Zyxel a přesměrování portu z LAN jinam do LAN

Jimm

Zyxel a přesměrování portu z LAN jinam do LAN
« kdy: 10. 02. 2015, 22:30:38 »
Ahoj, potřeboval bych poradit, začínám tušit že to asi nepůjde, což mě dost mrzí.

Na půdě mám Zyxel, přes který jde veškerý provoz do internetu. V baráku v jedné místnosti je server, který je za Zyxelem z historických důvodů normálně za NATem. Na domácím serveru jede squid, ale tím pádem to není jako transparentní proxy. Napadlo mě, že bych veškerý provoz co přijde z LAN do Zyxelu na 80 prostě přesměroval na domácí server na odpovídající port, čímž bych vytvořil vlastně něco jako transparentní proxy, ale teď se mi nedaří ten Zyxel donutit, aby tohle prováděl. Ví někdo případně jak na to? Moc díky. :)


Jimm

Re:Zyxel a přesměrování portu z LAN jinam do LAN
« Odpověď #1 kdy: 10. 02. 2015, 22:32:18 »
Jedná se konkrétně o Zywall 5.

Re:Zyxel a přesměrování portu z LAN jinam do LAN
« Odpověď #2 kdy: 11. 02. 2015, 00:36:01 »
Máte nějaký dobrý důvod, proč chcete proxy server měnit na transparentní? Transparentní proxy server je MITM útok na komunikaci, nebude vám např. fungovat s HTTPS a případně mohou vzniknout další problémy z toho, že prohlížeč komunikuje s něčím jiným, než předpokládá.

JardaP .

  • *****
  • 11 064
    • Zobrazit profil
    • E-mail
Re:Zyxel a přesměrování portu z LAN jinam do LAN
« Odpověď #3 kdy: 11. 02. 2015, 00:38:04 »
Zyxel 5 neznam, ale zatim jsem v zadnem domacim routeru takovou vec nevidel. Asi byste musel mit nejake WRT nebo neco. Mozna tak, kdyby se vam podarilo zalogovat pres ssh, jestli umi a nekam tam vnuti skript, ktery nastavi iptables. vsem co to udela po resetu?

Ale mohl byste na to jit o lesa. Na Zyxelu vypnou DHCP server, nakonfigurovat DHCP server na tom vasem stroji tak, aby sam sebe klientum daval jako gateway. Pak si vytvorite virtualni rozhrani a mezi fyzickym rozhranim a tim virtualnim si nastavite routing podle vaseho vkusu a take presmerovani provozu na port 80 pres ten Squid. Nejak takto: http://blog.andrisetiawan.com/2007/12/05/transparent-proxy-server-with-one-nic/ .Nekde jsem videl podobnou vec s Raspberry Pi, ale emuzu to najit.

Zda se, ze existuji dalsi podvody, ktere by sly pouzit a upravit. Mrknete na: http://raspberrypi.stackexchange.com/questions/7223/using-the-raspberry-pi-as-a-router  http://www.instructables.com/id/Raspberry-Pi-Firewall-and-Intrusion-Detection-Syst/?ALLSTEPS (venujte pozornost # Do not send ICMP redirects (really important for our single NIC gateway) http://networkfilter.blogspot.be/2012/08/building-your-piwall-gateway-firewall.html . A zejmena http://blog.andrisetiawan.com/2007/12/05/transparent-proxy-server-with-one-nic/ .

Data vam ale budou behat po kabelu tam a zpatky, takze jestli mate treba stary 10Mbit NIC a husty provoz, tak by to mohlo vadit.

JardaP .

  • *****
  • 11 064
    • Zobrazit profil
    • E-mail
Re:Zyxel a přesměrování portu z LAN jinam do LAN
« Odpověď #4 kdy: 11. 02. 2015, 00:41:58 »
@Filip Jirsák: Smankote, snad rikal, ze to chce na port 80, tak jakepak HTTPS?


