форумы  помощь  поиск  регистрация  майллист  ВХОД  слежка

Вариант для распечатки		Архивированная нить - только для чтения!  Пред. тема | След. тема
Форумы Настройка Squid и других прокси серверов (Public)
Изначальное сообщение		[Проследить за развитием треда]

"Squid и особенности прозрачной прокси..."
Сообщение от MaIron on 30-Июл-03, 19:21  (MSK)
Прошу совета у мудрейших. Т.к. сам немогу разобраться вторую неделю: Имеется: RH 7.2. Squid 2.4-6 Stable, Vpn сервер. Один внешний адрес. Внутренняя под сеть выходит через маскарад наружу. Без сквида всё работает ок. Дальше я запускаю сквид с настройками которые приведены ниже. И указываю его в настройках браузера всё летает и кеширует. Дальше я делаю на него заворот по IPTABLES(Отключаю его в настройках браузера и запрещаю к нему прямой доступ). После этого он выдаёт только те страницы на которые я заходил ранее. Имеется ввиду закешированные страницы. А наружу он невыходит. Я подозреваю что проблема в настройках маскарада после сквида. Помогите плиз его заставить работать... Настройки кольмарчика: http_port 127.0.0.1:3128 httpd_accel_host virtual httpd_accel_port 80 httpd_accel_with_proxy on httpd_accel_uses_host_header on acl all src 0.0.0.0/0.0.0.0 acl manager proto cache_object acl localhost src 127.0.0.1/255.255.255.255 acl SSL_ports port 443 563 24554 acl Safe_ports port 80 21 443 563 70 210 1025-65535 acl Safe_ports port 280 acl Safe_ports port 488 acl Safe_ports port 591 acl Safe_ports port 777 acl CONNECT method CONNECT acl mynet src 192.168.22.1-192.168.22.254/255.0.0.0 http_access allow connect http_access allow manager localhost http_access deny manager http_access allow SSL_ports http_access deny !Safe_ports http_access deny CONNECT !SSL_ports http_access allow mynet http_access deny all Настройки маршрутизации: iptables -t nat -F iptables -P INPUT ACCEPT iptables -P OUTPUT ACCEPT iptables -P FORWARD ACCEPT echo 1 > /proc/sys/net/ipv4/ip_forward iptables -t nat -A PREROUTING -p tcp --dport 3128 -j DROP iptables -A INPUT -p tcp -j ACCEPT -s 192.168.22.0/24 \-d 192.168.0.99 --dport 80 iptables -t nat -A PREROUTING -p tcp -s 192.168.22.0/24 -d 192.168.0.99 \--dport 80 -j ACCEPT iptables -t nat -A PREROUTING -p tcp -s 192.168.22.0/24 -d any/0 \--dport 80 -j REDIRECT --to-ports 3128 ???? iptables -t nat -A POSTROUTING -p tcp -s 192.168.22.0/24 -j MASQUERADE --to-ports 80 ???? С уважением Максим.
	Рекомендовать в FAQ | Cообщить модератору | Наверх

Индекс форумов | Темы | Пред. тема | След. тема

Сообщения по теме

1. "Squid и особенности прозрачной прокси..."
Сообщение от KindMan on 31-Июл-03, 06:04  (MSK)
>Настройки маршрутизации: >iptables -t nat -F >iptables -P INPUT ACCEPT >iptables -P OUTPUT ACCEPT >iptables -P FORWARD ACCEPT > >echo 1 > /proc/sys/net/ipv4/ip_forward >iptables -t nat -A PREROUTING -p tcp --dport 3128 -j DROP > >iptables -A INPUT -p tcp -j ACCEPT -s 192.168.22.0/24 \-d 192.168.0.99 --dport >80 >iptables -t nat -A PREROUTING -p tcp -s 192.168.22.0/24 -d 192.168.0.99 \--dport >80 -j ACCEPT >iptables -t nat -A PREROUTING -p tcp -s 192.168.22.0/24 -d any/0 \--dport >80 -j REDIRECT --to-ports 3128 > >???? >iptables -t nat -A POSTROUTING -p tcp -s 192.168.22.0/24 -j MASQUERADE --to-ports >80 >???? > >С уважением Максим. Сначала нужно писать разрешения, а потом запрет. А у тебя все наоборот. И получается, что ты делаешь редирект туда куда уже запретил.
	Рекомендовать в FAQ | Cообщить модератору | Наверх

	2. "Squid и особенности прозрачной прокси..."
	Сообщение от KindMan on 31-Июл-03, 06:13  (MSK)
	И почитай здесь http://gazette.linux.ru.net/rus/articles/iptables-tutorial.html А то у тебя слегка все коряво :)
		Рекомендовать в FAQ | Cообщить модератору | Наверх

