Follow us on...
Follow us on G+ Follow us on Twitter Follow us on Facebook Watch us on YouTube
Register
Results 1 to 14 of 14
  1. #1
    Status
    Offline
    fokker's Avatar
    Baru Gabung
    Join Date
    Jun 2008
    Posts
    17
    Reviews
    Read 0 Reviews
    Downloads
    0
    Uploads
    0
    Feedback Score
    0

    NAT ke proxy-box gagal

    Om2x senior sekalian saya junior mikrotik mohon pencerahan nih Click here to enlarge

    saya punya topografi jaringan seperti ini
    Click here to enlarge

    saya ingin meredirect semua request 80 ke proxy-box (serv2)
    saya sudah membaca transparent proxy howto di
    dan men-translate-kannya ke mikrotik jadinya seperti ini
    [dst-nat] [src] !10.1.0.4 [protocol] tcp [dst port] 80 [In Interface] Private [action] dst-nat [to-addr] 10.1.0.4 [to port] 3128

    NOTE : 10.1.0.4 adalah proxy-box

    di access.log squid box tidak ada request sama sekali + saya coba untuk me-nat ssh juga tidak bisa
    [dst-nat] 222.222.222.222 [protocol] tcp [dst port] 22 [action] dst-nat [to-addr] 10.1.0.4 [to port] 22
    kalo diliat rulenya seharusnya ketika saya mencoba ssh ke 222.222.222.222 maka akan di nat ke 10.1.0.4

    tolong om2x senior semua saya sudah 1/2 desperate nih Click here to enlarge

  2. #2
    Status
    Offline
    unique_leader's Avatar
    Member Super Senior
    Join Date
    Jul 2007
    Posts
    639
    Reviews
    Read 0 Reviews
    Downloads
    5
    Uploads
    0
    Feedback Score
    1 (100%)
    napa linux/proxy box nya ga taruh di atas aja

  3. #3
    Status
    Offline
    felix_sg's Avatar
    Member Super Senior
    Join Date
    Sep 2007
    Location
    indonesia
    Posts
    607
    Reviews
    Read 0 Reviews
    Downloads
    0
    Uploads
    0
    Feedback Score
    0
    proxy nya di taruh jangan satu network dengan pelanggan, tambah satu lancard lagi buat proxynya. dan jangan lupa proxynya di set ke transparent pake iptables.

  4. #4
    Status
    Offline
    fokker's Avatar
    Baru Gabung
    Join Date
    Jun 2008
    Posts
    17
    Reviews
    Read 0 Reviews
    Downloads
    0
    Uploads
    0
    Feedback Score
    0
    Click here to enlarge Originally Posted by unique_leader Click here to enlarge
    napa linux/proxy box nya ga taruh di atas aja
    proxy nya di taruh jangan satu network dengan pelanggan, tambah satu lancard lagi buat proxynya. dan jangan lupa proxynya di set ke transparent pake iptables.
    supaya rapi saya masukkan ke server pool bersama2x dg domain controller, file server dll
    NOTE
    • proxy server berfungsi juga sebagai captive server untuk interface wifi menggunakan NoCatAuth. Transparent proxy sudah berjalan pada interface ini
    • Proxy box hanya memiliki 2 interface karena keterbatasan hardware (komputer hanya memiliki 2 slot PCI)
    • Mikrotik box hanya memiliki 3 interace : 2 PCI dan 1 LAN onboard (REALTEK RTL8169/8110 gigabit ethernet yang tidak terdeteksi di mikrotik) -> efektif 2 interface
    • DST-NAT berhasil untuk menge-nat smtp dari internet ke serv 3 (email server) ataupun service2x lain dari internet


    topografi tepatnya adalah sbb
    Click here to enlarge

    kalau misalkan akan ditambah satu interface di mikrotik lagi sepertinya agak susah

    EDIT:
    btw ada yang bs install driver RTL 8169/8110 di mikrotik ?? saya sudah browsing2x belum nemu juga nih

    Click here to enlarge
    Last edited by fokker; 23-08-2008 at 11:04. Reason: salah tipe lan card

  5. #5
    Status
    Offline
    felix_sg's Avatar
    Member Super Senior
    Join Date
    Sep 2007
    Location
    indonesia
    Posts
    607
    Reviews
    Read 0 Reviews
    Downloads
    0
    Uploads
    0
    Feedback Score
    0
    kalo install driver di mikrotik kayaknya ndak bisa.

    yang ada, anda upgrade mikrotik anda ke ver yang lebih tinggi, yang sudah mendukung ether gigabite tersebut.

    saya pake mikrotik ver 3.9, udah bisa langsung keliatan ether nya kalo pake dlink 8169 (biasanya sih bawaan motherboard nih) .

