한때 Squid Transparent Proxy로 구성된 Ubuntu 10.04 상자가 있습니다. 탐색은 완벽했습니다. 내 Windows 클라이언트에는 문제가 없었습니다.
제가 겪었던 문제는 사용자가 Outlook(및 Outlook Express)을 사용하여 메일을 보내거나 받을 수 없다는 것이었습니다. 그래서 여기저기서 구글링을 하다가 해결방법을 찾았습니다.
sudo iptables -t nat -A POSTROUTING -p TCP --dport 25 -j MASQUERADE
sudo iptables -t nat -A POSTROUTING -p TCP --dport 110 -j MASQUERADE
모든 것이 훌륭해졌습니다.
이제 오징어 인증(텍스트 파일을 사용하는 간단한 인증)을 활성화했고 Outlook과 Outlook Express가 다시 작동을 멈췄습니다. 문제는 smtp 또는 pop을 프록시하지 않기 때문에 실제로 오징어와 관련된 문제가 아니라는 것을 읽었습니다. 하지만 여전히 해결해야 합니다. NAT? 포트 포워딩?
어떤 종류의 명령을 사용해야 합니까?
오징어 서버에는 단일 NIC가 있으며 인터넷에 접속하여 문제 없이 opendns 서버를 사용하여 이름을 해결할 수 있습니다.
서버 구성: ip 192.168.1.210 서브넷 255.255.255.0 게이트웨이 192.168.1.5
내가 사용하는 클라이언트에서는: ip 192.168.1.x 서브넷 255.255.255.0 게이트웨이 192.168.1.210
더 자세한 내용을 추가할 수 있으니 문의해 주세요. 하지만 문제를 해결하는 데 무엇이 필요한지 모르겠습니다.
편집하다:
sudo iptables -L
Chain INPUT (policy ACCEPT)
target prot opt source destination
fail2ban-ssh tcp -- anywhere anywhere multiport dports ssh
Chain FORWARD (policy ACCEPT)
target prot opt source destination
Chain OUTPUT (policy ACCEPT)
target prot opt source destination
Chain fail2ban-ssh (1 references)
target prot opt source destination
RETURN all -- anywhere anywhere
sudo iptables -L -t nat
Chain PREROUTING (policy ACCEPT)
target prot opt source destination
REDIRECT tcp -- anywhere anywhere tcp dpt:www redir ports 3128
Chain POSTROUTING (policy ACCEPT)
target prot opt source destination
MASQUERADE tcp -- anywhere anywhere tcp dpt:smtp
MASQUERADE tcp -- anywhere anywhere tcp dpt:pop3
Chain OUTPUT (policy ACCEPT)
target prot opt source destination
답변1
정확히 무엇을 달성할 것인지 잘 모르겠습니다. 내가 이해하는 한, 다음 시나리오에서는 오징어가 있는 머신을 라우터/방화벽으로 사용할 것입니다.
- Squid를 통해서만 웹 프로토콜(http/ftp)을 허용합니다.
- NAT를 통해 내부 네트워크에서 외부로 smpt/pop3에 액세스할 수 있도록 허용합니다.
- 인터넷 게이트웨이는 192.168.1.5입니다.
일반적으로 NAT는 한 네트워크(192.168.1.0/24)에서 다른 네트워크(예: 84.145.77.23/32)로 또는 그 반대로 변환됩니다. 따라서 작동하려면 게이트웨이 시스템 192.168.1.5에 NAT 규칙을 설정해야 할 수도 있습니다.
나가는 경로는 다음과 같습니다.
client -> 192.168.1.210 ->NAT-> 192.168.1.5 ->NAT-> mailserver
응답의 수신 경로는 다음과 같습니다.
mailserver -> 192.168.1.5 ->NAT-> 192.168.1.210 ->NAT-> client
여기서 볼 수 있듯이 192.168.1.210은 제거될 수 있으며 게이트웨이는 모든 클라이언트에서 나가는 smtp/pop3 트래픽을 수락 및 NAT하고 192.168.1.210에서만 나가는 http(s)/ftp 트래픽을 수락하도록 구성할 수 있습니다.
192.168.1.210과 192.168.1.5 사이의 두 번째 NAT는 문제(동일 네트워크)를 일으킬 수 있으므로 불필요합니다.
192.168.1.210에서 일반적으로 NAT를 활성화하려면 먼저 다음을 시도해 보십시오.
iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE
필요한 경우 eth0을 네트워크 인터페이스 이름으로 변경합니다.