 Squid не работает,  kozyr76, 29-Мрт-10, 12:47 [смотреть все]Здравствуйте! На серваке стоит Fedora 10. Всегда работал NAT, поставил и настроил squid 3.0 Stable 2.0, запустил, но почему-то все-равно все станции работают через NAT (пробывал в броузерах ставить 3128, так ничего не работает с такой конфигурацией. Мои конфиги: (Что здесь неправильно, прошу помочь)squid.conf:
acl manager proto cache_object
acl localhost src 127.0.0.1/32
acl to_localhost dst 127.0.0.0/8 0.0.0.0/32
acl company 1 1 src 10.17.13.98 10.17.13.3 10.17.13.251
acl company 2 src 10.17.13.35 10.17.13.43 10.17.13.5 10.17.13.6 10.17.13.12 10.17.13.15 10.17.13.22 10.17.13.16
acl company 3 src 10.17.13.11 10.17.13.8
acl company 4 src 10.17.13.32 10.17.13.28 10.17.13.99 10.17.13.26 10.17.13.44 10.17.13.54 10.17.13.45
acl company 5 src 10.17.13.40 10.17.13.58 10.17.13.59 10.17.13.60 10.17.13.61 10.17.13.62
#
acl SSL_ports port 443 563 8443 9091
acl Safe_ports port 80 # http
acl Safe_ports port 21 # ftp
acl Safe_ports port 443 563 8443 9091 # https
acl Safe_ports port 70 # gopher
acl Safe_ports port 210 # wais
acl Safe_ports port 1025-65535 # unregistered ports
acl Safe_ports port 280 # http-mgmt
acl Safe_ports port 488 # gss-http
acl Safe_ports port 591 # filemaker
acl Safe_ports port 777 # multiling http
acl Safe_ports port 5190 #icq
acl CONNECT method CONNECT
acl sitesregex dstdom_regex sex porno teen girl
acl blockurl url_regex -i "/etc/squid/block/badurl.txt" http_access deny sitesregex all
http_access deny blockurl all http_access allow manager localhost
http_access deny manager http_access deny !Safe_ports http_access deny CONNECT !SSL_ports http_access allow localhost
http_access allow procontact
http_access allow kanat
http_access allow abrisola
http_access allow uvicon
http_access allow elbrustrans http_access deny all http_port 3128 hierarchy_stoplist cgi-bin ? coredump_dir /var/spool/squid cache_dir ufs /var/spool/squid 1000 16 256 refresh_pattern ^ftp: 1440 20% 10080
refresh_pattern ^gopher: 1440 0% 1440
refresh_pattern -i (/cgi-bin/|\?) 0 0% 0
refresh_pattern . 0 20% 4320 iptables:
*nat
:PREROUTING ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]
:POSTROUTING ACCEPT [0:0]
-A POSTROUTING -o eth0 -j SNAT --to-source yyy.yyy.yyy.yyy
COMMIT
*filter
:INPUT ACCEPT [0:0]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]
-A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
-A INPUT -p icmp -m icmp --icmp-type destination-unreachable -j REJECT --reject-with icmp-host-prohibited
-A INPUT -p icmp -m icmp --icmp-type parameter-problem -j REJECT --reject-with icmp-host-prohibited
-A INPUT -p icmp -m icmp --icmp-type source-quench -j REJECT --reject-with icmp-host-prohibited
-A INPUT -p icmp -j ACCEPT
-A INPUT -i lo -j ACCEPT
-A INPUT -m state --state NEW -m tcp -p tcp --dport 22 -j ACCEPT
-A INPUT -m state --state NEW -m tcp -p tcp --dport 53 -j ACCEPT
-A INPUT -m state --state NEW -m udp -p udp --dport 53 -j ACCEPT
-A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT
-A FORWARD -p icmp -m icmp --icmp-type destination-unreachable -j REJECT --reject-with icmp-host-prohibited
-A FORWARD -p icmp -m icmp --icmp-type parameter-problem -j REJECT --reject-with icmp-host-prohibited
