The OpenNET Project / Index page

[ новости/++ | форум | wiki | теги ]

Прозрачный кеширующий прокси на Linux (linux transparent proxy squid cache iptables)


<< Предыдущая ИНДЕКС Поиск в статьях src Установить закладку Перейти на закладку Следующая >>
Ключевые слова: linux, transparent, proxy, squid, cache, iptables,  (найти похожие документы)
From: Boss <boss1575@mail.ru> Newsgroups: mail Date: Mon, 1 Aug 2003 14:31:37 +0000 (UTC) Subject: Прозрачный кеширующий прокси на Linux для squid.conf: http_port 192.168.0.1:111 icp_port 0 htcp_port 0 cache_peer 193.251.135.100 parent 8080 0 no-query dead_peer_timeout 0 seconds acl QUERY urlpath_regex cgi-bin \\? no_cache deny QUERY cache_mem 64 MB maximum_object_size 100 MB minimum_object_size 0 KB maximum_object_size_in_memory 8 KB cache_dir ufs /var/spool/squid 5000 16 256 cache_store_log none request_body_max_size 0 refresh_pattern ^http: 0 0% 0 override-expire reference_age 1 year negative_ttl 1 minutes range_offset_limit 0 KB peer_connect_timeout 3 seconds read_timeout 5 minutes request_timeout 60 seconds half_closed_clients off acl clients src 192.168.0.0/255.255.0.0 acl all src 0.0.0.0/0.0.0.0 http_access allow clients http_access deny all httpd_accel_host virtual httpd_accel_port 80 httpd_accel_with_proxy on httpd_accel_uses_host_header on nonhierarchical_direct off а это для iptables: iptables -t nat -A PREROUTING -s 192.168.0.0/16 -d ! 192.168.0.1 -p tcp -m multiport --dport 80,81,82,83,88,8000,8001,8002,8080,8081 -j REDIRECT --to-port 111 iptables -t nat -A PREROUTING -s 192.168.0.0/16 -d ! 192.168.0.1 -p udp -m multiport --dport 80,81,82,83,88,8000,8001,8002,8080,8081 -j REDIRECT --to-port 111 iptables -t nat -A PREROUTING -s 192.168.0.0/16 -d ! 192.168.0.1 -p tcp -m multiport --dport 8082,8083,8091,8100,8101,8102,8103,8080,8888,777 -j REDIRECT --to-port 111 iptables -t nat -A PREROUTING -s 192.168.0.0/16 -d ! 192.168.0.1 -p udp -m multiport --dport 8082,8083,8091,8100,8101,8102,8103,8080,8888,777 -j REDIRECT --to-port 111

<< Предыдущая ИНДЕКС Поиск в статьях src Установить закладку Перейти на закладку Следующая >>

Обсуждение [ Линейный режим | Показать все | RSS ]
 
  • 1.1, VoLAND, 12:25, 04/10/2003 [ответить] [смотреть все]
  • +/
    У меня такая проблемка, Есть сквид и iptables, прочитал вот эту статейку и решил сделать именно прозрачный прокси (удобнее имхо), но у меня в сквиде идет аутентификация по пользователям, а когда редирекчу через iptables то сквид не выкидывает окно аутентификации, как выйти из этой ситуации?
     
  • 1.2, Nikolay Popov, 17:53, 29/11/2003 [ответить] [смотреть все]
  • +/
    Судя по документации на сквид, это НЕВОЗМОЖНО
    (сам подумай, откуда браузеру знать, что он
    работает с проксиком, если проксик прозрачный) -
    а без этого он про логин/пароль думать не будет
     
  • 1.3, boss1575, 23:02, 10/12/2003 [ответить] [смотреть все]
  • +/
    Для авторизации используй биллинг или хотя бы VPN сервер.
     
  • 1.4, dmitry, 03:30, 09/02/2004 [ответить] [смотреть все]
  • +/
    Ну, со входящими из локалки пакетами - всё просто.
    А как бы заставить iptables редиректить пакеты от самого себя (т.е. от сервера)?
    Они же не проходят PREROUTING цепочку...
    Интересно, это вообще возможно?
     
  • 1.5, MainFrame, 23:38, 22/05/2004 [ответить] [смотреть все]
  • +/
    конечно можно, те же правила запихни в цепочку OUTPUT
     
  • 1.6, Petr, 00:26, 30/05/2004 [ответить] [смотреть все]  
  • +/
    А вот у меня проблема, если клиента принудительно заворачивают на прокси - то в access.log это не регистрируется, а если у клиента явно указать работать через прокси, то все нормально. Причем и в том и другом случае клиент свой запрос получает. Как быть ?
     
  • 1.7, Sephiroth, 08:57, 03/07/2006 [ответить] [смотреть все]  
  • +/
    Интересно, при такой раскладке, биллинг старгейзер будет слушать трафик или не будет?
     
  • 1.8, Fedel, 04:44, 07/01/2007 [ответить] [смотреть все]  
  • +/
    Мой squid/2.6.STABLE3 не понимает таких команд :(
    # /usr/local/squid/sbin/squid -f /usr/local/squid/etc/squid.conf
    2007/01/07 04:32:14| parseConfigFile: line 19 unrecognized: 'httpd_accel_host virtual '
    2007/01/07 04:32:14| parseConfigFile: line 20 unrecognized: 'httpd_accel_port 80 '
    2007/01/07 04:32:14| parseConfigFile: line 21 unrecognized: 'httpd_accel_with_proxy on '
    2007/01/07 04:32:14| parseConfigFile: line 22 unrecognized: 'httpd_accel_uses_host_header on'
    Что делать?
     
