The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

форумы  помощь  поиск  регистрация  майллист  вход/выход  слежка  RSS
"Прозрачный прокси"
Вариант для распечатки  
Пред. тема | След. тема 
Форумы Настройка Squid и других прокси серверов (Public)
Изначальное сообщение [ Отслеживать ]

"Прозрачный прокси"  
Сообщение от Алексей email(??) on 12-Мрт-08, 22:10 
Я пытался настроить прозрачный прокси squid 2.6STABLE18, прописывал 3128 transparent в conf файле, редактировал iptables, согласно информации на оф сайте, но почему-то пакеты не идут на порт, хотя сам редирект работает если коннектится через телнет... запросы что-то блокирует видимо, в чём м.б. проблема (упоминания о запросах нет в access.log)? Стоит на ASPLinux12


echo 1 > /proc/sys/net/ipv4/ip_forward

iptables -t nat -A PREROUTING -i eth0 -d 192.168.0.0/255.255.255.0 -j ACCEPT
iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 80 -j REDIRECT --to-port 3128

Высказать мнение | Ответить | Правка | Cообщить модератору

 Оглавление

Сообщения по теме [Сортировка по времени | RSS]


1. "Прозрачный прокси"  
Сообщение от reader (ok) on 13-Мрт-08, 10:47 
>[оверквотинг удален]
>не идут на порт, хотя сам редирект работает если коннектится через
>телнет... запросы что-то блокирует видимо, в чём м.б. проблема (упоминания о
>запросах нет в access.log)? Стоит на ASPLinux12
>
>
>echo 1 > /proc/sys/net/ipv4/ip_forward
>
>iptables -t nat -A PREROUTING -i eth0 -d 192.168.0.0/255.255.255.0 -j ACCEPT
>iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 80 -j
>REDIRECT --to-port 3128

покажите iptables-save

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

2. "Прозрачный прокси"  
Сообщение от Алексей email(??) on 13-Мрт-08, 11:12 
# Generated by iptables-save v1.3.8 on Wed Mar 12 18:42:18 2008
*nat
:PREROUTING ACCEPT [28814:2436724]
:POSTROUTING ACCEPT [502:23401]
:OUTPUT ACCEPT [589:28940]
[0:0] -A PREROUTING -d 192.168.0.0/255.255.255.0 -i eth0 -j ACCEPT
[1:48] -A PREROUTING -i eth0 -p tcp -m tcp --dport 80 -j REDIRECT --to-ports 3128
COMMIT
# Completed on Wed Mar 12 18:42:18 2008
# Generated by iptables-save v1.3.8 on Wed Mar 12 18:42:18 2008
*filter
:INPUT ACCEPT [18760:2123994]
:FORWARD ACCEPT [58:9434]
:OUTPUT ACCEPT [4468:1182632]
COMMIT
# Completed on Wed Mar 12 18:42:18 2008

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

3. "Прозрачный прокси"  
Сообщение от reader (ok) on 13-Мрт-08, 12:00 
>[оверквотинг удален]
>REDIRECT --to-ports 3128
>COMMIT
># Completed on Wed Mar 12 18:42:18 2008
># Generated by iptables-save v1.3.8 on Wed Mar 12 18:42:18 2008
>*filter
>:INPUT ACCEPT [18760:2123994]
>:FORWARD ACCEPT [58:9434]
>:OUTPUT ACCEPT [4468:1182632]
>COMMIT
># Completed on Wed Mar 12 18:42:18 2008

iptables ничего не блокирует, в нем все разрешено.
если это машина у клиентов прописана как шлюз, squid работает на этой же машине и клиенты подключены к eth0, то пакеты до squid должны доходить.
если в браузере прописывать прокси все работает?
у клиентов DNS сервера прописаны?

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

4. "Прозрачный прокси"  
Сообщение от Fermiy email(ok) on 13-Мрт-08, 12:07 
>если в браузере прописывать прокси все работает?
>у клиентов DNS сервера прописаны?

Да, если я прописываю прокси всё работает по-обычному и редирект работает если
telnet my-server-squid-ip 80 коннектится, а DNS сервера необходимо прописывать? Я думал только шлюз? Ещё машина на VMWARE стоит через Bridge... но по-идее это не должно иметь никакого значения... Просто почему-то даже в аксесс логе никакой активности не видно... хотя я проверял tcpdump'ом... запросы на машину приходят...


Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

5. "Прозрачный прокси"  
Сообщение от reader (ok) on 13-Мрт-08, 12:23 
>>если в браузере прописывать прокси все работает?
>>у клиентов DNS сервера прописаны?
>
>Да, если я прописываю прокси всё работает по-обычному и редирект работает если
>
>telnet my-server-squid-ip 80 коннектится, а DNS сервера необходимо прописывать? Я думал только
>шлюз? Ещё машина на VMWARE стоит через Bridge... но по-идее это
>не должно иметь никакого значения... Просто почему-то даже в аксесс логе
>никакой активности не видно... хотя я проверял tcpdump'ом... запросы на машину
>приходят...

DNS нужно прописывать, если конечно не собираетесь к сайтай обращаться по IP, а не по названию

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

6. "Прозрачный прокси"  
Сообщение от Fermiy email(ok) on 13-Мрт-08, 15:46 
>DNS нужно прописывать, если конечно не собираетесь к сайтам обращаться по IP,
>а не по названию

Я прописал DNS... Но это ни на что не повлияло... я так понял что можно использовать те что даёт провайдер? Страницы не грузятся ни по IP ни по url...

P.S. Попробывал например по IP 87.250.251.11 - Яндекса... хотя если использовать настройки прокси он работает нормально...

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

7. "Прозрачный прокси"  
Сообщение от reader (ok) on 14-Мрт-08, 10:58 
>>DNS нужно прописывать, если конечно не собираетесь к сайтам обращаться по IP,
>>а не по названию
>
>Я прописал DNS... Но это ни на что не повлияло... я так
>понял что можно использовать те что даёт провайдер? Страницы не грузятся
>ни по IP ни по url...

можно, но если у клиентов серые IP, нужен еще SNAT

>
>P.S. Попробывал например по IP 87.250.251.11 - Яндекса... хотя если использовать настройки
>прокси он работает нормально...

значит до squid запросы все таки не доходят.
у клиентов шлюзом прописан IP который на eth0 и он из подсети в которой и клиенты?

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

8. "Прозрачный прокси"  
Сообщение от Fermiy email(ok) on 14-Мрт-08, 11:57 
>>P.S. Попробывал например по IP 87.250.251.11 - Яндекса... хотя если использовать настройки
>>прокси он работает нормально...
>
>значит до squid запросы все таки не доходят.
>у клиентов шлюзом прописан IP который на eth0 и он из подсети
>в которой и клиенты?

Да, на шлюз приходят запросы я tcpdump'ом проверял (и он из этой же подсети), на счёт серых IP сейчас буду смотреть. Большое спасибо за помощь :)

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

9. "Прозрачный прокси"  
Сообщение от reader (ok) on 14-Мрт-08, 12:13 
>>>P.S. Попробывал например по IP 87.250.251.11 - Яндекса... хотя если использовать настройки
>>>прокси он работает нормально...
>>
>>значит до squid запросы все таки не доходят.
>>у клиентов шлюзом прописан IP который на eth0 и он из подсети
>>в которой и клиенты?
>
>Да, на шлюз приходят запросы я tcpdump'ом проверял (и он из этой
>же подсети), на счёт серых IP сейчас буду смотреть. Большое спасибо
>за помощь :)

попробуйте для начала выпустить клиентов в инет через SNAT, убрав правило
iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 80 -j REDIRECT --to-port 3128
и добавив для SNAT

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

10. "Прозрачный прокси"  
Сообщение от Advert_Noise email(ok) on 28-Мрт-08, 17:51 
>попробуйте для начала выпустить клиентов в инет через SNAT, убрав правило
>iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 80 -j
>REDIRECT --to-port 3128
>и добавив для SNAT

Так, если SNAT'ом вывесить все, то ничего не будет проксироваться/считаться/кешироваться...
на кой тогда нужен этот squid???

Тоже была такая проблема, решилась добавлением следующей записи в rc.local (точнее заменой стандартного ZERO дейсвия)
gateway_enable="YES"

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

11. "Прозрачный прокси"  
Сообщение от reader (ok) on 31-Мрт-08, 10:43 
>>попробуйте для начала выпустить клиентов в инет через SNAT, убрав правило
>>iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 80 -j
>>REDIRECT --to-port 3128
>>и добавив для SNAT
>
>Так, если SNAT'ом вывесить все, то ничего не будет проксироваться/считаться/кешироваться...
>на кой тогда нужен этот squid???

сначало нужно убедится что клиент правильно работает со шлюзом, и тогда уже заворачивать запросы на squid.

>
>Тоже была такая проблема, решилась добавлением следующей записи в rc.local (точнее заменой
>стандартного ZERO дейсвия)
>gateway_enable="YES"

он указал что это включено:
echo 1 > /proc/sys/net/ipv4/ip_forward

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить

Индекс форумов | Темы | Пред. тема | След. тема
Оцените тред (1=ужас, 5=супер)? [ 1 | 2 | 3 | 4 | 5 ] [Рекомендовать для помещения в FAQ]




Партнёры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру