URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID12
Нить номер: 6887
[ Назад ]

Исходное сообщение
"Прозрачный прокси и ACL"

Отправлено kolka88 , 01-Окт-12 03:46 
Доброго времени суток ув. форумчане.
Прошу вашей помощи в таком вопросе, я настроил на винде 2008R2 сквид, через отдельный роутер сделал заворот входящего траффика с портом 80 на прокси, траффик заворачивается все отлично, но у меня отчего то ACL не правильно отрабатывается или я все таки не донастроил что - то. Помогите плз, выкладываю тут кусок конфига непосредственно с ACL.

acl ALL  src    192.168.1.2-192.168.1.50
acl OIT  src    192.168.1.50-192.168.1.51
acl ALL2 src    192.168.1.52-192.168.1.255

acl allow_hosts dstdomain .beztrud.narod.ru
acl multimedia urlpath_regex "C:/squid/etc/block_multimedia.acl"
acl block dstdomain "C:/squid/etc/block.acl"
acl lanch2 time 08:00-9:00
acl lanch time 12:00-13:00


http_access allow OIT block
http_access allow OIT multimedia
http_access allow ALL lanch    block
http_access allow ALL2 lanch    block
http_access allow ALL lanch2 block
http_access allow ALL2 lanch2 block
http_access deny ALL block
http_access deny ALL2 block
http_access deny ALL multimedia
http_access deny ALL2 multimedia

При такой конфигурации я имея ip адрес 192.168.1.51 получаю блок по данному правилу
acl block dstdomain "C:/squid/etc/block.acl"
также не работает и данное правило acl multimedia urlpath_regex "C:/squid/etc/block_multimedia.acl"

Когда я его не делал прозрачным все работало хорошо. А как сделал прозрачным так перестало.


Содержание

Сообщения в этом обсуждении
"Прозрачный прокси и ACL"
Отправлено PavelR , 01-Окт-12 08:26 
> При такой конфигурации я имея ip адрес 192.168.1.51 получаю блок по данному
> правилу  acl block dstdomain "C:/squid/etc/block.acl"

Это не правило, которое блокирует. Это проверка.

> также не работает и данное правило acl multimedia urlpath_regex "C:/squid/etc/block_multimedia.acl"

Это тоже не правило. Правила, которые определяют - пустить или нет, они ниже по конфигу, и основываются на результатах проверок.

> Когда я его не делал прозрачным все работало хорошо. А как сделал
> прозрачным так перестало.

В логи смотреть пытались? в access-log? (смотреть надо айпишник запроса).



"Прозрачный прокси и ACL"
Отправлено kolka88 , 01-Окт-12 08:59 
>> При такой конфигурации я имея ip адрес 192.168.1.51 получаю блок по данному
>> правилу  acl block dstdomain "C:/squid/etc/block.acl"
> Это не правило, которое блокирует. Это проверка.
>> также не работает и данное правило acl multimedia urlpath_regex "C:/squid/etc/block_multimedia.acl"
> Это тоже не правило. Правила, которые определяют - пустить или нет, они
> ниже по конфигу, и основываются на результатах проверок.
>> Когда я его не делал прозрачным все работало хорошо. А как сделал
>> прозрачным так перестало.
> В логи смотреть пытались? в access-log? (смотреть надо айпишник запроса).

Я понимаю что не правило, правило написано ниже. Но оно не работает... отчего то оно не блочит то что нужно, сейчас у меня конфиг выглядит так:

#Recommended minimum configuration:
acl all src all
acl manager proto cache_object
acl localhost src 127.0.0.1/32
acl to_localhost dst 127.0.0.0/8 0.0.0.0/32
#
# Example rule allowing access from your local networks.
# Adapt to list your (internal) IP networks from where browsing
# should be allowed
#acl localnet src 10.0.0.0/8    # RFC1918 possible internal network
#acl localnet src 172.16.0.0/12    # RFC1918 possible internal network
#acl localnet src 192.168.0.0/16    # RFC1918 possible internal network
#Прописываем подсеть для доступа в интернет.
acl localnet src 192.168.1.0/24    # RFC1918 possible internal network

