Помогите настроить squid + iptables... / Unix-системы

ReSQL.ru

Мобильная версия Контакт Правила FAQ Помощь

Гость

Войти | Регистрация | Профиль | Очистить

Новые сообщения | Избранное

Форумы | Пользователи | Статистика | Мод. лог | Поиск

Цитировать

Написать

Автор*:

Ввести пароль для входа

Тема*:

Сообщение

Данное сообщение тематическое

Сообщение содержит картинки или видео 18+

Автор:

ВНИМАНИЕ! На данном подфоруме действуют строгие правила. Удостоверьтесь, что ваше сообщение соответствует им!

Форум или тема закрыты для гостей. Необходима авторизация!

Загрузить последнюю сохраненную версию

Вложение:

Вставить как галерею

Максимальный размер вложений: 4,0 МБ, аудио/видео: 8,0 МБ. Картинки большего размера ужимаются, если возможно.

Введите код, изображенный на картинке. Если код нечитаемый, кликните картинку, чтобы загрузить другой вариант.

Отправляя сообщение, я выражаю свое согласие с правилами форума и принимаю пользовательское соглашение.

Доб. в избранное | Игнор. тему | Прикреп. тему | Пометить прочит. / непрочит. | Фильтр

Форумы / Unix-системы [игнор отключен] [закрыт для гостей] / Помогите настроить squid + iptables...

29 сообщений из 29, показаны все 2 страниц

все

Помогите настроить squid + iptables...

#37212514

vasily_pupkin

Участник

Сообщения: 193

Рейтинг: 0 / 0

Есть такой конфиг...RedHat + squid + iptables...Машина используется в качестве прокси сервера...Squid настроен как прозрачный кеширующий прокси...

Собственно задача...ВСЕ пакеты от пользователей должны заворачиваться на squid...

З.Ы.
В данный момент настройки iptables такие...
iptables -t nat -A PREROUTING -s XXX.XXX.0.0/24 -d ! YYY.YYY.YYY.203 -p tcp -m multiport --dport 80,81,82,83,88,8000,8001,8002,8080,8081 -j REDIRECT --to-port 3128

клиент и сервер друг друга пингуют, однако пока на клиенте не пропишешь вручную в браузере прокси YYY.YYY.YYY.203:3128 нета на нем нет. Чем данное можно объяснить и исправить?

...

Рейтинг:

0 / 0

12.04.2011, 17:26

| Ответить | Цитировать | Написать

Помогите настроить squid + iptables...

#37213232

Мутаген

Гость

Так ничего не получится. Через squid может ходить только http и некоторые специально доработанные прикладухи через туннель методом CONNECT. Всё остальные пакеты не пролезут и запихивать их туда бессымсленно.

...

Рейтинг:

0 / 0

13.04.2011, 02:00

| Ответить | Цитировать | Написать

Помогите настроить squid + iptables...

#37213358

vasily_pupkin

Участник

Сообщения: 193

Рейтинг: 0 / 0

Не спорю, но порты для доступа по http то прописаны, а траффик все равно не идет

...

Рейтинг:

0 / 0

13.04.2011, 08:54

| Ответить | Цитировать | Написать

Помогите настроить squid + iptables...

#37213430

netwind

Участник

Сообщения: 14 195

Рейтинг: 0 / 0

vasily_pupkinЕ
В данный момент настройки iptables такие...
iptables -t nat -A PREROUTING -s XXX.XXX.0.0/24 -d ! YYY.YYY.YYY.203 -p tcp -m multiport --dport 80,81,82,83,88,8000,8001,8002,8080,8081 -j REDIRECT --to-port 3128

покажи вывод команд ip route, iptables-save. ВЕСЬ.

...

Рейтинг:

0 / 0

13.04.2011, 09:35

| Ответить | Цитировать | Написать

Помогите настроить squid + iptables...

#37213447

netwind

Участник

Сообщения: 14 195

Рейтинг: 0 / 0

ну и sysctl -a | grep forw
форвардинг должен быть включен, но об этом можно легко забыть

...

