URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID1
Нить номер: 89280
[ Назад ]

Исходное сообщение
"squid+iptables"

Отправлено fate29 , 02-Июл-10 13:21 
сейчас есть сервак на котором работает iptables, с него провод идет в комп с керио а уже керио раздает  инет всем пользователям и мониторит. Сделано так из-за удобства мониторинга трафика на керио. Вопрос такой если я на машину с iptables поставлю squid (потому что керио меня "задрал" уже со своими глюками) как они будут существовать друг с другом? И насколько удобно можно мониторить трафик в squid (посещаемые web узлы, по объему трафика и т.д.)
Спасибо.

Содержание

Сообщения в этом обсуждении
"squid+iptables"
Отправлено reader , 02-Июл-10 14:20 
>сейчас есть сервак на котором работает iptables, с него провод идет в
>комп с керио а уже керио раздает  инет всем пользователям
>и мониторит. Сделано так из-за удобства мониторинга трафика на керио. Вопрос
>такой если я на машину с iptables поставлю squid (потому что
>керио меня "задрал" уже со своими глюками) как они будут существовать

прекрасно при условии что все правильно сконфигурировано

>друг с другом? И насколько удобно можно мониторить трафик в squid
>(посещаемые web узлы, по объему трафика и т.д.)

есть несколько считалок по логам squid - sarg, LighSquid, ....

>Спасибо.


"squid+iptables"
Отправлено ipmanyak , 02-Июл-10 14:21 
>сейчас есть сервак на котором работает iptables, с него провод идет в
>комп с керио а уже керио раздает  инет всем пользователям
>и мониторит. Сделано так из-за удобства мониторинга трафика на керио. Вопрос
>такой если я на машину с iptables поставлю squid (потому что
>керио меня "задрал" уже со своими глюками) как они будут существовать
>друг с другом? И насколько удобно можно мониторить трафик в squid
>(посещаемые web узлы, по объему трафика и т.д.)
>Спасибо.

iptables отношения к сквиду не имеет, ставь смело, более того именно айпитаблесом будешь заворачивать трафик на сквид, если надумаешь делать прозрачный прокси-сквид.
лог сквида обрабатывай прогами Sarg или LightSquid


"squid+iptables"
Отправлено fate29 , 02-Июл-10 14:39 

>iptables отношения к сквиду не имеет, ставь смело, более того именно айпитаблесом
>будешь заворачивать трафик на сквид, если надумаешь делать прозрачный прокси-сквид.
>лог сквида обрабатывай прогами Sarg или LightSquid

например внутренний интерфейс у iptables 192.168.1.1
мне нужно будет создать правило в iptables что бы он приходящие пакеты из lan перенаправлялись на 192.168.1.1 только другой порт?


"squid+iptables"
Отправлено reader , 02-Июл-10 14:50 
>
>>iptables отношения к сквиду не имеет, ставь смело, более того именно айпитаблесом
>>будешь заворачивать трафик на сквид, если надумаешь делать прозрачный прокси-сквид.
>>лог сквида обрабатывай прогами Sarg или LightSquid
>
>например внутренний интерфейс у iptables 192.168.1.1
>мне нужно будет создать правило в iptables что бы он приходящие пакеты
>из lan перенаправлялись на 192.168.1.1 только другой порт?

да


"squid+iptables"
Отправлено ALex_hha , 02-Июл-10 15:18 
# iptables -t nat -I PREROUTING -s 192.168.1.0/24 -i eth1 -p tcp --dport 80 -j REDIRECT --to-ports 3128

примерно так. Можно и через DNAT


"squid+iptables"
Отправлено fate29 , 02-Июл-10 15:24 
># iptables -t nat -I PREROUTING -s 192.168.1.0/24 -i eth1 -p tcp
>--dport 80 -j REDIRECT --to-ports 3128
>
>примерно так. Можно и через DNAT

ок спасибо, в понедельник попробую


"squid+iptables"
Отправлено fate29 , 06-Июл-10 20:30 
># iptables -t nat -I PREROUTING -s 192.168.1.0/24 -i eth1 -p tcp
>--dport 80 -j REDIRECT --to-ports 3128
>
>примерно так. Можно и через DNAT

не выходит так, если в браузере указать прокси то работает, а по твоему примеру нет (


"squid+iptables"
Отправлено ALex_hha , 06-Июл-10 23:48 
>не выходит так, если в браузере указать прокси то работает, а по
>твоему примеру нет (

значит не правильно настроен сквид.


"squid+iptables"
Отправлено dicty , 07-Июл-10 00:48 
>значит не правильно настроен сквид.

Значит неправильно настроен iptables.
Автор, ты хочешь сделать
ШЛЮЗ(iptables)--КЕРИО--ЛАН, как написал в первом посте или

ШЛЮЗ(iptables)--
                                 \-----ЛАН,
КЕРИО-------------/
чтобы они работали как два шлюза на период обкатки squid-a?