  6. #6
    Status
    Offline
    fokker's Avatar
    Baru Gabung
    Join Date
    Jun 2008
    Posts
    17
    Reviews
    Read 0 Reviews
    Downloads
    0
    Uploads
    0
    Feedback Score
    0
    saya pindahin proxynya ke atas seperti saran bro unique_leader dan felix_sg sehingga topografinya menjadi seperti ini

    Click here to enlarge

    setting gateway di catalyst ke 10.0.0.3 dan whala 'it works' Click here to enlarge
    ...
    tapi yahoo mail dan yahoo messangger jadi ga jalan Click here to enlarge

    PHP Code:

    http_port 3128 transparent

    hierarchy_stoplist cgi
    -bin ?

    acl QUERY urlpath_regex cgi-bin \?
    cache deny QUERY

    acl apache rep_header Server 
    ^Apache
    broken_vary_encoding allow apache

    cache_mem 128 MB

    maximum_object_size 64 MB

    cache_dir ufs 
    /var/spool/squid 60000 16 256

    access_log 
    /var/log/squid/access.log

    refresh_pattern 
    ^ftp:        1440    20%    10080
    refresh_pattern 
    ^gopher:    1440    0%    1440
    refresh_pattern 
    .        0    20%    4320

    acl all src 0.0.0.0
    /0.0.0.0
    acl manager proto cache_object

    acl JAM_KERJA time SMTWHFA 07
    :00-14:00 

    acl localhost src 127.0.0.1
    /255.255.255.255
    acl wirelessnet src 192.168.0.0
    /255.255.255.0
    acl wirednet src 10.1.0.0
    /255.255.0.0

    #ACL xxx
    acl yayasan src 10.1.2.0/32
    acl servernet src 10.1.0.0
    /24
    acl EDP src 10.1.7.0
    /24
    acl sysdev src 10.1.8.0
    /24
    acl ka_sekolah src 10.1.4.2
    /32
    acl ka_sekolah src 10.1.1.7
    /32
    acl tu_matius src 10.1.5.2
    /32
    acl tu_matius src 10.1.5.4
    /32
    acl tu_matius src 10.1.5.9
    /32
    acl tu_matius src 10.1.5.12
    /32
    acl tu_matius src 10.1.5.15
    /32
    acl tu_matius src 10.1.5.100
    /32
    acl tu_matius src 10.1.5.250
    /32
    acl tu_matius src 10.1.5.251
    /32
    acl gd_p_perpust src 10.1.6.7
    /32
    acl gd_p_perpust src 10.1.6.10
    /32
    acl gd_p_perpust src 10.1.6.14
    /32

    #acl wirednet src 10.1.0.0/255.255.0.0
    acl to_proxy dst 10.0.0.3/255.255.255.255
    acl to_localhost dst 127.0.0.0
    /8

    acl SSL_ports port 443
    acl Safe_ports port 80        
    acl Safe_ports port 21        
    acl Safe_ports port 443        
    acl Safe_ports port 70        
    acl Safe_ports port 210        
    acl Safe_ports port 5050 
    #yahoo messenger
    acl Safe_ports port 1025-65535    
    acl Safe_ports port 280        
    acl Safe_ports port 488        
    acl Safe_ports port 591        
    acl Safe_ports port 777        

    acl VIRUS urlpath_regex winnt
    /system32/cmd.exe?

    acl CONNECT method CONNECT

    acl download url_regex 
    -i ftp \.exe$ \.mp3$ \.mp4$ \.tar.gz$ \.gz$ \.tar.bz2$ \.rpm$ \.zip$ \.rar$
    acl download url_regex -\.avi$ \.mpg$ \.mpeg$ \.rm$ \.iso$ \.wav$ \.mov$ \.dat$ \.mpe$ \.mid$
    acl download url_regex -\.midi$ \.rmi$ \.wma$ \.wmv$ \.ogg$ \.ogm$ \.m1v$ \.mp2$ \.mpa$ \.wax
    acl download url_regex -\.m3u$ \.asx$ \.wpl$ \.wmx$ \.dvr-ms$ \.snd$ \.au$ \.aif$ \.asf$ \.m2v
    acl download url_regex -\.m2p$ \.ts$ \.tp$ \.trp$ \.div$ \.divx$ \.mod$ \.vob$ \.aob$ \.dts
    acl download url_regex -\.ac3$ \.cda$ \.vro$ \.deb$

