ibash.org.ru - Новый цитатник Рунета | Цитаты: По дате По рейтингу Случайно Добавить Поиск RSS |
Форум: Прозрачный SQUID 1 > [RSS] | Форум: Вход Регистрация Участники Поиск RSS |
Revent 23.04.2009 - 15:16 | # Generated by iptables-save v1.3.6 on Thu Apr 23 16:07:45 2009 *nat :PREROUTING ACCEPT [14877:1821494] :POSTROUTING ACCEPT [662:93248] :OUTPUT ACCEPT [662:93248] -A PREROUTING -s 192.168.0.0/255.255.255.0 -p tcp -m tcp --dport 80 -j REDIRECT --to-ports 3128 -A POSTROUTING -s 192.168.0.0/255.255.255.0 -o eth0 -j SNAT --to-source 77.239.212.50 COMMIT # Completed on Thu Apr 23 16:07:45 2009 # Generated by iptables-save v1.3.6 on Thu Apr 23 16:07:45 2009 *filter :INPUT DROP [1439:127833] :FORWARD ACCEPT [0:0] :OUTPUT ACCEPT [917:108569] -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT -A INPUT -i lo -j ACCEPT -A INPUT -s 192.168.0.0/255.255.255.0 -i eth0 -j ACCEPT COMMIT # Completed on Thu Apr 23 16:07:45 2009 # Generated by iptables-save v1.3.6 on Thu Apr 23 16:07:45 2009 *mangle :PREROUTING ACCEPT [127380:10917045] :INPUT ACCEPT [127138:10872381] :FORWARD ACCEPT [0:0] :OUTPUT ACCEPT [5760:1251008] :POSTROUTING ACCEPT [6527:1375395] -A FORWARD -o ppp0 -p tcp -m tcp --tcp-flags SYN,RST SYN -m tcpmss --mss 1400:1536 -j TCPMSS --clamp-mss-to-pmtu COMMIT # Completed on Thu Apr 23 16:07:45 2009 iptables настроен так сеть поднята через pppoe, SQUID робит если его в настройках прокси прописать а прозрачно не хочет подскажите куда копнуть дальше? |
Revent #1 - 23.04.2009 - 15:17 | http_port 127.0.0.1:3128 http_port 192.168.0.252:3128 transparent hierarchy_stoplist cgi-bin ? acl QUERY urlpath_regex cgi-bin \? acl apache rep_header Server ^Apache broken_vary_encoding allow apache access_log /var/log/squid/access.log hosts_file /etc/hosts refresh_pattern ^ftp: 1440 20% 10080 refresh_pattern ^gopher: 1440 0% 1440 refresh_pattern . 0 20% 4320 acl all src 0.0.0.0/0.0.0.0 acl manager proto cache_object acl localhost src 127.0.0.1/255.255.255.255 acl premier src 192.168.0.0/24 acl to_localhost dst 127.0.0.0/8 acl SSL_ports port 443 # https acl SSL_ports port 563 # snews acl SSL_ports port 873 # rsync acl Safe_ports port 80 # http acl Safe_ports port 21 # ftp acl Safe_ports port 443 # https acl Safe_ports port 70 # gopher acl Safe_ports port 210 # wais acl Safe_ports port 1025-65535 # unregistered ports acl Safe_ports port 280 # http-mgmt acl Safe_ports port 488 # gss-http acl Safe_ports port 591 # filemaker acl Safe_ports port 777 # multiling http acl Safe_ports port 631 # cups acl Safe_ports port 873 # rsync acl Safe_ports port 901 # SWAT acl purge method PURGE acl CONNECT method CONNECT cache deny QUERY http_access allow manager localhost http_access deny manager http_access allow purge localhost http_access deny purge http_access deny !Safe_ports http_access allow CONNECT !SSL_ports http_access allow localhost http_access allow premier http_access deny all http_reply_access allow all icp_access allow all cache_effective_group proxy coredump_dir /var/spool/squid настройки сквида такие........ |
Malefic #2 - 23.04.2009 - 19:02 | 1) меняем http_port 127.0.0.1:3128 http_port 192.168.0.252:3128 transparent на http_port 3128 transparent 2) айпишнег внешный у тя постоянный? 3) -A FORWARD -o ppp0 -p tcp -m tcp --tcp-flags SYN,RST SYN -m tcpmss --mss 1400:1536 -j TCPMSS --clamp-mss-to-pmtu а чочо ваще это? |
Revent #3 - 24.04.2009 - 07:10 | 1. порты менял это не спасает......... 2. внешний статика. 3. это скорее всего стандартное правило созданое pppoe соединением |
