URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID12
Нить номер: 6713
[ Назад ]

Исходное сообщение
"Прозрачный SQUID на мосту"
Отправлено MiF , 23-Сен-11 10:28

Приветствую.
Имеется офисная сетка простая до безобразия: не управляемая сеть -> аппаратный роутер (инет + ipsec туннель в другой офис).
Появилась необходимость считать трафик, для чего в одну из машин в сети была установлена сетевуха с 2-я портами в режиме моста. И установлено все это хозяйство между сетью и аппаратным роутером.
В машине на которой мост настроен дела обстоят так:
eth0 - адаптер смотрящий во внутреннюю сеть ip:192.168.192.1 (аппаратный роутер через который ходят во внешнюю сеть .250)
eth1 - ip:192.168.147.1 прямым проводом соединен с другой машиной.
и бридж:
root@router:~# brctl show
bridge name    bridge id        STP enabled    interfaces
br0        8000.0002a54eec42    no        eth2
                            eth3
Бридж трафик пропускает, но очень хочется прозрачно завернуть трафик на прокси. Трафик считается через netflow.
Squid пробовал вешать и на конкретный ip (192.1) и на все доступные. Но как только прописываю что-то типа:
bash# ebtables -t broute -A BROUTING -p IPv4 --ip-protocol 6 \
        --ip-destination-port 80 -j redirect --redirect-target ACCEPT
bash# iptables -t nat -A PREROUTING -i br0 -p tcp --dport 80 \
        -j REDIRECT --to-port 3128
Веб-трафик не идет через бридж. Ошибок прокси тоже не выдает.
Может у кого-то есть подобная конфигурация? Увидеть бы используемые настройки.

Содержание

Прозрачный SQUID на мосту,ImPressed, 11:22 , 23-Сен-11
- Прозрачный SQUID на мосту,MiF, 11:49 , 23-Сен-11
Прозрачный SQUID на мосту,MiF, 14:56 , 23-Сен-11
- Прозрачный SQUID на мосту,kolesov, 12:26 , 07-Ноя-11
- Прозрачный SQUID на мосту,Andrey Mitrofanov, 12:40 , 07-Ноя-11
  - Прозрачный SQUID на мосту,kolesov, 13:40 , 07-Ноя-11
    - Прозрачный SQUID на мосту,reader, 15:59 , 07-Ноя-11
      - Прозрачный SQUID на мосту,kolesov, 17:00 , 07-Ноя-11
        
        Прозрачный SQUID на мосту,reader, 17:11 , 07-Ноя-11
        
        Прозрачный SQUID на мосту,kolesov, 17:57 , 07-Ноя-11
        
        Прозрачный SQUID на мосту,reader, 18:01 , 07-Ноя-11
        
        Прозрачный SQUID на мосту,kolesov, 09:14 , 08-Ноя-11
        
        Прозрачный SQUID на мосту,reader, 11:26 , 08-Ноя-11
        
        Прозрачный SQUID на мосту,kolesov, 12:44 , 08-Ноя-11
        
        Прозрачный SQUID на мосту,reader, 13:39 , 08-Ноя-11

Сообщения в этом обсуждении

"Прозрачный SQUID на мосту"
Отправлено ImPressed , 23-Сен-11 11:22

>[оверквотинг удален]
> Squid пробовал вешать и на конкретный ip (192.1) и на все доступные.
> Но как только прописываю что-то типа:
> bash# ebtables -t broute -A BROUTING -p IPv4 --ip-protocol 6 \
> --ip-destination-port 80 -j redirect
> --redirect-target ACCEPT
> bash# iptables -t nat -A PREROUTING -i br0 -p tcp --dport 80
> \
> -j REDIRECT --to-port 3128
> Веб-трафик не идет через бридж. Ошибок прокси тоже не выдает.
> Может у кого-то есть подобная конфигурация? Увидеть бы используемые настройки.
sysctl -w net.ipv4.ip_forward=1
и будет вам щясте.

"Прозрачный SQUID на мосту"
Отправлено MiF , 23-Сен-11 11:49

> sysctl -w net.ipv4.ip_forward=1
> и будет вам щясте.
К сожалению не будет :( Это было конечно же сразу сделано.
root@router:~# sysctl net.ipv4.ip_forward
net.ipv4.ip_forward = 1

"Прозрачный SQUID на мосту"
Отправлено MiF , 23-Сен-11 14:56

А не может это быть из-за того, что я не назначаю ip адреса мосту?

"Прозрачный SQUID на мосту"
Отправлено kolesov , 07-Ноя-11 12:26

> А не может это быть из-за того, что я не назначаю ip
> адреса мосту?
у меня таже самая проблема, расскажите вам удалось задуманное?

