URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID1
Нить номер: 88545
[ Назад ]

Исходное сообщение
"Squid не работает"
Отправлено kozyr76 , 29-Мрт-10 12:47

Здравствуйте! На серваке стоит Fedora 10. Всегда работал NAT, поставил и настроил squid 3.0 Stable 2.0, запустил, но почему-то все-равно все станции работают через NAT (пробывал в броузерах ставить 3128, так ничего не работает с такой конфигурацией. Мои конфиги: (Что здесь неправильно, прошу помочь)
squid.conf:
acl manager proto cache_object
acl localhost src 127.0.0.1/32
acl to_localhost dst 127.0.0.0/8 0.0.0.0/32

acl company 1 1 src 10.17.13.98 10.17.13.3 10.17.13.251
acl company 2 src 10.17.13.35 10.17.13.43 10.17.13.5 10.17.13.6 10.17.13.12 10.17.13.15 10.17.13.22 10.17.13.16
acl company 3 src 10.17.13.11 10.17.13.8
acl company 4 src 10.17.13.32 10.17.13.28 10.17.13.99 10.17.13.26 10.17.13.44 10.17.13.54 10.17.13.45
acl company 5 src 10.17.13.40 10.17.13.58 10.17.13.59 10.17.13.60 10.17.13.61 10.17.13.62
#
acl SSL_ports port 443 563 8443 9091
acl Safe_ports port 80 # http
acl Safe_ports port 21 # ftp
acl Safe_ports port 443 563 8443 9091 # https
acl Safe_ports port 70 # gopher
acl Safe_ports port 210 # wais
acl Safe_ports port 1025-65535 # unregistered ports
acl Safe_ports port 280 # http-mgmt
acl Safe_ports port 488 # gss-http
acl Safe_ports port 591 # filemaker
acl Safe_ports port 777 # multiling http
acl Safe_ports port 5190 #icq
acl CONNECT method CONNECT
acl sitesregex dstdom_regex sex porno teen girl
acl blockurl url_regex -i "/etc/squid/block/badurl.txt"
http_access deny sitesregex all
http_access deny blockurl all
http_access allow manager localhost
http_access deny manager
http_access deny !Safe_ports
http_access deny CONNECT !SSL_ports
http_access allow localhost
http_access allow procontact
http_access allow kanat
http_access allow abrisola
http_access allow uvicon
http_access allow elbrustrans
http_access deny all
http_port 3128
hierarchy_stoplist cgi-bin ?
coredump_dir /var/spool/squid
cache_dir ufs /var/spool/squid 1000 16 256
refresh_pattern ^ftp: 1440 20% 10080
refresh_pattern ^gopher: 1440 0% 1440
refresh_pattern -i (/cgi-bin/|\?) 0 0% 0
refresh_pattern . 0 20% 4320
iptables:
*nat
:PREROUTING ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]
:POSTROUTING ACCEPT [0:0]
-A POSTROUTING -o eth0 -j SNAT --to-source yyy.yyy.yyy.yyy
COMMIT
*filter
:INPUT ACCEPT [0:0]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]
-A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
-A INPUT -p icmp -m icmp --icmp-type destination-unreachable -j REJECT --reject-with icmp-host-prohibited
-A INPUT -p icmp -m icmp --icmp-type parameter-problem -j REJECT --reject-with icmp-host-prohibited
-A INPUT -p icmp -m icmp --icmp-type source-quench -j REJECT --reject-with icmp-host-prohibited
-A INPUT -p icmp -j ACCEPT
-A INPUT -i lo -j ACCEPT
-A INPUT -m state --state NEW -m tcp -p tcp --dport 22 -j ACCEPT
-A INPUT -m state --state NEW -m tcp -p tcp --dport 53 -j ACCEPT
-A INPUT -m state --state NEW -m udp -p udp --dport 53 -j ACCEPT
-A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT
-A FORWARD -p icmp -m icmp --icmp-type destination-unreachable -j REJECT --reject-with icmp-host-prohibited
-A FORWARD -p icmp -m icmp --icmp-type parameter-problem -j REJECT --reject-with icmp-host-prohibited
-A FORWARD -p icmp -m icmp --icmp-type source-quench -j REJECT --reject-with icmp-host-prohibited
-A FORWARD -p icmp -j ACCEPT
-A FORWARD -i lo -j ACCEPT
-A FORWARD -i eth0 -j ACCEPT
-A FORWARD -i eth1 -j ACCEPT
-A FORWARD -o eth0 -j ACCEPT
-A INPUT -j REJECT --reject-with icmp-host-prohibited
-A FORWARD -j REJECT --reject-with icmp-host-prohibited
COMMIT
eth0 - внешний интерфейс, смотрящий в мир
# ps aux | grep squid
root      2104  0.0  0.1  54956  2796 ?        Ss   11:16   0:00 squid -D -f /et                        c/squid/squid.conf
squid     2107  0.1  0.5  59280 10452 ?        S    11:16   0:01 (squid) -D -f /                        etc/squid/squid.conf
squid     2108  0.0  0.0  22240  1156 ?        S    11:16   0:00 (unlinkd)

