ibash.org.ru - Новый цитатник Рунета | Цитаты: По дате По рейтингу Случайно Добавить Поиск RSS |
Форум: Прозрачный proxy [RSS] | Форум: Вход Регистрация Участники Поиск RSS |
dandy 11.03.2009 - 13:29 | Попробовал поднять прозрачный proxy - debian, squid, iptables - настройки как на http://www.itcomp.org.ua/os/linux/debian-proxy-1/ прозрачность не работает, приходится явно указывать proxy:3128 хотя и redirect в iptables настроил и squid transparent прописал все настройки. Не пускает похоже squid Кто-нить сталкивался с чем-то похожим? Help please. |
Malefic #1 - 11.03.2009 - 15:49 | сода плз конфиги сквида и вывод iptables-save |
dandy #2 - 11.03.2009 - 18:04 | ###squid.conf acl all src all acl manager proto cache_object acl localhost src 127.0.0.1/32 acl to_localhost dst 127.0.0.0/8 acl lim_access src 192.168.1.0/24 # RFC1918 possible internal network acl full_access src 192.168.1.51/32 # RFC1918 possible internal network acl SSL_ports port 443 # https acl SSL_ports port 563 # snews acl SSL_ports port 873 # rsync acl Safe_ports port 80 # http acl Safe_ports port 3128 # http acl Safe_ports port 25 # http acl Safe_ports port 110 # http acl Safe_ports port 21 # ftp acl Safe_ports port 443 # https acl Safe_ports port 70 # gopher acl Safe_ports port 210 # wais acl Safe_ports port 1025-65535 # unregistered ports acl Safe_ports port 280 # http-mgmt acl Safe_ports port 488 # gss-http acl Safe_ports port 591 # filemaker acl Safe_ports port 777 # multiling http acl Safe_ports port 631 # cups acl Safe_ports port 873 # rsync acl Safe_ports port 901 # SWAT acl deny_hosts_access url_regex "/etc/squid/deny_hosts_access" acl morning time MTWHF 08:00-12:00 acl evening time MTWHF 13:00-17:00 acl purge method PURGE acl CONNECT method CONNECT http_access allow manager localhost http_access deny manager http_access allow purge localhost http_access deny purge http_access deny !Safe_ports http_access deny CONNECT !SSL_ports http_access allow localhost http_access deny deny_hosts_access morning http_access deny deny_hosts_access evening http_access allow full_access http_access allow lim_access http_access deny all icp_access allow full_access icp_access allow lim_access icp_access deny all http_port 3128 transparent hierarchy_stoplist cgi-bin ? cache_mem 64 MB cache_dir ufs /var/spool/squid 1024 16 256 cache_mgr sandy88@inbox.ru access_log /var/log/squid/access.log squid refresh_pattern ^ftp: 1440 20% 10080 refresh_pattern ^gopher: 1440 0% 1440 refresh_pattern -i (/cgi-bin/|\?) 0 0% 0 refresh_pattern (Release|Package(.gz)*)$ 0 20% 2880 refresh_pattern . 0 20% 4320 error_directory /usr/share/squid/errors/Russian-1251 delay_pools 2 delay_class 1 3 delay_class 2 3 delay_access 1 allow full_access delay_access 1 deny all delay_access 2 allow lim_access delay_access 2 deny all delay_parameters 1 -1/-1 -1/-1 -1/-1 delay_parameters 2 -1/-1 -1/-1 10000/1024000 acl shoutcast rep_header X-HTTP09-First-Line ^ICY\s[0-9] upgrade_http0.9 deny shoutcast acl apache rep_header Server ^Apache broken_vary_encoding allow apache extension_methods REPORT MERGE MKACTIVITY CHECKOUT hosts_file /etc/hosts coredump_dir /var/spool/squid ### ###iptables-save # Generated by iptables-save v1.4.2 on Wed Mar 4 18:13:31 2009 *filter :INPUT DROP [0:0] :FORWARD DROP [0:0] :OUTPUT ACCEPT [0:0] -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT -A INPUT -i lo -j ACCEPT -A INPUT -s 192.168.1.0/24 -i eth1 -j ACCEPT -A FORWARD -m state --state RELATED,ESTABLISHED -j ACCEPT -A FORWARD -s 192.168.1.0/24 -p tcp -m tcp --dport 3128 -j ACCEPT -A FORWARD -s 192.168.1.0/24 -p tcp -m tcp --dport 80 -j ACCEPT -A FORWARD -s 192.168.1.0/24 -p tcp -m tcp --dport 443 -j ACCEPT -A FORWARD -s 192.168.1.0/24 -p tcp -m tcp --dport 5190 -j ACCEPT -A FORWARD -s 192.168.1.0/24 -p tcp -m tcp --dport 21 -j ACCEPT -A FORWARD -s 192.168.1.0/24 -p tcp -m tcp --dport 22 -j ACCEPT -A FORWARD -s 192.168.1.0/24 -p tcp -m tcp --dport 25 -j ACCEPT -A FORWARD -s 192.168.1.0/24 -p tcp -m tcp --dport 110 -j ACCEPT -A FORWARD -s 192.168.1.0/24 -p tcp -m tcp --dport 123 -j ACCEPT COMMIT # Completed on Wed Mar 4 18:13:31 2009 # Generated by iptables-save v1.4.2 on Wed Mar 4 18:13:31 2009 *nat :PREROUTING ACCEPT [2731:341620] :POSTROUTING ACCEPT [30:1806] :OUTPUT ACCEPT [30:1806] -A PREROUTING -i eth1 -p tcp -m tcp --dport 80 -j REDIRECT --to-ports 3128 -A POSTROUTING -s 192.168.1.0/24 -o eth0 -j SNAT --to-source 213.180.204.8 COMMIT # Completed on Wed Mar 4 18:13:31 2009 |
