ibash.org.ru - Новый цитатник Рунета

Форум: Прозрачный SQUID 1 > [RSS]

Форум: Вход Регистрация Участники Поиск RSS

Revent
23.04.2009 - 15:16

# Generated by iptables-save v1.3.6 on Thu Apr 23 16:07:45 2009
*nat
:PREROUTING ACCEPT [14877:1821494]
:POSTROUTING ACCEPT [662:93248]
:OUTPUT ACCEPT [662:93248]
-A PREROUTING -s 192.168.0.0/255.255.255.0 -p tcp -m tcp --dport 80 -j REDIRECT --to-ports 3128
-A POSTROUTING -s 192.168.0.0/255.255.255.0 -o eth0 -j SNAT --to-source 77.239.212.50
COMMIT
# Completed on Thu Apr 23 16:07:45 2009
# Generated by iptables-save v1.3.6 on Thu Apr 23 16:07:45 2009
*filter
:INPUT DROP [1439:127833]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [917:108569]
-A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
-A INPUT -i lo -j ACCEPT
-A INPUT -s 192.168.0.0/255.255.255.0 -i eth0 -j ACCEPT
COMMIT
# Completed on Thu Apr 23 16:07:45 2009
# Generated by iptables-save v1.3.6 on Thu Apr 23 16:07:45 2009
*mangle
:PREROUTING ACCEPT [127380:10917045]
:INPUT ACCEPT [127138:10872381]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [5760:1251008]
:POSTROUTING ACCEPT [6527:1375395]
-A FORWARD -o ppp0 -p tcp -m tcp --tcp-flags SYN,RST SYN -m tcpmss --mss 1400:1536 -j TCPMSS --clamp-mss-to-pmtu
COMMIT
# Completed on Thu Apr 23 16:07:45 2009

iptables настроен так сеть поднята через pppoe, SQUID робит если его в настройках прокси прописать а прозрачно не хочет подскажите куда копнуть дальше?

Revent
#1 - 23.04.2009 - 15:17

http_port 127.0.0.1:3128
http_port 192.168.0.252:3128 transparent
hierarchy_stoplist cgi-bin ?
acl QUERY urlpath_regex cgi-bin \?
acl apache rep_header Server ^Apache
broken_vary_encoding allow apache
access_log /var/log/squid/access.log
hosts_file /etc/hosts
refresh_pattern ^ftp: 1440 20% 10080
refresh_pattern ^gopher: 1440 0% 1440
refresh_pattern . 0 20% 4320
acl all src 0.0.0.0/0.0.0.0
acl manager proto cache_object
acl localhost src 127.0.0.1/255.255.255.255
acl premier src 192.168.0.0/24
acl to_localhost dst 127.0.0.0/8
acl SSL_ports port 443 # https
acl SSL_ports port 563 # snews
acl SSL_ports port 873 # rsync
acl Safe_ports port 80 # http
acl Safe_ports port 21 # ftp
acl Safe_ports port 443 # https
acl Safe_ports port 70 # gopher
acl Safe_ports port 210 # wais
acl Safe_ports port 1025-65535 # unregistered ports
acl Safe_ports port 280 # http-mgmt
acl Safe_ports port 488 # gss-http
acl Safe_ports port 591 # filemaker
acl Safe_ports port 777 # multiling http
acl Safe_ports port 631 # cups
acl Safe_ports port 873 # rsync
acl Safe_ports port 901 # SWAT
acl purge method PURGE
acl CONNECT method CONNECT
cache deny QUERY
http_access allow manager localhost
http_access deny manager
http_access allow purge localhost
http_access deny purge
http_access deny !Safe_ports
http_access allow CONNECT !SSL_ports
http_access allow localhost
http_access allow premier
http_access deny all
http_reply_access allow all
icp_access allow all
cache_effective_group proxy
coredump_dir /var/spool/squid

настройки сквида такие........

Malefic
#2 - 23.04.2009 - 19:02

1) меняем
http_port 127.0.0.1:3128
http_port 192.168.0.252:3128 transparent
на
http_port 3128 transparent

2) айпишнег внешный у тя постоянный?

3) -A FORWARD -o ppp0 -p tcp -m tcp --tcp-flags SYN,RST SYN -m tcpmss --mss 1400:1536 -j TCPMSS --clamp-mss-to-pmtu
а чочо ваще это?

