URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID12
Нить номер: 6809
[ Назад ]

Исходное сообщение
"Маршрутизация пакетов между серверами"
Отправлено fomim , 14-Май-12 14:36

Добрый день!
Имеются два сервера, на одном под управление SUSE работает VPN сервер, второй сервер работает под debian на нем стоит squid. Squid на прямую работает без проблем. Задача заключается в следующем: пользователь подключенный к vpn серверу должен ходить в нет через squid.
На vpn сервере в iptables запись:
iptables -t nat -A PREROUTING -p tcp -s 192.168.250.0/24 --dport 80 -j DNAT --to 192.168.95.5:3128
При попытке выйти в инет сообщение об ошибке:
ERROR
The requested URL could not be retrieved
Invalid Request error was encountered while trying to process the request:
GET /webhp?source=search_app HTTP/1.1
Host: www.google.com
Connection: keep-alive
User-Agent: Mozilla/5.0 (Windows NT 5.1) AppleWebKit/535.19 (KHTML, like Gecko) Chrome/18.0.1025.168 Safari/535.19
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8
Accept-Encoding: gzip,deflate,sdch
Accept-Language: ru-RU,ru;q=0.8,en-US;q=0.6,en;q=0.4
Accept-Charset: windows-1251,utf-8;q=0.7,*;q=0.3
Cookie: PREF=ID=1130536106638521:U=2fe5916f4713855a:FF=0:TM=1330580105:LM=1330926346:GM=1:S=PzBxLQ4bw9Tnsah1; NID=58=JbPckiTCImEFA1gnp2-pVh0CaXzQw3Zs7UJLDtG3Tpjw9KqHRSkwJx2Etu7W75saUNOF_TsfuIKYxA1LHpdDV0Nvq45CQm4vVdChZWTHtGYUcX3bFbobVP2JxC8WcLj1XVUasenw5UCmJQL2KK6VxFjVd4KlUy8TgNpzUw6zehkyL81dumILNeOkhw; HSID=A6DmZ3kennZqk3VJv; APISID=5nXLH9U5B0s9GABq/Ab4M271H-R8961V1X; SID=DQAAAKMAAAAAMaLSsk9HTq6FfHbFGsnp5u6700rhnXYyX1u2XyQertJrI1F6KD_Naly_0qQXHPwjRr-AUuQjzVg4Ii5XQeEuV53Qz7kLaxVUhekhd8ZJqsBj_2WcPgNdY1jYp_0b7P-cWCBURPjqyXo1W-6dkQAAfiCOwmXUFdQwDQxVr5XQxM-TeK88peiJ3dQRHUEPxRXVwZ2_HBFsgawgMlI2c_f9kNC3ehg7xjcB9ZUMZ6FaLQ
В логах squid:
1336991449.548      0 192.168.250.193 TCP_DENIED/400 2658 POST NONE:// - NONE/- text/html
1336991453.392      0 192.168.250.193 TCP_DENIED/400 2658 POST NONE:// - NONE/- text/html
1336991458.138      0 192.168.250.193 TCP_DENIED/400 2658 POST NONE:// - NONE/- text/html
1336991462.693      0 192.168.250.193 TCP_DENIED/400 2658 POST NONE:// - NONE/- text/html
1336991467.911      0 192.168.250.193 TCP_DENIED/400 2658 POST NONE:// - NONE/- text/html
1336991472.360      0 192.168.250.193 TCP_DENIED/400 2658 POST NONE:// - NONE/- text/html
1336991474.809      0 192.168.250.193 TCP_DENIED/400 2488 POST NONE:// - NONE/- text/html
1336991475.875      0 192.168.250.193 TCP_DENIED/400 2658 POST NONE:// - NONE/- text/html
1336991478.254      0 192.168.250.193 TCP_DENIED/400 2658 POST NONE:// - NONE/- text/html

В поисковиках ничего не нашел.
Помогите кто чем может

Содержание

Маршрутизация пакетов между серверами,shadow_alone, 15:19 , 14-Май-12
- Маршрутизация пакетов между серверами,fomim, 15:31 , 14-Май-12
  - Маршрутизация пакетов между серверами,shadow_alone, 15:36 , 14-Май-12
    - Маршрутизация пакетов между серверами,fomim, 15:46 , 14-Май-12
      - Маршрутизация пакетов между серверами,shadow_alone, 15:50 , 14-Май-12
        
        Маршрутизация пакетов между серверами,fomim, 15:53 , 14-Май-12
        
        Маршрутизация пакетов между серверами,fomim, 16:06 , 14-Май-12
        
        Маршрутизация пакетов между серверами,shadow_alone, 16:09 , 14-Май-12
        
        Маршрутизация пакетов между серверами,fomim, 16:16 , 14-Май-12
        
        Маршрутизация пакетов между серверами,shadow_alone, 16:25 , 14-Май-12
        
        Маршрутизация пакетов между серверами,fomim, 16:43 , 14-Май-12
        
        Маршрутизация пакетов между серверами,shadow_alone, 16:44 , 14-Май-12
        
        Маршрутизация пакетов между серверами,fomim, 16:55 , 14-Май-12

Сообщения в этом обсуждении

"Маршрутизация пакетов между серверами"
Отправлено shadow_alone , 14-Май-12 15:19

А в squid разрешена подсеть 192.168.250.0/24 ?

