ibash.org.ru - Новый цитатник Рунета

Форум: Прозрачный proxy [RSS]

Форум: Вход Регистрация Участники Поиск RSS

dandy
11.03.2009 - 13:29

Попробовал поднять прозрачный proxy - debian, squid, iptables - настройки как на http://www.itcomp.org.ua/os/linux/debian-proxy-1/
прозрачность не работает, приходится явно указывать proxy:3128 хотя и redirect в iptables настроил и squid transparent прописал все настройки.
Не пускает похоже squid
Кто-нить сталкивался с чем-то похожим? Help please.

Malefic
#1 - 11.03.2009 - 15:49

сода плз конфиги сквида и вывод iptables-save

dandy
#2 - 11.03.2009 - 18:04

###squid.conf
acl all src all
acl manager proto cache_object
acl localhost src 127.0.0.1/32
acl to_localhost dst 127.0.0.0/8
acl lim_access src 192.168.1.0/24 # RFC1918 possible internal network
acl full_access src 192.168.1.51/32 # RFC1918 possible internal network
acl SSL_ports port 443 # https
acl SSL_ports port 563 # snews
acl SSL_ports port 873 # rsync
acl Safe_ports port 80 # http
acl Safe_ports port 3128 # http
acl Safe_ports port 25 # http
acl Safe_ports port 110 # http
acl Safe_ports port 21 # ftp
acl Safe_ports port 443 # https
acl Safe_ports port 70 # gopher
acl Safe_ports port 210 # wais
acl Safe_ports port 1025-65535 # unregistered ports
acl Safe_ports port 280 # http-mgmt
acl Safe_ports port 488 # gss-http
acl Safe_ports port 591 # filemaker
acl Safe_ports port 777 # multiling http
acl Safe_ports port 631 # cups
acl Safe_ports port 873 # rsync
acl Safe_ports port 901 # SWAT
acl deny_hosts_access url_regex "/etc/squid/deny_hosts_access"
acl morning time MTWHF 08:00-12:00
acl evening time MTWHF 13:00-17:00
acl purge method PURGE
acl CONNECT method CONNECT
http_access allow manager localhost
http_access deny manager
http_access allow purge localhost
http_access deny purge
http_access deny !Safe_ports
http_access deny CONNECT !SSL_ports
http_access allow localhost
http_access deny deny_hosts_access morning
http_access deny deny_hosts_access evening
http_access allow full_access
http_access allow lim_access
http_access deny all
icp_access allow full_access
icp_access allow lim_access
icp_access deny all
http_port 3128 transparent
hierarchy_stoplist cgi-bin ?
cache_mem 64 MB
cache_dir ufs /var/spool/squid 1024 16 256
cache_mgr sandy88@inbox.ru
access_log /var/log/squid/access.log squid
refresh_pattern ^ftp: 1440 20% 10080
refresh_pattern ^gopher: 1440 0% 1440
refresh_pattern -i (/cgi-bin/|\?) 0 0% 0
refresh_pattern (Release|Package(.gz)*)$ 0 20% 2880
refresh_pattern . 0 20% 4320
error_directory /usr/share/squid/errors/Russian-1251
delay_pools 2
delay_class 1 3
delay_class 2 3
delay_access 1 allow full_access
delay_access 1 deny all
delay_access 2 allow lim_access
delay_access 2 deny all
delay_parameters 1 -1/-1 -1/-1 -1/-1
delay_parameters 2 -1/-1 -1/-1 10000/1024000
acl shoutcast rep_header X-HTTP09-First-Line ^ICY\s[0-9]
upgrade_http0.9 deny shoutcast
acl apache rep_header Server ^Apache
broken_vary_encoding allow apache
extension_methods REPORT MERGE MKACTIVITY CHECKOUT
hosts_file /etc/hosts
coredump_dir /var/spool/squid

###
###iptables-save
# Generated by iptables-save v1.4.2 on Wed Mar 4 18:13:31 2009
*filter
:INPUT DROP [0:0]
:FORWARD DROP [0:0]
:OUTPUT ACCEPT [0:0]
-A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
-A INPUT -i lo -j ACCEPT
-A INPUT -s 192.168.1.0/24 -i eth1 -j ACCEPT
-A FORWARD -m state --state RELATED,ESTABLISHED -j ACCEPT
-A FORWARD -s 192.168.1.0/24 -p tcp -m tcp --dport 3128 -j ACCEPT
-A FORWARD -s 192.168.1.0/24 -p tcp -m tcp --dport 80 -j ACCEPT
-A FORWARD -s 192.168.1.0/24 -p tcp -m tcp --dport 443 -j ACCEPT
-A FORWARD -s 192.168.1.0/24 -p tcp -m tcp --dport 5190 -j ACCEPT
-A FORWARD -s 192.168.1.0/24 -p tcp -m tcp --dport 21 -j ACCEPT
-A FORWARD -s 192.168.1.0/24 -p tcp -m tcp --dport 22 -j ACCEPT
-A FORWARD -s 192.168.1.0/24 -p tcp -m tcp --dport 25 -j ACCEPT
-A FORWARD -s 192.168.1.0/24 -p tcp -m tcp --dport 110 -j ACCEPT
-A FORWARD -s 192.168.1.0/24 -p tcp -m tcp --dport 123 -j ACCEPT
COMMIT
# Completed on Wed Mar 4 18:13:31 2009
# Generated by iptables-save v1.4.2 on Wed Mar 4 18:13:31 2009
*nat
:PREROUTING ACCEPT [2731:341620]
:POSTROUTING ACCEPT [30:1806]
:OUTPUT ACCEPT [30:1806]
-A PREROUTING -i eth1 -p tcp -m tcp --dport 80 -j REDIRECT --to-ports 3128
-A POSTROUTING -s 192.168.1.0/24 -o eth0 -j SNAT --to-source 213.180.204.8
COMMIT
# Completed on Wed Mar 4 18:13:31 2009