Jimm

Re:Zyxel a přesměrování portu z LAN jinam do LAN
« Odpověď #5 kdy: 11. 02. 2015, 03:56:54 »
FJ: ne, na portu 80 se nejedná o https  ;D

Jarda: Pravda, to je ten čestvý pohled který mi chybí, dhcp mám stejně z domácího serveru, takže změnit GW na tento server bude asi to nejmenší... Ještě to promyslím a pokud nenarazím na žádný logický zádrhel kde by mi to rozhodilo něco jiného, udělám to tak. Díky! Taková blbost, ale jak na to čučím v téhle síti už tak dlouho, ani mě nenapadlo že by to mohlo být jinak.  :D

Zyxel 5 neznam, ale zatim jsem v zadnem domacim routeru takovou vec nevidel. Asi byste musel mit nejake WRT nebo neco. Mozna tak, kdyby se vam podarilo zalogovat pres ssh, jestli umi a nekam tam vnuti skript, ktery nastavi iptables. vsem co to udela po resetu?

Ale mohl byste na to jit o lesa. Na Zyxelu vypnou DHCP server, nakonfigurovat DHCP server na tom vasem stroji tak, aby sam sebe klientum daval jako gateway. Pak si vytvorite virtualni rozhrani a mezi fyzickym rozhranim a tim virtualnim si nastavite routing podle vaseho vkusu a take presmerovani provozu na port 80 pres ten Squid. Nejak takto: http://blog.andrisetiawan.com/2007/12/05/transparent-proxy-server-with-one-nic/ .Nekde jsem videl podobnou vec s Raspberry Pi, ale emuzu to najit.

Zda se, ze existuji dalsi podvody, ktere by sly pouzit a upravit. Mrknete na: http://raspberrypi.stackexchange.com/questions/7223/using-the-raspberry-pi-as-a-router  http://www.instructables.com/id/Raspberry-Pi-Firewall-and-Intrusion-Detection-Syst/?ALLSTEPS (venujte pozornost # Do not send ICMP redirects (really important for our single NIC gateway) http://networkfilter.blogspot.be/2012/08/building-your-piwall-gateway-firewall.html . A zejmena http://blog.andrisetiawan.com/2007/12/05/transparent-proxy-server-with-one-nic/ .

Data vam ale budou behat po kabelu tam a zpatky, takze jestli mate treba stary 10Mbit NIC a husty provoz, tak by to mohlo vadit.

Re:Zyxel a přesměrování portu z LAN jinam do LAN
« Odpověď #6 kdy: 11. 02. 2015, 07:28:17 »
FJ: ne, na portu 80 se nejedná o https  ;D
Aha, takže vám nejde o webový proxy server, vy prostě jenom chcete transparentní proxy server na portu 80, protože proto. Tak s tím vám bohužel neporadím.

Pro vaši informaci, pokud se používá proxy server pro port 80, zpravidla to bývá webový proxy server. A na webu se používají protokoly HTTP a HTTPS, takže  většina správců, kteří řeší webový proxy server, řeší oba dva protokoly.

Kremo

Re:Zyxel a přesměrování portu z LAN jinam do LAN
« Odpověď #7 kdy: 11. 02. 2015, 08:44:58 »
Co mi brani nastavit v prehliadacoch (a inych aplikaciach, ktore do nastaveni prehliadacov nepozeraju by default) ten squid ako proxy ? Tym padom 80+443 ide na squid, zvysok na zyxel ...
Mozno mi nieco uniklo, ale takto mi to prislo jaksi najviac easy ...

SB

Re:Zyxel a přesměrování portu z LAN jinam do LAN
« Odpověď #8 kdy: 11. 02. 2015, 08:49:17 »
Nejde to udělat destination natem nebo mangleováním? To asi ten Zywall neumí, co?

