URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID1
Нить номер: 89280
[ Назад ]

Исходное сообщение
"squid+iptables"
Отправлено fate29 , 02-Июл-10 13:21

сейчас есть сервак на котором работает iptables, с него провод идет в комп с керио а уже керио раздает инет всем пользователям и мониторит. Сделано так из-за удобства мониторинга трафика на керио. Вопрос такой если я на машину с iptables поставлю squid (потому что керио меня "задрал" уже со своими глюками) как они будут существовать друг с другом? И насколько удобно можно мониторить трафик в squid (посещаемые web узлы, по объему трафика и т.д.)
Спасибо.

Содержание

squid+iptables,reader, 14:20 , 02-Июл-10
squid+iptables,ipmanyak, 14:21 , 02-Июл-10
- squid+iptables,fate29, 14:39 , 02-Июл-10
  - squid+iptables,reader, 14:50 , 02-Июл-10
squid+iptables,ALex_hha, 15:18 , 02-Июл-10
- squid+iptables,fate29, 15:24 , 02-Июл-10
- squid+iptables,fate29, 20:30 , 06-Июл-10
  - squid+iptables,ALex_hha, 23:48 , 06-Июл-10
    - squid+iptables,dicty, 00:48 , 07-Июл-10
      - squid+iptables,fate29, 08:56 , 07-Июл-10
      - squid+iptables,fate29, 08:59 , 07-Июл-10
        
        squid+iptables,reader, 10:02 , 07-Июл-10
        
        squid+iptables,fate29, 10:48 , 07-Июл-10
        
        squid+iptables,reader, 11:09 , 07-Июл-10
        
        squid+iptables,fate29, 11:38 , 07-Июл-10
        
        squid+iptables,reader, 11:58 , 07-Июл-10
        
        squid+iptables,fate29, 12:08 , 07-Июл-10
        
        squid+iptables,reader, 12:17 , 07-Июл-10
        
        squid+iptables,fate29, 12:10 , 07-Июл-10
        squid+iptables,fate29, 12:11 , 07-Июл-10
        
        squid+iptables,reader, 12:19 , 07-Июл-10
        squid+iptables,ALex_hha, 12:21 , 07-Июл-10
        
        squid+iptables,fate29, 12:28 , 07-Июл-10
        
        squid+iptables,reader, 12:35 , 07-Июл-10
        
        squid+iptables,fate29, 12:41 , 07-Июл-10
        
        squid+iptables,reader, 12:44 , 07-Июл-10
        
        squid+iptables,fate29, 12:53 , 07-Июл-10
        
        squid+iptables,reader, 13:19 , 07-Июл-10
        
        squid+iptables,fate29, 13:41 , 07-Июл-10
        
        squid+iptables,reader, 13:46 , 07-Июл-10
        squid+iptables,ALex_hha, 13:47 , 07-Июл-10
        
        squid+iptables,fate29, 14:06 , 07-Июл-10
        
        squid+iptables,ALex_hha, 16:24 , 07-Июл-10

Сообщения в этом обсуждении

"squid+iptables"
Отправлено reader , 02-Июл-10 14:20

>сейчас есть сервак на котором работает iptables, с него провод идет в
>комп с керио а уже керио раздает инет всем пользователям
>и мониторит. Сделано так из-за удобства мониторинга трафика на керио. Вопрос
>такой если я на машину с iptables поставлю squid (потому что
>керио меня "задрал" уже со своими глюками) как они будут существовать
прекрасно при условии что все правильно сконфигурировано
>друг с другом? И насколько удобно можно мониторить трафик в squid
>(посещаемые web узлы, по объему трафика и т.д.)
есть несколько считалок по логам squid - sarg, LighSquid, ....

>Спасибо.

