السﻻم عليكم
انا عندي مشكلة جامدة جدا ومش عارف ليها حل دورت كتير بس مش ﻻقي
انا عندي squid server منزله على redhat 5 المشكلة ان انا بحاول استخدم remote desktop من اجهزة الويندوز عشان اعمل كونيكت على real ip بره النيت ورك لفروع تانية في الشركة بتاعتنا لكن دايما في مشكلة انا قريت كتير في الموضوع ده ناس بتقول انه من ال squid وناس بتقول ان ده natting وانا مبقتش عارف احلها ازاي ياريت لو حد يعرف الحل يقولي وابقى شاكر جدا

السلام عليكم أخي ,, هل اضفت الport حق remote Desktop ضمن ال Safe_ports في اعدادات ال squid ؟ غالبا هذه المشكله من انك نسيت اضافتها فكل العليك فعله اضافة السطر التالي في squid.conf: acl Safe_ports port x وعليك كتابة ال port الخاص ب remote desktop مكان x ,, والله أعلى وأعلم

شكرا اخي الكريم على ردك عليا
بس ماظنش هي دي المشكلة ﻻن انا جربت كدا فعﻻ ودخلت ضيفت بورت 3389 في safe_ports بس ظل الموضوع زي ما هو كمان انا اصﻻ لما بستخدم rdesktop من جوه السيرفر بيشتغل معايا عادي المشكلة في اﻻجهزة الي بتشتغل من ورا السيرفر الي هو يعني السيرفر ال proxy بتاعها

هل جربت بعد ما تحط ال 3389 فى ال safe_ports تعمل acl علشان تعمل allow لل safe_ports ؟ .. وهل الكلينت فاهم انه المفرض يروح للبروكسى فى حالة ال RDP .. انتا عندك رايل اى بى واحد ولا pool ؟ .. ياريت تحطلنا كده تصور للنتورك عندك عامله ازاى ..

بص يا باشا انا عندي internal network 192.168.0.0/16
و كمان external network فيها real ip
ال squid طبعا واخد في الانترفيس الانتيرنال من نفس رينج 192.168.0.0
وفي الاكستيرنال واخد real ip
انا جربت موضوع ال safe_ports مشتغلش فيه ناس كتير قريتها في منتديات تانية بتقول ان ده حاجة في ال nating بتاع السيستم نفسه

طيب جرب الكوماند ده وقولى ايه الاخبار

iptables -t nat -I POSTROUTING -s 192.168.0.0/16 -p tcp --dport 3389 -j MASQUERADE

جربت الكوماند ده iptables -t nat -I POSTROUTING -s 192.168.0.0/16 -p tcp --dport 3389 -j MASQUERADE
بس لﻻسف برضه معملش حاجة بس انا لما بصيت على ال iptables بالكوماند ده
/sbin/iptables -L -t nat
لقيته فعﻻ موجود بس مفيش حاجة بتشتغل فا عملت بعدها
/etc/init.d/iptables restart
لقيت اتسمح من ال iptables
فا مش عارف هو كدا مشتغلش عشان متعملش سيف ليه وﻻ ايه
وشكرا على اهتمامكوا يا جماعة

على فكرة يا جماعة انا بعرف اعمل ping للجيت واي الي هو رايل اي بي وكمان لل دي ان اس الي هو برضه رايل اي بي
بس مش اعرف اعمل بنج مثﻻ للياهو او لجوجل بس من جوه الريد هات بعرف اعمل كل ده عادل وبدخل ريموت ديسكتوب على اي مكان بره عادي

من الطبيعى انك لو عملت ريستارت هيعمل flush لكل ال rules ...

طيب ممكن وانتا بتحاول تدخل ريموت ديسك توب تعمل tailf /var/log/squid/access.log

هل بيظهر شىء فى اللوجز ولا لاء ...

انا مفترض انك بتعرف تدخل انترنت عن طريق البروكسى ده يعنى ال ip_forward enabled

بالنسبه لموضوع البنج انتا بتدى الكلاينتس dhcp ولا ايه ؟؟ وهل سامح لل DNS انه يعدى من خلال الفايروال ؟؟

اول حاجة انا قافل الفاير وول بتاع الريد هات اصلا تاني حاجة انا عندي ال dns الداخلي على وينوز مش لينكس والريدهات واخد dns بتاع ال ISP وفعلا الكلينتس بتطلع نت عادي جدا ومفيش اي مشكلة المشكلة بس في الريموت ديسكتوب وال ipforward انا عاملة ب 1 يعني المفروض شغال

طيب من فضلك قبل ما تجرب ال RDP اعمل التالى على الشل

tcpdump host x.x.x.x -nn

حيث ال x.x.x.x هو ال server ألذى تقوم بعمل RDP عليه وقولى ايه اللى هيطلع .. الكلام ده فى حالة ان ال Iptables stopped

وجربه وال iptables running مع وجود ال nat rule الموجوده باعلى .. وقولى النتيجه ..