Revent
#3 - 24.04.2009 - 07:10

1. порты менял это не спасает.........
2. внешний статика.
3. это скорее всего стандартное правило созданое pppoe соединением

Malefic
#4 - 24.04.2009 - 11:47

3. Да, и правда, у мну дома такое же...
1. Я порсто не видел чтоб в конфигах был и айпишник указан о_О Смысл?
4. Сквидец третий? У него были какие-то проблемы в определенных сборках, у меня он тоже не хотел прозрачниться... Я не сильно копал, поставил 27

Revent
#5 - 24.04.2009 - 12:02

4. сквид не третий сквид второй!
1. где то на просторах гугла всплывало что так надо писать..........

Revent
#6 - 24.04.2009 - 12:05

Складывается такое ощущение что iptables тупо не редиректит запросы на сквид

Malefic
#7 - 24.04.2009 - 12:13

iptables не виноват, косяк твой где-то...
мне люди пишут что заводится всё с раза
ну будем думать дальше

Driver
#8 - 24.04.2009 - 18:56

Malefic, смысл указывать ипишник есть
как бы например слушать 3128 только внутри сети, а извне какой-нибудь 22222(если извне нужен прокси(из дома например ;) ))

Malefic
#9 - 24.04.2009 - 19:51

Driver, принимается)

Iwan
#10 - 25.04.2009 - 00:57

Зайди в логи сквида, и посмотри что он делает с запросами.

Revent
#11 - 25.04.2009 - 12:02

Iwan а нихрена он с ними не делает они до него не доходят тупо

Iwan
#12 - 26.04.2009 - 00:12

Ок. А прямой проброс работает? :) Нат в смысле? Что будет если: -A POSTROUTING -s 192.168.0.0/255.255.255.0 -o eth0 -j SNAT --to-source 77.239.212.50 воткнуть раньше переброса порта на проксю?
А порты для твоего прокси сервера и клиентов открыты? Потому как убей бог лаптем я не понимаю вот этого:

-A INPUT -s 192.168.0.0/255.255.255.0 -i eth0 -j ACCEPT
На фоне этого:
-A POSTROUTING -s 192.168.0.0/255.255.255.0 -o eth0 -j SNAT --to-source 77.239.212.50

В нате у тебя eth0 фигурирует как интерфейс для выхода в интернет (ну а фигли ты думал то, раз ты через него снатить пытаешься), а во втором случае как локалка... Где правда? По мне так в SNAT должен ppp0 быть... а не eth0. Короче ifconfig тебе в помощь - разберись с интерфейсами своими.
Да и вообще... Странно как то это все. Раз у тебя фильтр сгенерирован скриптами а не в учную настроен - в самом конце должно прибиваться все что явно не разрешено... я бы короче еще и форвард разрешил... из локалки. Явно.

А может все дело вообще в другом? У тебя в ядре то NAT разрешен? А ДНС хоть в каком то виде существует?

Да и вообще: -A PREROUTING -s 192.168.0.0/255.255.255.0 -p tcp -m tcp --dport 80 -j REDIRECT --to-ports 3128 - замени ка ты -s 192.168.0.0/255.255.255.0 на -i eth0... И прочитай учебник по айпитаблес. Ибо автоматоческие скрипты - ацтой.


Это по iptables было...

А по сквиду...

http_port 127.0.0.1:3128
http_port 192.168.0.252:3128 transparent

Замени это одной строчкой, пусть пока случает все интерфейсы.. Вообще аська моя есть в инфе - стукни. После 8 вечера и до 12 ночи почти всегда есть...

Iwan
#13 - 26.04.2009 - 00:13

Да... кстати... Прибей все правила в цепочке мангле. Нефиг эксперементировать с заголовками, пока не работает без выебонов...

Revent
#14 - 30.04.2009 - 07:51

Iwan

Короче дело к ночи не работает форвардинг вообще .........
Воткнул -A POSTROUTING -s 192.168.0.0/255.255.255.0 -o eth0 -j SNAT --to-source 77.239.212.50 первой в инет все равно не лезет куда копнуть дальше?

Driver
#15 - 30.04.2009 - 07:58

а форвадинг то включен?
echo 1 > /proc/sys/net/ipv4/ip_forward

Revent
#16 - 30.04.2009 - 08:00

Driver
Включен
К списку вопросовСтраницы: 1 >

Быстрый ответ
Имя:      Пароль:    
Текст сообщения:

«ibash.org.ru — Новый цитатник Рунета» Почта вебмастера: imail@ibash.org.ru