URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID12
Нить номер: 436
[ Назад ]
Исходное сообщение
"редирект с помощью iptables на сквид"
Отправлено wex , 29-Янв-03 17:36 
в iptables строчка
iptables -t nat -A PREROUTING -i $EXTERNAL_INTERFACE -p tcp --dport 80 -j REDIRECT --to-ports 3128
iptables -t nat -A PREROUTING -i $EXTERNAL_INTERFACE -p tcp --dport 443 -j REDIRECT --to-ports 3128

на порте 3128 сквид
почему то не работает, iptables вроде редиректит, но в браузере ошибка от сквида - Bad URL
сквид вроде собрирал с опцией --enalr-linux-netfilter
и в ядро когда собирал включил почти все опции по iptables

в чем косяк может быть?

Linux - Red Hat 7.3
Squid2.5STABLE1

Содержание
Сообщения в этом обсуждении
"RE: редирект с помощью iptables на сквид"
Отправлено Boytronic , 29-Янв-03 18:39 
$EXTERNAL_INTERFACE - это так и задумано стучаться на внешний интерфейс и прокси тоже внешний слушает ?

а не надо еще такое правило добавить
iptables -t nat -A OUTPUT -i $EXTERNAL_INTERFACE -p tcp --sport 3128 -j REDIRECT --to-ports 80 ???
как мне кажеться клиент то ждет ответа от 80 порта а не от 3128....

"RE: редирект с помощью iptables на сквид"
Отправлено wex , 29-Янв-03 19:06 
>$EXTERNAL_INTERFACE - это так и задумано стучаться на внешний интерфейс и прокси
>тоже внешний слушает ?
>
>а не надо еще такое правило добавить
>iptables -t nat -A OUTPUT -i $EXTERNAL_INTERFACE -p tcp --sport 3128 -j
>REDIRECT --to-ports 80 ???
>как мне кажеться клиент то ждет ответа от 80 порта а не
>от 3128....


я могу ошибаться
я с iptables еще не освоился

можно вообще без указания интерфейса правило сделать

насчет iptables -t nat -A OUTPUT -о $EXTERNAL_INTERFACE -p tcp --sport 3128 -j REDIRECT --to-ports 80
хорошая идея, попробую

"RE: редирект с помощью iptables на сквид"
Отправлено Boytronic , 30-Янв-03 13:12 
>я могу ошибаться
>я с iptables еще не освоился
Я тоже могу ошибаться и тоже iptables не доконца понял
>можно вообще без указания интерфейса правило сделать
это чтобы все кому не лень через прокси ходили ?
>
>насчет iptables -t nat -A OUTPUT -о $EXTERNAL_INTERFACE -p tcp --sport 3128
>-j REDIRECT --to-ports 80
>хорошая идея, попробую
Может она и не настолько хороша... первое что пришло в голову, поскольку не раз наступал на грабли когда порты обратной связи не совпадали и я не получал конекций....
Судя по документации на которую была ссылка по прозрачному кешированию похоже моё правило не должно присутствовать...


"RE: редирект с помощью iptables на сквид"
Отправлено wex , 29-Янв-03 19:21 
>$EXTERNAL_INTERFACE - это так и задумано стучаться на внешний интерфейс и прокси
>тоже внешний слушает ?
>
>а не надо еще такое правило добавить
>iptables -t nat -A OUTPUT -i $EXTERNAL_INTERFACE -p tcp --sport 3128 -j
>REDIRECT --to-ports 80 ???
>как мне кажеться клиент то ждет ответа от 80 порта а не
>от 3128....

с правилом iptables -t nat -A OUTPUT -о $EXTERNAL_INTERFACE -p tcp -sport 3128 -j REDIRECT --to-ports 80
еще что непонятно, это как разделять hhtp и https-запросы???!!

"RE: редирект с помощью iptables на сквид"
Отправлено keepver , 29-Янв-03 20:04 
трансперент работает только с http
пример для твоего случая:
http://squid.org.ua/FAQ/my/FAQ-17.html#ss17.4
"RE: редирект с помощью iptables на сквид"
Отправлено wex , 30-Янв-03 10:45 
>трансперент работает только с http
>пример для твоего случая:
>http://squid.org.ua/FAQ/my/FAQ-17.html#ss17.4


спасибо
буду пробовать

а как думаешь правило о котором Boytronic писал
iptables -t nat -A OUTPUT -i $EXTERNAL_INTERFACE -p tcp --sport 3128 -j REDIRECT --to-ports 80 ???
нужно?

"RE: редирект с помощью iptables на сквид"
Отправлено Boytronic , 30-Янв-03 13:17 
Мне тут еще одна идея пришла в голову (больные мысли больной головы) а прокси самому разрешено ходить в И-нет правилами файрвола ? (и такие грабли были)

"RE: редирект с помощью iptables на сквид"
Отправлено wex , 30-Янв-03 14:36 
>Мне тут еще одна идея пришла в голову (больные мысли больной головы)
>а прокси самому разрешено ходить в И-нет правилами файрвола ? (и
>такие грабли были)

конечно разрешено
если прописываешь у клиентов в браузере проксик то все пашет
лень просто было бегать всем прописывать вот и заморочился:)))

"RE: редирект с помощью iptables на сквид"
Отправлено iw , 31-Янв-03 10:16 
>в iptables строчка
>iptables -t nat -A PREROUTING -i $EXTERNAL_INTERFACE -p tcp --dport 80 -j
>REDIRECT --to-ports 3128
>iptables -t nat -A PREROUTING -i $EXTERNAL_INTERFACE -p tcp --dport 443 -j
>REDIRECT --to-ports 3128
>
>на порте 3128 сквид
>почему то не работает, iptables вроде редиректит, но в браузере ошибка от
>сквида - Bad URL
>сквид вроде собрирал с опцией --enalr-linux-netfilter
>и в ядро когда собирал включил почти все опции по iptables
>
>в чем косяк может быть?
>
>Linux - Red Hat 7.3
>Squid2.5STABLE1

А сквид правильно настроен?
      httpd_accel_host virtual
      httpd_accel_port 80
      httpd_accel_with_proxy  on
      httpd_accel_uses_host_header on

"RE: редирект с помощью iptables на сквид"
Отправлено beholder , 04-Фев-03 16:34 
Ниче оно у вас не работает ! ...
"редирект с помощью iptables на сквид"
Отправлено Banan , 15-Июн-03 21:56 
>в iptables строчка
>iptables -t nat -A PREROUTING -i $EXTERNAL_INTERFACE -p tcp --dport 80 -j
>REDIRECT --to-ports 3128
>iptables -t nat -A PREROUTING -i $EXTERNAL_INTERFACE -p tcp --dport 443 -j
>REDIRECT --to-ports 3128
>
>на порте 3128 сквид
>почему то не работает, iptables вроде редиректит, но в браузере ошибка от
>сквида - Bad URL
>сквид вроде собрирал с опцией --enalr-linux-netfilter
>и в ядро когда собирал включил почти все опции по iptables
>
>в чем косяк может быть?
>
>Linux - Red Hat 7.3
>Squid2.5STABLE1

И я поимел такие грабли, все вопросы решились после поправки squid.conf:
http_port 8080
httpd_accel_host virtual
httpd_accel_port 80
httpd_accel_with_proxy  on
httpd_accel_uses_host_header on