URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID12
Нить номер: 5500
[ Назад ]

Исходное сообщение
"И вновь проблема со squid и iptables"
Отправлено Overdosed , 08-Апр-08 11:47

Проблема заключается в следующем.
Стоит squid не прозрачный, но не считал корректно траффик, с траффиком разобрались всё заработало, возникла следующая проблема. Сайт находится так же на этой же машине где и сквида, теперь при завороте по 80 порту на 8080 сайт рефузит и не пущает никого, ну естественно что с внутренней сети пускает. Правило для iptables, которое собсно мешает жить.
-A PREROUTING -p tcp -m tcp --dport 80 -j REDIRECT --to-port 8080
А ведь без него все так же могут безпрепятственно юзать инет.

Содержание

И вновь проблема со squid и iptables,reader, 12:54 , 08-Апр-08
- И вновь проблема со squid и iptables,Overdosed, 13:12 , 08-Апр-08
И вновь проблема со squid и iptables,Sloboda, 13:45 , 08-Апр-08
- И вновь проблема со squid и iptables,reader, 15:54 , 08-Апр-08

Сообщения в этом обсуждении

"И вновь проблема со squid и iptables"
Отправлено reader , 08-Апр-08 12:54

>Проблема заключается в следующем.
>Стоит squid не прозрачный, но не считал корректно траффик, с траффиком разобрались
>всё заработало, возникла следующая проблема. Сайт находится так же на этой
>же машине где и сквида, теперь при завороте по 80 порту
>на 8080 сайт рефузит и не пущает никого, ну естественно что
>с внутренней сети пускает. Правило для iptables, которое собсно мешает жить.
>
>-A PREROUTING -p tcp -m tcp --dport 80 -j REDIRECT --to-port 8080
правило для прозрачного прокси, который слушает 8080 порт.
соответственно все запросы на 80 порт, из внешки и из локалки, будут перенаправляться на порт 8080 и если этот порт слушает squid и он не прозрачный или в нем не разрешена работа с внешними клиентами, то сайт и не будет доступен из вне.
>
>А ведь без него все так же могут безпрепятственно юзать инет.
это правило не нужно что бы выпускать локалку в инет и соответственно если не нужно насильно клиентов заворачивать на 8080 порт, то можно убрать

"И вновь проблема со squid и iptables"
Отправлено Overdosed , 08-Апр-08 13:12

>[оверквотинг удален]
>соответственно все запросы на 80 порт, из внешки и из локалки, будут
>перенаправляться на порт 8080 и если этот порт слушает squid и
>он не прозрачный или в нем не разрешена работа с внешними
>клиентами, то сайт и не будет доступен из вне.
>>
>>А ведь без него все так же могут безпрепятственно юзать инет.
>
>это правило не нужно что бы выпускать локалку в инет и соответственно
>если не нужно насильно клиентов заворачивать на 8080 порт, то можно
>убрать
Вот таки как раз мне надо насильно всех юзеров затолкать на 8080 порт и чтобы сайт был так же доступен из внешки. Что подскажете сделать?

"И вновь проблема со squid и iptables"
Отправлено Sloboda , 08-Апр-08 13:45

добавить в правило
-d ! <адрес сайта>
почитать iptables tutorial
firewall - это не то, с чем можно методом тыка

"И вновь проблема со squid и iptables"
Отправлено reader , 08-Апр-08 15:54

сайт из внешки должен быть доступен через squid или нет?
чтобы клиентов насильно заворачивать squid должен быть transparent , а вы пишите что он у вас не прозрачный
версию squid укажите