Рейтинг:

0 / 0

13.04.2011, 09:41

| Ответить | Цитировать | Написать

Помогите настроить squid + iptables...

#37214051

vasily_pupkin

Участник

Сообщения: 193

Рейтинг: 0 / 0

netwind, спасибо, включил форвардинг - траффик на компы пошел.
Теперь интересует следующее - нужно мне доказать что происходит переброс портов 80, 8080 на 3128, как можно это сделать? где то ведется лог данного процесса? если нет то как его включить?

...

Рейтинг:

0 / 0

13.04.2011, 13:37

| Ответить | Цитировать | Написать

Помогите настроить squid + iptables...

#37214058

miksoft

Участник

Сообщения: 36 746

Рейтинг: 0 / 0

vasily_pupkinгде то ведется лог данного процесса?логи самого сквида чем не устраивают?

...

Рейтинг:

0 / 0

13.04.2011, 13:39

| Ответить | Цитировать | Написать

Помогите настроить squid + iptables...

#37214067

vasily_pupkin

Участник

Сообщения: 193

Рейтинг: 0 / 0

сквид слушает порт 3128, а мне нужен лог переброса с портов 80, 8080 на 3128, это не iptabes разве?

...

Рейтинг:

0 / 0

13.04.2011, 13:42

| Ответить | Цитировать | Написать

Помогите настроить squid + iptables...

#37214374

netwind

Участник

Сообщения: 14 195

Рейтинг: 0 / 0

vasily_pupkinnetwind, спасибо, включил форвардинг - траффик на компы пошел.
Теперь интересует следующее - нужно мне доказать что происходит переброс портов 80, 8080 на 3128, как можно это сделать? где то ведется лог данного процесса? если нет то как его включить?
найди компьютер где больше ничего не запущено, узнай его IP, сходи в интернет не настраивая прокси, посмотри в логах запрос с этого IP и убедиcь.

...

Рейтинг:

0 / 0

13.04.2011, 15:09

| Ответить | Цитировать | Написать

Помогите настроить squid + iptables...

#37214378

netwind

Участник

Сообщения: 14 195

Рейтинг: 0 / 0

vasily_pupkinсквид слушает порт 3128, а мне нужен лог переброса с портов 80, 8080 на 3128, это не iptabes разве?
можно добавить в цепочки правило -j LOG, но зачем?
если нужно именно "доказать" (Святой Инквизиции?), то лучше в сквид смотреть сразу.

...

Рейтинг:

0 / 0

13.04.2011, 15:10

| Ответить | Цитировать | Написать

Помогите настроить squid + iptables...

#37214451

pwgen

Гость

vasily_pupkin,

в http_port не забыли дописать transparent ?

...

Рейтинг:

0 / 0

13.04.2011, 15:32

| Ответить | Цитировать | Написать

Помогите настроить squid + iptables...

#37215907

vasily_pupkin

Участник

Сообщения: 193

Рейтинг: 0 / 0

вопрос немного сторонний - траффик идет через squid, однако заметил, что есть сайты которые отображаются отлично, все картинки присутствуют. Однако есть сайты, одним из которых является mail.ru, которые отображаются так что создается впечатление что полетел css - нет 90 % картинок, поля папок или списка писем в непривычных местах. С чем это может быть связано? можно ли это отрегулировать в squid?

...

Рейтинг:

0 / 0

14.04.2011, 11:12

| Ответить | Цитировать | Написать

Помогите настроить squid + iptables...

#37215913

vasily_pupkin

Участник

Сообщения: 193

Рейтинг: 0 / 0

прошу прощения за подобное размещение аттача

...

Рейтинг:

0 / 0

14.04.2011, 11:14

| Ответить | Цитировать | Написать

Помогите настроить squid + iptables...

#37215935

miksoft

Участник

Сообщения: 36 746

Рейтинг: 0 / 0

vasily_pupkin,

про https (443 порт) не забыли?

...