#
acl SSL_ports port 443
acl Safe_ports port 80        # http
acl Safe_ports port 21        # ftp
acl Safe_ports port 443        # https
acl Safe_ports port 70        # gopher
acl Safe_ports port 210        # wais
acl Safe_ports port 1025-65535    # unregistered ports
acl Safe_ports port 280        # http-mgmt
acl Safe_ports port 488        # gss-http
acl Safe_ports port 591        # filemaker
acl Safe_ports port 777        # multiling http
acl CONNECT method CONNECT

acl admin src 192.168.1.51
acl bug src 192.168.1.11 192.168.1.12 192.168.1.13 192.168.1.14 192.168.1.17
acl omto src 192.168.1.21 192.168.1.24 192.168.1.28
acl op src 192.168.1.31 192.168.1.32 192.168.1.33 192.168.1.34
acl peo src 192.168.1.41 192.168.1.42 192.168.1.43 192.168.1.45 192.168.1.47 192.168.1.64
acl ok src 192.168.1.52 192.168.1.53 192.168.1.54
acl ruk src 192.168.1.61 192.168.1.68


acl allow_hosts dstdomain .beztrud.narod.ru
acl multimedia urlpath_regex "C:/squid/etc/block_multimedia.acl"
acl block dstdomain "C:/squid/etc/block.acl"
acl lanch2 time 08:00-9:00
acl lanch time 12:00-13:00


http_access allow admin lanch block
http_access allow admin lanch2 block
http_access allow bug lanch    block
http_access allow bug lanch2 block
http_access allow omto lanch    block
http_access allow omto lanch2 block
http_access allow op lanch    block
http_access allow op lanch2 block
http_access allow peo lanch    block
http_access allow peo lanch2 block
http_access allow ok lanch    block
http_access allow ok lanch2 block
http_access allow ruk lanch    block
http_access allow ruk lanch2 block
http_access deny bug block
http_access deny bug multimedia
http_access deny omto block
http_access deny omto multimedia
http_access deny op block
http_access deny op multimedia
http_access deny peo block
http_access deny peo multimedia
http_access deny ok block
http_access deny ok multimedia
http_access deny ruk block
http_access deny ruk multimedia
http_access deny admin block
http_access deny admin multimedia

И все равно получается что загрузка файлов mp3 идет, хотя в файле block_multimedia.acl это расширение присуттвует. Еще раз оговорюсь, что до того как я включил прозрачный прокси у меня все эти правила обрабатывались и нормально, сейчас же нет. Ведь ничего не изменилось кроме http_port 3128 transparent Скажите где что не так? Просто вроде все сделано правильно а не робит. Так же открываются те сайты которые прописаны в block.acl...


"Прозрачный прокси и ACL"
Отправлено PavelR , 01-Окт-12 09:02 
> Скажите где что не так?

Я уже сказал, но вы не осилили прочитать до конца.


"Прозрачный прокси и ACL"
Отправлено kolka88 , 01-Окт-12 09:52 
>> Скажите где что не так?
> Я уже сказал, но вы не осилили прочитать до конца.

я вижу следующее
1349070687.736    593 192.168.1.3 TCP_MISS/200 5445 GET http://umd2.odnoklassniki.ru/getImage? - DIRECT/217.20.156.94 image/jpeg
1349070687.764    591 192.168.1.3 TCP_MISS/200 7719 GET http://umd3.odnoklassniki.ru/getImage? - DIRECT/217.20.156.95 image/jpeg
1349070687.768    520 192.168.1.3 TCP_MISS/200 6593 GET http://umd8.odnoklassniki.ru/getImage? - DIRECT/217.20.156.100 image/jpeg


192.168.1.3 это адрес роутера, Asus RT-N56U там iptables свой, на нем прописаны след правила.
iptables -t nat -A PREROUTING -s ! 192.168.1.6 -p tcp --dport 80 -j DNAT --to 192.168.1.6:3128
iptables -t nat -A POSTROUTING -s 192.168.1.0/24 -d 192.168.1.6 -j SNAT --to 192.168.1.3
iptables -A FORWARD -s 192.168.1.0/24 -d 192.168.1.6 -p tcp --dport 3128 -j ACCEPT


"Прозрачный прокси и ACL"
Отправлено kolka88 , 01-Окт-12 09:57 
>> Скажите где что не так?
> Я уже сказал, но вы не осилили прочитать до конца.

в access.log записи такого вида...

1349069870.991    290 192.168.1.3 TCP_MISS/200 3903 GET http://umd5.odnoklassniki.ru/getImage? - DIRECT/217.20.156.97 image/jpeg
1349069871.136    439 192.168.1.3 TCP_MISS/200 5798 GET http://umd4.odnoklassniki.ru/getImage? - DIRECT/217.20.156.96 image/jpeg
1349069871.137    439 192.168.1.3 TCP_MISS/200 6930 GET http://umd2.odnoklassniki.ru/getImage? - DIRECT/217.20.156.94 image/jpeg

в теории все верно, так как у меня порт 80 переадресуется на gate.


