Squid c firewall (iptables) не работает.
Система Linux (debian).
Какие порты в iptables надо открыть, чтоб squid работал.
без iptables squid работает замечательно, а вместе никак.
Порт 3128 на котором squid слушает, - открыт в iptables.
>Squid c firewall (iptables) не работает.
>Система Linux (debian).
>Какие порты в iptables надо открыть, чтоб squid работал.
>без iptables squid работает замечательно, а вместе никак.
>Порт 3128 на котором squid слушает, - открыт в iptables.
Порт 3128 на котором squid слушает, - открыт в iptables.С какой стороны открыт?
Из интернет или локальной сети?
>Порт 3128 на котором squid слушает, - открыт в iptables.
>
>С какой стороны открыт?
>Из интернет или локальной сети?и там и там
>>Порт 3128 на котором squid слушает, - открыт в iptables.
>>
>>С какой стороны открыт?
>>Из интернет или локальной сети?
>
>и там и тама непосредственно с этой машины попробуй в инете полазать (lynx'ом)
>а непосредственно с этой машины попробуй в инете полазать (lynx'ом)на этой машине инет есть, все ок
Правила файрвола покажи.
>Правила файрвола покажи.iptables -F
#eth0 √ loc
#eth1 - inetiptables -A INPUT -i eth0 -j ACCEPT
iptables -A INPUT -i eth1 -p tcp --dport 21 -j ACCEPT
iptables -A INPUT -i eth1 -p tcp --dport 22 -j ACCEPT
iptables -A INPUT -i eth1 -p tcp --dport 53 -j ACCEPT
iptables -A INPUT -i eth1 -p udp --dport 53 -j ACCEPT
iptables -A INPUT -i eth1 -p tcp --dport 139 -j ACCEPT
iptables -A INPUT -i eth1 -p tcp --dport 80 -j ACCEPT
iptables -A INPUT -i eth1 -p tcp --dport 8080 -j ACCEPT
iptables -A INPUT -i eth1 -p tcp --dport 443 -j ACCEPT
iptables -A INPUT -i eth1 -p tcp --dport 5190 -j ACCEPT
iptables -A INPUT -i eth1 -p tcp --dport 3128 -j ACCEPTiptables -A INPUT -p icmp --icmp-type 3 -j ACCEPT
iptables -A INPUT -p icmp --icmp-type 5 -j ACCEPT
iptables -A INPUT -p icmp --icmp-type 8 -j ACCEPT
iptables -A INPUT -p icmp --icmp-type 11 -j ACCEPTiptables -A INPUT -i eth1 -j DROP
iptables -t nat -A PREROUTING -i eth1 -p tcp --dport 80 -j REDIRECT --to-port 3128
iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 80 -j REDIRECT --to-port 3128iptables -t nat -A POSTROUTING -o eth1 -s 172.16.0.0/24 -j MASQUERADE
>>Правила файрвола покажи.
>
>iptables -F
>
>#eth0 √ loc
>#eth1 - inet
>
>iptables -A INPUT -i eth0 -j ACCEPT
>
>iptables -A INPUT -i eth1 -p tcp --dport 21 -j ACCEPT
>iptables -A INPUT -i eth1 -p tcp --dport 22 -j ACCEPT
>iptables -A INPUT -i eth1 -p tcp --dport 53 -j ACCEPT
>iptables -A INPUT -i eth1 -p udp --dport 53 -j ACCEPT
>iptables -A INPUT -i eth1 -p tcp --dport 139 -j ACCEPT
>iptables -A INPUT -i eth1 -p tcp --dport 80 -j ACCEPT
>iptables -A INPUT -i eth1 -p tcp --dport 8080 -j ACCEPT
>iptables -A INPUT -i eth1 -p tcp --dport 443 -j ACCEPT
>iptables -A INPUT -i eth1 -p tcp --dport 5190 -j ACCEPT
>iptables -A INPUT -i eth1 -p tcp --dport 3128 -j ACCEPT
>
^^ - для чего столько открытых портов на внешнме интерйесе?? 3128? 5190??>iptables -A INPUT -p icmp --icmp-type 3 -j ACCEPT
>iptables -A INPUT -p icmp --icmp-type 5 -j ACCEPT
>iptables -A INPUT -p icmp --icmp-type 8 -j ACCEPT
>iptables -A INPUT -p icmp --icmp-type 11 -j ACCEPT
>
>iptables -A INPUT -i eth1 -j DROP
>
>iptables -t nat -A PREROUTING -i eth1 -p tcp --dport 80 -j
>REDIRECT --to-port 3128
>iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 80 -j
>REDIRECT --to-port 3128
^^
думаю, можно убрать прозрачное проксирование
>
>iptables -t nat -A POSTROUTING -o eth1 -s 172.16.0.0/24 -j MASQUERADE
таким образом, в броузерах кажешь прокси: <ip-server'a> : 3128
и должно работать..может не работает из-за того что squid не сконфигурирован для прозрачного проксирования (вроде там тоже че-то надо менять)
пробуй..