"Маршрутизация пакетов между серверами"
Отправлено fomim , 14-Май-12 15:31

> А в squid разрешена подсеть 192.168.250.0/24 ?
разрешена эта подсеть и локальная 192,168,95,0/24

"Маршрутизация пакетов между серверами"
Отправлено shadow_alone , 14-Май-12 15:36

>> А в squid разрешена подсеть 192.168.250.0/24 ?
> разрешена эта подсеть и локальная 192,168,95,0/24
Надеюсь в настройках squid есть transparent ?
А работает ли, если прописать прокси в браузере?

"Маршрутизация пакетов между серверами"
Отправлено fomim , 14-Май-12 15:46

>>> А в squid разрешена подсеть 192.168.250.0/24 ?
>> разрешена эта подсеть и локальная 192,168,95,0/24
> Надеюсь в настройках squid  есть transparent ?
> А работает ли, если прописать прокси в браузере?
Если прописать в браузере работает.
Сейчас добавил transparent, заработало.
Но я изменил правила в iptablese:
На vpn сервере все пакеты с подсети 192,168,250,0/24 направил на 192,168,95,5
DNAT       tcp  --  192.168.250.0/24     anywhere            to:192.168.95.5
А на машине где squid все пакеты на порт 80 перенаправляю на 3128
REDIRECT   tcp  --  192.168.250.0/24     anywhere            tcp dpt:www redir ports 3128
А раньше при добавлении параметра transparent браузер говорил что страница не доступна

"Маршрутизация пакетов между серверами"
Отправлено shadow_alone , 14-Май-12 15:50

> На vpn сервере все пакеты с подсети 192,168,250,0/24 направил на 192,168,95,5
Зачем все то? достаточно было только то что ломиться на 80 порт.

"Маршрутизация пакетов между серверами"
Отправлено fomim , 14-Май-12 15:53

>> На vpn сервере все пакеты с подсети 192,168,250,0/24 направил на 192,168,95,5
> Зачем все то? достаточно было только то что ломиться на 80 порт.
Это было для эксперимента. Щаз поправлю

"Маршрутизация пакетов между серверами"
Отправлено fomim , 14-Май-12 16:06

>>> На vpn сервере все пакеты с подсети 192,168,250,0/24 направил на 192,168,95,5
>> Зачем все то? достаточно было только то что ломиться на 80 порт.
> Это было для эксперимента. Щаз поправлю
Теперь другая проблема. Не работает https. Тот же гугл не открывается говорит:
Ошибка подключения SSL
Не удается создать безопасное соединение с сервером. На сервере могла возникнуть проблема, или необходим сертификат клиентской аутентификации, который у вас отсутствует.
Ошибка 107 (net::ERR_SSL_PROTOCOL_ERROR): Ошибка протокола SSL.
В логах squida ничего нет.
В iptables добавил запись:
REDIRECT   tcp  --  192.168.250.0/24     anywhere            tcp dpt:https redir ports 3128
Не помогло.
Может что нибудь в конфиге squida не так?
cat /etc/squid/squid.conf

acl SaveNet src 192.168.250.0/24
acl LocalNet src 192.168.95.0/24
acl squid_block_badlang url_regex -i "/etc/squid/squidblock/badlang.block.txt"
acl squid_unblock_badlang url_regex -i "/etc/squid/squidblock/badlang.unblock.txt"
acl squid_block_entertain url_regex -i "/etc/squid/squidblock/entertain.block.txt"
acl squid_unblock_entertain url_regex -i "/etc/squid/squidblock/entertain.unblock.txt"
acl squid_block_games url_regex -i "/etc/squid/squidblock/games.block.txt"
acl squid_unblock_games url_regex -i "/etc/squid/squidblock/games.unblock.txt"
acl squid_block_pirate url_regex -i "/etc/squid/squidblock/pirate.block.txt"
acl squid_block_mp3 url_regex -i "/etc/squid/squidblock/mp3.block.txt"
acl squid_unblock_pirate url_regex -i "/etc/squid/squidblock/pirate.unblock.txt"
acl squid_block_porn url_regex -i "/etc/squid/squidblock/porn.block.txt pron.block.txt"
acl squid_unblock_porn url_regex -i "/etc/squid/squidblock/porn.unblock.txt"
acl BANNER url_regex -i banner reklama linkexch medialand m3_images loveplanet vba\.ru vkontakte udaff fishki .flv xyandex rutube smotri youtube tvigle odnoklassniki odnolkassniki odnonochniki odnotrahniki odnoclassniki tetsex mamba .swf trinixy .gif1 http://my.mail.ru
acl all src all
acl SSL_ports port 443          # https
acl SSL_ports port 563          # snews
acl SSL_ports port 873          # rsync
acl Safe_ports port 80          # http
acl Safe_ports port 21          # ftp
acl Safe_ports port 443         # https
acl Safe_ports port 70          # gopher
acl Safe_ports port 210         # wais
acl Safe_ports port 1025-65535  # unregistered ports
acl Safe_ports port 280         # http-mgmt
acl Safe_ports port 488         # gss-http
acl Safe_ports port 591         # filemaker
acl Safe_ports port 777         # multiling http
acl Safe_ports port 631         # cups
acl Safe_ports port 873         # rsync
acl Safe_ports port 901         # SWAT
acl purge method PURGE
acl CONNECT method CONNECT
http_access allow SaveNet
http_access allow LocalNet
http_access deny LocalNet squid_block_porn
http_access deny all
icp_access allow localnet
icp_access deny all
http_port 3128 transparent
hierarchy_stoplist cgi-bin ?
access_log /var/log/squid/access.log squid
refresh_pattern ^ftp:         &n... 1440    20%     10080
refresh_pattern ^gopher:        1440    0%      1440
refresh_pattern -i (/cgi-bin/|\?) 0     0%      0
refresh_pattern (Release|Packages(.gz)*)$       0       20%     2880
refresh_pattern .               0       20%     4320
acl shoutcast rep_header X-HTTP09-First-Line ^ICY.[0-9]
upgrade_http0.9 deny shoutcast
acl apache rep_header Server ^Apache
broken_vary_encoding allow apache
extension_methods REPORT MERGE MKACTIVITY CHECKOUT
hosts_file /etc/hosts
coredump_dir /var/spool/squid