	3. "Squid и особенности прозрачной прокси..."
	Сообщение от MaIron on 31-Июл-03, 10:32  (MSK)
	>Сначала нужно писать разрешения, а потом запрет. А у тебя все наоборот. >И получается, что ты делаешь редирект туда куда уже запретил. Нет я же говорю что запросы на саму проксю уходят. Прокся после редиректа открывает только ранее закешированные страницы. А новые неоткрывает. И какая разница в какой последовательности писать разрешения. Т.к. строкой iptables -t nat -A PREROUTING -p tcp --dport 3128 -j DROP я запрещаю прямой доступ к проксе. А порт 3128 остаётся открытым. >И почитай здесь >http://gazette.linux.ru.net/rus/articles/iptables-tutorial.html >А то у тебя слегка все коряво :) Я изучил инструкцию по Iptables достаточно внимательно. Там о маскарадинге всего написано пару строк и один простейший пример. А мне видимо надо настроить маскарад после прокси... :( хотя может сам сквид козявит, я слышал что его вроде надо запускать с параметром -v. А я его без него запускаю..
		Рекомендовать в FAQ | Cообщить модератору | Наверх

	4. "Squid и особенности прозрачной прокси..."
	Сообщение от Mikhail on 31-Июл-03, 10:45  (MSK)
	>И какая разница в какой последовательности писать разрешения. Т.к. строкой iptables -t >nat -A PREROUTING -p tcp --dport 3128 -j DROP я запрещаю >прямой доступ к проксе. А порт 3128 остаётся открытым. Разница как раз принципиальная, в iptables-tutorial это написано. > >>И почитай здесь >>http://gazette.linux.ru.net/rus/articles/iptables-tutorial.html >>А то у тебя слегка все коряво :) > >Я изучил инструкцию по Iptables достаточно внимательно. Там о маскарадинге всего написано >пару строк и один простейший пример. Ну, не совсем... >А мне видимо надо настроить маскарад после прокси... :( хотя может сам >сквид козявит, я слышал что его вроде надо запускать с параметром >-v. А я его без него запускаю.. Сначала разберитесь: что, зачем, в каком порядке и для чего. И что дает 'squid -v' и для чего он это делает. Пока нет понимания принципов - не заработает...
		Рекомендовать в FAQ | Cообщить модератору | Наверх

	5. "Squid и особенности прозрачной прокси..."
	Сообщение от MaIron on 31-Июл-03, 11:20  (MSK)
	>>И какая разница в какой последовательности писать разрешения. Т.к. строкой iptables -t >>nat -A PREROUTING -p tcp --dport 3128 -j DROP я запрещаю >>прямой доступ к проксе. А порт 3128 остаётся открытым. >Разница как раз принципиальная, в iptables-tutorial это написано. >> >>>И почитай здесь >>>http://gazette.linux.ru.net/rus/articles/iptables-tutorial.html >>>А то у тебя слегка все коряво :) >> >>Я изучил инструкцию по Iptables достаточно внимательно. Там о маскарадинге всего написано >>пару строк и один простейший пример. > >Ну, не совсем... > >>А мне видимо надо настроить маскарад после прокси... :( хотя может сам >>сквид козявит, я слышал что его вроде надо запускать с параметром >>-v. А я его без него запускаю.. > >Сначала разберитесь: что, зачем, в каком порядке и для чего. И что >дает 'squid -v' и для чего он это делает. Пока нет >понимания принципов - не заработает... Извините конечно. Обращаясь за советом на этот форум я надеялся получить конкретный совет или рекомендацию. А ответы типа перечитай всю документацию к Linux мне здесь кажутся несколько неуместными. Ну естественно я всё это читал но у меня мало опыта в настройках Linux`a поэтому я испрашиваю совета что делать то :)
		Рекомендовать в FAQ | Cообщить модератору | Наверх

	6. "Squid и особенности прозрачной прокси..."
	Сообщение от Mikhail on 31-Июл-03, 11:51  (MSK)
	Прошу прощения, конечно... Это, собственно, был действительно совет. Не стОит настраивать такие вещи без понимания происходящего - небезопасно это. Ну посоветуют, ну сделаешь, а восстанавливать и отвечать дядя потом будет? Почитай на http://squid.opennet.ru/transperent.shtml - там с примерами. Ничего личного ;-)
		Рекомендовать в FAQ | Cообщить модератору | Наверх

	7. "Squid и особенности прозрачной прокси..."
	Сообщение от KindMan on 31-Июл-03, 12:35  (MSK)
	>А ответы типа перечитай всю документацию к Linux мне здесь кажутся несколько >неуместными. Ну естественно я всё это читал но у меня мало >опыта в настройках Linux`a поэтому я испрашиваю совета что делать то >:) Если этот сервак смотрит в инет, и те сточки которые ты показал это все, то задумайся о безопастности. А по поводу squid я тебе уже сказал, где косяк. И обижаться действительно не стоит, речь идет о твоем firewall. И не забудь загрузить доп модули, а то будешь потом голову ломать почему активное ftp не работает, и т.д. Например: /sbin/modprobe ip_conntrack_ftp /sbin/modprobe ip_nat_ftp Совет: Читай сейчас, и пробуй. Потом на рабочем серваке надо будет что нибудь добавить, и будешь париться... .
		Рекомендовать в FAQ | Cообщить модератору | Наверх