    #jam kerja 
    #delay_pools 2 delay_class 1 2 
    #delay_parameters 1 8000/64000 16000/64000
    #delay_access 1 allow all JAM_KERJA 
    #delay_access 1 deny all 

    #delay_class 1 2 
    #delay_parameters 2 -1/-1 -1/-1 
    #delay_access 2 allow all !JAM_KERJA 
    #delay_access 2 deny all

    http_access allow manager localhost
    http_access deny manager
    #http_access deny !Safe_ports
    http_access deny VIRUS
    #http_access deny CONNECT !SSL_ports
    http_access allow localhost
    http_access allow wirelessnet

    #http_access allow wirednet
    #http_access allow yayasan
    #http_access allow to_proxy

    http_access allow yayasan
    http_access allow servernet
    http_access allow EDP
    http_access allow sysdev
    http_access allow ka_sekolah
    http_access allow tu_matius
    http_access allow gd_p_perpust

    http_access deny all

    #no_cache deny servernet
    http_reply_access allow all
    icp_access allow all
    coredump_dir 
    /var/spool/squid

    cache_mgr admin
    @xxx

    #redirect_program /etc/squid/adzap/scripts/squid_redirect

    visible_hostname proxy.xxx
    unique_hostname proxy
    .xxx 
    beberapa acl dan rule memang tidak guna sengaja tidak di hapus kali2x aja itu yg bikin error, saya terpaksa balikin gateway + proxy ke mikrotik karena uda banyak yg protes Click here to enlarge

    bro2x sekalian kira2x apanya yah yang salah mengingat di firewall iptablesnya jg default accept

    Click here to enlarge

  7. #7
    Status
    Offline
    felix_sg's Avatar
    Member Super Senior
    Join Date
    Sep 2007
    Location
    indonesia
    Posts
    607
    Reviews
    Read 0 Reviews
    Downloads
    0
    Uploads
    0
    Feedback Score
    0
    proxy nya pake apa

    dan perintah redirect ke proxy nya gimana

  8. #8
    Status
    Offline
    fokker's Avatar
    Baru Gabung
    Join Date
    Jun 2008
    Posts
    17
    Reviews
    Read 0 Reviews
    Downloads
    0
    Uploads
    0
    Feedback Score
    0
    Pake Squid Cache version 2.6.STABLE12 for i686-redhat-linux-gnu
    di proxynya kaya gini om
    iptables -t nat -A PREROUTING -s ! 10.0.0.3 -p tcp –dport 80 -j DNAT –to 3128
    saya cm redirect akses webnya saja

  9. #9
    Status
    Offline
    felix_sg's Avatar
    Member Super Senior
    Join Date
    Sep 2007
    Location
    indonesia
    Posts
    607
    Reviews
    Read 0 Reviews
    Downloads
    0
    Uploads
    0
    Feedback Score
    0
    apa udah di bikin transparent

    dan bila tidak transparent, apakah di komputernya di masukkan secara manual ke browser nya?? bila ya, jangan masukkan ke https, cukup ke http aja.

  10. #10
    Status
    Offline
    fokker's Avatar
    Baru Gabung
    Join Date
    Jun 2008
    Posts
    17
    Reviews
    Read 0 Reviews
    Downloads
    0
    Uploads
    0
    Feedback Score
    0
    uda om di conf nya :
    http_port 3128 transparent

    dan nat yang benernya yang ini
    iptables -t nat -A PREROUTING -p tcp –dport 80 -j DNAT –to 3128

    dan seperti kata saya di posting sebelumnya 'it works' malah adzap juga jalan koq yang jadi masalah adalah yahoo messanger ga jalan begitu pula mail.yahoo.com (loading terus ga beres2x) kalo saya lihat access lognya ada :

    TCP_DENIED/400 1586 NONE error:unsupported-request-method - NONE/- text/html

    entah ada hubungannya dengan YM ato tidak
    NOTE : kalau pake gaim/pidgin bisa connect ke YM
    Click here to enlarge
    waduh om2x mikroter yg lain pada kemana nih apakah masalah saya sebegitu cupunya sehingga tidak ada yg sudi menjawab Click here to enlarge

  11. #11
    Status
    Offline
    felix_sg's Avatar
    Member Super Senior
    Join Date
    Sep 2007
    Location
    indonesia
    Posts
    607
    Reviews
    Read 0 Reviews
    Downloads
    0
    Uploads
    0
    Feedback Score
    0
    kayaknya squid nya nih...

    coba tambahin perintah

    header_access Accept-Encoding deny all

    hierarchy_stoplist cgi-bin ? .js .jsp

    acl QUERY urlpath_regex cgi-bin \? .js .jsp
    no_cache deny QUERY

    itu .js .jsp adalah untuk me,bypass apabila web mengandung javascript biasanya kena squid suka ngeblank.

