Squid не работает, kozyr76, 29-Мрт-10, 12:47 [смотреть все]Здравствуйте! На серваке стоит Fedora 10. Всегда работал NAT, поставил и настроил squid 3.0 Stable 2.0, запустил, но почему-то все-равно все станции работают через NAT (пробывал в броузерах ставить 3128, так ничего не работает с такой конфигурацией. Мои конфиги: (Что здесь неправильно, прошу помочь)squid.conf: acl manager proto cache_object acl localhost src 127.0.0.1/32 acl to_localhost dst 127.0.0.0/8 0.0.0.0/32 acl company 1 1 src 10.17.13.98 10.17.13.3 10.17.13.251 acl company 2 src 10.17.13.35 10.17.13.43 10.17.13.5 10.17.13.6 10.17.13.12 10.17.13.15 10.17.13.22 10.17.13.16 acl company 3 src 10.17.13.11 10.17.13.8 acl company 4 src 10.17.13.32 10.17.13.28 10.17.13.99 10.17.13.26 10.17.13.44 10.17.13.54 10.17.13.45 acl company 5 src 10.17.13.40 10.17.13.58 10.17.13.59 10.17.13.60 10.17.13.61 10.17.13.62 # acl SSL_ports port 443 563 8443 9091 acl Safe_ports port 80 # http acl Safe_ports port 21 # ftp acl Safe_ports port 443 563 8443 9091 # https acl Safe_ports port 70 # gopher acl Safe_ports port 210 # wais acl Safe_ports port 1025-65535 # unregistered ports acl Safe_ports port 280 # http-mgmt acl Safe_ports port 488 # gss-http acl Safe_ports port 591 # filemaker acl Safe_ports port 777 # multiling http acl Safe_ports port 5190 #icq acl CONNECT method CONNECT
acl sitesregex dstdom_regex sex porno teen girl acl blockurl url_regex -i "/etc/squid/block/badurl.txt" http_access deny sitesregex all http_access deny blockurl all http_access allow manager localhost http_access deny manager http_access deny !Safe_ports http_access deny CONNECT !SSL_ports http_access allow localhost http_access allow procontact http_access allow kanat http_access allow abrisola http_access allow uvicon http_access allow elbrustrans http_access deny all http_port 3128 hierarchy_stoplist cgi-bin ? coredump_dir /var/spool/squid cache_dir ufs /var/spool/squid 1000 16 256 refresh_pattern ^ftp: 1440 20% 10080 refresh_pattern ^gopher: 1440 0% 1440 refresh_pattern -i (/cgi-bin/|\?) 0 0% 0 refresh_pattern . 0 20% 4320 iptables: *nat :PREROUTING ACCEPT [0:0] :OUTPUT ACCEPT [0:0] :POSTROUTING ACCEPT [0:0] -A POSTROUTING -o eth0 -j SNAT --to-source yyy.yyy.yyy.yyy COMMIT *filter :INPUT ACCEPT [0:0] :FORWARD ACCEPT [0:0] :OUTPUT ACCEPT [0:0] -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT -A INPUT -p icmp -m icmp --icmp-type destination-unreachable -j REJECT --reject-with icmp-host-prohibited -A INPUT -p icmp -m icmp --icmp-type parameter-problem -j REJECT --reject-with icmp-host-prohibited -A INPUT -p icmp -m icmp --icmp-type source-quench -j REJECT --reject-with icmp-host-prohibited -A INPUT -p icmp -j ACCEPT -A INPUT -i lo -j ACCEPT -A INPUT -m state --state NEW -m tcp -p tcp --dport 22 -j ACCEPT -A INPUT -m state --state NEW -m tcp -p tcp --dport 53 -j ACCEPT -A INPUT -m state --state NEW -m udp -p udp --dport 53 -j ACCEPT -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT -A FORWARD -p icmp -m icmp --icmp-type destination-unreachable -j REJECT --reject-with icmp-host-prohibited -A FORWARD -p icmp -m icmp --icmp-type parameter-problem -j REJECT --reject-with icmp-host-prohibited -A FORWARD -p icmp -m icmp --icmp-type