URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID12
Нить номер: 5248
[ Назад ]
Исходное сообщение
"transparent proxy "
Отправлено Олег , 25-Ноя-07 20:06 
всем привет. Squid 2.5 настроен как прозрачный прокси. Проблема:
в IE клиента адрес странички http://yandex.ru , никакого ответа от squida нету, а стандартный ответ IE
если написать любой ip адрес http://192.168.1.1/yandex.ru, squid выдает ответ и в access.log запрос отражается.
В чем может быть проблема?
Содержание
Сообщения в этом обсуждении
"transparent proxy "
Отправлено reader , 25-Ноя-07 22:13 
>всем привет. Squid 2.5 настроен как прозрачный прокси. Проблема:
>в IE клиента адрес странички http://yandex.ru , никакого ответа от squida нету,
>а стандартный ответ IE
>если написать любой ip адрес http://192.168.1.1/yandex.ru, squid выдает ответ и в access.log
>запрос отражается.
>В чем может быть проблема?

не понял описания проблемы.
если по IP адресу, сайт открывается, а по имени - нет, то смотрите что прописано у клиента как DNS сервер.

"transparent proxy "
Отправлено vserov , 26-Ноя-07 12:14 
а если прописать в броузере прокси? нормально пускает?
"transparent proxy "
Отправлено Kalli , 26-Май-08 20:18 
>а если прописать в броузере прокси? нормально пускает?

да, если прописан прокси то норм.
и даже если прописать порт 80 тоже нормально.

вот такая проблема...

"transparent proxy "
Отправлено reader , 26-Май-08 23:08 
>>а если прописать в броузере прокси? нормально пускает?
>
>да, если прописан прокси то норм.
>и даже если прописать порт 80 тоже нормально.
>
>вот такая проблема...

у клиента шлюз и DNS сервера прописаны?
что в логах squid  при работе браузера без прописанного прокси?

"transparent proxy "
Отправлено Kalli , 27-Май-08 00:12 
>>>а если прописать в броузере прокси? нормально пускает?
>>
>>да, если прописан прокси то норм.
>>и даже если прописать порт 80 тоже нормально.
>>
>>вот такая проблема...
>
>у клиента шлюз и DNS сервера прописаны?
>что в логах squid  при работе браузера без прописанного прокси?

внешняя сеть (инет) 192.168.1.1

сервер 192.168.0.1
днс прописаны в resolv

клиент 192.168.0.2
прописан шлюз и днс = 192.168.0.1

в логах тихо, т.е. ничего.
причем если ввести ip- адрес вместо адреса сайта то выдается ошибка сквида типа "некоторые аспекты url неправильны".

Не могли бы Вы скинуть реально рабочие конфиги pf и squid3 (или 2.6) на freebsd 6.3

Так было бы проще разобраться...

"transparent proxy "
Отправлено Kalli , 27-Май-08 00:26 
хочу уточнить что при явном указании порта 80 в настройках броузера все работает идеально.
и трафик заворачивается на сквид и все норм.
"transparent proxy "
Отправлено reader , 27-Май-08 10:25 
pf.conf

port_web = "80, 8080, 3128, 8081"
int_if = "rl0 rl2" - внутренние интерфейсы
int_ip = "10.10.0.254, 10.10.1.254"
int_net_ip = "10.10.0.0/24 10.10.1.0/24 "

rdr on {$int_if} inet proto tcp from {$int_net_ip} to {! $int_net_ip} port {$port_web} -> 10.10.0.254 port 8080

squid.conf

http_port 10.10.0.254:8080 transparent
http_port 10.10.1.254:8080 transparent - если вздумается кому то из 10.10.1.254/24 прописать прокси в браузере.

остальное по вкусу

squid3 с pf пока не стыкуется, хотя может уже и починили

"transparent proxy "
Отправлено Kalli , 27-Май-08 13:05 
Этот конфиг, у меня работает так же.

Если в броузере клиента задать proxy с 80 или 3128 портом, то норм.
А если не задавать proxy- не работает.

Причем если смотреть netstat на клиентской машине, соединение устанавливается только в случае ввода ip- адреса в адресную строку, но все-равно возвращает ошибку.

Если ввести путь http://www.opennet.me сразу дает ошибку.

Чтоже это такое?

