URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID12
Нить номер: 5453
[ Назад ]

Исходное сообщение
"Прозрачный прокси"
Отправлено Алексей , 12-Мрт-08 22:10

Я пытался настроить прозрачный прокси squid 2.6STABLE18, прописывал 3128 transparent в conf файле, редактировал iptables, согласно информации на оф сайте, но почему-то пакеты не идут на порт, хотя сам редирект работает если коннектится через телнет... запросы что-то блокирует видимо, в чём м.б. проблема (упоминания о запросах нет в access.log)? Стоит на ASPLinux12

echo 1 > /proc/sys/net/ipv4/ip_forward
iptables -t nat -A PREROUTING -i eth0 -d 192.168.0.0/255.255.255.0 -j ACCEPT
iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 80 -j REDIRECT --to-port 3128

Содержание

Прозрачный прокси,reader, 10:47 , 13-Мрт-08
- Прозрачный прокси,Алексей, 11:12 , 13-Мрт-08
  - Прозрачный прокси,reader, 12:00 , 13-Мрт-08
    - Прозрачный прокси,Fermiy, 12:07 , 13-Мрт-08
      - Прозрачный прокси,reader, 12:23 , 13-Мрт-08
        
        Прозрачный прокси,Fermiy, 15:46 , 13-Мрт-08
        
        Прозрачный прокси,reader, 10:58 , 14-Мрт-08
        
        Прозрачный прокси,Fermiy, 11:57 , 14-Мрт-08
        
        Прозрачный прокси,reader, 12:13 , 14-Мрт-08
        
        Прозрачный прокси,Advert_Noise, 17:51 , 28-Мрт-08
        
        Прозрачный прокси,reader, 10:43 , 31-Мрт-08

Сообщения в этом обсуждении

"Прозрачный прокси"
Отправлено reader , 13-Мрт-08 10:47

>[оверквотинг удален]
>не идут на порт, хотя сам редирект работает если коннектится через
>телнет... запросы что-то блокирует видимо, в чём м.б. проблема (упоминания о
>запросах нет в access.log)? Стоит на ASPLinux12
>
>
>echo 1 > /proc/sys/net/ipv4/ip_forward
>
>iptables -t nat -A PREROUTING -i eth0 -d 192.168.0.0/255.255.255.0 -j ACCEPT
>iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 80 -j
>REDIRECT --to-port 3128
покажите iptables-save

"Прозрачный прокси"
Отправлено Алексей , 13-Мрт-08 11:12

# Generated by iptables-save v1.3.8 on Wed Mar 12 18:42:18 2008
*nat
:PREROUTING ACCEPT [28814:2436724]
:POSTROUTING ACCEPT [502:23401]
:OUTPUT ACCEPT [589:28940]
[0:0] -A PREROUTING -d 192.168.0.0/255.255.255.0 -i eth0 -j ACCEPT
[1:48] -A PREROUTING -i eth0 -p tcp -m tcp --dport 80 -j REDIRECT --to-ports 3128
COMMIT
# Completed on Wed Mar 12 18:42:18 2008
# Generated by iptables-save v1.3.8 on Wed Mar 12 18:42:18 2008
*filter
:INPUT ACCEPT [18760:2123994]
:FORWARD ACCEPT [58:9434]
:OUTPUT ACCEPT [4468:1182632]
COMMIT
# Completed on Wed Mar 12 18:42:18 2008

"Прозрачный прокси"
Отправлено reader , 13-Мрт-08 12:00

>[оверквотинг удален]
>REDIRECT --to-ports 3128
>COMMIT
># Completed on Wed Mar 12 18:42:18 2008
># Generated by iptables-save v1.3.8 on Wed Mar 12 18:42:18 2008
>*filter
>:INPUT ACCEPT [18760:2123994]
>:FORWARD ACCEPT [58:9434]
>:OUTPUT ACCEPT [4468:1182632]
>COMMIT
># Completed on Wed Mar 12 18:42:18 2008
iptables ничего не блокирует, в нем все разрешено.
если это машина у клиентов прописана как шлюз, squid работает на этой же машине и клиенты подключены к eth0, то пакеты до squid должны доходить.
если в браузере прописывать прокси все работает?
у клиентов DNS сервера прописаны?

"Прозрачный прокси"
Отправлено Fermiy , 13-Мрт-08 12:07

>если в браузере прописывать прокси все работает?
>у клиентов DNS сервера прописаны?
Да, если я прописываю прокси всё работает по-обычному и редирект работает если
telnet my-server-squid-ip 80 коннектится, а DNS сервера необходимо прописывать? Я думал только шлюз? Ещё машина на VMWARE стоит через Bridge... но по-идее это не должно иметь никакого значения... Просто почему-то даже в аксесс логе никакой активности не видно... хотя я проверял tcpdump'ом... запросы на машину приходят...

