nixp.ru v3.0

22 января 2017,
воскресенье,
09:03:53 MSK

DevOps с компанией «Флант»
anonymous написал 13 марта 2006 года в 11:25 (433 просмотра) Ведет себя неопределенно; открыл 1814 темы в форуме, оставил 5575 комментариев на сайте.

Проблема в следующем: нужен HTTP прокси под линукс, только работающий не через порт, а перехватывающий весь http трафик через роутер. По аналогии с AdMuncher’ом. Если такое есть в природе посоветуйте, а если нет, то как это можно реализовать самостоятельно (может какие либы посоветуете).

Спасибо.

Genie

гугль://transparent-proxy-howto

Dr. Evil

тебе именно прокси нужен? можно это элементароно сделать при помощи NAT.

если нужен только прокси, то почитай <font color=«green»>здесь</font>. Дальше по ссылке — Прозрачный.

anonymous
Genie
гугль://transparent-proxy-howto

Я в курсе. Но мне надо, чтобы НЕ менялся адрес отправителя/получателя. В случае с transparent-proxy-howto на iptables ставиться принудительный разворот на прокси.

anonymous
timotei
Я в курсе. Но мне надо, чтобы НЕ менялся адрес отправителя/получателя. В случае с transparent-proxy-howto на iptables ставиться принудительный разворот на прокси.

как вы представляете себе эту технологию в действии?

anonymous
idv_
как вы представляете себе эту технологию в действии?

Представляю элементарно :)

Пользователь отправляет запрос -> на роутере «прога X» отслеживает весь HTTP трафик (pcap?) -> если нет данных в кеше — кеширует, если есть не пускает пакет дальше, а отдает данные сама.

Так сказать stealth mode :)

Genie
idv_
как вы представляете себе эту технологию в действии?

представить-то можно..

да и реализовать, в принципе, тоже.

только это будет уже «заказ на создание ПО», со своими расценками.. ;))

anonymous
Genie
представить-то можно..

да и реализовать, в принципе, тоже.

только это будет уже «заказ на создание ПО», со своими расценками.. ;))

Я не пытаюсь заказать…

см выше Если такое есть в природе посоветуйте, а если нет, то как это можно реализовать самостоятельно (может какие либы посоветуете).

Dr. Evil

как я понимаю, ты хочешь так:

твоя локалка (ip-адреса из пула 192.168.1.0/24) —>> некий роутер, где ты хочешь поставить этот супер софт —>> Интернет.

Получается, по-твоему, так:

192.168.1.2 обращается на nixp.ru, например. Этот запрос идет на твой роутер, если так настроена маршрутизация, а потом роутер, если нет ничего из кэша, отправляет этот запрос прям в инет без замена source-ip. именно так тебе надо?

anonymous

Примерно так. Только там еще NAT есть.

Объясню причину сего извращения. Делаю считалку трафика. Но при transparent squide ессесно все запросы в инет идую от роутера. Считать через логи сквида + все остальное = статистика не бъет с провайдером. Вот и хотелось бы не лишаясь прокси замутить правильную считалку.

Dr. Evil

точно.

извращение

а NAT где стоит, если его в мою схему вставить?

anonymous
Dr._Evil
точно.

извращение

а NAT где стоит, если его в мою схему вставить?

на роутере

Dr. Evil

два пути: ставь что-то, что будет считать трафик до роутера или считай трафик при помощи своего фаервола. думаю, что это iptables ;)

anonymous
Dr._Evil
два пути: ставь что-то, что будет считать трафик до роутера или считай трафик при помощи своего фаервола. думаю, что это iptables ;)

Я и так считаю трафик через IPQueue

anonymous
timotei
Представляю элементарно :)

Пользователь отправляет запрос -> на роутере «прога X» отслеживает весь HTTP трафик (pcap?) -> если нет данных в кеше — кеширует, если есть не пускает пакет дальше, а отдает данные сама.

Так сказать stealth mode :)

И где здесь сохранение адресов?

Боюсь вы не представляете. Это не описание….

Dr. Evil
перехватывающий весь http трафик через роутер

может, ты имел в виду трафик, который идет не только по протоколу http, но и ftp, например?

Я и так считаю трафик через IPQueue

он тебя чем-то не устраивает?

anonymous
timotei
Примерно так. Только там еще NAT есть.

Объясню причину сего извращения. Делаю считалку трафика. Но при transparent squide ессесно все запросы в инет идую от роутера. Считать через логи сквида + все остальное = статистика не бъет с провайдером. Вот и хотелось бы не лишаясь прокси замутить правильную считалку.

А вы считайте на интерфейсах по адресам (типа через счетчики iptables, считалог до фига)

anonymous
Dr._Evil
может, ты имел в виду трафик, который идет не только по протоколу http, но и ftp, например?

он тебя чем-то не устраивает?

и ftp тоже. IPQUEUE регистрирует не адрес клиента из внутренней сети, а адрес сквида. А мне надо учет по локальным ip для квот.

Dr. Evil

так ты веди подсчет на внутреннем интерфейсе, чтобы squid не успел переписать Source-IP в ip-пакете

anonymous
Dr._Evil
так ты веди подсчет на внутреннем интерфейсе, чтобы squid не успел переписать Source-IP в ip-пакете

Не будет бить с данными прова :(

Проверял 100%

Dr. Evil
Не будет бить с данными прова :(

это что значит?

у тебя сетевых интерфейса, так? один для частной сети, а другой — Интернет (ip-адрес, выданный провайдером), так?

anonymous
Dr._Evil
это что значит?

у тебя сетевых интерфейса, так? один для частной сети, а другой — Интернет (ip-адрес, выданный провайдером), так?

да.

Genie
Не будет бить с данными прова :(

Проверял 100%

ну, не знаю.. у меня ipcad показывает по интерфейсам входящего четь меньше, исхоящего — чуть больше провайдерского.

а трафик сквида… считается отдельно.

делится после обсчёта логов на «локальный» и «внешний».

локальный — это сгенерированный прокси сервером (отлупы 4хх или возврат из кеша) и для серверов из DMZ.

внешний — траф до внешних ресурсов.

особо большого расхождения тоже не наблюдается

ecobeingecobeing.ru
Экология и вегетарианство на благо всем живым существам Планеты.