ibash.org.ru - Новый цитатник Рунета

Форум: Прозрачный SQUID 1 > [RSS]

Форум: Вход Регистрация Участники Поиск RSS

Revent
23.04.2009 - 15:16

# Generated by iptables-save v1.3.6 on Thu Apr 23 16:07:45 2009
*nat
:PREROUTING ACCEPT [14877:1821494]
:POSTROUTING ACCEPT [662:93248]
:OUTPUT ACCEPT [662:93248]
-A PREROUTING -s 192.168.0.0/255.255.255.0 -p tcp -m tcp --dport 80 -j REDIRECT --to-ports 3128
-A POSTROUTING -s 192.168.0.0/255.255.255.0 -o eth0 -j SNAT --to-source 77.239.212.50
COMMIT
# Completed on Thu Apr 23 16:07:45 2009
# Generated by iptables-save v1.3.6 on Thu Apr 23 16:07:45 2009
*filter
:INPUT DROP [1439:127833]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [917:108569]
-A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
-A INPUT -i lo -j ACCEPT
-A INPUT -s 192.168.0.0/255.255.255.0 -i eth0 -j ACCEPT
COMMIT
# Completed on Thu Apr 23 16:07:45 2009
# Generated by iptables-save v1.3.6 on Thu Apr 23 16:07:45 2009
*mangle
:PREROUTING ACCEPT [127380:10917045]
:INPUT ACCEPT [127138:10872381]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [5760:1251008]
:POSTROUTING ACCEPT [6527:1375395]
-A FORWARD -o ppp0 -p tcp -m tcp --tcp-flags SYN,RST SYN -m tcpmss --mss 1400:1536 -j TCPMSS --clamp-mss-to-pmtu
COMMIT
# Completed on Thu Apr 23 16:07:45 2009

iptables настроен так сеть поднята через pppoe, SQUID робит если его в настройках прокси прописать а прозрачно не хочет подскажите куда копнуть дальше?

Revent
#6 - 24.04.2009 - 12:05

Складывается такое ощущение что iptables тупо не редиректит запросы на сквид

Malefic
#7 - 24.04.2009 - 12:13

iptables не виноват, косяк твой где-то...
мне люди пишут что заводится всё с раза
ну будем думать дальше

Driver
#8 - 24.04.2009 - 18:56

Malefic, смысл указывать ипишник есть
как бы например слушать 3128 только внутри сети, а извне какой-нибудь 22222(если извне нужен прокси(из дома например ;) ))

Malefic
#9 - 24.04.2009 - 19:51

Driver, принимается)

Iwan
#10 - 25.04.2009 - 00:57

Зайди в логи сквида, и посмотри что он делает с запросами.

Revent
#11 - 25.04.2009 - 12:02

Iwan а нихрена он с ними не делает они до него не доходят тупо

Iwan
#12 - 26.04.2009 - 00:12

Ок. А прямой проброс работает? :) Нат в смысле? Что будет если: -A POSTROUTING -s 192.168.0.0/255.255.255.0 -o eth0 -j SNAT --to-source 77.239.212.50 воткнуть раньше переброса порта на проксю?
А порты для твоего прокси сервера и клиентов открыты? Потому как убей бог лаптем я не понимаю вот этого:

-A INPUT -s 192.168.0.0/255.255.255.0 -i eth0 -j ACCEPT
На фоне этого:
-A POSTROUTING -s 192.168.0.0/255.255.255.0 -o eth0 -j SNAT --to-source 77.239.212.50

В нате у тебя eth0 фигурирует как интерфейс для выхода в интернет (ну а фигли ты думал то, раз ты через него снатить пытаешься), а во втором случае как локалка... Где правда? По мне так в SNAT должен ppp0 быть... а не eth0. Короче ifconfig тебе в помощь - разберись с интерфейсами своими.
Да и вообще... Странно как то это все. Раз у тебя фильтр сгенерирован скриптами а не в учную настроен - в самом конце должно прибиваться все что явно не разрешено... я бы короче еще и форвард разрешил... из локалки. Явно.

А может все дело вообще в другом? У тебя в ядре то NAT разрешен? А ДНС хоть в каком то виде существует?

Да и вообще: -A PREROUTING -s 192.168.0.0/255.255.255.0 -p tcp -m tcp --dport 80 -j REDIRECT --to-ports 3128 - замени ка ты -s 192.168.0.0/255.255.255.0 на -i eth0... И прочитай учебник по айпитаблес. Ибо автоматоческие скрипты - ацтой.


Это по iptables было...

А по сквиду...

http_port 127.0.0.1:3128
http_port 192.168.0.252:3128 transparent

Замени это одной строчкой, пусть пока случает все интерфейсы.. Вообще аська моя есть в инфе - стукни. После 8 вечера и до 12 ночи почти всегда есть...

Iwan
#13 - 26.04.2009 - 00:13

Да... кстати... Прибей все правила в цепочке мангле. Нефиг эксперементировать с заголовками, пока не работает без выебонов...

Revent
#14 - 30.04.2009 - 07:51

Iwan

Короче дело к ночи не работает форвардинг вообще .........
Воткнул -A POSTROUTING -s 192.168.0.0/255.255.255.0 -o eth0 -j SNAT --to-source 77.239.212.50 первой в инет все равно не лезет куда копнуть дальше?

Driver
#15 - 30.04.2009 - 07:58

а форвадинг то включен?
echo 1 > /proc/sys/net/ipv4/ip_forward

Revent
#16 - 30.04.2009 - 08:00

Driver
Включен
К списку вопросовСтраницы: 1 >

Быстрый ответ
Имя:      Пароль:    
Текст сообщения:

«ibash.org.ru — Новый цитатник Рунета» Почта вебмастера: imail@ibash.org.ru