"transparent proxy "
Отправлено reader , 27-Май-08 14:29 
>[оверквотинг удален]
>Если в броузере клиента задать proxy с 80 или 3128 портом, то
>норм.
>А если не задавать proxy- не работает.
>
>Причем если смотреть netstat на клиентской машине, соединение устанавливается только в случае
>ввода ip- адреса в адресную строку, но все-равно возвращает ошибку.
>
>Если ввести путь http://www.opennet.me сразу дает ошибку.
>
>Чтоже это такое?

на клиенте nslookup www.opennet.ru - адрес возвращает?

"transparent proxy "
Отправлено Kalli , 27-Май-08 15:13 
>на клиенте nslookup www.opennet.ru - адрес возвращает?

хм.. нет

Can't find servers name for address 192.168.0.1: Not response from server
Default servers are not available
Server: UnKnown
Address: 192.168.0.1
UnKnown can't find www.opennet.ru: No response from server

"transparent proxy "
Отправлено reader , 27-Май-08 16:02 
>>на клиенте nslookup www.opennet.ru - адрес возвращает?
>
>хм.. нет
>
>Can't find servers name for address 192.168.0.1: Not response from server
>Default servers are not available
>Server: UnKnown
>Address: 192.168.0.1
>UnKnown can't find www.opennet.ru: No response from server

ну вот, DNS то не работает

"transparent proxy "
Отправлено Kalli , 27-Май-08 16:08 
>>на клиенте nslookup www.opennet.ru - адрес возвращает?

named поднялся

теперь так:

Can't find servers name for address 192.168.0.1: Not response from server
Default servers are not available
Server: UnKnown
Address: 192.168.0.1

Non-authoritative answer:
Name: www.opennet.ru
Address: 77.234.201.242

"transparent proxy "
Отправлено reader , 27-Май-08 16:11 
>[оверквотинг удален]
>теперь так:
>
>Can't find servers name for address 192.168.0.1: Not response from server
>Default servers are not available
>Server: UnKnown
>Address: 192.168.0.1
>
>Non-authoritative answer:
>Name: www.opennet.ru
>Address: 77.234.201.242

что теперь браузер говорит и что в логах squid?

"transparent proxy "
Отправлено Kalli , 27-Май-08 16:27 
>что теперь браузер говорит и что в логах squid?

никаких изменеий.
в логах тишина.
:(


"transparent proxy "
Отправлено reader , 27-Май-08 16:53 
>>что теперь браузер говорит и что в логах squid?
>
>никаких изменеий.
>в логах тишина.
>:(

а к шлюзу обращается?
если на шлюзе freeBSD + pf  удобно pftop смотреть

"transparent proxy "
Отправлено Kalli , 27-Май-08 17:24 
>а к шлюзу обращается?
>если на шлюзе freeBSD + pf  удобно pftop смотреть

хорошая утилита. судя по pftop обращений (при не заданом в броузере прокси) нет.
что это значит? как это исправить?

"transparent proxy "
Отправлено reader , 27-Май-08 17:36 
>>а к шлюзу обращается?
>>если на шлюзе freeBSD + pf  удобно pftop смотреть
>
>хорошая утилита. судя по pftop обращений (при не заданом в броузере прокси)
>нет.
>что это значит? как это исправить?

что за ОС у клиента?

с клиента покажи
ifconfig
route или netstat -r

и адрес шлюза, тот который на клиента смотрит

"transparent proxy "
Отправлено Kalli , 27-Май-08 18:10 
>что за ОС у клиента?
>
>с клиента покажи
>ifconfig
>route или netstat -r
>
>и адрес шлюза, тот который на клиента смотрит

winxp sp2

Настройка протокола IP для Windows
Подключение по локальной сети - Ethernet адаптер:
        DNS-суффикс этого подключения . . :
        IP-адрес  . . . . . . . . . . . . : 192.168.0.2
        Маска подсети . . . . . . . . . . : 255.255.255.0
        Основной шлюз . . . . . . . . . . : 192.168.0.1

Таблица маршрутов
===========================================================================
Список интерфейсов
0x1 ........................... MS TCP Loopback interface
0x10003 ...00 11 5b b7 1a 56 ...... Realtek RTL8169/8110 Family Gigabit Ethernet
NIC
===========================================================================
===========================================================================
Активные маршруты:
Сетевой адрес           Маска сети      Адрес шлюза       Интерфейс  Метрика
          0.0.0.0          0.0.0.0      192.168.0.1     192.168.0.2       20
        127.0.0.0        255.0.0.0        127.0.0.1       127.0.0.1       1
      192.168.0.0    255.255.255.0      192.168.0.2     192.168.0.2       20
      192.168.0.2  255.255.255.255        127.0.0.1       127.0.0.1       20
    192.168.0.255  255.255.255.255      192.168.0.2     192.168.0.2       20
        224.0.0.0        240.0.0.0      192.168.0.2     192.168.0.2       20
  255.255.255.255  255.255.255.255      192.168.0.2     192.168.0.2       1
Основной шлюз:         192.168.0.1
===========================================================================
Постоянные маршруты: Отсутствует

Это происходит не только на этом компе. Подключал другой, тоже самое...