Re:Zyxel a přesměrování portu z LAN jinam do LAN
« Odpověď #9 kdy: 11. 02. 2015, 10:40:17 »
Co mi brani nastavit v prehliadacoch (a inych aplikaciach, ktore do nastaveni prehliadacov nepozeraju by default) ten squid ako proxy ? Tym padom 80+443 ide na squid, zvysok na zyxel ...
Mozno mi nieco uniklo, ale takto mi to prislo jaksi najviac easy ...
Přesně na to jsem se ptal, a dozvěděl jsem se, že tomu vůbec nerozumím… Jinak v prohlížečích se to nemusí explicitně nastavovat, všechny rozumné prohlížeče (a další aplikace) podporují autokonfiguraci přes WPAD.

Mylon

Re:Zyxel a přesměrování portu z LAN jinam do LAN
« Odpověď #10 kdy: 11. 02. 2015, 11:06:27 »
Zkus zyxel prepnout do modu "bridge", jestli to teda pujde.

Togusa

Re:Zyxel a přesměrování portu z LAN jinam do LAN
« Odpověď #11 kdy: 11. 02. 2015, 13:27:42 »
Tak jestli to má stejný vnitřní firmware jako Zywall USG 20 potom to lze nastavit v -> Configuration -> routing -> (záložka) Policy route. A tam lze definovat jaký port, kam má jít a pro jaké adresy...

Pánové, třeba se jen učí vykrádat kam chodí lidi na internet, tak ho hned nekamenujte, jinak v tom taky nevidím moc velký smysl. ;-)

Jimm

Re:Zyxel a přesměrování portu z LAN jinam do LAN
« Odpověď #12 kdy: 11. 02. 2015, 13:42:09 »
No jasně, to je perfektní řešení, dokonce to přiděluji přes DHCP. A každý nový telefon, například na Androidu? Mám v síti minimálně 25 zařízení, což je dnes u geeků asi běžné a vy mi tedy radíte, abych to nastavoval ručně? :) :D
Co mi brani nastavit v prehliadacoch (a inych aplikaciach, ktore do nastaveni prehliadacov nepozeraju by default) ten squid ako proxy ? Tym padom 80+443 ide na squid, zvysok na zyxel ...
Mozno mi nieco uniklo, ale takto mi to prislo jaksi najviac easy ...

Jimm

Re:Zyxel a přesměrování portu z LAN jinam do LAN
« Odpověď #13 kdy: 11. 02. 2015, 13:47:00 »
Je to kvůli tisíci a jedné věci, například efektivní shaping. Kde jedu přes proxy, se svou ubohoučkou linkou vycházím v pohodě, pokud jedu přímo (i přes shaping nastavený na routeru) mi jedno zařízení vyžere celý bandwich.

Tak jestli to má stejný vnitřní firmware jako Zywall USG 20 potom to lze nastavit v -> Configuration -> routing -> (záložka) Policy route. A tam lze definovat jaký port, kam má jít a pro jaké adresy...

Pánové, třeba se jen učí vykrádat kam chodí lidi na internet, tak ho hned nekamenujte, jinak v tom taky nevidím moc velký smysl. ;-)

Jimm

Re:Zyxel a přesměrování portu z LAN jinam do LAN
« Odpověď #14 kdy: 11. 02. 2015, 13:56:40 »
Například Firefox který automaticky nastavím na přístup přes proxy je předtím třeba nastavit, aby použil automatickou konfiguraci proxy. Pokud už ho budu nastavovat, mohl bych rovnou nastavit proxy, nemyslíte? Takže automatika jako prase.  ::)
Co mi brani nastavit v prehliadacoch (a inych aplikaciach, ktore do nastaveni prehliadacov nepozeraju by default) ten squid ako proxy ? Tym padom 80+443 ide na squid, zvysok na zyxel ...
Mozno mi nieco uniklo, ale takto mi to prislo jaksi najviac easy ...
Přesně na to jsem se ptal, a dozvěděl jsem se, že tomu vůbec nerozumím… Jinak v prohlížečích se to nemusí explicitně nastavovat, všechny rozumné prohlížeče (a další aplikace) podporují autokonfiguraci přes WPAD.