"squid+iptables"
Отправлено ipmanyak , 02-Июл-10 14:21

>сейчас есть сервак на котором работает iptables, с него провод идет в
>комп с керио а уже керио раздает инет всем пользователям
>и мониторит. Сделано так из-за удобства мониторинга трафика на керио. Вопрос
>такой если я на машину с iptables поставлю squid (потому что
>керио меня "задрал" уже со своими глюками) как они будут существовать
>друг с другом? И насколько удобно можно мониторить трафик в squid
>(посещаемые web узлы, по объему трафика и т.д.)
>Спасибо.
iptables отношения к сквиду не имеет, ставь смело, более того именно айпитаблесом будешь заворачивать трафик на сквид, если надумаешь делать прозрачный прокси-сквид.
лог сквида обрабатывай прогами Sarg или LightSquid

"squid+iptables"
Отправлено fate29 , 02-Июл-10 14:39

>iptables отношения к сквиду не имеет, ставь смело, более того именно айпитаблесом
>будешь заворачивать трафик на сквид, если надумаешь делать прозрачный прокси-сквид.
>лог сквида обрабатывай прогами Sarg или LightSquid
например внутренний интерфейс у iptables 192.168.1.1
мне нужно будет создать правило в iptables что бы он приходящие пакеты из lan перенаправлялись на 192.168.1.1 только другой порт?

"squid+iptables"
Отправлено reader , 02-Июл-10 14:50

>
>>iptables отношения к сквиду не имеет, ставь смело, более того именно айпитаблесом
>>будешь заворачивать трафик на сквид, если надумаешь делать прозрачный прокси-сквид.
>>лог сквида обрабатывай прогами Sarg или LightSquid
>
>например внутренний интерфейс у iptables 192.168.1.1
>мне нужно будет создать правило в iptables что бы он приходящие пакеты
>из lan перенаправлялись на 192.168.1.1 только другой порт?
да

"squid+iptables"
Отправлено ALex_hha , 02-Июл-10 15:18

# iptables -t nat -I PREROUTING -s 192.168.1.0/24 -i eth1 -p tcp --dport 80 -j REDIRECT --to-ports 3128
примерно так. Можно и через DNAT

"squid+iptables"
Отправлено fate29 , 02-Июл-10 15:24

># iptables -t nat -I PREROUTING -s 192.168.1.0/24 -i eth1 -p tcp
>--dport 80 -j REDIRECT --to-ports 3128
>
>примерно так. Можно и через DNAT
ок спасибо, в понедельник попробую

"squid+iptables"
Отправлено fate29 , 06-Июл-10 20:30

># iptables -t nat -I PREROUTING -s 192.168.1.0/24 -i eth1 -p tcp
>--dport 80 -j REDIRECT --to-ports 3128
>
>примерно так. Можно и через DNAT
не выходит так, если в браузере указать прокси то работает, а по твоему примеру нет (

"squid+iptables"
Отправлено ALex_hha , 06-Июл-10 23:48

>не выходит так, если в браузере указать прокси то работает, а по
>твоему примеру нет (
значит не правильно настроен сквид.

"squid+iptables"
Отправлено dicty , 07-Июл-10 00:48

>значит не правильно настроен сквид.
Значит неправильно настроен iptables.
Автор, ты хочешь сделать
ШЛЮЗ(iptables)--КЕРИО--ЛАН, как написал в первом посте или
ШЛЮЗ(iptables)--
\-----ЛАН,
КЕРИО-------------/
чтобы они работали как два шлюза на период обкатки squid-a?

"squid+iptables"
Отправлено fate29 , 07-Июл-10 08:56

>[оверквотинг удален]
>Автор, ты хочешь сделать
>ШЛЮЗ(iptables)--КЕРИО--ЛАН, как написал в первом посте или
>
>ШЛЮЗ(iptables)--
>
>
>          \-----ЛАН,
>
>КЕРИО-------------/
>чтобы они работали как два шлюза на период обкатки squid-a?
сквид мне нужен только для того что бы можно было собирать статистику кто на каких сайтах лазил, а iptables пусть работает как и работал.

"squid+iptables"
Отправлено fate29 , 07-Июл-10 08:59

>[оверквотинг удален]
>Автор, ты хочешь сделать
>ШЛЮЗ(iptables)--КЕРИО--ЛАН, как написал в первом посте или
>
>ШЛЮЗ(iptables)--
>
>
>          \-----ЛАН,
>
>КЕРИО-------------/
>чтобы они работали как два шлюза на период обкатки squid-a?
керио я убрал. Я думал так получится прозрачный прокси
iptables -t nat -I PREROUTING -s 192.168.1.0/24 -i eth1 -p tcp
а ннет не вышел "каменный цветок"

"squid+iptables"
Отправлено reader , 07-Июл-10 10:02

у клиента шлюзом машина с squid прописан, dns у клиента прописан?
nslookup opennet.ru c клиента покажите