"squid+iptables"
Отправлено fate29 , 07-Июл-10 08:56 
>[оверквотинг удален]
>Автор, ты хочешь сделать
>ШЛЮЗ(iptables)--КЕРИО--ЛАН, как написал в первом посте или
>
>ШЛЮЗ(iptables)--
>            
>          
>          \-----ЛАН,
>
>КЕРИО-------------/
>чтобы они работали как два шлюза на период обкатки squid-a?

сквид мне нужен только для того что бы можно было собирать статистику кто на каких сайтах лазил, а iptables пусть работает как и работал.


"squid+iptables"
Отправлено fate29 , 07-Июл-10 08:59 
>[оверквотинг удален]
>Автор, ты хочешь сделать
>ШЛЮЗ(iptables)--КЕРИО--ЛАН, как написал в первом посте или
>
>ШЛЮЗ(iptables)--
>            
>          
>          \-----ЛАН,
>
>КЕРИО-------------/
>чтобы они работали как два шлюза на период обкатки squid-a?

керио я убрал. Я думал так получится прозрачный прокси
iptables -t nat -I PREROUTING -s 192.168.1.0/24 -i eth1 -p tcp
а ннет не вышел "каменный цветок"


"squid+iptables"
Отправлено reader , 07-Июл-10 10:02 
у клиента шлюзом машина с squid прописан, dns у клиента прописан?

nslookup opennet.ru c клиента покажите


"squid+iptables"
Отправлено fate29 , 07-Июл-10 10:48 
>у клиента шлюзом машина с squid прописан, dns у клиента прописан?
>
>nslookup opennet.ru c клиента покажите

да шлюзом прописана машина с сквидом

вот nslookup
Name:    opennet.ru
Address:  77.234.201.242



"squid+iptables"
Отправлено reader , 07-Июл-10 11:09 
>>у клиента шлюзом машина с squid прописан, dns у клиента прописан?
>>
>>nslookup opennet.ru c клиента покажите
>
>да шлюзом прописана машина с сквидом
>
>вот nslookup
>Name:    opennet.ru
>Address:  77.234.201.242

c машины с squid покажите

netstat -npl | grep squid
ifconfig
cat /proc/sys/net/ipv4/ip_forward
iptables-save


"squid+iptables"
Отправлено fate29 , 07-Июл-10 11:38 
>[оверквотинг удален]
>>вот nslookup
>>Name:    opennet.ru
>>Address:  77.234.201.242
>
>c машины с squid покажите
>
>netstat -npl | grep squid
>ifconfig
>cat /proc/sys/net/ipv4/ip_forward
>iptables-save

[root@gateway ~]# netstat -npl | grep squid
tcp        0      0 0.0.0.0:3128                0.0.0.0:*                   LISTEN      3338/(squid)      
udp        0      0 0.0.0.0:3130                0.0.0.0:*                               3338/(squid)      
udp        0      0 0.0.0.0:54362               0.0.0.0:*                               3338/(squid)    

в ip_forward у меня 1 (иначе вообще форвардинга не было)

в iptables дофига правил, мож вот правила цепочек postrouting и forward

Chain FORWARD (policy DROP)
target     prot opt source               destination
ACCEPT     all  --  192.168.5.20         anywhere
ACCEPT     tcp  --  192.168.5.0/24       anywhere            tcp dpt:squid
ACCEPT     tcp  --  192.168.5.0/24       anywhere            tcp dpt:pop3
ACCEPT     all  --  anywhere             anywhere            state RELATED,ESTABLISHED
ACCEPT     udp  --  192.168.5.9          anywhere            udp dpt:domain
ACCEPT     tcp  --  192.168.5.0/24       anywhere            tcp dpt:aol
ACCEPT     tcp  --  192.168.5.0/24       anywhere            tcp dpt:smtps
ACCEPT     tcp  --  192.168.5.0/24       anywhere            tcp dpt:smtp
ACCEPT     tcp  --  192.168.5.0/24       anywhere            tcp dpt:pop3s
ACCEPT     tcp  --  192.168.5.0/24       anywhere            tcp dpt:imaps

т.е. тут разрещен сквид и почтовые порты


Chain POSTROUTING (policy ACCEPT)
target     prot opt source               destination
SNAT       all  --  192.168.5.0/24       anywhere            to:81.195.XX.XXX



"squid+iptables"
Отправлено reader , 07-Июл-10 11:58 
попробуйте так  
iptables -t nat -I PREROUTING -s 192.168.5.0/24 -p tcp --dport 80 -j DNAT --to-destination 192.168.5.x:3128

вместо 192.168.5.x адрес машины с squid

при этом пакеты пойдут через INPUT, а не через FORWARD, так что проверьте что там