"transparent proxy "
Отправлено reader , 27-Май-08 22:34 
>[оверквотинг удален]
>    192.168.0.2      
>20
>  255.255.255.255  255.255.255.255      192.168.0.2  
>   192.168.0.2       1
>
>Основной шлюз:         192.168.0.1
>===========================================================================
>Постоянные маршруты: Отсутствует
>
>Это происходит не только на этом компе. Подключал другой, тоже самое...

Если DNS все еще работает, то клиент должен уже отправлять запросы на шлюз. Проверьте правила pf. Посмотрите приходит ли запрос на шлюз если в браузере указать http://77.234.201.242:80 . Попробуйте на freeBSD в rc.conf прописать gateway_enable="YES"

"transparent proxy "
Отправлено Kalli , 27-Май-08 23:51 
>Если DNS все еще работает, то клиент должен уже отправлять запросы на
>шлюз. Проверьте правила pf. Посмотрите приходит ли запрос на шлюз если
>в браузере указать http://77.234.201.242:80 . Попробуйте на freeBSD в rc.conf прописать
>gateway_enable="YES"

reader, спасибо что помогаете!

стало очевидно что трабл сейчас в pf
pf конфиг минимальный
port_web="80, 8080, 3128, 8081"
ext_if="sis0"
int_if="dc0"
int_ip="192.168.0.1"
int_net_ip="192.168.0.0/24"

rdr on $int_if inet proto tcp from $inf_net_ip to $int_net_ip port $port_web -> 192.168.0.1 port 8080

pass in on $int_if inet proto udp from $int_if:network to $int_if port 53 keep state

что нужно добавить чтоб нормально все ездило?

понятно что можно читать ман и т.д. но если вы в курсе, прошу ответить..
совсем тяжко мне уже :)

и еще вопрос. почему если указываю прокси, нет вот этой тягомотины с pf?

"transparent proxy "
Отправлено reader , 28-Май-08 10:24 
>[оверквотинг удален]
>
>стало очевидно что трабл сейчас в pf
>pf конфиг минимальный
>port_web="80, 8080, 3128, 8081"
>ext_if="sis0"
>int_if="dc0"
>int_ip="192.168.0.1"
>int_net_ip="192.168.0.0/24"
>
>rdr on $int_if inet proto tcp from $inf_net_ip to $int_net_ip port $port_web -> 192.168.0.1 port 8080

заворачивать то что идет из 192.168.0.0/24 на НЕ 192.168.0.0/24
rdr on $int_if inet proto tcp from $inf_net_ip to ! $int_net_ip port $port_web -> 192.168.0.1 port 8080
или все
rdr on $int_if inet proto tcp from $inf_net_ip to any $port_web -> 192.168.0.1 port 8080
>
>pass in on $int_if inet proto udp from $int_if:network to $int_if port
>53 keep state
>
>что нужно добавить чтоб нормально все ездило?
>
>понятно что можно читать ман и т.д. но если вы в курсе,
>прошу ответить..
>совсем тяжко мне уже :)

не можно, а нужно :)
>
>и еще вопрос. почему если указываю прокси, нет вот этой тягомотины с
>pf?

попробуйте проанализировать свою строчку rdr и если это и весь конфиг pf, то ни что не мешает подключиться к прокси. При работе через прокси браузеру DNS не нужен, это забота уже прокси.

"transparent proxy "
Отправлено Kalli , 28-Май-08 11:56 
>заворачивать то что идет из 192.168.0.0/24 на НЕ 192.168.0.0/24
>rdr on $int_if inet proto tcp from $inf_net_ip to ! $int_net_ip port $port_web -> 192.168.0.1 port 8080
>или все
>rdr on $int_if inet proto tcp from $inf_net_ip to any $port_web -> 192.168.0.1 port 8080

Syntax error

Буду пробывать дальше, спасибо за помощь!

"transparent proxy "
Отправлено Kalli , 28-Май-08 12:01 
rdr on $int_if inet proto tcp from $inf_net_ip to any -> 192.168.0.1 port 8080
заветная строка.
теперь направляюсь читать ман, как обеспечить безопасность :)

reader, еще раз спасибо.

