URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID12
Нить номер: 5453
[ Назад ]

Исходное сообщение
"Прозрачный прокси"

Отправлено Алексей , 12-Мрт-08 22:10 
Я пытался настроить прозрачный прокси squid 2.6STABLE18, прописывал 3128 transparent в conf файле, редактировал iptables, согласно информации на оф сайте, но почему-то пакеты не идут на порт, хотя сам редирект работает если коннектится через телнет... запросы что-то блокирует видимо, в чём м.б. проблема (упоминания о запросах нет в access.log)? Стоит на ASPLinux12


echo 1 > /proc/sys/net/ipv4/ip_forward

iptables -t nat -A PREROUTING -i eth0 -d 192.168.0.0/255.255.255.0 -j ACCEPT
iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 80 -j REDIRECT --to-port 3128


Содержание

Сообщения в этом обсуждении
"Прозрачный прокси"
Отправлено reader , 13-Мрт-08 10:47 
>[оверквотинг удален]
>не идут на порт, хотя сам редирект работает если коннектится через
>телнет... запросы что-то блокирует видимо, в чём м.б. проблема (упоминания о
>запросах нет в access.log)? Стоит на ASPLinux12
>
>
>echo 1 > /proc/sys/net/ipv4/ip_forward
>
>iptables -t nat -A PREROUTING -i eth0 -d 192.168.0.0/255.255.255.0 -j ACCEPT
>iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 80 -j
>REDIRECT --to-port 3128

покажите iptables-save


"Прозрачный прокси"
Отправлено Алексей , 13-Мрт-08 11:12 
# Generated by iptables-save v1.3.8 on Wed Mar 12 18:42:18 2008
*nat
:PREROUTING ACCEPT [28814:2436724]
:POSTROUTING ACCEPT [502:23401]
:OUTPUT ACCEPT [589:28940]
[0:0] -A PREROUTING -d 192.168.0.0/255.255.255.0 -i eth0 -j ACCEPT
[1:48] -A PREROUTING -i eth0 -p tcp -m tcp --dport 80 -j REDIRECT --to-ports 3128
COMMIT
# Completed on Wed Mar 12 18:42:18 2008
# Generated by iptables-save v1.3.8 on Wed Mar 12 18:42:18 2008
*filter
:INPUT ACCEPT [18760:2123994]
:FORWARD ACCEPT [58:9434]
:OUTPUT ACCEPT [4468:1182632]
COMMIT
# Completed on Wed Mar 12 18:42:18 2008


"Прозрачный прокси"
Отправлено reader , 13-Мрт-08 12:00 
>[оверквотинг удален]
>REDIRECT --to-ports 3128
>COMMIT
># Completed on Wed Mar 12 18:42:18 2008
># Generated by iptables-save v1.3.8 on Wed Mar 12 18:42:18 2008
>*filter
>:INPUT ACCEPT [18760:2123994]
>:FORWARD ACCEPT [58:9434]
>:OUTPUT ACCEPT [4468:1182632]
>COMMIT
># Completed on Wed Mar 12 18:42:18 2008

iptables ничего не блокирует, в нем все разрешено.
если это машина у клиентов прописана как шлюз, squid работает на этой же машине и клиенты подключены к eth0, то пакеты до squid должны доходить.
если в браузере прописывать прокси все работает?
у клиентов DNS сервера прописаны?


"Прозрачный прокси"
Отправлено Fermiy , 13-Мрт-08 12:07 
>если в браузере прописывать прокси все работает?
>у клиентов DNS сервера прописаны?

Да, если я прописываю прокси всё работает по-обычному и редирект работает если
telnet my-server-squid-ip 80 коннектится, а DNS сервера необходимо прописывать? Я думал только шлюз? Ещё машина на VMWARE стоит через Bridge... но по-идее это не должно иметь никакого значения... Просто почему-то даже в аксесс логе никакой активности не видно... хотя я проверял tcpdump'ом... запросы на машину приходят...



"Прозрачный прокси"
Отправлено reader , 13-Мрт-08 12:23 
>>если в браузере прописывать прокси все работает?
>>у клиентов DNS сервера прописаны?
>
>Да, если я прописываю прокси всё работает по-обычному и редирект работает если
>
>telnet my-server-squid-ip 80 коннектится, а DNS сервера необходимо прописывать? Я думал только
>шлюз? Ещё машина на VMWARE стоит через Bridge... но по-идее это
>не должно иметь никакого значения... Просто почему-то даже в аксесс логе
>никакой активности не видно... хотя я проверял tcpdump'ом... запросы на машину
>приходят...