Рейтинг:

0 / 0

14.04.2011, 11:22

| Ответить | Цитировать | Написать

Помогите настроить squid + iptables...

#37220953

vasily_pupkin

Участник

Сообщения: 193

Рейтинг: 0 / 0

не забыл, добавил его, но проблема с отображением сайтов и частых выпаданий 404 странички не исчезла

...

Рейтинг:

0 / 0

18.04.2011, 09:19

| Ответить | Цитировать | Написать

Помогите настроить squid + iptables...

#37221001

miksoft

Участник

Сообщения: 36 746

Рейтинг: 0 / 0

vasily_pupkinне забыл, добавил его, но проблема с отображением сайтов и частых выпаданий 404 странички не исчезлаСмотрите любым сниффером (начиная с общесистемных типа tcpdump и заканчивая плагинами к браузерам типа HttpFox) какой именно URL не получается загрузить.

...

Рейтинг:

0 / 0

18.04.2011, 09:52

| Ответить | Цитировать | Написать

Помогите настроить squid + iptables...

#37224103

vasily_pupkin

Участник

Сообщения: 193

Рейтинг: 0 / 0

В конце концов обнаружил данный момент:

Finally, as far as transparently proxing HTTPS (e.g. secure web pages using SSL, TSL, etc.), you can't do it. Don't even ask. For the explanation, do a search for 'man-in-the-middle attack'. Note that you probably don't really need to transparently proxy HTTPS anyway, since squid can not cache secure pages.

то есть squid в режиме прозрачного прокси не работает со страничками содержащими SSL, например mail.ru. Можно ли пустить данный трафик в обход squid?

...

Рейтинг:

0 / 0

20.04.2011, 11:33

| Ответить | Цитировать | Написать

Помогите настроить squid + iptables...

#37224119

netwind

Участник

Сообщения: 14 195

Рейтинг: 0 / 0

vasily_pupkin, конечно - настроив NAT.
но зачем тебе тогда вообще сквид понадобился? ни посчитать, ни ограничить. весь gmail через https работает.

...

Рейтинг:

0 / 0

20.04.2011, 11:42

| Ответить | Цитировать | Написать

Помогите настроить squid + iptables...

#37224132

vasily_pupkin

Участник

Сообщения: 193

Рейтинг: 0 / 0

можно пример конфига с NAT? цель - кэшировать максимум траффика, если SSL не получается кэшировать - черт с ним!

...

Рейтинг:

0 / 0

20.04.2011, 11:49

| Ответить | Цитировать | Написать

Помогите настроить squid + iptables...

#37224459

netwind

Участник

Сообщения: 14 195

Рейтинг: 0 / 0

vasily_pupkin, примеров сотни. тебе нужно -j SNAT.

...

Рейтинг:

0 / 0

20.04.2011, 13:35

| Ответить | Цитировать | Написать

Помогите настроить squid + iptables...

#37224656

vasily_pupkin

Участник

Сообщения: 193

Рейтинг: 0 / 0

в access.log заметил что,

1303110365.111 27 172.28.228.203 TCP_HIT/200 2620 GET http://limg.imgsmail.ru/mail/ru/images/logon.gif - NONE/- image/gif

и многие другие картинки не отображающиеся на странице mail.ru. При вводе в браузер клиента http://limg.imgsmail.ru/mail/ru/images/logon.gif браузер говорит о том, что истекло время ожидания

gmail.ru кстати открывает, почту можно отправлять, но рамблер нет

...

Рейтинг:

0 / 0

20.04.2011, 15:02

| Ответить | Цитировать | Написать

Помогите настроить squid + iptables...

#37224659

vasily_pupkin

Участник

Сообщения: 193

Рейтинг: 0 / 0

как можно узнать что режет данную ссылку?

...

Рейтинг:

0 / 0

20.04.2011, 15:03

| Ответить | Цитировать | Написать

Помогите настроить squid + iptables...

#37224664

miksoft

Участник

Сообщения: 36 746

Рейтинг: 0 / 0

vasily_pupkinкак можно узнать что режет данную ссылку?miksoftСмотрите любым сниффером

...