и покажите iptables-save -t nat


"squid+iptables"
Отправлено fate29 , 07-Июл-10 12:08 
>попробуйте так
>iptables -t nat -I PREROUTING -s 192.168.5.0/24 -p tcp --dport 80 -j
>DNAT --to-destination 192.168.5.x:3128
>
>вместо 192.168.5.x адрес машины с squid
>
>при этом пакеты пойдут через INPUT, а не через FORWARD, так что
>проверьте что там
>
>и покажите iptables-save -t nat

вообще вот что выдал:

ERROR
The requested URL could not be retrieved

While trying to process the request:

GET / HTTP/1.1
Host: www.mail.ru
User-Agent: Mozilla/5.0 (Windows; U; Windows NT 5.1; ru; rv:1.9.1.9) Gecko/20100315 MRA 5.6 (build 03278) Firefox/3.5.9 WebMoney Advisor
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8
Accept-Language: ru,en-us;q=0.7,en;q=0.3
Accept-Encoding: gzip,deflate
Accept-Charset: windows-1251,utf-8;q=0.7,*;q=0.7
Keep-Alive: 300
Connection: keep-alive
Cookie: VID=06vK0G0aLgmm; mrcu=24CF4A9E379A4B3170D5C25CFD54; p=DPwsAHL71QAA; searchuid=904345751251882907; t=obLD1AAAAAAIAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAABAAABAAAAAAAAAAA9AB0IwQcA; Mpop=1278489451:0743010077700d0e190502190c1d00051c0d074f6a5d5e465e07010502021e0a09731e584b4c545d5c5a145a545858194b44:artemmm@mail.ru:; __utma=102067678.279445204.1263991857.1266305211.1266308556.24; __utmz=102067678.1263991857.1.1.utmcsr=(direct)|utmccn=(direct)|utmcmd=(none); geo_city_id=3436; mrcu=72204BB1F02B398B5EBF0100007F; mrcu=7B904BB1F7D81258D8CF0100007F; b=zDkEIBA9LAIARP2GJhbG2gujJoageGiAczmoLx2w3A52pAd91YNE5EH29RB+ThBhiARUZlsgJdeAUVJfQOXlBGICABAA; mc1=1278070887; waSes=1

The following error was encountered:

    * Invalid Request

Some aspect of the HTTP Request is invalid. Possible problems:

    * Missing or unknown request method
    * Missing URL
    * Missing HTTP Identifier (HTTP/1.0)
    * Request is too large
    * Content-Length missing for POST or PUT requests
    * Illegal character in hostname; underscores are not allowed


"squid+iptables"
Отправлено reader , 07-Июл-10 12:17 
grep "http_port" squid.conf
и какая версия squid

"squid+iptables"
Отправлено fate29 , 07-Июл-10 12:10 
>попробуйте так
>iptables -t nat -I PREROUTING -s 192.168.5.0/24 -p tcp --dport 80 -j
>DNAT --to-destination 192.168.5.x:3128
>
>вместо 192.168.5.x адрес машины с squid
>
>при этом пакеты пойдут через INPUT, а не через FORWARD, так что
>проверьте что там
>
>и покажите iptables-save -t nat

# Generated by iptables-save v1.3.5 on Wed Jul  7 11:52:38 2010
*nat
:PREROUTING ACCEPT [132748:10764786]
:POSTROUTING ACCEPT [8506:519234]
:OUTPUT ACCEPT [8687:535350]
-A PREROUTING -p tcp -m tcp --dport 4890 -j DNAT --to-destination 192.168.5.9
-A PREROUTING -s 83.167.114.179 -p tcp -m tcp --dport 4081 -j DNAT --to-destination 192.168.5.9
-A PREROUTING -s 83.167.114.199 -p tcp -m tcp --dport 4081 -j DNAT --to-destination 192.168.5.9
-A PREROUTING -s 83.167.114.179 -p udp -m udp --dport 44333 -j DNAT --to-destination 192.168.5.9
-A PREROUTING -s 83.167.114.179 -p tcp -m tcp --dport 44333 -j DNAT --to-destination 192.168.5.9
-A POSTROUTING -s 192.168.5.0/255.255.255.0 -j SNAT --to-source 81.195.xx.xxx
COMMIT
# Completed on Wed Jul  7 11:52:38 2010


"squid+iptables"
Отправлено fate29 , 07-Июл-10 12:11 
>попробуйте так
>iptables -t nat -I PREROUTING -s 192.168.5.0/24 -p tcp --dport 80 -j
>DNAT --to-destination 192.168.5.x:3128
>
>вместо 192.168.5.x адрес машины с squid
>
>при этом пакеты пойдут через INPUT, а не через FORWARD, так что
>проверьте что там
>
>и покажите iptables-save -t nat

в принцепе это не столь важно, пользователей не так много, я уже перенастроил у всех браузеры через проксю


"squid+iptables"
Отправлено reader , 07-Июл-10 12:19 
>[оверквотинг удален]
>>
>>вместо 192.168.5.x адрес машины с squid
>>
>>при этом пакеты пойдут через INPUT, а не через FORWARD, так что
>>проверьте что там
>>
>>и покажите iptables-save -t nat
>
>в принцепе это не столь важно, пользователей не так много, я уже
>перенастроил у всех браузеры через проксю

а прокси как прозрачный настроен?


