ibash.org.ru - Новый цитатник Рунета | Цитаты: По дате По рейтингу Случайно Добавить Поиск RSS |
Форум: debian+squid+iptables+pppoe [RSS] | Форум: Вход Регистрация Участники Поиск RSS |
dzirt85 22.11.2009 - 20:11 | Все перечитал, что только можно, но так и не смог понять как сделать прокси прозрачным. На данный момент имею: 1.eth0 - dhcp ip от провайдера 2.eth1 - локальная сеть, домашняя 3. pppoe - имеет статический постоянный белый ip 4 squid c настройками: acl all src all acl manager proto cache_object acl localhost src 127.0.0.1/32 acl to_localhost dst 127.0.0.0/8 # обычные пользователи с ограниченной скоростью # acl lim_access src 192.168.1.0/24 # RFC1918 possible internal network # необычные пользователи =) acl full_access src 192.168.0.0/24 # RFC1918 possible internal network # acl localnet src 192.168.0.0/16 # RFC1918 possible internal network acl SSL_ports port 443 # https acl SSL_ports port 563 # snews acl SSL_ports port 873 # rsync acl Safe_ports port 80 # http acl Safe_ports port 21 # ftp acl Safe_ports port 443 # https acl Safe_ports port 70 # gopher acl Safe_ports port 210 # wais acl Safe_ports port 1025-65535 # unregistered ports acl Safe_ports port 280 # http-mgmt acl Safe_ports port 488 # gss-http acl Safe_ports port 591 # filemaker acl Safe_ports port 777 # multiling http acl Safe_ports port 631 # cups acl Safe_ports port 873 # rsync acl Safe_ports port 901 # SWAT acl purge method PURGE acl CONNECT method CONNECT http_access allow full_access # http_access allow lim_access http_access allow manager localhost http_access deny manager http_access allow purge localhost http_access deny purge http_access deny !Safe_ports http_access deny CONNECT !SSL_ports http_access allow localhost http_access deny all icp_access allow full_access # icp_access allow lim_access #icp_access allow localnet # icmp_access deny all http_port 3128 transparent hierarchy_stoplist cgi-bin ? cache_mem 64 MB cache_dir ufs /var/spool/squid 1024 16 256 cache_mgr dzirt85@gmail.com access_log /var/log/squid/access.log squid # указываем количество правил delay_pools 1 # регистрируем 2 пула 3 класса delay_class 1 3 # delay_class 2 3 # указываем кто есть кто и указываем доступ delay_access 1 allow full_access delay_access 1 deny all # delay_access allow lim_access # delay_access deny all # указываем параметры скорости для первого пула (нет ограничений) delay_parameters 1 -1/-1 -1/-1 -1/-1 # второго пула (lim_access) - режем скорость примерно до 1МБ/с после первого ГБ # delay_parameters 2 -1/-1 -1/-1 1000000/10240000 refresh_pattern ^ftp: 1440 20% 10080 refresh_pattern ^gopher: 1440 0% 1440 refresh_pattern -i (/cgi-bin/|\?) 0 0% 0 refresh_pattern (Release|Package(.gz)*)$ 0 20% 2880 refresh_pattern . 0 20% 4320 acl shoutcast rep_header X-HTTP09-First-Line ^ICY\s[0-9] upgrade_http0.9 deny shoutcast acl apache rep_header Server ^Apache broken_vary_encoding allow apache extension_methods REPORT MERGE MKACTIVITY CHECKOUT hosts_file /etc/hosts coredump_dir /var/spool/squid 5. iptables, правила подгружаются из скрипта: 1 #!