  12. #12
    Status
    Offline
    fokker's Avatar
    Baru Gabung
    Join Date
    Jun 2008
    Posts
    17
    Reviews
    Read 0 Reviews
    Downloads
    0
    Uploads
    0
    Feedback Score
    0
    sepertinya ISP saya sedang bermasalah, mungkin ini ada hub-nya dengan saya lama login ke yahoo mail (dan google mati sama sekali), tp kalau yg YM saya masi binggung.
    Sampai ISPnya bener terpaksa saya tunda dl ngoprek proxynya, buat bro felix_sg tenkyu pisan yah Click here to enlarge

  13. #13
    Status
    Offline
    fokker's Avatar
    Baru Gabung
    Join Date
    Jun 2008
    Posts
    17
    Reviews
    Read 0 Reviews
    Downloads
    0
    Uploads
    0
    Feedback Score
    0
    Proxy sudah jalan kalo di set manual jalan dengan lancar tp kalau di jadiin transparent belum bisa ada error

    login.yahoo.com has sent an incorrect or unexpected message. Error Code: -12263
    errornya kalo ssl ( juga error)

    terus rulenya sudah saya tambahin om tapi ngga ngaruh om.

    saya curiga salah di rule redirect/iptables sih cm saya ga ada clue mesti di ganti apa lagi ini yang sudah saya lakukan
    1.
    iptables -t nat -A PREROUTING -p tcp --dport 80 -j REDIRECT --to-port 3128
    iptables -t nat -A PREROUTING -p tcp --dport 443 -j REDIRECT --to-port 3128
    -> role awalnya : error seperti diatas

    2.
    iptables -t nat -A PREROUTING -i eth0 -s ! proxy -p tcp --dport 80 -j REDIRECT --to-port 3128
    iptables -t nat -A PREROUTING -i eth0 -s ! proxy -p tcp --dport 443 -j REDIRECT --to-port 3128
    -> gagal ga bs connect sama sekali

    3.
    iptables -t nat -A PREROUTING -s 10.1.0.0/16 -p tcp --dport 80 -j REDIRECT --to-port 3128
    iptables -t nat -A PREROUTING -s 10.1.0.0/16 -p tcp --dport 443 -j REDIRECT --to-port 3128
    -> sama dengan rule pertama errornya Click here to enlarge


    Click here to enlarge

    Note : kalo browsing http:80 luancar sekali
    Last edited by fokker; 09-09-2008 at 15:10.

  14. #14
    Status
    Offline
    fokker's Avatar
    Baru Gabung
    Join Date
    Jun 2008
    Posts
    17
    Reviews
    Read 0 Reviews
    Downloads
    0
    Uploads
    0
    Feedback Score
    0
    karena belum ada yg jawab saya sundul dl nih keburu tenggelam Click here to enlarge

    maaf sy blm tau peraturan sini boleh sundul2xan ato ngga, kalo emang ga boleh ya dihapus saja om admin Click here to enlarge

 

 

Thread Information

Users Browsing this Thread

There are currently 1 users browsing this thread. (0 members and 1 guests)

Similar Threads

  1. ask rb 112 telah gagal downgrade
    By sherayusuf in forum General Networking
    Replies: 19
    Last Post: 18-04-2012, 20:58
  2. [need help] pisahin IIX dan internasional gagal terus
    By paktujul in forum General Networking
    Replies: 6
    Last Post: 29-06-2008, 19:01
  3. Replies: 11
    Last Post: 23-02-2008, 21:40
  4. Point to Multipoint gagal :((
    By kunimihiro in forum Wireless Networking
    Replies: 10
    Last Post: 12-12-2007, 16:36
  5. enable interface gagal terus
    By kresek in forum Beginner Basics
    Replies: 5
    Last Post: 06-08-2007, 14:36

Posting Permissions

  • You may not post new threads
  • You may not post replies
  • You may not post attachments
  • You may not edit your posts
  •