Рейтинг:

0 / 0

20.04.2011, 15:06

| Ответить | Цитировать | Написать

Помогите настроить squid + iptables...

#37224686

vasily_pupkin

Участник

Сообщения: 193

Рейтинг: 0 / 0

на сервере redhat, на клиенте xp. Где мне использовать сниффер?

...

Рейтинг:

0 / 0

20.04.2011, 15:16

| Ответить | Цитировать | Написать

Помогите настроить squid + iptables...

#37224741

vasily_pupkin

Участник

Сообщения: 193

Рейтинг: 0 / 0

использовал tcpdump -i eth0 | grep imgsmail.ru - пусто при запросе

...

Рейтинг:

0 / 0

20.04.2011, 15:34

| Ответить | Цитировать | Написать

Помогите настроить squid + iptables...

#37224798

miksoft

Участник

Сообщения: 36 746

Рейтинг: 0 / 0

vasily_pupkinиспользовал tcpdump -i eth0 | grep imgsmail.ru - пусто при запросеПо-умолчанию tcpdump не выводит содержимое пакетов, так что grep-ом так не поймаете.
Лучше ловите по ip-адресам рабочей станции или самого сайта (в зависимости от того, какой интерфейс сниффить будете).

...

Рейтинг:

0 / 0

20.04.2011, 15:54

| Ответить | Цитировать | Написать

Помогите настроить squid + iptables...

#37224799

miksoft

Участник

Сообщения: 36 746

Рейтинг: 0 / 0

а если справитесь с установкой - то рекомендую wireshark, он все наглядно показывает.

...

Рейтинг:

0 / 0

20.04.2011, 15:55

| Ответить | Цитировать | Написать

Помогите настроить squid + iptables...

#37224834

vasily_pupkin

Участник

Сообщения: 193

Рейтинг: 0 / 0

мой squid.conf

acl all src 0.0.0.0/0.0.0.0
acl manager proto cache_object
acl localhost src 127.0.0.0/8
acl to_localhost dst 127.0.0.0/8
acl kolyan src x.x.x.209/32 # адрес смотрящий во внешнюю сеть, eth1
acl SSL_ports port 443
acl Safe_ports port 80 # http
acl Safe_ports port 21 # ftp
acl Safe_ports port 443 # https
acl Safe_ports port 70 # gopher
acl Safe_ports port 210 # wais
acl Safe_ports port 1025-65535 # unregistered ports
acl Safe_ports port 280 # http-mgmt
acl Safe_ports port 488 # gss-http
acl Safe_ports port 591 # filemaker
acl Safe_ports port 777 # multiling http
acl CONNECT method CONNECT
acl snmppublic snmp_community mocat
http_access allow manager localhost
http_access deny manager
http_access deny CONNECT !SSL_ports
http_access allow localhost
http_access allow to_localhost
http_access allow all
http_access deny all
icp_access allow all
http_port x.x.x.203:3128 transparent # адрес внутреннего интерфейса eth0
hierarchy_stoplist cgi-bin ?
cache_mem 8 MB
maximum_object_size_in_memory 8 KB
cache_dir ufs /squid 204800 32 512
maximum_object_size 4096 KB
access_log /var/log/squid/access.log squid
debug_options ALL,1
acl QUERY urlpath_regex cgi-bin \?
cache deny QUERY
refresh_pattern ^ftp: 1440 20% 10080
refresh_pattern ^gopher: 1440 0% 1440
refresh_pattern . 0 20% 4320
acl apache rep_header Server ^Apache
broken_vary_encoding allow apache
visible_hostname test
snmp_port 3401
snmp_access allow all
snmp_access deny all
snmp_incoming_address 0.0.0.0
snmp_outgoing_address 255.255.255.255
always_direct allow localhost
always_direct deny all
check_hostnames off
forwarded_for on
coredump_dir /var/spool/squid