ا

طيب هي ال x.x.x.x ده هيبقى اي بي الكارتة الانتيرنال وﻻ الاكستيرنال؟
ولو ممكن ايميلك لو تسمح اكلمك عليه على طول ﻻن انا مزنوق اوي في الموضوع ده

من فضلك خلينا نحاول ان الموضوع يكون هنا لان الموضوع فيه troubleshooting فهيبقى مفيد لناس كتير .. وانا متابع معاك ان شاء الله لا تقلق

ال x.x.x.x هيبقى الserver اللى انتا بتعمل عليه RDP
يعنى لو بتيجى من الكلاينت وبتعمل RDP على 2.2.2.2

يبقى الكوماند على سيرفر اللينوكس هيبقى بالشكل ده

tcpdump host 2.2.2.2 -nn

جاب كدا وواقف من ساعتها على كدا


tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on eth0, link-type EN10MB (Ethernet), capture size 96 bytes

ايوه هو كده المفروض listening .. جربت وقتها تعمل كونكت وتشوف هل هيشوف الكونكشنز ولا لا ء ... سؤال من فضلك .. ايه الطريقه اللى انتا عاملها علشان تخلى الكلاينتس عندك تروح لسكويد هل مستخدم nat rule ؟ .. والسكويد عندك قايم على اى اى بى وبورت ؟.

اول حاجة انا متشكر جدا لحضرتك على اهتمامك بجد متشكر جدا
السكويد عندي قايم على بورت 3128 الهو ال desfault وفيه كارتتين طبعا واحدة internarl و التانية external زي ما شرحت ليك قبل كدا
والكﻻيتنس بيحطوا البروكسي في اﻻنترنت اكسبلورير او في الفايرفوكس انا بدات احس من كﻻم حضرتك كدا ان اصﻻ كدا الكﻻيتنس مش متظبطين انهم يروحوا ليه لما يحبوا يستحدموا الريموت ديسكتوب

طيب بص حضرتك هتعمل التالى ...
فى السكويد config file
هتعدل الكونكشن اللى بيعمل listening عليه من 3128 الى 127.0.0.1:3128

بعدها هتعمل ريستارت لسكويد ...

بعد كده هتيجى على الفايروال .. وتعمل الكوماند ده

iptables -t nat -I PREROUTING -p tcp -m multiport --dport 80,443 -j DNAT --to 127.0.0.1:3128

ده هيخلى كل اللى رايح على 80 او 3128 يطلع من خلال السكويد

بعد كده المفروض ان ال RDP يعدى طبيعى هتبقى ساعتها access rule من على الفايروال ال iptables طبيعيه جدا ... جرب كده وقولى ايه الاخبار وممكن برضه تجرب جملة الnat ألخاصه بل RDP اللى كانت موجوده قبل كده الخاصه بل port 3389 وقولى ايه الاخبار ...

طيب انا اصﻻ هاضيف الموضوع ده فين في الكونفيجرشين فايل انا الجزء الوحيد الي مكتوب فيه 127.0.0.1
هو ده
#Recommended minimum configuration:
acl manager proto cache_object
acl localhost src 127.0.0.1/32
acl to_localhost dst 127.0.0.0/8

مش انتا عندك السطر ده ...
# Squid normally listens to port 3128
http_port 3128

هتغير
http_port 3128

الى
http_port 127.0.0.1:3128
وتكمل بقية الخطوات الى فوق ...

جربت كدا الريموت ديسكتوب مشتغلش والنت كمان وقف النت مرجعش اﻻ لما شيلت الجزء الي ضفناه في الكونفيجريشن فايل بتاع 127.0.0.0:3128

المفروض ان اللاين يبقى 127.0.0.1:3128 يعنى يعمل listening على الloopback
مش 127.0.0.0:3128

وبعدها اعمل ريستارت لسكويد

ايوه معلش انا كتبتلك غلط هنا لكن انا كتبت 127.0.0.1:3128 والنت وقف والريموت زي ما هو لكن حتى بعد ما عملتها ووقف النت فصل الريموت شغال من على السيرفر لكن الكﻻيتنس ﻻ

يا ريت تعمل netstat -antp | grep 3128 تتاكد منها انه قام سليم ..

هل طبقت بقية الخطوات .؟؟

بعد كده هتيجى على الفايروال .. وتعمل الكوماند ده

iptables -t nat -I PREROUTING -p tcp -m multiport --dport 80,443 -j DNAT --to 127.0.0.1:3128

ده هيخلى كل اللى رايح على 80 او 3128 يطلع من خلال السكويد

نفس النتيجة النت بيقف والريموت مش بيشتغل وانا قلت انسخلك شكل اﻻي بي تابل بعدها
[root@Centos-squid ~]# /sbin/iptables -L -t nat
Chain PREROUTING (policy ACCEPT)
target prot opt source destination
DNAT tcp -- anywhere anywhere multiport dports http,https to:127.0.0.1:3128

Chain POSTROUTING (policy ACCEPT)
target prot opt source destination

Chain OUTPUT (policy ACCEPT)
target prot opt source destination

طيب نتيجه ال netstat ايه ؟ ؟ هل السيرفز شغاله .. وفى حاله انها شغاله .. هل الكلاينتس بتطلع انترنت عادى ؟