-A FORWARD -p icmp -m icmp --icmp-type source-quench -j REJECT --reject-with icmp-host-prohibited
-A FORWARD -p icmp -j ACCEPT
-A FORWARD -i lo -j ACCEPT
-A FORWARD -i eth0 -j ACCEPT
-A FORWARD -i eth1 -j ACCEPT
-A FORWARD -o eth0 -j ACCEPT
-A INPUT -j REJECT --reject-with icmp-host-prohibited
-A FORWARD -j REJECT --reject-with icmp-host-prohibited
COMMIT eth0 - внешний интерфейс, смотрящий в мир # ps aux | grep squid root 2104 0.0 0.1 54956 2796 ? Ss 11:16 0:00 squid -D -f /et c/squid/squid.conf
squid 2107 0.1 0.5 59280 10452 ? S 11:16 0:01 (squid) -D -f / etc/squid/squid.conf
squid 2108 0.0 0.0 22240 1156 ? S 11:16 0:00 (unlinkd)
|
- Squid не работает, tux2002, 12:56 , 29-Мрт-10 (1)
>acl company 1 1 src 10.17.13.98 10.17.13.3 10.17.13.251
>acl company 2 src 10.17.13.35 10.17.13.43 10.17.13.5 10.17.13.6 10.17.13.12 10.17.13.15 10.17.13.22 10.17.13.16
>
>acl company 3 src 10.17.13.11 10.17.13.8
>acl company 4 src 10.17.13.32 10.17.13.28 10.17.13.99 10.17.13.26 10.17.13.44 10.17.13.54 10.17.13.45
>acl company 5 src 10.17.13.40 10.17.13.58 10.17.13.59 10.17.13.60 10.17.13.61 10.17.13.62
># ACL Вы выставляете company >http_access allow localhost
>http_access allow procontact
>http_access allow kanat
>http_access allow abrisola
>http_access allow uvicon
>http_access allow elbrustrans А в инет выпускаете непонятно кого PS в iptables я бы так не делал.
- Squid не работает, kozyr76, 13:05 , 29-Мрт-10 (4)
sorry исправил
acl kanat 1 src 10.17.13.98 10.17.13.3 10.17.13.251
acl abrisola src 10.17.13.35 10.17.13.43 10.17.13.5 10.17.13.6 10.17.13.12 10.17.13.15 10.17.13.22 10.17.13.16 acl uvicon 3 src 10.17.13.11 10.17.13.8
acl elbrustrans src 10.17.13.32 10.17.13.28 10.17.13.99 10.17.13.26 10.17.13.44 10.17.13.54 10.17.13.45
acl procontact src 10.17.13.40 10.17.13.58 10.17.13.59 10.17.13.60 10.17.13.61 10.17.13.62
- Squid не работает, kozyr76, 13:07 , 29-Мрт-10 (5)
Это была опечатка лишь здесь. В squid все правильно. Так почему-же все-таки не работает
- Squid не работает, kozyr76, 13:14 , 29-Мрт-10 (8)
>[оверквотинг удален]
>>http_access allow localhost
>>http_access allow procontact
>>http_access allow kanat
>>http_access allow abrisola
>>http_access allow uvicon
>>http_access allow elbrustrans
>
>А в инет выпускаете непонятно кого
>
>PS в iptables я бы так не делал. А как надо исправит в iptables
- Squid не работает, rontex, 12:59 , 29-Мрт-10 (2)
- Squid не работает, qwertykma, 12:59 , 29-Мрт-10 (3)
>
>acl company 1 1 src 10.17.13.98 10.17.13.3 10.17.13.251
>acl company 2 src 10.17.13.35 10.17.13.43 10.17.13.5 10.17.13.6 10.17.13.12 10.17.13.15 10.17.13.22 10.17.13.16
>
>acl company 3 src 10.17.13.11 10.17.13.8
>acl company 4 src 10.17.13.32 10.17.13.28 10.17.13.99 10.17.13.26 10.17.13.44 10.17.13.54 10.17.13.45
>acl company 5 src 10.17.13.40 10.17.13.58 10.17.13.59 10.17.13.60 10.17.13.61 10.17.13.62
># И где вы что то разрешаете этим ай-пи адресам? и зачем такой изврат? нельза прописать подсети? >http_access deny all запрет всего
- Squid не работает, kozyr76, 13:12 , 29-Мрт-10 (7)
убрал, но ничего не работает, все ходят через Nat....бред получается
- Squid не работает, qwertykma, 14:30 , 29-Мрт-10 (9)
>убрал, но ничего не работает, все ходят через Nat....бред получается А что говорит netstat, squid вообще работает?