Iwan
#3 - 11.03.2009 - 20:59

cat /var/log/messages|grep squid

Что там есть?

dandy
#4 - 12.03.2009 - 08:25

# cat /var/log/messages|grep squid за 4 марта
Mar 4 08:18:09 debian squid[2324]: Squid Parent: child process 2327 started
Mar 4 10:02:24 debian squid[2324]: Squid Parent: child process 2327 exited with status 0
Mar 4 10:12:52 debian squid[2328]: Squid Parent: child process 2331 started
Mar 4 10:40:54 debian squid[2328]: Squid Parent: child process 2331 exited with status 0
Mar 4 10:42:22 debian squid[2428]: Squid Parent: child process 2431 started
Mar 4 15:04:00 debian squid[2428]: Squid Parent: child process 2431 exited with status 0
Mar 4 15:06:22 debian squid[2739]: Squid Parent: child process 2742 started
Mar 4 15:34:21 debian squid[2739]: Squid Parent: child process 2742 exited with status 0
Mar 4 15:35:33 debian squid[2316]: Squid Parent: child process 2319 started
Mar 4 15:51:15 debian squid[2316]: Squid Parent: child process 2319 exited with status 0
Mar 4 15:52:27 debian squid[2317]: Squid Parent: child process 2321 started
Mar 4 18:00:15 debian squid[2317]: Squid Parent: child process 2321 exited with status 0
Mar 4 18:01:26 debian squid[2323]: Squid Parent: child process 2326 started
Mar 4 18:04:58 debian squid[2323]: Squid Parent: child process 2326 exited with status 0
Mar 4 18:14:54 debian squid[2325]: Squid Parent: child process 2328 started
Mar 4 18:16:33 debian squid[2325]: Squid Parent: child process 2328 exited with status 0
Mar 4 18:16:35 debian squid[2514]: Squid Parent: child process 2516 started

Malefic
#5 - 12.03.2009 - 10:58

Такс... Кажется мой прокол
/etc/sysctl.conf
в этом файле должен быть параметр net.ipv4.ip_forward=1
проверь, если заработает - отпишись, добавлю это в ХауТу

dandy
#6 - 12.03.2009 - 11:23

добавил в /etc/sysctl.conf параметр net.ipv4.ip_forward=1
ничего не изменилось

Malefic
#7 - 12.03.2009 - 12:12

ядро самосборное или из репов?
/me жалеет, что у него под рукой щас нет сервака, на котором всё работает. А ехать на работу впадло...

э!!!
:FORWARD DROP [0:0]
чоэто?!
анука $ sudo iptables -P FORWARD ACCEPT
делал? судя по всему - нет

dandy
#8 - 12.03.2009 - 13:25

Респект !!! Все заработало !
Но ведь вначале так и было, только потом захотелось выпускать forward по портам
Почему это не работает не понятно:
-A FORWARD -s 192.168.1.0/24 -p tcp -m tcp --dport 80 -j ACCEPT
-A FORWARD -s 192.168.1.0/24 -p tcp -m tcp --dport 443 -j ACCEPT
-A FORWARD -s 192.168.1.0/24 -p tcp -m tcp --dport 5190 -j ACCEPT
-A FORWARD -s 192.168.1.0/24 -p tcp -m tcp --dport 21 -j ACCEPT
-A FORWARD -s 192.168.1.0/24 -p tcp -m tcp --dport 22 -j ACCEPT
-A FORWARD -s 192.168.1.0/24 -p tcp -m tcp --dport 25 -j ACCEPT
-A FORWARD -s 192.168.1.0/24 -p tcp -m tcp --dport 110 -j ACCEPT

ну это уже детали, разберусь
Спасибо тебе БОЛЬШОЕ! :)

ash
#9 - 12.03.2009 - 18:11

Спасибо вообще всем в этой теме. Сам скоро впервые прозрачный прокси ставить буду) Нашел комп немного старенький, хочу по полному грузить его проксей. Вопрос - если у меня гейт на 10.0.0.1 (он же прокси, фаервол на нем же) мне надо в фаере перенаправить все на новый прокси, верно? То есть - от локалки все идет на гейт, гейт перенаправляет на комп с прокси, и от компа с прокси гейтом все кидается в инет. Так?

dandy
#10 - 13.03.2009 - 09:21

Вроде так, ты почитай по ссылке в первом посте, там всё хорошо написано
К списку вопросов

Быстрый ответ
Имя:      Пароль:    
Текст сообщения:

«ibash.org.ru — Новый цитатник Рунета» Почта вебмастера: imail@ibash.org.ru