"Прозрачный SQUID на мосту"
Отправлено Andrey Mitrofanov , 07-Ноя-11 12:40

> А не может это быть из-за того, что я не назначаю ip
> адреса мосту?
Конечно из-за этого.
Прозрачный сквид "не виден" только со стороны внутренних клиентов, а наружу он соединяется, как "обычный" сквид, -- создаёт другое, не клиентское, соединение со своего собственного ip. Нет адреса - нет соединеия наружу.

"Прозрачный SQUID на мосту"
Отправлено kolesov , 07-Ноя-11 13:40

>> А не может это быть из-за того, что я не назначаю ip
>> адреса мосту?
> Конечно из-за этого.
> Прозрачный сквид "не виден" только со стороны внутренних клиентов, а наружу он
> соединяется, как "обычный" сквид, -- создаёт другое, не клиентское, соединение со
> своего собственного ip. Нет адреса - нет соединеия наружу.
вот мой ifconfig:
br0       Link encap:Ethernet  HWaddr 00:27:0e:09:35:8f
          inet addr:172.23.32.10  Bcast:172.23.32.255  Mask:255.255.255.0
          inet6 addr: fe80::227:eff:fe09:358f/64 Scope:Link
          UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1
          RX packets:891 errors:0 dropped:0 overruns:0 frame:0
          TX packets:84 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:0
          RX bytes:75681 (73.9 KiB)  TX bytes:11892 (11.6 KiB)
eth0      Link encap:Ethernet  HWaddr 00:27:0e:09:35:8f
          inet6 addr: fe80::227:eff:fe09:358f/64 Scope:Link
          UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1
          RX packets:1498 errors:0 dropped:0 overruns:0 frame:0
          TX packets:612 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:1000
          RX bytes:545544 (532.7 KiB)  TX bytes:200665 (195.9 KiB)
          Interrupt:27 Base address:0xe000
eth1      Link encap:Ethernet  HWaddr 1c:7e:e5:26:41:92
          inet6 addr: fe80::1e7e:e5ff:fe26:4192/64 Scope:Link
          UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1
          RX packets:725 errors:0 dropped:0 overruns:0 frame:0
          TX packets:1424 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:1000
          RX bytes:215262 (210.2 KiB)  TX bytes:541065 (528.3 KiB)
          Interrupt:21 Base address:0xc000
lo        Link encap:Local Loopback
          inet addr:127.0.0.1  Mask:255.0.0.0
          inet6 addr: ::1/128 Scope:Host
          UP LOOPBACK RUNNING  MTU:16436  Metric:1
          RX packets:11 errors:0 dropped:0 overruns:0 frame:0
          TX packets:11 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:0
          RX bytes:848 (848.0 B)  TX bytes:848 (848.0 B)
пробовал заворачивать и на br0 и на lo, для этого прописывал в сквидконфе
для br0 http_port 172.23.32.10:3128 transparent
для lo http_port 127.0.0.1:3128 transparent
ebtables -t broute -A BROUTING -p IPv4 --ip-protocol 6 \
        --ip-destination-port 80 -j redirect --redirect-target ACCEPT
iptables -t nat -A PREROUTING -i br0 (или lo) -p tcp --dport 80 \
        -j REDIRECT --to-port 3128
в обоих случаях web трафик не проходит.
до применения правил бридж пропускает траф сквозь себя.
нужен именно squid без авторизации, на прозрачном мосту.

"Прозрачный SQUID на мосту"
Отправлено reader , 07-Ноя-11 15:59

>[оверквотинг удален]
> для lo http_port 127.0.0.1:3128 transparent
> ebtables -t broute -A BROUTING -p IPv4 --ip-protocol 6 \
> --ip-destination-port 80 -j redirect
> --redirect-target ACCEPT
> iptables -t nat -A PREROUTING -i br0 (или lo) -p tcp --dport
> 80 \
> -j REDIRECT --to-port 3128
> в обоих случаях web трафик не проходит.
> до применения правил бридж пропускает траф сквозь себя.
> нужен именно squid без авторизации, на прозрачном мосту.
вы бы сначала в не прозрачном режиме проверили бы

"Прозрачный SQUID на мосту"
Отправлено kolesov , 07-Ноя-11 17:00

>[оверквотинг удален]
>> ebtables -t broute -A BROUTING -p IPv4 --ip-protocol 6 \
>> --ip-destination-port 80 -j redirect
>> --redirect-target ACCEPT
>> iptables -t nat -A PREROUTING -i br0 (или lo) -p tcp --dport
>> 80 \
>> -j REDIRECT --to-port 3128
>> в обоих случаях web трафик не проходит.
>> до применения правил бридж пропускает траф сквозь себя.
>> нужен именно squid без авторизации, на прозрачном мосту.
> вы бы сначала в не прозрачном режиме проверили бы
в непрозрачном режиме:
в сквидконфе http_port 172.23.32.10:3128
в браузере указал.
упираюсь в сообщение сквида: ERROR
The requested URL could not be retrieved
посоветуйте, плиз, что делать...

