URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID12
Нить номер: 6299
[ Назад ]

Исходное сообщение
"pptpd и  transparent squid"

Отправлено opalao , 29-Янв-10 11:42 
Всем добрый день. Настроил на сервере pptpd с авторизацией через радиус с ad, подключения поднимаются нормально, возникла проблема со сквидом го необходимо сделать прозрачным вот конфиг

http_port 127.0.0.1:3128 transparent
visible_hostname billing
icp_port 0
#mime_table /etc/squid/mime.conf
pid_filename /var/run/squid.pid
acl all src 0.0.0.0/0.0.0.0
acl vpn_user src 192.168.0.0/255.255.0.0
acl 1_adm src 172.20.0.0/255.255.255.0
acl localhost src 127.0.0.1/255.255.255.255
http_access allow  vpn_user
http_access allow localhost
http_access allow 1_adm
http_access deny all

и правило в iptables для рдиректа на 3128 порт сквида
iptables -t nat -A PREROUTING -d ! 192.168.0.0/16 -p tcp --dport 80 -j REDIRECT --to-port 3128
один сетевой интерфейс

при попытке зайти на любую страничку через веббраузер ничего не получается,  tcpdump port 3128 молчит

В чем может быть проблема???


Содержание

Сообщения в этом обсуждении
"pptpd и  transparent squid"
Отправлено shadow_alone , 29-Янв-10 12:12 
зачем :
http_port 127.0.0.1:3128 transparent

просто
http_port 3128 transparent

я что-то непонял, почему если у вас  - acl vpn_user src 192.168.0.0/255.255.0.0
вы пишите

iptables -t nat -A PREROUTING -d ! 192.168.0.0/16 -p tcp --dport 80 -j REDIRECT --to-port 3128

должно быть
-A PREROUTING -s 192.168.0.0/16 -p tcp --dport 80 -j REDIRECT --to-port 3128


"pptpd и  transparent squid"
Отправлено opalao , 29-Янв-10 12:40 
>[оверквотинг удален]
>
http_port 3128 transparent

>
>я что-то непонял, почему если у вас  - acl vpn_user src
>192.168.0.0/255.255.0.0
>вы пишите
>
iptables -t nat -A PREROUTING -d ! 192.168.0.0/16 -p tcp --dport 80 
>-j REDIRECT --to-port 3128

>должно быть
>
-A PREROUTING -s 192.168.0.0/16 -p tcp --dport 80 -j REDIRECT --to-port 3128

>

пробовал и так http_port 3128 transparent эффект тот же

а в правили я просто все запросы приходящие с любых айпи кроме тех которых идут в локальную сеть редиректю на 3128


"pptpd и  transparent squid"
Отправлено shadow_alone , 29-Янв-10 12:47 
а если прописываешь проски на клиенте работает или нет?

"pptpd и  transparent squid"
Отправлено opalao , 01-Фев-10 04:47 
>а если прописываешь проски на клиенте работает или нет?

В общем совсем запутался, прописываю на клиенте проксю вручную ничего не пашет ну когда смотрю tcpdump на 3128 порту на eth0 пакеты идут только они идут не с vpn айпи (192.168.0.0/24)  а с моего физического. Когда на прямую в клиенте не указываю проксю то tcpdump на 3128 на eth0 ничего не показывает, а если посмотреть на ppp0 то какието пакеты идут


"pptpd и  transparent squid"
Отправлено opalao , 03-Фев-10 07:25 
>>а если прописываешь проски на клиенте работает или нет?
>
>В общем совсем запутался, прописываю на клиенте проксю вручную ничего не пашет
>ну когда смотрю tcpdump на 3128 порту на eth0 пакеты идут
>только они идут не с vpn айпи (192.168.0.0/24)  а с
>моего физического. Когда на прямую в клиенте не указываю проксю то
>tcpdump на 3128 на eth0 ничего не показывает, а если посмотреть
>на ppp0 то какието пакеты идут

Если на серваке выключаю сквид и делаю stnat всех пакетов идущих с vpn подключения идущих с сервера, то все работает нормально. Куда копать дальше не пойму