"squid+iptables"
Отправлено ALex_hha , 07-Июл-10 12:21 
Думаю дело в том, что не была указана опция transparent в squid.conf

"squid+iptables"
Отправлено fate29 , 07-Июл-10 12:28 
>Думаю дело в том, что не была указана опция transparent в squid.conf
>

не указывал transparent, можно поподробнее?


"squid+iptables"
Отправлено reader , 07-Июл-10 12:35 
>>Думаю дело в том, что не была указана опция transparent в squid.conf
>>
>
>не указывал transparent, можно поподробнее?

опции для http_port смотрите


"squid+iptables"
Отправлено fate29 , 07-Июл-10 12:41 
>>>Думаю дело в том, что не была указана опция transparent в squid.conf
>>>
>>
>>не указывал transparent, можно поподробнее?
>
>опции для http_port смотрите

3128 там стоит


"squid+iptables"
Отправлено reader , 07-Июл-10 12:44 
>>>>Думаю дело в том, что не была указана опция transparent в squid.conf
>>>>
>>>
>>>не указывал transparent, можно поподробнее?
>>
>>опции для http_port смотрите
>
>3128 там стоит

версия squid какая?

squid -v или squid3 -v


"squid+iptables"
Отправлено fate29 , 07-Июл-10 12:53 
>[оверквотинг удален]
>>>>
>>>>не указывал transparent, можно поподробнее?
>>>
>>>опции для http_port смотрите
>>
>>3128 там стоит
>
>версия squid какая?
>
>squid -v или squid3 -v

Version 2.6.STABLE21


"squid+iptables"
Отправлено reader , 07-Июл-10 13:19 
>[оверквотинг удален]
>>>>
>>>>опции для http_port смотрите
>>>
>>>3128 там стоит
>>
>>версия squid какая?
>>
>>squid -v или squid3 -v
>
>Version 2.6.STABLE21

http_port 3128 transparent

можно ip указать, тогда не будет слушать все имеющиеся, а только указанные, но и перенаправлять только не него можно будет

http_port 192.168.5.x:3128 transparent


"squid+iptables"
Отправлено fate29 , 07-Июл-10 13:41 
>[оверквотинг удален]
>>>squid -v или squid3 -v
>>
>>Version 2.6.STABLE21
>
>http_port 3128 transparent
>
>можно ip указать, тогда не будет слушать все имеющиеся, а только указанные,
>но и перенаправлять только не него можно будет
>
>http_port 192.168.5.x:3128 transparent

изминил, а в iptables надо порт перебрасывать? и как лучше редиректом или dnat?


"squid+iptables"
Отправлено reader , 07-Июл-10 13:46 
>[оверквотинг удален]
>>
>>http_port 3128 transparent
>>
>>можно ip указать, тогда не будет слушать все имеющиеся, а только указанные,
>>но и перенаправлять только не него можно будет
>>
>>http_port 192.168.5.x:3128 transparent
>
>изминил, а в iptables надо порт перебрасывать? и как лучше редиректом или
>dnat?

dnat сделайте


"squid+iptables"
Отправлено ALex_hha , 07-Июл-10 13:47 
>изминил, а в iptables надо порт перебрасывать?

надо, но тогда в проводнике не надо указывать адрес прокси

> и как лучше редиректом или dnat?

если прокси и шлюз на одном хосте, то redirect, если на разных, то DNAT


"squid+iptables"
Отправлено fate29 , 07-Июл-10 14:06 
>>изминил, а в iptables надо порт перебрасывать?
>
>надо, но тогда в проводнике не надо указывать адрес прокси
>
>> и как лучше редиректом или dnat?
>
>если прокси и шлюз на одном хосте, то redirect, если на разных,
>то DNAT

abu знает, счас попробовал на страницы вроде заходит (но эт наверное пакеты через iptables идут) статистика не отображается
переброску сделал redirect. Но фиг с ним, меня больше смущает то в каком виде отчет по посещаемым сайтам https отображается так 95.58.14.208:443, а может это после скайпа.
... привыкнуть нужно ))


"squid+iptables"
Отправлено ALex_hha , 07-Июл-10 16:24 
Читать http://www.opennet.me/docs/RUS/iptables/ до просветления