"Прозрачный SQUID на мосту"
Отправлено reader , 07-Ноя-11 17:11

>[оверквотинг удален]
>>> в обоих случаях web трафик не проходит.
>>> до применения правил бридж пропускает траф сквозь себя.
>>> нужен именно squid без авторизации, на прозрачном мосту.
>> вы бы сначала в не прозрачном режиме проверили бы
> в непрозрачном режиме:
> в сквидконфе http_port 172.23.32.10:3128
> в браузере указал.
> упираюсь в сообщение сквида: ERROR
> The requested URL could not be retrieved
> посоветуйте, плиз, что делать...
dns у squid прописан?
если конечно это был ответ от squid

"Прозрачный SQUID на мосту"
Отправлено kolesov , 07-Ноя-11 17:57

>[оверквотинг удален]
>>>> нужен именно squid без авторизации, на прозрачном мосту.
>>> вы бы сначала в не прозрачном режиме проверили бы
>> в непрозрачном режиме:
>> в сквидконфе http_port 172.23.32.10:3128
>> в браузере указал.
>> упираюсь в сообщение сквида: ERROR
>> The requested URL could not be retrieved
>> посоветуйте, плиз, что делать...
> dns у squid прописан?
> если конечно это был ответ от squid
да dns прописан, и в /etc/resolv.conf тоже

"Прозрачный SQUID на мосту"
Отправлено reader , 07-Ноя-11 18:01

>[оверквотинг удален]
>>>> вы бы сначала в не прозрачном режиме проверили бы
>>> в непрозрачном режиме:
>>> в сквидконфе http_port 172.23.32.10:3128
>>> в браузере указал.
>>> упираюсь в сообщение сквида: ERROR
>>> The requested URL could not be retrieved
>>> посоветуйте, плиз, что делать...
>> dns у squid прописан?
>> если конечно это был ответ от squid
> да dns прописан, и в /etc/resolv.conf тоже
nslookup opennet.ru с моста

"Прозрачный SQUID на мосту"
Отправлено kolesov , 08-Ноя-11 09:14

>[оверквотинг удален]
>>>> в непрозрачном режиме:
>>>> в сквидконфе http_port 172.23.32.10:3128
>>>> в браузере указал.
>>>> упираюсь в сообщение сквида: ERROR
>>>> The requested URL could not be retrieved
>>>> посоветуйте, плиз, что делать...
>>> dns у squid прописан?
>>> если конечно это был ответ от squid
>> да dns прописан, и в /etc/resolv.conf тоже
> nslookup opennet.ru с моста
root@debian:~# nslookup opennet.ru
Server:         172.23.32.5
Address:        172.23.32.5#53
Non-authoritative answer:
Name:   opennet.ru
Address: 77.234.201.242

"Прозрачный SQUID на мосту"
Отправлено reader , 08-Ноя-11 11:26

>[оверквотинг удален]
>>>> dns у squid прописан?
>>>> если конечно это был ответ от squid
>>> да dns прописан, и в /etc/resolv.conf тоже
>> nslookup opennet.ru с моста
> root@debian:~# nslookup opennet.ru
> Server:         172.23.32.5
> Address:        172.23.32.5#53
> Non-authoritative answer:
> Name:   opennet.ru
> Address: 77.234.201.242
если это с моста, то дальше нужно смотреть логи и возможно настроить что бы были более детальными

"Прозрачный SQUID на мосту"
Отправлено kolesov , 08-Ноя-11 12:44

>[оверквотинг удален]
>>>> да dns прописан, и в /etc/resolv.conf тоже
>>> nslookup opennet.ru с моста
>> root@debian:~# nslookup opennet.ru
>> Server:         172.23.32.5
>> Address:        172.23.32.5#53
>> Non-authoritative answer:
>> Name:   opennet.ru
>> Address: 77.234.201.242
> если это с моста, то дальше нужно смотреть логи и возможно настроить
> что бы были более детальными
да, с моста.
какие логи, подскажите.

"Прозрачный SQUID на мосту"
Отправлено reader , 08-Ноя-11 13:39

>[оверквотинг удален]
>>> root@debian:~# nslookup opennet.ru
>>> Server:         172.23.32.5
>>> Address:        172.23.32.5#53
>>> Non-authoritative answer:
>>> Name:   opennet.ru
>>> Address: 77.234.201.242
>> если это с моста, то дальше нужно смотреть логи и возможно настроить
>> что бы были более детальными
> да, с моста.
> какие логи, подскажите.
cache.log