"squid+iptables"
Отправлено fate29 , 07-Июл-10 10:48

>у клиента шлюзом машина с squid прописан, dns у клиента прописан?
>
>nslookup opennet.ru c клиента покажите
да шлюзом прописана машина с сквидом
вот nslookup
Name: opennet.ru
Address: 77.234.201.242

"squid+iptables"
Отправлено reader , 07-Июл-10 11:09

>>у клиента шлюзом машина с squid прописан, dns у клиента прописан?
>>
>>nslookup opennet.ru c клиента покажите
>
>да шлюзом прописана машина с сквидом
>
>вот nslookup
>Name: opennet.ru
>Address: 77.234.201.242
c машины с squid покажите
netstat -npl | grep squid
ifconfig
cat /proc/sys/net/ipv4/ip_forward
iptables-save

"squid+iptables"
Отправлено fate29 , 07-Июл-10 11:38

>[оверквотинг удален]
>>вот nslookup
>>Name:    opennet.ru
>>Address:  77.234.201.242
>
>c машины с squid покажите
>
>netstat -npl | grep squid
>ifconfig
>cat /proc/sys/net/ipv4/ip_forward
>iptables-save
[root@gateway ~]# netstat -npl | grep squid
tcp        0      0 0.0.0.0:3128                0.0.0.0:*                   LISTEN      3338/(squid)
udp        0      0 0.0.0.0:3130                0.0.0.0:*                               3338/(squid)
udp        0      0 0.0.0.0:54362               0.0.0.0:*                               3338/(squid)
в ip_forward у меня 1 (иначе вообще форвардинга не было)
в iptables дофига правил, мож вот правила цепочек postrouting и forward
Chain FORWARD (policy DROP)
target     prot opt source               destination
ACCEPT     all  --  192.168.5.20         anywhere
ACCEPT     tcp  --  192.168.5.0/24       anywhere            tcp dpt:squid
ACCEPT     tcp  --  192.168.5.0/24       anywhere            tcp dpt:pop3
ACCEPT     all  --  anywhere             anywhere            state RELATED,ESTABLISHED
ACCEPT     udp  --  192.168.5.9          anywhere            udp dpt:domain
ACCEPT     tcp  --  192.168.5.0/24       anywhere            tcp dpt:aol
ACCEPT     tcp  --  192.168.5.0/24       anywhere            tcp dpt:smtps
ACCEPT     tcp  --  192.168.5.0/24       anywhere            tcp dpt:smtp
ACCEPT     tcp  --  192.168.5.0/24       anywhere            tcp dpt:pop3s
ACCEPT     tcp  --  192.168.5.0/24       anywhere            tcp dpt:imaps
т.е. тут разрещен сквид и почтовые порты

Chain POSTROUTING (policy ACCEPT)
target     prot opt source               destination
SNAT       all  --  192.168.5.0/24       anywhere            to:81.195.XX.XXX

"squid+iptables"
Отправлено reader , 07-Июл-10 11:58

попробуйте так
iptables -t nat -I PREROUTING -s 192.168.5.0/24 -p tcp --dport 80 -j DNAT --to-destination 192.168.5.x:3128
вместо 192.168.5.x адрес машины с squid
при этом пакеты пойдут через INPUT, а не через FORWARD, так что проверьте что там
и покажите iptables-save -t nat

