Squid c firewall (iptables) не работает.
Система Linux (debian).
Какие порты в iptables надо открыть, чтоб squid работал.
без iptables squid работает замечательно, а вместе никак.
Порт 3128 на котором squid слушает, - открыт в iptables.

• Squid c firewall (iptables) не работает,Gennadi, 18:09 , 14-Окт-03
  • Squid c firewall (iptables) не работает,GrifinV, 18:37 , 14-Окт-03
    • Squid c firewall (iptables) не работает,Camb, 23:41 , 14-Окт-03
      • Squid c firewall (iptables) не работает,GrifinV, 10:31 , 15-Окт-03
• Squid c firewall (iptables) не работает,Korvin1975, 07:49 , 15-Окт-03
  • Squid c firewall (iptables) не работает,GrifinV, 10:45 , 15-Окт-03
    • Squid c firewall (iptables) не работает,Camb, 11:43 , 15-Окт-03
      • Squid c firewall (iptables) не работает,Nvv, 12:09 , 15-Окт-03
        • Squid c firewall (iptables) не работает,Mikhail, 12:14 , 15-Окт-03
          • Squid c firewall (iptables) не работает,Nvv, 13:01 , 15-Окт-03
            • Squid c firewall (iptables) не работает,igor, 11:54 , 16-Окт-03
• Squid c firewall (iptables) не работает,MaDMaN, 16:31 , 17-Окт-03

>Squid c firewall (iptables) не работает.
>Система Linux (debian).
>Какие порты в iptables надо открыть, чтоб squid работал.
>без iptables squid работает замечательно, а вместе никак.
>Порт 3128 на котором squid слушает, - открыт в iptables.

Порт 3128 на котором squid слушает, - открыт в iptables.

С какой стороны открыт?
Из интернет или локальной сети?

>Порт 3128 на котором squid слушает, - открыт в iptables.
>
>С какой стороны открыт?
>Из интернет или локальной сети?

и там и там

>>Порт 3128 на котором squid слушает, - открыт в iptables.
>>
>>С какой стороны открыт?
>>Из интернет или локальной сети?
>
>и там и там

а непосредственно с этой машины попробуй в инете полазать (lynx'ом)

>а непосредственно с этой машины попробуй в инете полазать (lynx'ом)

на этой машине инет есть, все ок

Правила файрвола покажи.

>Правила файрвола покажи.

iptables -F

#eth0 √ loc
#eth1 - inet

iptables -A INPUT -i eth0 -j ACCEPT

iptables -A INPUT -i eth1 -p tcp --dport 21 -j ACCEPT
iptables -A INPUT -i eth1 -p tcp --dport 22 -j ACCEPT
iptables -A INPUT -i eth1 -p tcp --dport 53 -j ACCEPT
iptables -A INPUT -i eth1 -p udp --dport 53 -j ACCEPT
iptables -A INPUT -i eth1 -p tcp --dport 139 -j ACCEPT
iptables -A INPUT -i eth1 -p tcp --dport 80 -j ACCEPT
iptables -A INPUT -i eth1 -p tcp --dport 8080 -j ACCEPT
iptables -A INPUT -i eth1 -p tcp --dport 443 -j ACCEPT
iptables -A INPUT -i eth1 -p tcp --dport 5190 -j ACCEPT
iptables -A INPUT -i eth1 -p tcp --dport 3128 -j ACCEPT

iptables -A INPUT -p icmp --icmp-type 3 -j ACCEPT
iptables -A INPUT -p icmp --icmp-type 5 -j ACCEPT
iptables -A INPUT -p icmp --icmp-type 8 -j ACCEPT
iptables -A INPUT -p icmp --icmp-type 11 -j ACCEPT

iptables -A INPUT -i eth1 -j DROP

iptables -t nat -A PREROUTING -i eth1 -p tcp --dport 80 -j REDIRECT --to-port 3128
iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 80 -j REDIRECT --to-port 3128

iptables -t nat -A POSTROUTING -o eth1 -s 172.16.0.0/24 -j MASQUERADE

>>Правила файрвола покажи.
>
>iptables -F
>
>#eth0 √ loc
>#eth1 - inet
>
>iptables -A INPUT -i eth0 -j ACCEPT
>
>iptables -A INPUT -i eth1 -p tcp --dport 21 -j ACCEPT
>iptables -A INPUT -i eth1 -p tcp --dport 22 -j ACCEPT
>iptables -A INPUT -i eth1 -p tcp --dport 53 -j ACCEPT
>iptables -A INPUT -i eth1 -p udp --dport 53 -j ACCEPT
>iptables -A INPUT -i eth1 -p tcp --dport 139 -j ACCEPT
>iptables -A INPUT -i eth1 -p tcp --dport 80 -j ACCEPT
>iptables -A INPUT -i eth1 -p tcp --dport 8080 -j ACCEPT
>iptables -A INPUT -i eth1 -p tcp --dport 443 -j ACCEPT
>iptables -A INPUT -i eth1 -p tcp --dport 5190 -j ACCEPT
>iptables -A INPUT -i eth1 -p tcp --dport 3128 -j ACCEPT
>
^^ - для чего столько открытых портов на внешнме интерйесе?? 3128? 5190??