/bin/sh 2 3 PATH=/usr/sbin:/sbin:/bin:/usr/bin 4 PORTS=21,80,8080,110,443,25,2525,6871,4444,3478 5 6 7 # 8 # удалить все действующие правила 9 # 10 iptables -F 11 iptables -t nat -F 12 iptables -t mangle -F 13 iptables -X 14 15 # Всегда принимать трафик на loopback-интерфейсе 16 iptables -A INPUT -i lo -j ACCEPT 17 18 # Разрешить соединения, которые инициированы изнутри (eth1) 19 iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT 20 iptables -A INPUT -m state --state NEW -i ! ppp0 -j ACCEPT 21 iptables -A FORWARD -i eth0 -o ppp0 -m state --state ESTABLISHED,RELATED -j ACCEPT 22 23 # Разрешить доступ из LAN-сети к внешним сетям 24 iptables -A FORWARD -i eth1 -o eth0 -j ACCEPT 25 26 # Masquerade. 27 iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE 28 29 # Запретить forward извне во внутреннюю сеть 30 iptables -A FORWARD -i eth0 -o eth0 -j REJECT 31 32 # Добавление прозрачности 33 iptables -t nat -A PREROUTING -s 192.168.0.0/24 -p tcp -m multiport --dport $PORTS -j REDIRECT --to-port 3128 34 iptables -t nat -A PREROUTING -s 192.168.0.0/24 -p udp -m multiport --dport $PORTS -j REDIRECT --to-port 3128 35 iptables -t nat -A POSTROUTING -s 192.168.0.0/24 -o ppp0 -j SNAT --to-source 213.141.130.44 в итоге работает только браузер, при условии если ему указать прокси сервер, не почта, не джаббер и ничего больше. Подскажите куда копать... что-то я уже отчаиваюсь... |
Iwan #1 - 22.11.2009 - 23:37 | >>dzirt85 1) Включить NAT, не? 2) iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 80 -j REDIRECT --to-port 3128 iptables -t nat -A POSTROUTING -s 192.168.0.0/24 -o ppp0 -j SNAT --to-source 213.141.130.44 3) 26 # Masquerade. 27 iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE 28 29 # Запретить forward извне во внутреннюю сеть 30 iptables -A FORWARD -i eth0 -o eth0 -j REJECT 31 32 # Добавление прозрачности 33 iptables -t nat -A PREROUTING -s 192.168.0.0/24 -p tcp -m multiport --dport $PORTS -j REDIRECT --to-port 3128 34 iptables -t nat -A PREROUTING -s 192.168.0.0/24 -p udp -m multiport --dport $PORTS -j REDIRECT --to-port 3128 35 iptables -t nat -A POSTROUTING -s 192.168.0.0/24 -o ppp0 -j SNAT --to-source 213.141.130.44 Стереть к ебеням 4) 24 iptables -A FORWARD -i eth1 -o eth0 -j ACCEPT - это чо за херня??? Заменить на: iptables -A FORWARD -s 192.168.0.0/24 -j ACCEPT iptables -A INPUT -s 192.168.0.0/24 -j ACCEPT Потом когда заработает долго и упорно настраивать фаервол. |
dzirt85 #2 - 24.11.2009 - 01:26 | я бы рад, но не работает даже так: iptables -A POSTROUTING -t nat -s 192.168.0.10 -o ppp0 -j SNAT --to-source 213.141.130.44 и если удалить все правила iptables инет пропадает даже на сервере: $route Kernel IP routing table Destination Gateway Genmask Flags Metric Ref Use Iface 212.1.254.98 * 255.255.255.255 UH 0 0 0 ppp0 192.168.0.0 * 255.255.255.0 U 0 0 0 eth1 212.1.226.0 10.31.103.1 255.255.255.0 UG 0 0 0 eth0 10.31.103.0 * 255.255.255.0 U 0 0 0 eth0 212.1.224.0 10.31.103.1 255.255.254.0 UG 0 0 0 eth0 77.246.96.0 10.31.103.1 255.255.248.0 UG 0 0 0 eth0 95.221.64.0 10.31.103.1 255.255.192.0 UG 0 0 0 eth0 95.221.128.0 10.31.103.1 255.255.128.0 UG 0 0 0 eth0 95.220.128.0 10.31.103.1 255.255.128.0 UG 0 0 0 eth0 10.0.0.0 10.31.103.1 255.0.0.0 UG 0 0 0 eth0 default * 0.0.0.0 U 0 0 0 ppp0 |
dzirt85 #3 - 26.11.2009 - 01:12 | Всем спасибо, разобрался=) |
| К списку вопросов |
| «ibash.org.ru — Новый цитатник Рунета» | Почта вебмастера: imail@ibash.org.ru |