"squid+iptables"
Отправлено fate29 , 07-Июл-10 12:08

>попробуйте так
>iptables -t nat -I PREROUTING -s 192.168.5.0/24 -p tcp --dport 80 -j
>DNAT --to-destination 192.168.5.x:3128
>
>вместо 192.168.5.x адрес машины с squid
>
>при этом пакеты пойдут через INPUT, а не через FORWARD, так что
>проверьте что там
>
>и покажите iptables-save -t nat
вообще вот что выдал:
ERROR
The requested URL could not be retrieved
While trying to process the request:
GET / HTTP/1.1
Host: www.mail.ru
User-Agent: Mozilla/5.0 (Windows; U; Windows NT 5.1; ru; rv:1.9.1.9) Gecko/20100315 MRA 5.6 (build 03278) Firefox/3.5.9 WebMoney Advisor
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8
Accept-Language: ru,en-us;q=0.7,en;q=0.3
Accept-Encoding: gzip,deflate
Accept-Charset: windows-1251,utf-8;q=0.7,*;q=0.7
Keep-Alive: 300
Connection: keep-alive
Cookie: VID=06vK0G0aLgmm; mrcu=24CF4A9E379A4B3170D5C25CFD54; p=DPwsAHL71QAA; searchuid=904345751251882907; t=obLD1AAAAAAIAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAABAAABAAAAAAAAAAA9AB0IwQcA; Mpop=1278489451:0743010077700d0e190502190c1d00051c0d074f6a5d5e465e07010502021e0a09731e584b4c545d5c5a145a545858194b44:artemmm@mail.ru:; __utma=102067678.279445204.1263991857.1266305211.1266308556.24; __utmz=102067678.1263991857.1.1.utmcsr=(direct)|utmccn=(direct)|utmcmd=(none); geo_city_id=3436; mrcu=72204BB1F02B398B5EBF0100007F; mrcu=7B904BB1F7D81258D8CF0100007F; b=zDkEIBA9LAIARP2GJhbG2gujJoageGiAczmoLx2w3A52pAd91YNE5EH29RB+ThBhiARUZlsgJdeAUVJfQOXlBGICABAA; mc1=1278070887; waSes=1
The following error was encountered:
    * Invalid Request
Some aspect of the HTTP Request is invalid. Possible problems:
    * Missing or unknown request method
    * Missing URL
    * Missing HTTP Identifier (HTTP/1.0)
    * Request is too large
    * Content-Length missing for POST or PUT requests
    * Illegal character in hostname; underscores are not allowed

"squid+iptables"
Отправлено reader , 07-Июл-10 12:17

grep "http_port" squid.conf
и какая версия squid

"squid+iptables"
Отправлено fate29 , 07-Июл-10 12:10

>попробуйте так
>iptables -t nat -I PREROUTING -s 192.168.5.0/24 -p tcp --dport 80 -j
>DNAT --to-destination 192.168.5.x:3128
>
>вместо 192.168.5.x адрес машины с squid
>
>при этом пакеты пойдут через INPUT, а не через FORWARD, так что
>проверьте что там
>
>и покажите iptables-save -t nat
# Generated by iptables-save v1.3.5 on Wed Jul 7 11:52:38 2010
*nat
:PREROUTING ACCEPT [132748:10764786]
:POSTROUTING ACCEPT [8506:519234]
:OUTPUT ACCEPT [8687:535350]
-A PREROUTING -p tcp -m tcp --dport 4890 -j DNAT --to-destination 192.168.5.9
-A PREROUTING -s 83.167.114.179 -p tcp -m tcp --dport 4081 -j DNAT --to-destination 192.168.5.9
-A PREROUTING -s 83.167.114.199 -p tcp -m tcp --dport 4081 -j DNAT --to-destination 192.168.5.9
-A PREROUTING -s 83.167.114.179 -p udp -m udp --dport 44333 -j DNAT --to-destination 192.168.5.9
-A PREROUTING -s 83.167.114.179 -p tcp -m tcp --dport 44333 -j DNAT --to-destination 192.168.5.9
-A POSTROUTING -s 192.168.5.0/255.255.255.0 -j SNAT --to-source 81.195.xx.xxx
COMMIT
# Completed on Wed Jul 7 11:52:38 2010

"squid+iptables"
Отправлено fate29 , 07-Июл-10 12:11

>попробуйте так
>iptables -t nat -I PREROUTING -s 192.168.5.0/24 -p tcp --dport 80 -j
>DNAT --to-destination 192.168.5.x:3128
>
>вместо 192.168.5.x адрес машины с squid
>
>при этом пакеты пойдут через INPUT, а не через FORWARD, так что
>проверьте что там
>
>и покажите iptables-save -t nat
в принцепе это не столь важно, пользователей не так много, я уже перенастроил у всех браузеры через проксю

"squid+iptables"
Отправлено reader , 07-Июл-10 12:19

>[оверквотинг удален]
>>
>>вместо 192.168.5.x адрес машины с squid
>>
>>при этом пакеты пойдут через INPUT, а не через FORWARD, так что
>>проверьте что там
>>
>>и покажите iptables-save -t nat
>
>в принцепе это не столь важно, пользователей не так много, я уже
>перенастроил у всех браузеры через проксю
а прокси как прозрачный настроен?