Содержание

Squid не работает,tux2002, 12:56 , 29-Мрт-10
- Squid не работает,kozyr76, 13:05 , 29-Мрт-10
  - Squid не работает,kozyr76, 13:07 , 29-Мрт-10
- Squid не работает,kozyr76, 13:14 , 29-Мрт-10
Squid не работает,rontex, 12:59 , 29-Мрт-10
- Squid не работает,kozyr76, 13:11 , 29-Мрт-10
Squid не работает,qwertykma, 12:59 , 29-Мрт-10
- Squid не работает,kozyr76, 13:12 , 29-Мрт-10
  - Squid не работает,qwertykma, 14:30 , 29-Мрт-10
    - Squid не работает,kozyr76, 15:53 , 29-Мрт-10
  - Squid не работает,rontex, 16:02 , 29-Мрт-10
    - Squid не работает,kozyr76, 17:05 , 29-Мрт-10
      - Squid не работает,kozyr76, 17:22 , 29-Мрт-10
        
        Squid не работает,PavelR, 17:23 , 29-Мрт-10
        Squid не работает,aaa, 20:40 , 29-Мрт-10
        
        Squid не работает,PavelR, 20:56 , 29-Мрт-10

Сообщения в этом обсуждении

"Squid не работает"
Отправлено tux2002 , 29-Мрт-10 12:56

>acl company 1 1 src 10.17.13.98 10.17.13.3 10.17.13.251
>acl company 2 src 10.17.13.35 10.17.13.43 10.17.13.5 10.17.13.6 10.17.13.12 10.17.13.15 10.17.13.22 10.17.13.16
>
>acl company 3 src 10.17.13.11 10.17.13.8
>acl company 4 src 10.17.13.32 10.17.13.28 10.17.13.99 10.17.13.26 10.17.13.44 10.17.13.54 10.17.13.45
>acl company 5 src 10.17.13.40 10.17.13.58 10.17.13.59 10.17.13.60 10.17.13.61 10.17.13.62
>#
ACL Вы выставляете company
>http_access allow localhost
>http_access allow procontact
>http_access allow kanat
>http_access allow abrisola
>http_access allow uvicon
>http_access allow elbrustrans
А в инет выпускаете непонятно кого
PS в iptables я бы так не делал.

"Squid не работает"
Отправлено kozyr76 , 29-Мрт-10 13:05

sorry исправил
acl kanat 1 src 10.17.13.98 10.17.13.3 10.17.13.251
acl abrisola src 10.17.13.35 10.17.13.43 10.17.13.5 10.17.13.6 10.17.13.12 10.17.13.15 10.17.13.22 10.17.13.16
acl uvicon 3 src 10.17.13.11 10.17.13.8
acl elbrustrans src 10.17.13.32 10.17.13.28 10.17.13.99 10.17.13.26 10.17.13.44 10.17.13.54 10.17.13.45
acl procontact src 10.17.13.40 10.17.13.58 10.17.13.59 10.17.13.60 10.17.13.61 10.17.13.62

"Squid не работает"
Отправлено kozyr76 , 29-Мрт-10 13:07

Это была опечатка лишь здесь. В squid все правильно. Так почему-же все-таки не работает

"Squid не работает"
Отправлено kozyr76 , 29-Мрт-10 13:14

>[оверквотинг удален]
>>http_access allow localhost
>>http_access allow procontact
>>http_access allow kanat
>>http_access allow abrisola
>>http_access allow uvicon
>>http_access allow elbrustrans
>
>А в инет выпускаете непонятно кого
>
>PS в iptables я бы так не делал.
А как надо исправит в iptables

"Squid не работает"
Отправлено rontex , 29-Мрт-10 12:59

a squid -z делали?

"Squid не работает"
Отправлено kozyr76 , 29-Мрт-10 13:11

да, делал, но не помогло

"Squid не работает"
Отправлено qwertykma , 29-Мрт-10 12:59

>
>acl company 1 1 src 10.17.13.98 10.17.13.3 10.17.13.251
>acl company 2 src 10.17.13.35 10.17.13.43 10.17.13.5 10.17.13.6 10.17.13.12 10.17.13.15 10.17.13.22 10.17.13.16
>
>acl company 3 src 10.17.13.11 10.17.13.8
>acl company 4 src 10.17.13.32 10.17.13.28 10.17.13.99 10.17.13.26 10.17.13.44 10.17.13.54 10.17.13.45
>acl company 5 src 10.17.13.40 10.17.13.58 10.17.13.59 10.17.13.60 10.17.13.61 10.17.13.62
>#
И где вы что то разрешаете этим ай-пи адресам?
и зачем такой изврат? нельза прописать подсети?
>http_access deny all
запрет всего

"Squid не работает"
Отправлено kozyr76 , 29-Мрт-10 13:12

убрал, но ничего не работает, все ходят через Nat....бред получается

"Squid не работает"
Отправлено qwertykma , 29-Мрт-10 14:30

>убрал, но ничего не работает, все ходят через Nat....бред получается
А что говорит netstat, squid вообще работает?