Iwan #3 - 11.03.2009 - 20:59 | cat /var/log/messages|grep squid Что там есть? |
dandy #4 - 12.03.2009 - 08:25 | # cat /var/log/messages|grep squid за 4 марта Mar 4 08:18:09 debian squid[2324]: Squid Parent: child process 2327 started Mar 4 10:02:24 debian squid[2324]: Squid Parent: child process 2327 exited with status 0 Mar 4 10:12:52 debian squid[2328]: Squid Parent: child process 2331 started Mar 4 10:40:54 debian squid[2328]: Squid Parent: child process 2331 exited with status 0 Mar 4 10:42:22 debian squid[2428]: Squid Parent: child process 2431 started Mar 4 15:04:00 debian squid[2428]: Squid Parent: child process 2431 exited with status 0 Mar 4 15:06:22 debian squid[2739]: Squid Parent: child process 2742 started Mar 4 15:34:21 debian squid[2739]: Squid Parent: child process 2742 exited with status 0 Mar 4 15:35:33 debian squid[2316]: Squid Parent: child process 2319 started Mar 4 15:51:15 debian squid[2316]: Squid Parent: child process 2319 exited with status 0 Mar 4 15:52:27 debian squid[2317]: Squid Parent: child process 2321 started Mar 4 18:00:15 debian squid[2317]: Squid Parent: child process 2321 exited with status 0 Mar 4 18:01:26 debian squid[2323]: Squid Parent: child process 2326 started Mar 4 18:04:58 debian squid[2323]: Squid Parent: child process 2326 exited with status 0 Mar 4 18:14:54 debian squid[2325]: Squid Parent: child process 2328 started Mar 4 18:16:33 debian squid[2325]: Squid Parent: child process 2328 exited with status 0 Mar 4 18:16:35 debian squid[2514]: Squid Parent: child process 2516 started |
Malefic #5 - 12.03.2009 - 10:58 | Такс... Кажется мой прокол /etc/sysctl.conf в этом файле должен быть параметр net.ipv4.ip_forward=1 проверь, если заработает - отпишись, добавлю это в ХауТу |
dandy #6 - 12.03.2009 - 11:23 | добавил в /etc/sysctl.conf параметр net.ipv4.ip_forward=1 ничего не изменилось |
Malefic #7 - 12.03.2009 - 12:12 | ядро самосборное или из репов? /me жалеет, что у него под рукой щас нет сервака, на котором всё работает. А ехать на работу впадло... э!!! :FORWARD DROP [0:0] чоэто?! анука $ sudo iptables -P FORWARD ACCEPT делал? судя по всему - нет |
dandy #8 - 12.03.2009 - 13:25 | Респект !!! Все заработало ! Но ведь вначале так и было, только потом захотелось выпускать forward по портам Почему это не работает не понятно: -A FORWARD -s 192.168.1.0/24 -p tcp -m tcp --dport 80 -j ACCEPT -A FORWARD -s 192.168.1.0/24 -p tcp -m tcp --dport 443 -j ACCEPT -A FORWARD -s 192.168.1.0/24 -p tcp -m tcp --dport 5190 -j ACCEPT -A FORWARD -s 192.168.1.0/24 -p tcp -m tcp --dport 21 -j ACCEPT -A FORWARD -s 192.168.1.0/24 -p tcp -m tcp --dport 22 -j ACCEPT -A FORWARD -s 192.168.1.0/24 -p tcp -m tcp --dport 25 -j ACCEPT -A FORWARD -s 192.168.1.0/24 -p tcp -m tcp --dport 110 -j ACCEPT ну это уже детали, разберусь Спасибо тебе БОЛЬШОЕ! :) |
ash #9 - 12.03.2009 - 18:11 | Спасибо вообще всем в этой теме. Сам скоро впервые прозрачный прокси ставить буду) Нашел комп немного старенький, хочу по полному грузить его проксей. Вопрос - если у меня гейт на 10.0.0.1 (он же прокси, фаервол на нем же) мне надо в фаере перенаправить все на новый прокси, верно? То есть - от локалки все идет на гейт, гейт перенаправляет на комп с прокси, и от компа с прокси гейтом все кидается в инет. Так? |
dandy #10 - 13.03.2009 - 09:21 | Вроде так, ты почитай по ссылке в первом посте, там всё хорошо написано |
К списку вопросов |
«ibash.org.ru — Новый цитатник Рунета» | Почта вебмастера: imail@ibash.org.ru |