сейчас есть сервак на котором работает iptables, с него провод идет в комп с керио а уже керио раздает инет всем пользователям и мониторит. Сделано так из-за удобства мониторинга трафика на керио. Вопрос такой если я на машину с iptables поставлю squid (потому что керио меня "задрал" уже со своими глюками) как они будут существовать друг с другом? И насколько удобно можно мониторить трафик в squid (посещаемые web узлы, по объему трафика и т.д.)
Спасибо.
>сейчас есть сервак на котором работает iptables, с него провод идет в
>комп с керио а уже керио раздает инет всем пользователям
>и мониторит. Сделано так из-за удобства мониторинга трафика на керио. Вопрос
>такой если я на машину с iptables поставлю squid (потому что
>керио меня "задрал" уже со своими глюками) как они будут существоватьпрекрасно при условии что все правильно сконфигурировано
>друг с другом? И насколько удобно можно мониторить трафик в squid
>(посещаемые web узлы, по объему трафика и т.д.)есть несколько считалок по логам squid - sarg, LighSquid, ....
>Спасибо.
>сейчас есть сервак на котором работает iptables, с него провод идет в
>комп с керио а уже керио раздает инет всем пользователям
>и мониторит. Сделано так из-за удобства мониторинга трафика на керио. Вопрос
>такой если я на машину с iptables поставлю squid (потому что
>керио меня "задрал" уже со своими глюками) как они будут существовать
>друг с другом? И насколько удобно можно мониторить трафик в squid
>(посещаемые web узлы, по объему трафика и т.д.)
>Спасибо.iptables отношения к сквиду не имеет, ставь смело, более того именно айпитаблесом будешь заворачивать трафик на сквид, если надумаешь делать прозрачный прокси-сквид.
лог сквида обрабатывай прогами Sarg или LightSquid
>iptables отношения к сквиду не имеет, ставь смело, более того именно айпитаблесом
>будешь заворачивать трафик на сквид, если надумаешь делать прозрачный прокси-сквид.
>лог сквида обрабатывай прогами Sarg или LightSquidнапример внутренний интерфейс у iptables 192.168.1.1
мне нужно будет создать правило в iptables что бы он приходящие пакеты из lan перенаправлялись на 192.168.1.1 только другой порт?
>
>>iptables отношения к сквиду не имеет, ставь смело, более того именно айпитаблесом
>>будешь заворачивать трафик на сквид, если надумаешь делать прозрачный прокси-сквид.
>>лог сквида обрабатывай прогами Sarg или LightSquid
>
>например внутренний интерфейс у iptables 192.168.1.1
>мне нужно будет создать правило в iptables что бы он приходящие пакеты
>из lan перенаправлялись на 192.168.1.1 только другой порт?да
# iptables -t nat -I PREROUTING -s 192.168.1.0/24 -i eth1 -p tcp --dport 80 -j REDIRECT --to-ports 3128примерно так. Можно и через DNAT
># iptables -t nat -I PREROUTING -s 192.168.1.0/24 -i eth1 -p tcp
>--dport 80 -j REDIRECT --to-ports 3128
>
>примерно так. Можно и через DNATок спасибо, в понедельник попробую
># iptables -t nat -I PREROUTING -s 192.168.1.0/24 -i eth1 -p tcp
>--dport 80 -j REDIRECT --to-ports 3128
>
>примерно так. Можно и через DNATне выходит так, если в браузере указать прокси то работает, а по твоему примеру нет (
>не выходит так, если в браузере указать прокси то работает, а по
>твоему примеру нет (значит не правильно настроен сквид.
>значит не правильно настроен сквид.Значит неправильно настроен iptables.
Автор, ты хочешь сделать
ШЛЮЗ(iptables)--КЕРИО--ЛАН, как написал в первом посте илиШЛЮЗ(iptables)--
\-----ЛАН,
КЕРИО-------------/
чтобы они работали как два шлюза на период обкатки squid-a?