"Squid не работает"
Отправлено kozyr76 , 29-Мрт-10 15:53

да, работает

"Squid не работает"
Отправлено rontex , 29-Мрт-10 16:02

>убрал, но ничего не работает, все ходят через Nat....бред получается
Если включен Nat через него и будут все ходить, пока в каждом браузере клиента не пропишите порт 3128, а в конфиг не добавите http_port 192.168.0.100:3128, где 192.168.0.100 - IP сетевухо смотрящей в локалку!
Для того что бы этого не делать, создают прозрачный прокси, для этого в конфиге squid пишут
http_port 127.0.0.1:3128 transparent,
конечно предварительно собрав сквид с опцией кеширующего сервера.
А затем натом форвардят 80 порт на localhost:3128.

"Squid не работает"
Отправлено kozyr76 , 29-Мрт-10 17:05

Нужен обычный непрозрачный прокси, я это все сделал, конфиг указан мною, похоже надо открыть порт в iptables, открыл....но ничего не работает через него
iptables:
*nat
:PREROUTING ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]
:POSTROUTING ACCEPT [0:0]
-A POSTROUTING -o eth0 -j SNAT --to-source yyy.yyy.yyy.yyy
COMMIT
*filter
:INPUT ACCEPT [0:0]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]
-A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
-A INPUT -p icmp -m icmp --icmp-type destination-unreachable -j REJECT --reject-with icmp-host-prohibited
-A INPUT -p icmp -m icmp --icmp-type parameter-problem -j REJECT --reject-with icmp-host-prohibited
-A INPUT -p icmp -m icmp --icmp-type source-quench -j REJECT --reject-with icmp-host-prohibited
-A INPUT -p icmp -j ACCEPT
-A INPUT -i lo -j ACCEPT
-A INPUT -m state --state NEW -m tcp -p tcp --dport 22 -j ACCEPT
-A INPUT -m state --state NEW -m tcp -p tcp --dport 53 -j ACCEPT
-A INPUT -m state --state NEW -m udp -p udp --dport 53 -j ACCEPT
-A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT
-A FORWARD -p icmp -m icmp --icmp-type destination-unreachable -j REJECT --reject-with icmp-host-prohibited
-A FORWARD -p icmp -m icmp --icmp-type parameter-problem -j REJECT --reject-with icmp-host-prohibited
-A FORWARD -p icmp -m icmp --icmp-type source-quench -j REJECT --reject-with icmp-host-prohibited
-A FORWARD -p icmp -j ACCEPT
-A FORWARD -i lo -j ACCEPT
-A FORWARD -i eth0 -j ACCEPT
-A FORWARD -i eth1 -j ACCEPT
-A FORWARD -o eth0 -j ACCEPT
-A INPUT -j REJECT --reject-with icmp-host-prohibited
-A FORWARD -j REJECT --reject-with icmp-host-prohibited
COMMIT
eth0 - внешний интерфейс, смотрящий в мир

"Squid не работает"
Отправлено kozyr76 , 29-Мрт-10 17:22

-A INPUT -p tcp -m state --state NEW -m tcp --dport 3128 -j ACCEPT
Не помогло

"Squid не работает"
Отправлено PavelR , 29-Мрт-10 17:23

>-A INPUT -p tcp -m state --state NEW -m tcp --dport 3128
>-j ACCEPT
>Не помогло
А что, должно было помочь?

----
Правила по отдельности ничего не значат. Порядок следования правил - важен. Вкуривайте.

"Squid не работает"
Отправлено aaa , 29-Мрт-10 20:40

>-A INPUT -p tcp -m state --state NEW -m tcp --dport 3128
>-j ACCEPT
>Не помогло
в консоле пишем
iptables -I INPUT -i eth1 -p tcp --dport 3128 -j ACCEPT
если не поможет, то пробуем с локалхоста выйти через сквид

"Squid не работает"
Отправлено PavelR , 29-Мрт-10 20:56

>>-A INPUT -p tcp -m state --state NEW -m tcp --dport 3128
>>-j ACCEPT
>>Не помогло
>
>в консоле пишем
>iptables -I INPUT -i eth1 -p tcp --dport 3128 -j ACCEPT
>если не поможет, то пробуем с локалхоста выйти через сквид
я думаю человеку стоит попробовать команду telnet для проведения различного рода диагностик...