source-quench -j REJECT --reject-with icmp-host-prohibited -A FORWARD -p icmp -j ACCEPT -A FORWARD -i lo -j ACCEPT -A FORWARD -i eth0 -j ACCEPT -A FORWARD -i eth1 -j ACCEPT -A FORWARD -o eth0 -j ACCEPT -A INPUT -j REJECT --reject-with icmp-host-prohibited -A FORWARD -j REJECT --reject-with icmp-host-prohibited COMMIT eth0 - внешний интерфейс, смотрящий в мир # ps aux | grep squid root 2104 0.0 0.1 54956 2796 ? Ss 11:16 0:00 squid -D -f /et c/squid/squid.conf squid 2107 0.1 0.5 59280 10452 ? S 11:16 0:01 (squid) -D -f / etc/squid/squid.conf squid 2108 0.0 0.0 22240 1156 ? S 11:16 0:00 (unlinkd)
|
- Squid не работает, tux2002, 12:56 , 29-Мрт-10 (1)
>acl company 1 1 src 10.17.13.98 10.17.13.3 10.17.13.251 >acl company 2 src 10.17.13.35 10.17.13.43 10.17.13.5 10.17.13.6 10.17.13.12 10.17.13.15 10.17.13.22 10.17.13.16 > >acl company 3 src 10.17.13.11 10.17.13.8 >acl company 4 src 10.17.13.32 10.17.13.28 10.17.13.99 10.17.13.26 10.17.13.44 10.17.13.54 10.17.13.45 >acl company 5 src 10.17.13.40 10.17.13.58 10.17.13.59 10.17.13.60 10.17.13.61 10.17.13.62 ># ACL Вы выставляете company >http_access allow localhost >http_access allow procontact >http_access allow kanat >http_access allow abrisola >http_access allow uvicon >http_access allow elbrustrans А в инет выпускаете непонятно кого PS в iptables я бы так не делал.
- Squid не работает, kozyr76, 13:05 , 29-Мрт-10 (4)
sorry исправил acl kanat 1 src 10.17.13.98 10.17.13.3 10.17.13.251 acl abrisola src 10.17.13.35 10.17.13.43 10.17.13.5 10.17.13.6 10.17.13.12 10.17.13.15 10.17.13.22 10.17.13.16 acl uvicon 3 src 10.17.13.11 10.17.13.8 acl elbrustrans src 10.17.13.32 10.17.13.28 10.17.13.99 10.17.13.26 10.17.13.44 10.17.13.54 10.17.13.45 acl procontact src 10.17.13.40 10.17.13.58 10.17.13.59 10.17.13.60 10.17.13.61 10.17.13.62
- Squid не работает, kozyr76, 13:07 , 29-Мрт-10 (5)
Это была опечатка лишь здесь. В squid все правильно. Так почему-же все-таки не работает
- Squid не работает, kozyr76, 13:14 , 29-Мрт-10 (8)
>[оверквотинг удален] >>http_access allow localhost >>http_access allow procontact >>http_access allow kanat >>http_access allow abrisola >>http_access allow uvicon >>http_access allow elbrustrans > >А в инет выпускаете непонятно кого > >PS в iptables я бы так не делал. А как надо исправит в iptables
- Squid не работает, rontex, 12:59 , 29-Мрт-10 (2)
- Squid не работает, qwertykma, 12:59 , 29-Мрт-10 (3)
> >acl company 1 1 src 10.17.13.98 10.17.13.3 10.17.13.251 >acl company 2 src 10.17.13.35 10.17.13.43 10.17.13.5 10.17.13.6 10.17.13.12 10.17.13.15 10.17.13.22 10.17.13.16 > >acl company 3 src 10.17.13.11 10.17.13.8 >acl company 4 src 10.17.13.32 10.17.13.28 10.17.13.99 10.17.13.26 10.17.13.44 10.17.13.54 10.17.13.45 >acl company 5 src 10.17.13.40 10.17.13.58 10.17.13.59 10.17.13.60 10.17.13.61 10.17.13.62 ># И где вы что то разрешаете этим ай-пи адресам? и зачем такой изврат? нельза прописать подсети? >http_access deny all запрет всего
- Squid не работает, kozyr76, 13:12 , 29-Мрт-10 (7)
убрал, но ничего не работает, все ходят через Nat....бред получается
- Squid не работает, qwertykma, 14:30 , 29-Мрт-10 (9)
>убрал, но ничего не работает, все ходят через Nat....бред получается А что говорит netstat, squid вообще работает?
