Я пытался настроить прозрачный прокси squid 2.6STABLE18, прописывал 3128 transparent в conf файле, редактировал iptables, согласно информации на оф сайте, но почему-то пакеты не идут на порт, хотя сам редирект работает если коннектится через телнет... запросы что-то блокирует видимо, в чём м.б. проблема (упоминания о запросах нет в access.log)? Стоит на ASPLinux12
echo 1 > /proc/sys/net/ipv4/ip_forwardiptables -t nat -A PREROUTING -i eth0 -d 192.168.0.0/255.255.255.0 -j ACCEPT
iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 80 -j REDIRECT --to-port 3128
>[оверквотинг удален]
>не идут на порт, хотя сам редирект работает если коннектится через
>телнет... запросы что-то блокирует видимо, в чём м.б. проблема (упоминания о
>запросах нет в access.log)? Стоит на ASPLinux12
>
>
>echo 1 > /proc/sys/net/ipv4/ip_forward
>
>iptables -t nat -A PREROUTING -i eth0 -d 192.168.0.0/255.255.255.0 -j ACCEPT
>iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 80 -j
>REDIRECT --to-port 3128покажите iptables-save
# Generated by iptables-save v1.3.8 on Wed Mar 12 18:42:18 2008
*nat
:PREROUTING ACCEPT [28814:2436724]
:POSTROUTING ACCEPT [502:23401]
:OUTPUT ACCEPT [589:28940]
[0:0] -A PREROUTING -d 192.168.0.0/255.255.255.0 -i eth0 -j ACCEPT
[1:48] -A PREROUTING -i eth0 -p tcp -m tcp --dport 80 -j REDIRECT --to-ports 3128
COMMIT
# Completed on Wed Mar 12 18:42:18 2008
# Generated by iptables-save v1.3.8 on Wed Mar 12 18:42:18 2008
*filter
:INPUT ACCEPT [18760:2123994]
:FORWARD ACCEPT [58:9434]
:OUTPUT ACCEPT [4468:1182632]
COMMIT
# Completed on Wed Mar 12 18:42:18 2008
>[оверквотинг удален]
>REDIRECT --to-ports 3128
>COMMIT
># Completed on Wed Mar 12 18:42:18 2008
># Generated by iptables-save v1.3.8 on Wed Mar 12 18:42:18 2008
>*filter
>:INPUT ACCEPT [18760:2123994]
>:FORWARD ACCEPT [58:9434]
>:OUTPUT ACCEPT [4468:1182632]
>COMMIT
># Completed on Wed Mar 12 18:42:18 2008iptables ничего не блокирует, в нем все разрешено.
если это машина у клиентов прописана как шлюз, squid работает на этой же машине и клиенты подключены к eth0, то пакеты до squid должны доходить.
если в браузере прописывать прокси все работает?
у клиентов DNS сервера прописаны?
>если в браузере прописывать прокси все работает?
>у клиентов DNS сервера прописаны?Да, если я прописываю прокси всё работает по-обычному и редирект работает если
telnet my-server-squid-ip 80 коннектится, а DNS сервера необходимо прописывать? Я думал только шлюз? Ещё машина на VMWARE стоит через Bridge... но по-идее это не должно иметь никакого значения... Просто почему-то даже в аксесс логе никакой активности не видно... хотя я проверял tcpdump'ом... запросы на машину приходят...
>>если в браузере прописывать прокси все работает?
>>у клиентов DNS сервера прописаны?
>
>Да, если я прописываю прокси всё работает по-обычному и редирект работает если
>
>telnet my-server-squid-ip 80 коннектится, а DNS сервера необходимо прописывать? Я думал только
>шлюз? Ещё машина на VMWARE стоит через Bridge... но по-идее это
>не должно иметь никакого значения... Просто почему-то даже в аксесс логе
>никакой активности не видно... хотя я проверял tcpdump'ом... запросы на машину
>приходят...DNS нужно прописывать, если конечно не собираетесь к сайтай обращаться по IP, а не по названию
>DNS нужно прописывать, если конечно не собираетесь к сайтам обращаться по IP,
>а не по названиюЯ прописал DNS... Но это ни на что не повлияло... я так понял что можно использовать те что даёт провайдер? Страницы не грузятся ни по IP ни по url...
P.S. Попробывал например по IP 87.250.251.11 - Яндекса... хотя если использовать настройки прокси он работает нормально...
>>DNS нужно прописывать, если конечно не собираетесь к сайтам обращаться по IP,
>>а не по названию
>
>Я прописал DNS... Но это ни на что не повлияло... я так
>понял что можно использовать те что даёт провайдер? Страницы не грузятся
>ни по IP ни по url...можно, но если у клиентов серые IP, нужен еще SNAT
>
>P.S. Попробывал например по IP 87.250.251.11 - Яндекса... хотя если использовать настройки
>прокси он работает нормально...значит до squid запросы все таки не доходят.
у клиентов шлюзом прописан IP который на eth0 и он из подсети в которой и клиенты?
>>P.S. Попробывал например по IP 87.250.251.11 - Яндекса... хотя если использовать настройки
>>прокси он работает нормально...
>
>значит до squid запросы все таки не доходят.
>у клиентов шлюзом прописан IP который на eth0 и он из подсети
>в которой и клиенты?Да, на шлюз приходят запросы я tcpdump'ом проверял (и он из этой же подсети), на счёт серых IP сейчас буду смотреть. Большое спасибо за помощь :)
>>>P.S. Попробывал например по IP 87.250.251.11 - Яндекса... хотя если использовать настройки
>>>прокси он работает нормально...
>>
>>значит до squid запросы все таки не доходят.
>>у клиентов шлюзом прописан IP который на eth0 и он из подсети
>>в которой и клиенты?
>
>Да, на шлюз приходят запросы я tcpdump'ом проверял (и он из этой
>же подсети), на счёт серых IP сейчас буду смотреть. Большое спасибо
>за помощь :)попробуйте для начала выпустить клиентов в инет через SNAT, убрав правило
iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 80 -j REDIRECT --to-port 3128
и добавив для SNAT
>попробуйте для начала выпустить клиентов в инет через SNAT, убрав правило
>iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 80 -j
>REDIRECT --to-port 3128
>и добавив для SNATТак, если SNAT'ом вывесить все, то ничего не будет проксироваться/считаться/кешироваться...
на кой тогда нужен этот squid???Тоже была такая проблема, решилась добавлением следующей записи в rc.local (точнее заменой стандартного ZERO дейсвия)
gateway_enable="YES"
>>попробуйте для начала выпустить клиентов в инет через SNAT, убрав правило
>>iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 80 -j
>>REDIRECT --to-port 3128
>>и добавив для SNAT
>
>Так, если SNAT'ом вывесить все, то ничего не будет проксироваться/считаться/кешироваться...
>на кой тогда нужен этот squid???сначало нужно убедится что клиент правильно работает со шлюзом, и тогда уже заворачивать запросы на squid.
>
>Тоже была такая проблема, решилась добавлением следующей записи в rc.local (точнее заменой
>стандартного ZERO дейсвия)
>gateway_enable="YES"он указал что это включено:
echo 1 > /proc/sys/net/ipv4/ip_forward