>iptables -A INPUT -p icmp --icmp-type 3 -j ACCEPT
>iptables -A INPUT -p icmp --icmp-type 5 -j ACCEPT
>iptables -A INPUT -p icmp --icmp-type 8 -j ACCEPT
>iptables -A INPUT -p icmp --icmp-type 11 -j ACCEPT
>
>iptables -A INPUT -i eth1 -j DROP
>
>iptables -t nat -A PREROUTING -i eth1 -p tcp --dport 80 -j
>REDIRECT --to-port 3128
>iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 80 -j
>REDIRECT --to-port 3128
^^
думаю, можно убрать прозрачное проксирование
>
>iptables -t nat -A POSTROUTING -o eth1 -s 172.16.0.0/24 -j MASQUERADE

таким образом, в броузерах кажешь прокси: <ip-server'a> : 3128
и должно работать..

может не работает из-за того что squid не сконфигурирован для прозрачного проксирования (вроде там тоже че-то надо менять)

пробуй..

>>>Правила файрвола покажи.
>>
>>iptables -F
>>
>>#eth0 √ loc
>>#eth1 - inet
>>
>>iptables -A INPUT -i eth0 -j ACCEPT
>>
>>iptables -A INPUT -i eth1 -p tcp --dport 21 -j ACCEPT
>>iptables -A INPUT -i eth1 -p tcp --dport 22 -j ACCEPT
>>iptables -A INPUT -i eth1 -p tcp --dport 53 -j ACCEPT
>>iptables -A INPUT -i eth1 -p udp --dport 53 -j ACCEPT
>>iptables -A INPUT -i eth1 -p tcp --dport 139 -j ACCEPT
>>iptables -A INPUT -i eth1 -p tcp --dport 80 -j ACCEPT
>>iptables -A INPUT -i eth1 -p tcp --dport 8080 -j ACCEPT
>>iptables -A INPUT -i eth1 -p tcp --dport 443 -j ACCEPT
>>iptables -A INPUT -i eth1 -p tcp --dport 5190 -j ACCEPT
>>iptables -A INPUT -i eth1 -p tcp --dport 3128 -j ACCEPT
>>
>^^ - для чего столько открытых портов на внешнме интерйесе?? 3128? 5190??
>
>
>>iptables -A INPUT -p icmp --icmp-type 3 -j ACCEPT
>>iptables -A INPUT -p icmp --icmp-type 5 -j ACCEPT
>>iptables -A INPUT -p icmp --icmp-type 8 -j ACCEPT
>>iptables -A INPUT -p icmp --icmp-type 11 -j ACCEPT
>>
>>iptables -A INPUT -i eth1 -j DROP
>>
>>iptables -t nat -A PREROUTING -i eth1 -p tcp --dport 80 -j
>>REDIRECT --to-port 3128
>>iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 80 -j
>>REDIRECT --to-port 3128
>^^
>думаю, можно убрать прозрачное проксирование
>>
>>iptables -t nat -A POSTROUTING -o eth1 -s 172.16.0.0/24 -j MASQUERADE
>
>
>таким образом, в броузерах кажешь прокси: <ip-server'a> : 3128
>и должно работать..
>
>может не работает из-за того что squid не сконфигурирован для прозрачного проксирования
>(вроде там тоже че-то надо менять)
>
>пробуй..

У меня такая же фигня. Прозрачное проксирование не работает. 2 недели ковырял. Так когда в браузере указываю прокси то все работает. И специально для Camp, Squid скомпелирован с поддрежкой iptables (т.е. для прозрачного проксирования). Так что делать непонятно. Если еще кто наковыряет чего напишите пожалуйста

Проблема обсуждалась много раз. Народ, проверьте настройки, статьи о прозрачном (и не только) прокси на http://squid.opennet.ru

>Проблема обсуждалась много раз. Народ, проверьте настройки, статьи о прозрачном (и не
>только) прокси на http://squid.opennet.ru

Бальшое спасибо за помощь, но я вот тут поставил OpenBSD, где настроил пакетный фильтр PF с редиректом на 3128 порт, и все работает. Все настройки Squd по дефолту, ничего особенного. В чем тут дело

Жаль подсказать ничего не могу ибо мои познания линуксового фареволла закончились на ipchains и очень давно -- но точно помню там прозрачное проксирование работало без проблемм

Сейчас на freebsd and netbsd стоит прозрачное проксирование и работает без проблемм -- причем замечу что особых извращений с настройками скрива не делалось -- все как в манах и описанию дефолтного конфига

вот так вот

>Squid c firewall (iptables) не работает.
>Система Linux (debian).
>Какие порты в iptables надо открыть, чтоб squid работал.
>без iptables squid работает замечательно, а вместе никак.
>Порт 3128 на котором squid слушает, - открыт в iptables.

Когда-то тоже сталкнулся с такой проблемой, всего лишь надо разрешить ходить с/на интерфейс lo отвсюду и все!