من فضلك جرب الrule الخاصه بل POSTROUTING وقولى ايه الاخبار ... يا ريت تفضل مشغل ال tcpdump وانت بتحاول تعمل كونكت على ال RDP

شكرا

بص هي نفس النتيجة النت بيقف والريموت طبعا واقف زي ما هو وده شكل ال netstat واانا بحاول ادخل RDP

tcpdump host 196.201.242.26 -nn
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on eth0, link-type EN10MB (Ethernet), capture size 96 bytes
14:10:09.457403 IP 192.168.80.181.52616 > 196.201.242.26.3389: S 1943210938:1943210938(0) win 8192 <mss 1460,nop,wscale 2,nop,nop,sackOK>
14:10:12.615651 IP 192.168.80.181.52616 > 196.201.242.26.3389: S 1943210938:1943210938(0) win 8192 <mss 1460,nop,wscale 2,nop,nop,sackOK>
14:10:18.576597 IP 192.168.80.181.52616 > 196.201.242.26.3389: S 1943210938:1943210938(0) win 8192 <mss 1460,nop,nop,sackOK>

جميل .. بص من فضلك بقى نفذ ال line ده

iptables -t nat -I POSTROUTING -p tcp --dport 3389 -j MASQUERADE

وياريت تعرض بعدها ال tcpdump

انا طبعا هفترض ان ال destination server ب listen على ال RDP



بالنسبه لوقوف النت ممكن تجرب تدخل على سايت وانتا بتحاول تدخل نفذ
tailf /var/log/squid/access.log

جربت الnetstat ؟علشان تتاكد ان ال service running

انتا عايزني اجرب الكوماند اﻻخراني ده وقبله اعمل موضوع 127.0.0.1:3128 ولو هو لوحده كدا ﻻن مجرد ما بعمل 127.0.0.1:3128 النت بيقف مش بيشتغل تاني اﻻ لما بشيله انا حاسس ان حاجة انا بعملها في الراوتنج تابل اصﻻ مش بشتغل ﻻن انا اوامر كتير من الي انتا بعتها ليا دي ﻻني طبعا دورت في sites كتير ومفيش حاجة منها اشتغلت

بص ده كمان النيت ستيت عشان تبقى شايف معايا كل حاجة

[root@Centos-squid ~]# netstat -ntlp
Active Internet connections (only servers)
Proto Recv-Q Send-Q Local Address Foreign Address State PID/Program name
tcp 0 0 127.0.0.1:2208 0.0.0.0:* LISTEN 2472/hpiod
tcp 0 0 127.0.0.1:199 0.0.0.0:* LISTEN 2490/snmpd
tcp 0 0 0.0.0.0:1000 0.0.0.0:* LISTEN 2090/rpc.statd
tcp 0 0 0.0.0.0:3306 0.0.0.0:* LISTEN 2615/mysqld
tcp 0 0 0.0.0.0:139 0.0.0.0:* LISTEN 2833/smbd
tcp 0 0 0.0.0.0:5900 0.0.0.0:* LISTEN 3300/vino-server
tcp 0 0 0.0.0.0:111 0.0.0.0:* LISTEN 2056/portmap
tcp 0 0 0.0.0.0:10000 0.0.0.0:* LISTEN 3050/perl
tcp 0 0 127.0.0.1:53 0.0.0.0:* LISTEN 2036/named
tcp 0 0 127.0.0.1:631 0.0.0.0:* LISTEN 2516/cupsd
tcp 0 0 127.0.0.1:3128 0.0.0.0:* LISTEN 24938/(squid)
tcp 0 0 0.0.0.0:25 0.0.0.0:* LISTEN 2713/master
tcp 0 0 127.0.0.1:953 0.0.0.0:* LISTEN 2036/named
tcp 0 0 0.0.0.0:445 0.0.0.0:* LISTEN 2833/smbd
tcp 0 0 127.0.0.1:2207 0.0.0.0:* LISTEN 2477/python
tcp 0 0 :::993 :::* LISTEN 2651/dovecot
tcp 0 0 :::995 :::* LISTEN 2651/dovecot
tcp 0 0 :::110 :::* LISTEN 2651/dovecot
tcp 0 0 :::143 :::* LISTEN 2651/dovecot
tcp 0 0 :::80 :::* LISTEN 2751/httpd
tcp 0 0 ::1:53 :::* LISTEN 2036/named
tcp 0 0 :::22 :::* LISTEN 2505/sshd
tcp 0 0 ::1:953 :::* LISTEN 2036/named


بس ياريت تشرحلي الي بيحصل ﻻن انا فيه حاجات كتير تايهه مني

جرب

اعمل كونكت الاول من اي جهاز على النت منغير بروكسي لل ال real ip الفرع التاني (بعد ماتكون عملت natting or ip forwared لل rdp ip and port ) على router(الفرع التاني).
وطبعا عند انت فاتح rdp.