	8. "Squid и особенности прозрачной прокси..."
	Сообщение от MaIron on 31-Июл-03, 16:59  (MSK)
	Попробовал переписать правила один чёрт неработает :( А вся документация к прозрачной проксе привидена для IPCHIANS :( iptables -A INPUT -p tcp -j ACCEPT -s 192.168.22.0/24 \-d 192.168.0.99 --dport 80 iptables -t nat -A PREROUTING -p tcp -s 192.168.22.0/24 -d 192.168.0.99 \--dport 80 -j ACCEPT iptables -t nat -A PREROUTING -p tcp -s 192.168.22.0/24 -d any/0 \--dport 80 -j REDIRECT --to-ports 3128 iptables -t nat -A PREROUTING -p tcp --dport 3128 -j DROP iptables -t nat -A POSTROUTING -p tcp -s 192.168.22.0/24 -j MASQUERADE --to-ports 80
		Рекомендовать в FAQ | Cообщить модератору | Наверх

	9. "Squid и особенности прозрачной прокси..."
	Сообщение от MaIron on 01-Авг-03, 01:06  (MSK)
	Вопрос в догонку. Т.к нечего неполучилсь :( Хочу спросить ещё: Необходимо ли компилировать Squid с опцией --enable-linux-netfilter или достаточно установить стандартный rpm-к. И вообще нужен ли впринципе маскарад после сквида или всё всё будет работать и так ?
		Рекомендовать в FAQ | Cообщить модератору | Наверх

	11. "Squid и особенности прозрачной прокси..."
	Сообщение от Mikhail on 01-Авг-03, 09:21  (MSK)
	Спроси у squid'а - 'squid -v' - должен выдать опции, с которыми был собран. В разных дистрибутивах по-разному может быть. Маскарад после прокси не нужен, т.к. запросы идут уже с proxy-машины, с ее внешнего интерфейса.
		Рекомендовать в FAQ | Cообщить модератору | Наверх

	10. "Squid и особенности прозрачной прокси..."
	Сообщение от KindMan on 01-Авг-03, 06:21  (MSK)
	IPT=/sbin/iptables # flush current rules $IPT -F $IPT -F -t nat # INPUT RULS $IPT -N in_lan $IPT -N in_inet # SET INPUT FILTRS $IPT -A INPUT -i eth0 -j in_lan $IPT -A INPUT -i eth1 -j in_inet $IPT -A FORWARD -i eth0 -j in_lan $IPT -A FORWARD -i eth1 -j in_inet $IPT -A in_lan -p tcp -s 192.168.22.0/24 -d 192.168.0.99 --dport 80  -j ACCEPT #$IPT -t nat -A PREROUTING -p tcp -s 192.168.22.0/24 -d 192.168.0.99 --dport 80 -j ACCEPT # А это тебе зачем ? Убивай :) $IPT -t nat -A PREROUTING -p tcp -s 192.168.22.0/24 --dport 80 -j REDIRECT --to-ports 3128 #$IPT -t nat -A POSTROUTING -p tcp -s 192.168.22.0/24 -j MASQUERADE --to-ports 80 # Тоже убивай $IPT -t nat -A PREROUTING -p tcp -i eth1 --dport 3128 -j DROP # Запрешай только внешний интерфейс # INPUT FROM LAN $IPT -A in_lan -m state --state RELATED,ESTABLISHED -j ACCEPT $IPT -A in_lan -j REJECT --reject-with icmp-net-unreachable $IPT -A in_lan -j DROP # INPUT FROM INET $IPT -A in_inet -m state --state RELATED,ESTABLISHED -j ACCEPT $IPT -A in_inet -j REJECT --reject-with icmp-net-unreachable $IPT -A in_inet -j DROP Это должно у тебя работать... . На счет rpm не знаю:( Всегда сам делал. Squid и так пакеты в инет с внешнего интерфейса пошлет и без маскарада Если вешаешь какой нибудь сервис на порт, то доступ давай только на нужном интерфейсе.
		Рекомендовать в FAQ | Cообщить модератору | Наверх

	12. "Squid и особенности прозрачной прокси..."
	Сообщение от MaIron on 01-Авг-03, 16:39  (MSK)
	Ура настроил... :) Всем огромное спасибо за обсуждение данной темы. В правилах оставил только это: iptables -t nat -A PREROUTING -p tcp -s 192.168.22.0/24 -d any/0 \--dport 80 -j REDIRECT --to-ports 3128 iptables -t nat -A PREROUTING -p tcp --dport 3128 -j DROP Оказывается вообще маскарад ненужен :) Вот поэтому то я долбался. Единственно что то медленно работает этот прокси большой лаг и часть страниц вообще ненаходит. Видимо придётся от него вообще отказаться :((( Т.к. чувствуется для его нормальной настройки придётся пол жизни потратить:(((( + Ковсему у меня перестал работать подсчёт трафика программой TA billing т.к. она считает по IpTables :((( Вобщем одни косяки... :((
		Рекомендовать в FAQ | Cообщить модератору | Наверх

Удалить

Индекс форумов | Темы | Пред. тема | След. тема

Пожалуйста, прежде чем написать сообщение, ознакомьтесь с данными рекомендациями.