"Прозрачный прокси и ACL"
Отправлено PavelR , 01-Окт-12 10:01 
> в теории все верно

Ну и практика соответствует верной теории.


"Прозрачный прокси и ACL"
Отправлено kolka88 , 01-Окт-12 10:04 
>> в теории все верно
> Ну и практика соответствует верной теории.

А поконструктивней ответ? =)


"Прозрачный прокси и ACL"
Отправлено kolka88 , 01-Окт-12 10:26 
>>> в теории все верно
>> Ну и практика соответствует верной теории.
> А поконструктивней ответ? =)

Получается что если я прописываю адрес 192.168.1.3 в группу admin то все начинает работать... А как тогда мне сделать чтобы проксирование было отдельно по группам...? Может кто подсказать?


"Прозрачный прокси и ACL"
Отправлено kolka88 , 02-Окт-12 01:39 
>>>> в теории все верно
>>> Ну и практика соответствует верной теории.
>> А поконструктивней ответ? =)
> Получается что если я прописываю адрес 192.168.1.3 в группу admin то все
> начинает работать... А как тогда мне сделать чтобы проксирование было отдельно
> по группам...? Может кто подсказать?

Неужто никто не знает люди. Помогите разобраться.


"Прозрачный прокси и ACL"
Отправлено kolka88 , 02-Окт-12 04:41 
>>>>> в теории все верно
>>>> Ну и практика соответствует верной теории.
>>> А поконструктивней ответ? =)
>> Получается что если я прописываю адрес 192.168.1.3 в группу admin то все
>> начинает работать... А как тогда мне сделать чтобы проксирование было отдельно
>> по группам...? Может кто подсказать?
> Неужто никто не знает люди. Помогите разобраться.

Я так понимаю что все кроется вот в этой цепочке:
iptables -t nat -A POSTROUTING -s 192.168.1.0/24 -d 192.168.1.6 -j SNAT --to 192.168.1.3
так как запросы в access.log именно от адреса 192.168.1.3 как сделать то чтобы пакет не подменял этот ай пи а проходил со своим и вылетал через нат просто? то есть я понимаю так, когда клиент делает запрос по порту 80 он попадает в сквид на адрес 192.168.1.6 далее следуя этому правилу адрес от сервера который прилетает уже в роутер подменяет его на адрес который имеет шлюз (ASUS RT-N56U) и пакет улетает через нат в интернет.


"Прозрачный прокси и ACL"
Отправлено reader , 02-Окт-12 11:18 
>[оверквотинг удален]
> Я так понимаю что все кроется вот в этой цепочке:
> iptables -t nat -A POSTROUTING -s 192.168.1.0/24 -d 192.168.1.6 -j SNAT --to
> 192.168.1.3
> так как запросы в access.log именно от адреса 192.168.1.3 как сделать то
> чтобы пакет не подменял этот ай пи а проходил со своим
> и вылетал через нат просто? то есть я понимаю так, когда
> клиент делает запрос по порту 80 он попадает в сквид на
> адрес 192.168.1.6 далее следуя этому правилу адрес от сервера который прилетает
> уже в роутер подменяет его на адрес который имеет шлюз (ASUS
> RT-N56U) и пакет улетает через нат в интернет.

адрес подменяется еще в запросе который идет к 192.168.1.6, поэтому и видите всех с 192.168.1.3 адресом, такие правила делают когда есть проброс обратно в локалку. Не хотите что бы все запросы были с адресом 192.168.1.3 , выводите прокси в другую подсеть


"Прозрачный прокси и ACL"
Отправлено kolka88 , 03-Окт-12 04:26 
>[оверквотинг удален]
>> чтобы пакет не подменял этот ай пи а проходил со своим
>> и вылетал через нат просто? то есть я понимаю так, когда
>> клиент делает запрос по порту 80 он попадает в сквид на
>> адрес 192.168.1.6 далее следуя этому правилу адрес от сервера который прилетает
>> уже в роутер подменяет его на адрес который имеет шлюз (ASUS
>> RT-N56U) и пакет улетает через нат в интернет.
> адрес подменяется еще в запросе который идет к 192.168.1.6, поэтому и видите
> всех с 192.168.1.3 адресом, такие правила делают когда есть проброс обратно
> в локалку. Не хотите что бы все запросы были с адресом
> 192.168.1.3 , выводите прокси в другую подсеть

Не буду я его выводить, у меня циска едет... Ладно всем спасибо за ответы. Тему можно закрыть.