- Squid не работает, rontex, 16:02 , 29-Мрт-10 (11)
>убрал, но ничего не работает, все ходят через Nat....бред получается Если включен Nat через него и будут все ходить, пока в каждом браузере клиента не пропишите порт 3128, а в конфиг не добавите http_port 192.168.0.100:3128, где 192.168.0.100 - IP сетевухо смотрящей в локалку! Для того что бы этого не делать, создают прозрачный прокси, для этого в конфиге squid пишут
http_port 127.0.0.1:3128 transparent,
конечно предварительно собрав сквид с опцией кеширующего сервера.
А затем натом форвардят 80 порт на localhost:3128.
- Squid не работает, kozyr76, 17:05 , 29-Мрт-10 (12)
Нужен обычный непрозрачный прокси, я это все сделал, конфиг указан мною, похоже надо открыть порт в iptables, открыл....но ничего не работает через негоiptables:
*nat
:PREROUTING ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]
:POSTROUTING ACCEPT [0:0]
-A POSTROUTING -o eth0 -j SNAT --to-source yyy.yyy.yyy.yyy
COMMIT
*filter
:INPUT ACCEPT [0:0]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]
-A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
-A INPUT -p icmp -m icmp --icmp-type destination-unreachable -j REJECT --reject-with icmp-host-prohibited
-A INPUT -p icmp -m icmp --icmp-type parameter-problem -j REJECT --reject-with icmp-host-prohibited
-A INPUT -p icmp -m icmp --icmp-type source-quench -j REJECT --reject-with icmp-host-prohibited
-A INPUT -p icmp -j ACCEPT
-A INPUT -i lo -j ACCEPT
-A INPUT -m state --state NEW -m tcp -p tcp --dport 22 -j ACCEPT
-A INPUT -m state --state NEW -m tcp -p tcp --dport 53 -j ACCEPT
-A INPUT -m state --state NEW -m udp -p udp --dport 53 -j ACCEPT
-A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT
-A FORWARD -p icmp -m icmp --icmp-type destination-unreachable -j REJECT --reject-with icmp-host-prohibited
-A FORWARD -p icmp -m icmp --icmp-type parameter-problem -j REJECT --reject-with icmp-host-prohibited
-A FORWARD -p icmp -m icmp --icmp-type source-quench -j REJECT --reject-with icmp-host-prohibited
-A FORWARD -p icmp -j ACCEPT
-A FORWARD -i lo -j ACCEPT
-A FORWARD -i eth0 -j ACCEPT
-A FORWARD -i eth1 -j ACCEPT
-A FORWARD -o eth0 -j ACCEPT
-A INPUT -j REJECT --reject-with icmp-host-prohibited
-A FORWARD -j REJECT --reject-with icmp-host-prohibited
COMMIT eth0 - внешний интерфейс, смотрящий в мир
- Squid не работает, kozyr76, 17:22 , 29-Мрт-10 (13)
-A INPUT -p tcp -m state --state NEW -m tcp --dport 3128 -j ACCEPT
Не помогло
- Squid не работает, PavelR, 17:23 , 29-Мрт-10 (14)
>-A INPUT -p tcp -m state --state NEW -m tcp --dport 3128
>-j ACCEPT
>Не помогло А что, должно было помочь?
----
Правила по отдельности ничего не значат. Порядок следования правил - важен. Вкуривайте.
- Squid не работает, aaa, 20:40 , 29-Мрт-10 (15)
>-A INPUT -p tcp -m state --state NEW -m tcp --dport 3128
>-j ACCEPT
>Не помогло в консоле пишем
iptables -I INPUT -i eth1 -p tcp --dport 3128 -j ACCEPT
если не поможет, то пробуем с локалхоста выйти через сквид
- Squid не работает, PavelR, 20:56 , 29-Мрт-10 (16)
>>-A INPUT -p tcp -m state --state NEW -m tcp --dport 3128
>>-j ACCEPT
>>Не помогло
>
>в консоле пишем
>iptables -I INPUT -i eth1 -p tcp --dport 3128 -j ACCEPT
>если не поможет, то пробуем с локалхоста выйти через сквид я думаю человеку стоит попробовать команду telnet для проведения различного рода диагностик...
|
Версия для распечатки