"Маршрутизация пакетов между серверами"
Отправлено shadow_alone , 14-Май-12 16:09

http_access allow CONNECT SSL_ports

"Маршрутизация пакетов между серверами"
Отправлено fomim , 14-Май-12 16:16

> http_access allow CONNECT SSL_ports
Не помогло. Все та же ошибка
В логах squida
1336997861.145      0 192.168.250.193 TCP_DENIED/400 1729 NONE NONE:// - NONE/- text/html
1336997864.823    118 192.168.250.193 TCP_MISS/302 646 GET http://www.google.ru/ - DIRECT/173.194.32.31 text/html
1336997864.922    123 192.168.250.193 TCP_MISS/200 645 GET http://www.google.ru/complete/search? - DIRECT/173.194.32.23 text/javascript
1336997864.974     73 192.168.250.193 TCP_MISS/302 646 GET http://www.google.ru/ - DIRECT/173.194.32.31 text/html
1336997864.979      0 192.168.250.193 TCP_DENIED/400 1729 NONE NONE:// - NONE/- text/html
1336997870.387     80 192.168.250.193 TCP_MISS/200 615 GET http://www.google.ru/complete/search? - DIRECT/173.194.32.31 text/javascript
1336997870.509      0 192.168.250.193 TCP_DENIED/400 1729 NONE NONE:// - NONE/- text/html
1336997870.582     73 192.168.250.193 TCP_MISS/302 646 GET http://www.google.ru/ - DIRECT/173.194.32.31 text/html
1336997870.588      0 192.168.250.193 TCP_DENIED/400 1729 NONE NONE:// - NONE/- text/html
1336997879.196  45310 192.168.250.193 TCP_MISS/200 292 POST http://lc02.zopim.com/poll - DIRECT/173.231.142.98 -

"Маршрутизация пакетов между серверами"
Отправлено shadow_alone , 14-Май-12 16:25

куда вставили в конфиг? до deny?

"Маршрутизация пакетов между серверами"
Отправлено fomim , 14-Май-12 16:43

> куда вставили в конфиг? до deny?
acl purge method PURGE
acl CONNECT method CONNECT
http_access allow SaveNet
http_access allow LocalNet
http_access allow SaveNet SSL_ports

"Маршрутизация пакетов между серверами"
Отправлено shadow_alone , 14-Май-12 16:44

>> куда вставили в конфиг? до deny?
> acl purge method PURGE
> acl CONNECT method CONNECT
> http_access allow SaveNet
> http_access allow LocalNet
> http_access allow SaveNet SSL_ports
Вы что, не видите что я Вам написал, и что за хрень вы вставили в конфиг?

"Маршрутизация пакетов между серверами"
Отправлено fomim , 14-Май-12 16:55

>>> куда вставили в конфиг? до deny?
>> acl purge method PURGE
>> acl CONNECT method CONNECT
>> http_access allow SaveNet
>> http_access allow LocalNet
>> http_access allow SaveNet SSL_ports
> Вы что, не видите что я Вам написал, и что за хрень
> вы вставили в конфиг?
Прошу прощения
acl Safe_ports port 591         # filemaker
acl Safe_ports port 777         # multiling http
acl Safe_ports port 631         # cups
acl Safe_ports port 873         # rsync
acl Safe_ports port 901         # SWAT
acl purge method PURGE
acl CONNECT method CONNECT
http_access allow CONNECT SSL_ports
http_access allow SaveNet
http_access allow LocalNet
но проблема не решилась