     
  • 2.12, reaper, 10:34, 31/03/2007 [^] [ответить] [смотреть все]  
  • +/
    убери их и добавь transparent в строчку http_port 127.0.0.1:3128, те
    http_port 127.0.0.1:3128 transparent
     
  • 1.9, avn, 13:12, 29/01/2007 [ответить] [смотреть все]  
  • +/
    iptables не заворачивает пакеты на порт прокси :(
    на машину со сквидом запросы поступают:
    # tcpdump -i eth1 host 172.19.19.10                                                                                       tcpdump: listening on eth1
    13:04:06.941011 172.19.19.10.1288 > opennet.ru.http: S 541817091:541817091(0) win 64512 <mss 1260,nop,nop,sackOK> (DF)
    13:04:09.935157 172.19.19.10.1288 > opennet.ru.http: S 541817091:541817091(0) win 64512 <mss 1260,nop,nop,sackOK> (DF)
    13:04:15.950872 172.19.19.10.1288 > opennet.ru.http: S 541817091:541817091(0) win 64512 <mss 1260,nop,nop,sackOK> (DF)
    а на порт сквида 3128 - нет, tcpdump их не видит.
    В чем может быть дело?
     
  • 1.10, Ипутро, 17:25, 18/02/2007 [ответить] [смотреть все]  
  • +/
    Ээ, автор, а UDP зачем пробрасывается?!
     
  • 1.11, JadeFalcon, 07:34, 30/03/2007 [ответить] [смотреть все]  
  • +/
    Имхо настройка какаято децельная... Тем боле на 2.6 непрёт конфига. Но принцип ясен. Кстсти, как насчет опции http_port xxx.xxx.xxx.xxx:port transparent знает кто в чем правда сермяжная?
     
     
  • 2.13, Pawel, 19:11, 12/05/2007 [^] [ответить] [смотреть все]  
  • +/
    А в чем проблема?

    squid.conf
    http_port 10.10.10.1:3128 transparent

    /etc/ipnat.conf
    rdr fxp0 10.10.10.1/24 port 80 -> 10.10.10.1 port 3128 tcp

    все себе побежало на ура...
    ЗЫ: FreeBSD 4.9-Stable

     
  • 1.14, ananas, 02:59, 02/07/2007 [ответить] [смотреть все]  
  • +/
    Долгое время не мог заставить squid (2.6.13 STABLE) прозрачно работать. Имеется сервер, к нему юзер конектится через VPN.
    Решил проблему добавлением правилa iptables:
    iptables -t nat -A PREROUTING -p tcp -i ppp1 --dport 80 -j DNAT --to-destination 10.10.10.10:3128
    где ppp1 - интерфейс через который юзер соединен с сервером
    10.10.10.10 - адрес компьютера где запущен squid

    ну и естественно NAT:
    iptables -t nat -A POSTROUTING -s 192.168.0.0/24 -o ppp0 -j MASQUERADE

    ppp0 - смотрит в инет

    основные параметры squid.conf:
    http_port 10.10.10.10:3128 transparent
    acl vpn_network src 192.168.0.0/24
    acl localhost src 127.0.0.1
    acl me src 10.10.10.10
    http_access allow me
    http_access allow localhost
    http_access allow vpn_network
    http_access deny all
    ....................


     
     
  • 2.15, troya, 20:25, 02/04/2008 [^] [ответить] [смотреть все]  
  • +/
    а не возникало ли вопросов (проблем на клиентских машинах) с хождением на ФТП сервера после установления прозрачного прокси? и каковы были методы борьбы?
    PS сквид работает прозрачно на ура. у большинства клиентов - IE, на ФТП зайти никак нельзя.
     
     
  • 3.16, reaper, 11:08, 03/04/2008 [^] [ответить] [смотреть все]  
  • +/
    >а не возникало ли вопросов (проблем на клиентских машинах) с хождением на
    >ФТП сервера после установления прозрачного прокси? и каковы были методы борьбы?
    >
    >PS сквид работает прозрачно на ура. у большинства клиентов - IE, на
    >ФТП зайти никак нельзя.

    а причем тут ftp? сквид прозрачно только http проксирует

     
  • 2.17, DanST, 14:31, 18/06/2008 [^] [ответить] [смотреть все]  
  • +/
    ооо, спасибо тебе. Благодаря тебе всё заработало %)
     
  • 1.18, Dmitry, 15:49, 15/11/2008 [ответить] [смотреть все]  
  • +/
    После таких настроек у клиентов очееееень медленно всё грузится, а если указываю в браузере настройки прокси то всё летает.
    С чем это связанно?
     
  • 1.19, Alexander, 16:55, 23/09/2009 [ответить] [смотреть все]  
  • +/
    Стоит squid,всё работает нормально.Но нужно сделать так чтобы при посещении любой веб страницы у клиента появлялся баннер или текстовое предупреждение, что он работает через прокси сервер.Кто подскажет как это сделать.
     

    Ваш комментарий
    Имя:         
    E-Mail:      
    Заголовок:
    Текст:





      Закладки на сайте
      Проследить за страницей
    Created 1996-2017 by Maxim Chirkov  
    ДобавитьРекламаВебмастеруГИД  
    Hosting by Ihor TopList