>>>Правила файрвола покажи.
>>
>>iptables -F
>>
>>#eth0 √ loc
>>#eth1 - inet
>>
>>iptables -A INPUT -i eth0 -j ACCEPT
>>
>>iptables -A INPUT -i eth1 -p tcp --dport 21 -j ACCEPT
>>iptables -A INPUT -i eth1 -p tcp --dport 22 -j ACCEPT
>>iptables -A INPUT -i eth1 -p tcp --dport 53 -j ACCEPT
>>iptables -A INPUT -i eth1 -p udp --dport 53 -j ACCEPT
>>iptables -A INPUT -i eth1 -p tcp --dport 139 -j ACCEPT
>>iptables -A INPUT -i eth1 -p tcp --dport 80 -j ACCEPT
>>iptables -A INPUT -i eth1 -p tcp --dport 8080 -j ACCEPT
>>iptables -A INPUT -i eth1 -p tcp --dport 443 -j ACCEPT
>>iptables -A INPUT -i eth1 -p tcp --dport 5190 -j ACCEPT
>>iptables -A INPUT -i eth1 -p tcp --dport 3128 -j ACCEPT
>>
>^^ - для чего столько открытых портов на внешнме интерйесе?? 3128? 5190??
>
>
>>iptables -A INPUT -p icmp --icmp-type 3 -j ACCEPT
>>iptables -A INPUT -p icmp --icmp-type 5 -j ACCEPT
>>iptables -A INPUT -p icmp --icmp-type 8 -j ACCEPT
>>iptables -A INPUT -p icmp --icmp-type 11 -j ACCEPT
>>
>>iptables -A INPUT -i eth1 -j DROP
>>
>>iptables -t nat -A PREROUTING -i eth1 -p tcp --dport 80 -j
>>REDIRECT --to-port 3128
>>iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 80 -j
>>REDIRECT --to-port 3128
>^^
>думаю, можно убрать прозрачное проксирование
>>
>>iptables -t nat -A POSTROUTING -o eth1 -s 172.16.0.0/24 -j MASQUERADE
>
>
>таким образом, в броузерах кажешь прокси: <ip-server'a> : 3128
>и должно работать..
>
>может не работает из-за того что squid не сконфигурирован для прозрачного проксирования
>(вроде там тоже че-то надо менять)
>
>пробуй..У меня такая же фигня. Прозрачное проксирование не работает. 2 недели ковырял. Так когда в браузере указываю прокси то все работает. И специально для Camp, Squid скомпелирован с поддрежкой iptables (т.е. для прозрачного проксирования). Так что делать непонятно. Если еще кто наковыряет чего напишите пожалуйста
Проблема обсуждалась много раз. Народ, проверьте настройки, статьи о прозрачном (и не только) прокси на http://squid.opennet.ru
>Проблема обсуждалась много раз. Народ, проверьте настройки, статьи о прозрачном (и не
>только) прокси на http://squid.opennet.ruБальшое спасибо за помощь, но я вот тут поставил OpenBSD, где настроил пакетный фильтр PF с редиректом на 3128 порт, и все работает. Все настройки Squd по дефолту, ничего особенного. В чем тут дело
Жаль подсказать ничего не могу ибо мои познания линуксового фареволла закончились на ipchains и очень давно -- но точно помню там прозрачное проксирование работало без проблемм
Сейчас на freebsd and netbsd стоит прозрачное проксирование и работает без проблемм -- причем замечу что особых извращений с настройками скрива не делалось -- все как в манах и описанию дефолтного конфига
вот так вот
>Squid c firewall (iptables) не работает.
>Система Linux (debian).
>Какие порты в iptables надо открыть, чтоб squid работал.
>без iptables squid работает замечательно, а вместе никак.
>Порт 3128 на котором squid слушает, - открыт в iptables.
Когда-то тоже сталкнулся с такой проблемой, всего лишь надо разрешить ходить с/на интерфейс lo отвсюду и все!