"squid+iptables"
Отправлено ALex_hha , 07-Июл-10 12:21

Думаю дело в том, что не была указана опция transparent в squid.conf

"squid+iptables"
Отправлено fate29 , 07-Июл-10 12:28

>Думаю дело в том, что не была указана опция transparent в squid.conf
>
не указывал transparent, можно поподробнее?

"squid+iptables"
Отправлено reader , 07-Июл-10 12:35

>>Думаю дело в том, что не была указана опция transparent в squid.conf
>>
>
>не указывал transparent, можно поподробнее?
опции для http_port смотрите

"squid+iptables"
Отправлено fate29 , 07-Июл-10 12:41

>>>Думаю дело в том, что не была указана опция transparent в squid.conf
>>>
>>
>>не указывал transparent, можно поподробнее?
>
>опции для http_port смотрите
3128 там стоит

"squid+iptables"
Отправлено reader , 07-Июл-10 12:44

>>>>Думаю дело в том, что не была указана опция transparent в squid.conf
>>>>
>>>
>>>не указывал transparent, можно поподробнее?
>>
>>опции для http_port смотрите
>
>3128 там стоит
версия squid какая?
squid -v или squid3 -v

"squid+iptables"
Отправлено fate29 , 07-Июл-10 12:53

>[оверквотинг удален]
>>>>
>>>>не указывал transparent, можно поподробнее?
>>>
>>>опции для http_port смотрите
>>
>>3128 там стоит
>
>версия squid какая?
>
>squid -v или squid3 -v
Version 2.6.STABLE21

"squid+iptables"
Отправлено reader , 07-Июл-10 13:19

>[оверквотинг удален]
>>>>
>>>>опции для http_port смотрите
>>>
>>>3128 там стоит
>>
>>версия squid какая?
>>
>>squid -v или squid3 -v
>
>Version 2.6.STABLE21
http_port 3128 transparent
можно ip указать, тогда не будет слушать все имеющиеся, а только указанные, но и перенаправлять только не него можно будет
http_port 192.168.5.x:3128 transparent

"squid+iptables"
Отправлено fate29 , 07-Июл-10 13:41

>[оверквотинг удален]
>>>squid -v или squid3 -v
>>
>>Version 2.6.STABLE21
>
>http_port 3128 transparent
>
>можно ip указать, тогда не будет слушать все имеющиеся, а только указанные,
>но и перенаправлять только не него можно будет
>
>http_port 192.168.5.x:3128 transparent
изминил, а в iptables надо порт перебрасывать? и как лучше редиректом или dnat?

"squid+iptables"
Отправлено reader , 07-Июл-10 13:46

>[оверквотинг удален]
>>
>>http_port 3128 transparent
>>
>>можно ip указать, тогда не будет слушать все имеющиеся, а только указанные,
>>но и перенаправлять только не него можно будет
>>
>>http_port 192.168.5.x:3128 transparent
>
>изминил, а в iptables надо порт перебрасывать? и как лучше редиректом или
>dnat?
dnat сделайте

"squid+iptables"
Отправлено ALex_hha , 07-Июл-10 13:47

>изминил, а в iptables надо порт перебрасывать?
надо, но тогда в проводнике не надо указывать адрес прокси
> и как лучше редиректом или dnat?
если прокси и шлюз на одном хосте, то redirect, если на разных, то DNAT

"squid+iptables"
Отправлено fate29 , 07-Июл-10 14:06

>>изминил, а в iptables надо порт перебрасывать?
>
>надо, но тогда в проводнике не надо указывать адрес прокси
>
>> и как лучше редиректом или dnat?
>
>если прокси и шлюз на одном хосте, то redirect, если на разных,
>то DNAT
abu знает, счас попробовал на страницы вроде заходит (но эт наверное пакеты через iptables идут) статистика не отображается
переброску сделал redirect. Но фиг с ним, меня больше смущает то в каком виде отчет по посещаемым сайтам https отображается так 95.58.14.208:443, а может это после скайпа.
... привыкнуть нужно ))

"squid+iptables"
Отправлено ALex_hha , 07-Июл-10 16:24

Читать http://www.opennet.me/docs/RUS/iptables/ до просветления