есть сквид, кот.слушает два порта 3128 и 3129, пользователи ходят в Инет через сквид, указанный в настройках IE
есть программа кот. блокирует трафик при превышении квоты для определенного ip на порту 3128,
порт 3129 настроен для пропуска всех на один сайт 1.2.3.4, т.е. нужно даже при срабатывании квоты пропускать всех на этот сайт, acl работают прверял.
при блокировании трафика для юзера, можно зайти на 1.2.3.4 указав в настройках IE порт 3129, - это все работает,
не получается перенаправить запросы пользвоателей на сайт 1.2.3.4 на порт 3129.
правило прописано следующее:
iptables -t nat -A PREROUTING -d 1.2.3.4 -p tcp --dport 80 -j REDIRECT --to-ports 3129
при просмотре через
iptables -nvL -t nat правило отображается.
видимо что-то еще надо прописать - подскажите

• порты сквид и iptables,KVN, 13:16 , 27-Мрт-06
• порты сквид и iptables,Kliver, 18:37 , 27-Мрт-06
  • порты сквид и iptables,KVN, 21:55 , 27-Мрт-06
    • порты сквид и iptables,KVN, 22:44 , 27-Мрт-06
      • порты сквид и iptables,KVN, 11:21 , 28-Мрт-06
    • порты сквид и iptables,Kliver, 12:09 , 28-Мрт-06
      • порты сквид и iptables,KVN, 14:35 , 28-Мрт-06
        • порты сквид и iptables,Kliver, 14:59 , 28-Мрт-06
          • порты сквид и iptables,KVN, 16:48 , 28-Мрт-06

подскажите хотя бы как происходит обращение с локальной машины к сквиду?
я так понимаю д.б.правило, которое ловит пакет перед тем как идет обращение к сквиду и затем передает его на порт 3129, для кот. acl сквида стоят в accept?
в какой цепочке д.б .такое правило?

>есть сквид, кот.слушает два порта 3128 и 3129, пользователи ходят в Инет
>IE порт 3129, - это все работает,
>не получается перенаправить запросы пользвоателей на сайт 1.2.3.4 на порт 3129.
>правило прописано следующее:
>iptables -t nat -A PREROUTING -d 1.2.3.4 -p tcp --dport 80 -j
>REDIRECT --to-ports 3129
>видимо что-то еще надо прописать - подскажите

А в сквиде прозрачное проксирование настроил?

>>есть сквид, кот.слушает два порта 3128 и 3129, пользователи ходят в Инет
>>IE порт 3129, - это все работает,
>>не получается перенаправить запросы пользвоателей на сайт 1.2.3.4 на порт 3129.
>>правило прописано следующее:
>>iptables -t nat -A PREROUTING -d 1.2.3.4 -p tcp --dport 80 -j
>>REDIRECT --to-ports 3129
>>видимо что-то еще надо прописать - подскажите
>
>А в сквиде прозрачное проксирование настроил?

нет не настроил,
эта установка делается для всех портов или можно как-то указать только порт 3129 для прозрачного проксирования?
т.е. в случае настройки прозрачного проксирования - возможно ли работать по схеме, при котрой идет работа сейчас - у всех пользователей в настройках IE прописан порт и адрес прокси?

уточню вопрос - можно ли настроить сквид, чтобы он обрабатывал прозрачное проксирование для одного порта и простое проксирование для другого порта одновремено?

>уточню вопрос - можно ли настроить сквид, чтобы он обрабатывал прозрачное проксирование
>для одного порта и простое проксирование для другого порта одновремено?
?

>>А в сквиде прозрачное проксирование настроил?
>
>нет не настроил,
а зря :)

>эта установка делается для всех портов или можно как-то указать только порт
>3129 для прозрачного проксирования?
>т.е. в случае настройки прозрачного проксирования - возможно ли работать по схеме,
>при котрой идет работа сейчас - у всех пользователей в настройках
>IE прописан порт и адрес прокси?
Прозрачное проксирование не мешает обычному

в squid.conf пропиши

httpd_accel_host virtual
httpd_accel_port 80
httpd_accel_with_proxy on
httpd_accel_uses_host_header on

http_port 3128
http_port 3129
httpd_accel_host virtual
httpd_accel_port 80
httpd_accel_with_proxy on
httpd_accel_uses_host_header on

прописал так
при срабатывании квоты
если в настроках IE прописан порт 3128, то не заходит никуда,
если в настройках IE убрать настройку для прокси то заходит только на 1.2.3.4
что-то видимо все-равно не так

мне бы хотелось, чтобы все сайты были через простое проксирование, а на сайт 1.2.3.4 через прозраченое

>при срабатывании квоты
>если в настроках IE прописан порт 3128, то не заходит никуда,
>если в настройках IE убрать настройку для прокси то заходит только на
>1.2.3.4
>что-то видимо все-равно не так
а как? Ты же писал, что бы при превышении квоты доступ был только на 1.2.3.4? Так теперь и работает

>
>мне бы хотелось, чтобы все сайты были через простое проксирование, а на
>сайт 1.2.3.4 через прозраченое
Давай разбираться.
Прозрачное проксирование работает, если в IE вообще не настроено прокси. Соответственно пакеты перехватываются и передаются прокси.
Насколько я понимаю твою задачу. Ты хочешь, чтобы не надо было менять настройки прокси в IE?
А зачем 2 порта(3128, 3129)? Настрой acl на одном и будет счастье.
Если хочешь с 2мя выход я вижу один.
добавь в iptables
iptables -t nat -A PREROUTING -d 1.2.3.4 -p tcp --dport 80 -j REDIRECT --to-ports 3129
iptables -t nat -A PREROUTING  -p tcp --dport 80 -j REDIRECT --to-ports 3128

и у всех пользователей отключить прокси. Я думаю, это решит твою задачу.
Но, ИМХО второй порт не нужен и тогда все проще будет(и правильней)

спасибо - теперь все ОК.