"transparent proxy "
Отправлено reader , 28-Май-08 15:52 
>rdr on $int_if inet proto tcp from $inf_net_ip to any -> 192.168.0.1 port 8080
>заветная строка.
>теперь направляюсь читать ман, как обеспечить безопасность :)
>
>reader, еще раз спасибо.

порты лучше указать
rdr on $int_if inet proto tcp from $inf_net_ip to any port {$port_web} -> 192.168.0.1 port 8080

а то завернеш и почту, потом будеш снова искать :)

"transparent proxy "
Отправлено Kalli , 28-Май-08 18:19 
>порты лучше указать
>rdr on $int_if inet proto tcp from $inf_net_ip to any port {$port_web} -> 192.168.0.1 port 8080
>
>а то завернеш и почту, потом будеш снова искать :)

:)
порты указаны
но вот почта никак не хочет идти
вроде в pftop видно что обращается к mail.ru по нужному порту
но в проге выдает невозможно соединиться с сервером

"transparent proxy "
Отправлено Kalli , 28-Май-08 18:50 
nat on $ext_if from $int_net_ip to any -> $ext_if

pass in proto {tcp, udp} from any to any port {ssh, smtp, domain, http, pop3, imap, https, 1723, 3128} keep state

подскажите плиз, что не так?
не ходит почта.

"transparent proxy "
Отправлено reader , 28-Май-08 20:50 
>nat on $ext_if from $int_net_ip to any -> $ext_if
>
>pass in proto {tcp, udp} from any to any port {ssh, smtp,
>domain, http, pop3, imap, https, 1723, 3128} keep state
>
>подскажите плиз, что не так?
>не ходит почта.

в rc.conf прописан gateway_enable="YES" ?

"transparent proxy "
Отправлено Kalli , 28-Май-08 23:05 
>в rc.conf прописан gateway_enable="YES" ?

если включаю, все норм пашет.
вырубаю, почта отваливается.

но работать ведь должно и без gateway_enable="YES"

"transparent proxy "
Отправлено Kalli , 29-Май-08 01:52 
pftop показывает следующее

PR  DIR SRC             DEST              STATE           AGE      EXP      PKTS BYTES
tcp In 192.168.0.5:1065 194.67.23.102:110 CLOSED:SYN_SENT 00:00:30 00:00:09 3    144


CLOSED:SYN_SENT просто убивает.
что- то с правилами...

"transparent proxy "
Отправлено Kalli , 29-Май-08 12:16 
sysctl.conf
net.inet.ip.forwarding=1
видимо это было необходимо.
теперь работает.

"transparent proxy "
Отправлено reader , 29-Май-08 12:52 
>sysctl.conf
>net.inet.ip.forwarding=1
>видимо это было необходимо.
>теперь работает.

браво, только это тоже самое что и gateway_enable="YES", и без этого пересылки между интерфейсами не будет :)

http://www.freebsd.org/doc/ru_RU.KOI8-R/books/handbook/netwo...

"transparent proxy "
Отправлено Kalli , 29-Май-08 13:06 
>>sysctl.conf
>>net.inet.ip.forwarding=1
>>видимо это было необходимо.
>>теперь работает.
>
>браво, только это тоже самое что и gateway_enable="YES", и без этого пересылки
>между интерфейсами не будет :)
>
>http://www.freebsd.org/doc/ru_RU.KOI8-R/books/handbook/netwo...

понятно
спасибо за помощь!

"transparent proxy "
Отправлено Ulcer , 12-Янв-09 09:29 
Вообщем еще раз суть моей проблемы хотелось бы что бы прокся работала без явныз указании в браузерах шлюза, когда шлюз прописываю все работает

"не путаете с 'оно должно мне само, а сам я ничего не'?"
Отправлено Andrey Mitrofanov , 12-Янв-09 12:31 
>Вообщем еще раз суть моей проблемы хотелось бы что бы прокся работала
>без явныз указании

Отлично! Тогда переходим к решению задачи, как "сделать, чтоб роутинг во-вне работал без прописывания шлюза по умолчанию в настройках сети ("подключени")".

> в браузерах шлюза, когда шлюз прописываю все работает

Ой, бяда-бяда-бяда! _Шлюз_-то в броузере не прописывают. Либо шлюз и не в броузере, либо прокси и в броузере, либо шлюз в броузере и в параллельной реальности (хранители Врат уже идут за тобой! решат вопрос окнчательно.).