Malefic #4 - 24.04.2009 - 11:47 | 3. Да, и правда, у мну дома такое же... 1. Я порсто не видел чтоб в конфигах был и айпишник указан о_О Смысл? 4. Сквидец третий? У него были какие-то проблемы в определенных сборках, у меня он тоже не хотел прозрачниться... Я не сильно копал, поставил 27 |
Revent #5 - 24.04.2009 - 12:02 | 4. сквид не третий сквид второй! 1. где то на просторах гугла всплывало что так надо писать.......... |
Revent #6 - 24.04.2009 - 12:05 | Складывается такое ощущение что iptables тупо не редиректит запросы на сквид |
Malefic #7 - 24.04.2009 - 12:13 | iptables не виноват, косяк твой где-то... мне люди пишут что заводится всё с раза ну будем думать дальше |
Driver #8 - 24.04.2009 - 18:56 | Malefic, смысл указывать ипишник есть как бы например слушать 3128 только внутри сети, а извне какой-нибудь 22222(если извне нужен прокси(из дома например ;) )) |
Malefic #9 - 24.04.2009 - 19:51 | Driver, принимается) |
Iwan #10 - 25.04.2009 - 00:57 | Зайди в логи сквида, и посмотри что он делает с запросами. |
Revent #11 - 25.04.2009 - 12:02 | Iwan а нихрена он с ними не делает они до него не доходят тупо |
Iwan #12 - 26.04.2009 - 00:12 | Ок. А прямой проброс работает? :) Нат в смысле? Что будет если: -A POSTROUTING -s 192.168.0.0/255.255.255.0 -o eth0 -j SNAT --to-source 77.239.212.50 воткнуть раньше переброса порта на проксю? А порты для твоего прокси сервера и клиентов открыты? Потому как убей бог лаптем я не понимаю вот этого: -A INPUT -s 192.168.0.0/255.255.255.0 -i eth0 -j ACCEPT На фоне этого: -A POSTROUTING -s 192.168.0.0/255.255.255.0 -o eth0 -j SNAT --to-source 77.239.212.50 В нате у тебя eth0 фигурирует как интерфейс для выхода в интернет (ну а фигли ты думал то, раз ты через него снатить пытаешься), а во втором случае как локалка... Где правда? По мне так в SNAT должен ppp0 быть... а не eth0. Короче ifconfig тебе в помощь - разберись с интерфейсами своими. Да и вообще... Странно как то это все. Раз у тебя фильтр сгенерирован скриптами а не в учную настроен - в самом конце должно прибиваться все что явно не разрешено... я бы короче еще и форвард разрешил... из локалки. Явно. А может все дело вообще в другом? У тебя в ядре то NAT разрешен? А ДНС хоть в каком то виде существует? Да и вообще: -A PREROUTING -s 192.168.0.0/255.255.255.0 -p tcp -m tcp --dport 80 -j REDIRECT --to-ports 3128 - замени ка ты -s 192.168.0.0/255.255.255.0 на -i eth0... И прочитай учебник по айпитаблес. Ибо автоматоческие скрипты - ацтой. Это по iptables было... А по сквиду... http_port 127.0.0.1:3128 http_port 192.168.0.252:3128 transparent Замени это одной строчкой, пусть пока случает все интерфейсы.. Вообще аська моя есть в инфе - стукни. После 8 вечера и до 12 ночи почти всегда есть... |
Iwan #13 - 26.04.2009 - 00:13 | Да... кстати... Прибей все правила в цепочке мангле. Нефиг эксперементировать с заголовками, пока не работает без выебонов... |
Revent #14 - 30.04.2009 - 07:51 | Iwan Короче дело к ночи не работает форвардинг вообще ......... Воткнул -A POSTROUTING -s 192.168.0.0/255.255.255.0 -o eth0 -j SNAT --to-source 77.239.212.50 первой в инет все равно не лезет куда копнуть дальше? |
Driver #15 - 30.04.2009 - 07:58 | а форвадинг то включен? echo 1 > /proc/sys/net/ipv4/ip_forward |
Revent #16 - 30.04.2009 - 08:00 | Driver Включен |
К списку вопросов | Страницы: 1 > |
«ibash.org.ru — Новый цитатник Рунета» | Почта вебмастера: imail@ibash.org.ru |