Quiero configurar un cliente Linux (mint/ubuntu) para usar Redoscks para pasar todas las conexiones tcp y udp a un servidor proxy SOCKS5 que ejecuta Dante, en un solo puerto, para pasar a través de un proxy empresarial. Hasta ahora he tenido éxito al redirigir HTTP/HTTPS en casa (es decir, sin el restrictivo proxy empresarial de por medio), y las pruebas parecen mostrar un éxito parcial con UDP. Quiero asegurar una redirección TCP y UDP completa para que todos los servicios, como ntp, puedan ejecutarse. La redirección de solicitudes de DNS también sería buena.
El archivo de configuración de Dante es el siguiente, configurado para permitir la asociación udp, con autenticación de usuario básica.
# /etc/danted.conf
logoutput: syslog
user.privileged: root
user.unprivileged: nobody
internal: veth0 port=1080
external: veth0
socksmethod: username
clientmethod: none
# Rules
client pass {
from: 0.0.0.0/0 to: 0.0.0.0/0
log: error connect disconnect
}
client block {
from: 0.0.0.0/0 to: 0.0.0.0/0
log: connect error
}
socks pass {
from: 0.0.0.0/0 to: 0.0.0.0/0
command: bind connect udpassociate
log: error connect disconnect
socksmethod: username
}
socks block {
from: 0.0.0.0/0 to: 0.0.0.0/0
log: connect error
}
socks pass {
from: 0.0.0.0/0 to: 0.0.0.0/0
command: bindreply udpreply
log: error # connect disconnect iooperation
}
Por razones de limpieza, ya que me inspiro en las plantillas, realmente no entiendo la necesidad debloque de clientesybloque de calcetinesnormas. No parecen cambiar nada si se comentan. Tampoco entiendo por qué devolverlo.método de calcetines: nombre de usuarioen la regla de aprobación de calcetines si se define globalmente. Comentarlo no tiene ningún efecto.
En el cliente, los archivos de configuración de redsocks dicen lo siguiente
base {
log_debug = off;
log_info = on;
log = "syslog:daemon";
daemon = on;
user = redsocks;
group = redsocks;
redirector = iptables;
}
redsocks {
local_ip = 127.0.0.1;
local_port = 12345;
ip = myproxyserverIP;
port = 1080;
type = socks5;
login = myproxyuser;
password = myproxypassword;
}
redudp {
local_ip = 127.0.0.1;
local_port = 12345;
ip = myproxyserverip;
port = 1080;
login = myproxyuser;
password = myproxypassword;
dest_ip = 8.8.8.8;
dest_port = 53;
udp_timeout = 30;
udp_timeout_stream = 180;
}
dnstc {
// fake and really dumb DNS server that returns "truncated answer" to
// every query via UDP, RFC-compliant resolver should repeat same query
// via TCP in this case.
local_ip = 127.0.0.1;
local_port = 5300;
}
Luego uso iptables para redirigir 80 y 443 a redsocks, tanto en TCP como en UDP. También agrego UDP 5002 para el servidor de prueba iperf.
*nat
:PREROUTING ACCEPT [26:3850]
:INPUT ACCEPT [2:178]
:OUTPUT ACCEPT [8:3456]
:POSTROUTING ACCEPT [10:6452]
:REDSOCKS - [0:0]
-A PREROUTING -p tcp -m tcp --dport 443 -j REDSOCKS
-A PREROUTING -p tcp -m tcp --dport 80 -j REDSOCKS
-A PREROUTING -p udp -m udp --dport 443 -j REDSOCKS
-A PREROUTING -p udp -m udp --dport 80 -j REDSOCKS
-A PREROUTING -p udp -m udp --dport 5002 -j REDSOCKS
-A OUTPUT -p tcp -m tcp --dport 443 -j REDSOCKS
-A OUTPUT -p tcp -m tcp --dport 80 -j REDSOCKS
-A OUTPUT -p udp -m udp --dport 443 -j REDSOCKS
-A OUTPUT -p udp -m udp --dport 80 -j REDSOCKS
-A OUTPUT -p udp -m udp --dport 5002 -j REDSOCKS
-A REDSOCKS -d 0.0.0.0/8 -j RETURN
-A REDSOCKS -d 10.0.0.0/8 -j RETURN
-A REDSOCKS -d 127.0.0.0/8 -j RETURN
-A REDSOCKS -d 169.254.0.0/16 -j RETURN
-A REDSOCKS -d 172.16.0.0/12 -j RETURN
-A REDSOCKS -d 192.168.0.0/16 -j RETURN
-A REDSOCKS -d 224.0.0.0/4 -j RETURN
-A REDSOCKS -d 240.0.0.0/4 -j RETURN
-A REDSOCKS -p tcp -j REDIRECT --to-ports 12345
-A REDSOCKS -p udp -j REDIRECT --to-ports 12345
COMMIT
*filter
:INPUT ACCEPT [4510:4209873]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [6689:7022488]
COMMIT
A partir de ahí parece funcionar. Navegar por Internet funciona, si
curl ifconfig.co
Obtengo la dirección del servidor proxy.
Si intento probar la conexión udp,
iperf -c speedtest.serverius.net -u -p 5002
e intente ver las conexiones udp activas (aunque sin estado)
ss -u -pa
Veo que hay una conexión udp a mi servidor proxy, aunque se informan en los puertos 48066 y 48610, no en 1080. También veo una conexión directa al servidor de prueba serverius, ¿el puerto indica rfe? ¿Podría alguien explicarme esto?
Si trato de ser un poco más brutal y le digo a iptables que enrute todo el tráfico, ya nada funciona, no obtengo conexión con nada. Debo estar haciendo algo muy mal.
*nat
:PREROUTING ACCEPT [26:3850]
:INPUT ACCEPT [2:178]
:OUTPUT ACCEPT [8:3456]
:POSTROUTING ACCEPT [10:6452]
:REDSOCKS - [0:0]
-A PREROUTING -p tcp -m tcp -j REDSOCKS
-A PREROUTING -p udp -m udp -j REDSOCKS
-A OUTPUT -p tcp -m tcp -j REDSOCKS
-A OUTPUT -p udp -m udp -j REDSOCKS
-A REDSOCKS -d 0.0.0.0/8 -j RETURN
-A REDSOCKS -d 10.0.0.0/8 -j RETURN
-A REDSOCKS -d 127.0.0.0/8 -j RETURN
-A REDSOCKS -d 169.254.0.0/16 -j RETURN
-A REDSOCKS -d 172.16.0.0/12 -j RETURN
-A REDSOCKS -d 192.168.0.0/16 -j RETURN
-A REDSOCKS -d 224.0.0.0/4 -j RETURN
-A REDSOCKS -d 240.0.0.0/4 -j RETURN
-A REDSOCKS -p tcp -j REDIRECT --to-ports 12345
-A REDSOCKS -p udp -j REDIRECT --to-ports 12345
COMMIT
*filter
:INPUT ACCEPT [4510:4209873]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [6689:7022488]
COMMIT
Tu ayuda sería muy apreciada, mi cerebro se está derritiendo :p Gracias, Nicolas
Respuesta1
En dante config, creo que bloqueaste todas las conexiones como en
client block {
from: 0.0.0.0/0 to: 0.0.0.0/0
log: connect error
}