 phpBB Group
phpbb.it