- Squid не работает, rontex, 16:02 , 29-Мрт-10 (11)
>убрал, но ничего не работает, все ходят через Nat....бред получается Если включен Nat через него и будут все ходить, пока в каждом браузере клиента не пропишите порт 3128, а в конфиг не добавите http_port 192.168.0.100:3128, где 192.168.0.100 - IP сетевухо смотрящей в локалку! Для того что бы этого не делать, создают прозрачный прокси, для этого в конфиге squid пишут http_port 127.0.0.1:3128 transparent, конечно предварительно собрав сквид с опцией кеширующего сервера. А затем натом форвардят 80 порт на localhost:3128.
- Squid не работает, kozyr76, 17:05 , 29-Мрт-10 (12)
Нужен обычный непрозрачный прокси, я это все сделал, конфиг указан мною, похоже надо открыть порт в iptables, открыл....но ничего не работает через негоiptables: *nat :PREROUTING ACCEPT [0:0] :OUTPUT ACCEPT [0:0] :POSTROUTING ACCEPT [0:0] -A POSTROUTING -o eth0 -j SNAT --to-source yyy.yyy.yyy.yyy COMMIT *filter :INPUT ACCEPT [0:0] :FORWARD ACCEPT [0:0] :OUTPUT ACCEPT [0:0] -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT -A INPUT -p icmp -m icmp --icmp-type destination-unreachable -j REJECT --reject-with icmp-host-prohibited -A INPUT -p icmp -m icmp --icmp-type parameter-problem -j REJECT --reject-with icmp-host-prohibited -A INPUT -p icmp -m icmp --icmp-type source-quench -j REJECT --reject-with icmp-host-prohibited -A INPUT -p icmp -j ACCEPT -A INPUT -i lo -j ACCEPT -A INPUT -m state --state NEW -m tcp -p tcp --dport 22 -j ACCEPT -A INPUT -m state --state NEW -m tcp -p tcp --dport 53 -j ACCEPT -A INPUT -m state --state NEW -m udp -p udp --dport 53 -j ACCEPT -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT -A FORWARD -p icmp -m icmp --icmp-type destination-unreachable -j REJECT --reject-with icmp-host-prohibited -A FORWARD -p icmp -m icmp --icmp-type parameter-problem -j REJECT --reject-with icmp-host-prohibited -A FORWARD -p icmp -m icmp --icmp-type source-quench -j REJECT --reject-with icmp-host-prohibited -A FORWARD -p icmp -j ACCEPT -A FORWARD -i lo -j ACCEPT -A FORWARD -i eth0 -j ACCEPT -A FORWARD -i eth1 -j ACCEPT -A FORWARD -o eth0 -j ACCEPT -A INPUT -j REJECT --reject-with icmp-host-prohibited -A FORWARD -j REJECT --reject-with icmp-host-prohibited COMMIT eth0 - внешний интерфейс, смотрящий в мир
- Squid не работает, kozyr76, 17:22 , 29-Мрт-10 (13)
-A INPUT -p tcp -m state --state NEW -m tcp --dport 3128 -j ACCEPT Не помогло
- Squid не работает, PavelR, 17:23 , 29-Мрт-10 (14)
>-A INPUT -p tcp -m state --state NEW -m tcp --dport 3128 >-j ACCEPT >Не помогло А что, должно было помочь? ----
Правила по отдельности ничего не значат. Порядок следования правил - важен. Вкуривайте.
- Squid не работает, aaa, 20:40 , 29-Мрт-10 (15)
>-A INPUT -p tcp -m state --state NEW -m tcp --dport 3128 >-j ACCEPT >Не помогло в консоле пишем iptables -I INPUT -i eth1 -p tcp --dport 3128 -j ACCEPT если не поможет, то пробуем с локалхоста выйти через сквид
- Squid не работает, PavelR, 20:56 , 29-Мрт-10 (16)
>>-A INPUT -p tcp -m state --state NEW -m tcp --dport 3128 >>-j ACCEPT >>Не помогло > >в консоле пишем >iptables -I INPUT -i eth1 -p tcp --dport 3128 -j ACCEPT >если не поможет, то пробуем с локалхоста выйти через сквид я думаю человеку стоит попробовать команду telnet для проведения различного рода диагностик...
|