>[оверквотинг удален]
>Автор, ты хочешь сделать
>ШЛЮЗ(iptables)--КЕРИО--ЛАН, как написал в первом посте или
>
>ШЛЮЗ(iptables)--
>
>
> \-----ЛАН,
>
>КЕРИО-------------/
>чтобы они работали как два шлюза на период обкатки squid-a?сквид мне нужен только для того что бы можно было собирать статистику кто на каких сайтах лазил, а iptables пусть работает как и работал.
>[оверквотинг удален]
>Автор, ты хочешь сделать
>ШЛЮЗ(iptables)--КЕРИО--ЛАН, как написал в первом посте или
>
>ШЛЮЗ(iptables)--
>
>
> \-----ЛАН,
>
>КЕРИО-------------/
>чтобы они работали как два шлюза на период обкатки squid-a?керио я убрал. Я думал так получится прозрачный прокси
iptables -t nat -I PREROUTING -s 192.168.1.0/24 -i eth1 -p tcp
а ннет не вышел "каменный цветок"
у клиента шлюзом машина с squid прописан, dns у клиента прописан?nslookup opennet.ru c клиента покажите
>у клиента шлюзом машина с squid прописан, dns у клиента прописан?
>
>nslookup opennet.ru c клиента покажитеда шлюзом прописана машина с сквидом
вот nslookup
Name: opennet.ru
Address: 77.234.201.242
>>у клиента шлюзом машина с squid прописан, dns у клиента прописан?
>>
>>nslookup opennet.ru c клиента покажите
>
>да шлюзом прописана машина с сквидом
>
>вот nslookup
>Name: opennet.ru
>Address: 77.234.201.242c машины с squid покажите
netstat -npl | grep squid
ifconfig
cat /proc/sys/net/ipv4/ip_forward
iptables-save
>[оверквотинг удален]
>>вот nslookup
>>Name: opennet.ru
>>Address: 77.234.201.242
>
>c машины с squid покажите
>
>netstat -npl | grep squid
>ifconfig
>cat /proc/sys/net/ipv4/ip_forward
>iptables-save[root@gateway ~]# netstat -npl | grep squid
tcp 0 0 0.0.0.0:3128 0.0.0.0:* LISTEN 3338/(squid)
udp 0 0 0.0.0.0:3130 0.0.0.0:* 3338/(squid)
udp 0 0 0.0.0.0:54362 0.0.0.0:* 3338/(squid)в ip_forward у меня 1 (иначе вообще форвардинга не было)
в iptables дофига правил, мож вот правила цепочек postrouting и forward
Chain FORWARD (policy DROP)
target prot opt source destination
ACCEPT all -- 192.168.5.20 anywhere
ACCEPT tcp -- 192.168.5.0/24 anywhere tcp dpt:squid
ACCEPT tcp -- 192.168.5.0/24 anywhere tcp dpt:pop3
ACCEPT all -- anywhere anywhere state RELATED,ESTABLISHED
ACCEPT udp -- 192.168.5.9 anywhere udp dpt:domain
ACCEPT tcp -- 192.168.5.0/24 anywhere tcp dpt:aol
ACCEPT tcp -- 192.168.5.0/24 anywhere tcp dpt:smtps
ACCEPT tcp -- 192.168.5.0/24 anywhere tcp dpt:smtp
ACCEPT tcp -- 192.168.5.0/24 anywhere tcp dpt:pop3s
ACCEPT tcp -- 192.168.5.0/24 anywhere tcp dpt:imapsт.е. тут разрещен сквид и почтовые порты
Chain POSTROUTING (policy ACCEPT)
target prot opt source destination
SNAT all -- 192.168.5.0/24 anywhere to:81.195.XX.XXX
попробуйте так
iptables -t nat -I PREROUTING -s 192.168.5.0/24 -p tcp --dport 80 -j DNAT --to-destination 192.168.5.x:3128вместо 192.168.5.x адрес машины с squid
при этом пакеты пойдут через INPUT, а не через FORWARD, так что проверьте что там
и покажите iptables-save -t nat
>попробуйте так
>iptables -t nat -I PREROUTING -s 192.168.5.0/24 -p tcp --dport 80 -j
>DNAT --to-destination 192.168.5.x:3128
>
>вместо 192.168.5.x адрес машины с squid
>
>при этом пакеты пойдут через INPUT, а не через FORWARD, так что
>проверьте что там
>
>и покажите iptables-save -t natвообще вот что выдал:
ERROR
The requested URL could not be retrievedWhile trying to process the request:
GET / HTTP/1.1
Host: www.mail.ru
User-Agent: Mozilla/5.0 (Windows; U; Windows NT 5.1; ru; rv:1.9.1.9) Gecko/20100315 MRA 5.6 (build 03278) Firefox/3.5.9 WebMoney Advisor
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8
Accept-Language: ru,en-us;q=0.7,en;q=0.3
Accept-Encoding: gzip,deflate
Accept-Charset: windows-1251,utf-8;q=0.7,*;q=0.7
Keep-Alive: 300
Connection: keep-alive
Cookie: VID=06vK0G0aLgmm; mrcu=24CF4A9E379A4B3170D5C25CFD54; p=DPwsAHL71QAA; searchuid=904345751251882907; t=obLD1AAAAAAIAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAABAAABAAAAAAAAAAA9AB0IwQcA; Mpop=1278489451:0743010077700d0e190502190c1d00051c0d074f6a5d5e465e07010502021e0a09731e584b4c545d5c5a145a545858194b44:artemmm@mail.ru:; __utma=102067678.279445204.1263991857.1266305211.1266308556.24; __utmz=102067678.1263991857.1.1.utmcsr=(direct)|utmccn=(direct)|utmcmd=(none); geo_city_id=3436; mrcu=72204BB1F02B398B5EBF0100007F; mrcu=7B904BB1F7D81258D8CF0100007F; b=zDkEIBA9LAIARP2GJhbG2gujJoageGiAczmoLx2w3A52pAd91YNE5EH29RB+ThBhiARUZlsgJdeAUVJfQOXlBGICABAA; mc1=1278070887; waSes=1The following error was encountered:
* Invalid Request
Some aspect of the HTTP Request is invalid. Possible problems:
* Missing or unknown request method
* Missing URL
* Missing HTTP Identifier (HTTP/1.0)
* Request is too large
* Content-Length missing for POST or PUT requests
* Illegal character in hostname; underscores are not allowed
grep "http_port" squid.conf
и какая версия squid
>попробуйте так
>iptables -t nat -I PREROUTING -s 192.168.5.0/24 -p tcp --dport 80 -j
>DNAT --to-destination 192.168.5.x:3128
>
>вместо 192.168.5.x адрес машины с squid
>
>при этом пакеты пойдут через INPUT, а не через FORWARD, так что
>проверьте что там
>
>и покажите iptables-save -t nat# Generated by iptables-save v1.3.5 on Wed Jul 7 11:52:38 2010
*nat
:PREROUTING ACCEPT [132748:10764786]
:POSTROUTING ACCEPT [8506:519234]
:OUTPUT ACCEPT [8687:535350]
-A PREROUTING -p tcp -m tcp --dport 4890 -j DNAT --to-destination 192.168.5.9
-A PREROUTING -s 83.167.114.179 -p tcp -m tcp --dport 4081 -j DNAT --to-destination 192.168.5.9
-A PREROUTING -s 83.167.114.199 -p tcp -m tcp --dport 4081 -j DNAT --to-destination 192.168.5.9
-A PREROUTING -s 83.167.114.179 -p udp -m udp --dport 44333 -j DNAT --to-destination 192.168.5.9
-A PREROUTING -s 83.167.114.179 -p tcp -m tcp --dport 44333 -j DNAT --to-destination 192.168.5.9
-A POSTROUTING -s 192.168.5.0/255.255.255.0 -j SNAT --to-source 81.195.xx.xxx
COMMIT
# Completed on Wed Jul 7 11:52:38 2010
>попробуйте так
>iptables -t nat -I PREROUTING -s 192.168.5.0/24 -p tcp --dport 80 -j
>DNAT --to-destination 192.168.5.x:3128
>
>вместо 192.168.5.x адрес машины с squid
>
>при этом пакеты пойдут через INPUT, а не через FORWARD, так что
>проверьте что там
>
>и покажите iptables-save -t natв принцепе это не столь важно, пользователей не так много, я уже перенастроил у всех браузеры через проксю
>[оверквотинг удален]
>>
>>вместо 192.168.5.x адрес машины с squid
>>
>>при этом пакеты пойдут через INPUT, а не через FORWARD, так что
>>проверьте что там
>>
>>и покажите iptables-save -t nat
>
>в принцепе это не столь важно, пользователей не так много, я уже
>перенастроил у всех браузеры через проксюа прокси как прозрачный настроен?
Думаю дело в том, что не была указана опция transparent в squid.conf
>Думаю дело в том, что не была указана опция transparent в squid.conf
>не указывал transparent, можно поподробнее?
>>Думаю дело в том, что не была указана опция transparent в squid.conf
>>
>
>не указывал transparent, можно поподробнее?опции для http_port смотрите
>>>Думаю дело в том, что не была указана опция transparent в squid.conf
>>>
>>
>>не указывал transparent, можно поподробнее?
>
>опции для http_port смотрите3128 там стоит
>>>>Думаю дело в том, что не была указана опция transparent в squid.conf
>>>>
>>>
>>>не указывал transparent, можно поподробнее?
>>
>>опции для http_port смотрите
>
>3128 там стоитверсия squid какая?
squid -v или squid3 -v
>[оверквотинг удален]
>>>>
>>>>не указывал transparent, можно поподробнее?
>>>
>>>опции для http_port смотрите
>>
>>3128 там стоит
>
>версия squid какая?
>
>squid -v или squid3 -vVersion 2.6.STABLE21
>[оверквотинг удален]
>>>>
>>>>опции для http_port смотрите
>>>
>>>3128 там стоит
>>
>>версия squid какая?
>>
>>squid -v или squid3 -v
>
>Version 2.6.STABLE21http_port 3128 transparent
можно ip указать, тогда не будет слушать все имеющиеся, а только указанные, но и перенаправлять только не него можно будет
http_port 192.168.5.x:3128 transparent
>[оверквотинг удален]
>>>squid -v или squid3 -v
>>
>>Version 2.6.STABLE21
>
>http_port 3128 transparent
>
>можно ip указать, тогда не будет слушать все имеющиеся, а только указанные,
>но и перенаправлять только не него можно будет
>
>http_port 192.168.5.x:3128 transparentизминил, а в iptables надо порт перебрасывать? и как лучше редиректом или dnat?
>[оверквотинг удален]
>>
>>http_port 3128 transparent
>>
>>можно ip указать, тогда не будет слушать все имеющиеся, а только указанные,
>>но и перенаправлять только не него можно будет
>>
>>http_port 192.168.5.x:3128 transparent
>
>изминил, а в iptables надо порт перебрасывать? и как лучше редиректом или
>dnat?dnat сделайте
>изминил, а в iptables надо порт перебрасывать?надо, но тогда в проводнике не надо указывать адрес прокси
> и как лучше редиректом или dnat?
если прокси и шлюз на одном хосте, то redirect, если на разных, то DNAT
>>изминил, а в iptables надо порт перебрасывать?
>
>надо, но тогда в проводнике не надо указывать адрес прокси
>
>> и как лучше редиректом или dnat?
>
>если прокси и шлюз на одном хосте, то redirect, если на разных,
>то DNATabu знает, счас попробовал на страницы вроде заходит (но эт наверное пакеты через iptables идут) статистика не отображается
переброску сделал redirect. Но фиг с ним, меня больше смущает то в каком виде отчет по посещаемым сайтам https отображается так 95.58.14.208:443, а может это после скайпа.
... привыкнуть нужно ))
Читать http://www.opennet.me/docs/RUS/iptables/ до просветления