DNS нужно прописывать, если конечно не собираетесь к сайтай обращаться по IP, а не по названию


"Прозрачный прокси"
Отправлено Fermiy , 13-Мрт-08 15:46 
>DNS нужно прописывать, если конечно не собираетесь к сайтам обращаться по IP,
>а не по названию

Я прописал DNS... Но это ни на что не повлияло... я так понял что можно использовать те что даёт провайдер? Страницы не грузятся ни по IP ни по url...

P.S. Попробывал например по IP 87.250.251.11 - Яндекса... хотя если использовать настройки прокси он работает нормально...


"Прозрачный прокси"
Отправлено reader , 14-Мрт-08 10:58 
>>DNS нужно прописывать, если конечно не собираетесь к сайтам обращаться по IP,
>>а не по названию
>
>Я прописал DNS... Но это ни на что не повлияло... я так
>понял что можно использовать те что даёт провайдер? Страницы не грузятся
>ни по IP ни по url...

можно, но если у клиентов серые IP, нужен еще SNAT

>
>P.S. Попробывал например по IP 87.250.251.11 - Яндекса... хотя если использовать настройки
>прокси он работает нормально...

значит до squid запросы все таки не доходят.
у клиентов шлюзом прописан IP который на eth0 и он из подсети в которой и клиенты?


"Прозрачный прокси"
Отправлено Fermiy , 14-Мрт-08 11:57 
>>P.S. Попробывал например по IP 87.250.251.11 - Яндекса... хотя если использовать настройки
>>прокси он работает нормально...
>
>значит до squid запросы все таки не доходят.
>у клиентов шлюзом прописан IP который на eth0 и он из подсети
>в которой и клиенты?

Да, на шлюз приходят запросы я tcpdump'ом проверял (и он из этой же подсети), на счёт серых IP сейчас буду смотреть. Большое спасибо за помощь :)


"Прозрачный прокси"
Отправлено reader , 14-Мрт-08 12:13 
>>>P.S. Попробывал например по IP 87.250.251.11 - Яндекса... хотя если использовать настройки
>>>прокси он работает нормально...
>>
>>значит до squid запросы все таки не доходят.
>>у клиентов шлюзом прописан IP который на eth0 и он из подсети
>>в которой и клиенты?
>
>Да, на шлюз приходят запросы я tcpdump'ом проверял (и он из этой
>же подсети), на счёт серых IP сейчас буду смотреть. Большое спасибо
>за помощь :)

попробуйте для начала выпустить клиентов в инет через SNAT, убрав правило
iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 80 -j REDIRECT --to-port 3128
и добавив для SNAT


"Прозрачный прокси"
Отправлено Advert_Noise , 28-Мрт-08 17:51 
>попробуйте для начала выпустить клиентов в инет через SNAT, убрав правило
>iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 80 -j
>REDIRECT --to-port 3128
>и добавив для SNAT

Так, если SNAT'ом вывесить все, то ничего не будет проксироваться/считаться/кешироваться...
на кой тогда нужен этот squid???

Тоже была такая проблема, решилась добавлением следующей записи в rc.local (точнее заменой стандартного ZERO дейсвия)
gateway_enable="YES"


"Прозрачный прокси"
Отправлено reader , 31-Мрт-08 10:43 
>>попробуйте для начала выпустить клиентов в инет через SNAT, убрав правило
>>iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 80 -j
>>REDIRECT --to-port 3128
>>и добавив для SNAT
>
>Так, если SNAT'ом вывесить все, то ничего не будет проксироваться/считаться/кешироваться...
>на кой тогда нужен этот squid???

сначало нужно убедится что клиент правильно работает со шлюзом, и тогда уже заворачивать запросы на squid.

>
>Тоже была такая проблема, решилась добавлением следующей записи в rc.local (точнее заменой
>стандартного ZERO дейсвия)
>gateway_enable="YES"

он указал что это включено:
echo 1 > /proc/sys/net/ipv4/ip_forward