"Прозрачный прокси"
Отправлено reader , 13-Мрт-08 12:23

>>если в браузере прописывать прокси все работает?
>>у клиентов DNS сервера прописаны?
>
>Да, если я прописываю прокси всё работает по-обычному и редирект работает если
>
>telnet my-server-squid-ip 80 коннектится, а DNS сервера необходимо прописывать? Я думал только
>шлюз? Ещё машина на VMWARE стоит через Bridge... но по-идее это
>не должно иметь никакого значения... Просто почему-то даже в аксесс логе
>никакой активности не видно... хотя я проверял tcpdump'ом... запросы на машину
>приходят...
DNS нужно прописывать, если конечно не собираетесь к сайтай обращаться по IP, а не по названию

"Прозрачный прокси"
Отправлено Fermiy , 13-Мрт-08 15:46

>DNS нужно прописывать, если конечно не собираетесь к сайтам обращаться по IP,
>а не по названию
Я прописал DNS... Но это ни на что не повлияло... я так понял что можно использовать те что даёт провайдер? Страницы не грузятся ни по IP ни по url...
P.S. Попробывал например по IP 87.250.251.11 - Яндекса... хотя если использовать настройки прокси он работает нормально...

"Прозрачный прокси"
Отправлено reader , 14-Мрт-08 10:58

>>DNS нужно прописывать, если конечно не собираетесь к сайтам обращаться по IP,
>>а не по названию
>
>Я прописал DNS... Но это ни на что не повлияло... я так
>понял что можно использовать те что даёт провайдер? Страницы не грузятся
>ни по IP ни по url...
можно, но если у клиентов серые IP, нужен еще SNAT
>
>P.S. Попробывал например по IP 87.250.251.11 - Яндекса... хотя если использовать настройки
>прокси он работает нормально...
значит до squid запросы все таки не доходят.
у клиентов шлюзом прописан IP который на eth0 и он из подсети в которой и клиенты?

"Прозрачный прокси"
Отправлено Fermiy , 14-Мрт-08 11:57

>>P.S. Попробывал например по IP 87.250.251.11 - Яндекса... хотя если использовать настройки
>>прокси он работает нормально...
>
>значит до squid запросы все таки не доходят.
>у клиентов шлюзом прописан IP который на eth0 и он из подсети
>в которой и клиенты?
Да, на шлюз приходят запросы я tcpdump'ом проверял (и он из этой же подсети), на счёт серых IP сейчас буду смотреть. Большое спасибо за помощь :)

"Прозрачный прокси"
Отправлено reader , 14-Мрт-08 12:13

>>>P.S. Попробывал например по IP 87.250.251.11 - Яндекса... хотя если использовать настройки
>>>прокси он работает нормально...
>>
>>значит до squid запросы все таки не доходят.
>>у клиентов шлюзом прописан IP который на eth0 и он из подсети
>>в которой и клиенты?
>
>Да, на шлюз приходят запросы я tcpdump'ом проверял (и он из этой
>же подсети), на счёт серых IP сейчас буду смотреть. Большое спасибо
>за помощь :)
попробуйте для начала выпустить клиентов в инет через SNAT, убрав правило
iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 80 -j REDIRECT --to-port 3128
и добавив для SNAT

"Прозрачный прокси"
Отправлено Advert_Noise , 28-Мрт-08 17:51

>попробуйте для начала выпустить клиентов в инет через SNAT, убрав правило
>iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 80 -j
>REDIRECT --to-port 3128
>и добавив для SNAT
Так, если SNAT'ом вывесить все, то ничего не будет проксироваться/считаться/кешироваться...
на кой тогда нужен этот squid???
Тоже была такая проблема, решилась добавлением следующей записи в rc.local (точнее заменой стандартного ZERO дейсвия)
gateway_enable="YES"

"Прозрачный прокси"
Отправлено reader , 31-Мрт-08 10:43

>>попробуйте для начала выпустить клиентов в инет через SNAT, убрав правило
>>iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 80 -j
>>REDIRECT --to-port 3128
>>и добавив для SNAT
>
>Так, если SNAT'ом вывесить все, то ничего не будет проксироваться/считаться/кешироваться...
>на кой тогда нужен этот squid???
сначало нужно убедится что клиент правильно работает со шлюзом, и тогда уже заворачивать запросы на squid.
>
>Тоже была такая проблема, решилась добавлением следующей записи в rc.local (точнее заменой
>стандартного ZERO дейсвия)
>gateway_enable="YES"
он указал что это включено:
echo 1 > /proc/sys/net/ipv4/ip_forward