iptables-save

# Generated by iptables-save v1.3.5 on Wed Apr 20 16:59:35 2011
*filter
:INPUT ACCEPT [301174:254193373]
:FORWARD ACCEPT [124490:50207961]
:OUTPUT ACCEPT [203623:250535465]
-A INPUT -i lo -j ACCEPT
-A FORWARD -p tcp -m tcp --dport 443 -j ACCEPT
COMMIT
# Completed on Wed Apr 20 16:59:35 2011
# Generated by iptables-save v1.3.5 on Wed Apr 20 16:59:35 2011
*nat
:PREROUTING ACCEPT [29366:1815479]
:POSTROUTING ACCEPT [8122:573902]
:OUTPUT ACCEPT [6399:414631]
-A PREROUTING -i eth0 -p tcp -m tcp --dport 80 -j REDIRECT --to-ports 3128
-A PREROUTING -i eth0 -p tcp -m tcp --dport 8080 -j REDIRECT --to-ports 3128
-A PREROUTING -i eth0 -p tcp -m tcp --dport 8000 -j REDIRECT --to-ports 3128
-A PREROUTING -i eth0 -p tcp -m tcp --dport 8001 -j REDIRECT --to-ports 3128
-A PREROUTING -i eth0 -p tcp -m tcp --dport 8081 -j REDIRECT --to-ports 3128
-A PREROUTING -i eth0 -p tcp -m tcp --dport 8100 -j REDIRECT --to-ports 3128
-A PREROUTING -i eth0 -p tcp -m tcp --dport 8101 -j REDIRECT --to-ports 3128
-A PREROUTING -i eth0 -p tcp -m tcp --dport 21 -j REDIRECT --to-ports 3128
-A PREROUTING -i eth0 -p tcp -m tcp --dport 70 -j REDIRECT --to-ports 3128
-A PREROUTING -i eth0 -p tcp -m tcp --dport 210 -j REDIRECT --to-ports 3128
-A PREROUTING -i eth0 -p tcp -m tcp --dport 280 -j REDIRECT --to-ports 3128
-A PREROUTING -i eth0 -p tcp -m tcp --dport 488 -j REDIRECT --to-ports 3128
-A PREROUTING -i eth0 -p tcp -m tcp --dport 591 -j REDIRECT --to-ports 3128
-A PREROUTING -i eth0 -p tcp -m tcp --dport 777 -j REDIRECT --to-ports 3128
COMMIT
# Completed on Wed Apr 20 16:59:35 2011

...

Рейтинг:

0 / 0

20.04.2011, 16:08

| Ответить | Цитировать | Написать

Помогите настроить squid + iptables...

#37229395

vasily_pupkin

Участник

Сообщения: 193

Рейтинг: 0 / 0

не открывается сайт rambler.ru

nslookup rambler.ru
Server: dns1.beeline.tj
Address: 85.9.129.36

Non-authoritative answer:
Name: rambler.ru
Address: 81.19.70.3

ищу данный IP-шник в запросах к серверу по внутреннему интерфейсу

tcpdump -i eth0 | grep x.x.x.64 | grep 81

где x.x.x.64 внутренний компьютер выходящий в интернет через прокси

я так понимаю что запросы на шлюз не приходят?

...

Рейтинг:

0 / 0

22.04.2011, 17:52

| Ответить | Цитировать | Написать

29 сообщений из 29, показаны все 2 страниц

все

Форумы / Unix-системы [игнор отключен] [закрыт для гостей] / Помогите настроить squid + iptables...

Читали тему (0):

Читали форум (0):

Пользователи онлайн (0):

start [/forum/topic.php?all=1&fid=25&tid=1484287]:	0ms
get settings:	12ms
get forum list:	17ms
check forum access:	4ms
check topic access:	4ms
track hit:	311ms
get topic data:	9ms
get forum data:	2ms
get page messages:	66ms
get tp. blocked users:	1ms
others:	264ms

total:	690ms

	Необходимые cookie
	Cookie для сбора статистики
	Cookie для маркетинга и рекламы