The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]

форумы  помощь  поиск  регистрация  майллист  ВХОД  слежка  RSS
"Squid и особенности прозрачной прокси..."
Вариант для распечатки Архивированная нить - только для чтения! 
Пред. тема | След. тема 
Форумы Настройка Squid и других прокси серверов (Public)
Изначальное сообщение [Проследить за развитием треда]

"Squid и особенности прозрачной прокси..."
Сообщение от MaIron emailИскать по авторуВ закладки on 30-Июл-03, 19:21  (MSK)
Прошу совета у мудрейших. Т.к. сам немогу разобраться вторую неделю:
Имеется: RH 7.2. Squid 2.4-6 Stable, Vpn сервер.
Один внешний адрес. Внутренняя под сеть выходит через маскарад наружу.

Без сквида всё работает ок.
Дальше я запускаю сквид с настройками которые приведены ниже. И указываю его в настройках браузера всё летает и кеширует.

Дальше я делаю на него заворот по IPTABLES(Отключаю его в настройках браузера и запрещаю к нему прямой доступ).
После этого он выдаёт только те страницы на которые я заходил ранее. Имеется ввиду закешированные страницы. А наружу он невыходит.

Я подозреваю что проблема в настройках маскарада после сквида.

Помогите плиз его заставить работать...

Настройки кольмарчика:
http_port 127.0.0.1:3128
httpd_accel_host virtual
httpd_accel_port 80
httpd_accel_with_proxy on
httpd_accel_uses_host_header on
acl all src 0.0.0.0/0.0.0.0
acl manager proto cache_object
acl localhost src 127.0.0.1/255.255.255.255
acl SSL_ports port 443 563 24554
acl Safe_ports port 80 21 443 563 70 210 1025-65535
acl Safe_ports port 280
acl Safe_ports port 488
acl Safe_ports port 591
acl Safe_ports port 777
acl CONNECT method CONNECT
acl mynet src 192.168.22.1-192.168.22.254/255.0.0.0
http_access allow connect
http_access allow manager localhost
http_access deny manager
http_access allow SSL_ports
http_access deny !Safe_ports
http_access deny CONNECT !SSL_ports
http_access allow mynet
http_access deny all

Настройки маршрутизации:
iptables -t nat -F
iptables -P INPUT ACCEPT
iptables -P OUTPUT ACCEPT
iptables -P FORWARD ACCEPT

echo 1 > /proc/sys/net/ipv4/ip_forward
iptables -t nat -A PREROUTING -p tcp --dport 3128 -j DROP

iptables -A INPUT -p tcp -j ACCEPT -s 192.168.22.0/24 \-d 192.168.0.99 --dport 80
iptables -t nat -A PREROUTING -p tcp -s 192.168.22.0/24 -d 192.168.0.99 \--dport 80 -j ACCEPT
iptables -t nat -A PREROUTING -p tcp -s 192.168.22.0/24 -d any/0 \--dport 80 -j REDIRECT --to-ports 3128

????
iptables -t nat -A POSTROUTING -p tcp -s 192.168.22.0/24 -j MASQUERADE --to-ports 80
????

С уважением Максим.

  Рекомендовать в FAQ | Cообщить модератору | Наверх

 Оглавление

Индекс форумов | Темы | Пред. тема | След. тема
Сообщения по теме

1. "Squid и особенности прозрачной прокси..."
Сообщение от KindMan emailИскать по авторуВ закладки on 31-Июл-03, 06:04  (MSK)
>Настройки маршрутизации:
>iptables -t nat -F
>iptables -P INPUT ACCEPT
>iptables -P OUTPUT ACCEPT
>iptables -P FORWARD ACCEPT
>
>echo 1 > /proc/sys/net/ipv4/ip_forward
>iptables -t nat -A PREROUTING -p tcp --dport 3128 -j DROP
>
>iptables -A INPUT -p tcp -j ACCEPT -s 192.168.22.0/24 \-d 192.168.0.99 --dport
>80
>iptables -t nat -A PREROUTING -p tcp -s 192.168.22.0/24 -d 192.168.0.99 \--dport
>80 -j ACCEPT
>iptables -t nat -A PREROUTING -p tcp -s 192.168.22.0/24 -d any/0 \--dport
>80 -j REDIRECT --to-ports 3128
>
>????
>iptables -t nat -A POSTROUTING -p tcp -s 192.168.22.0/24 -j MASQUERADE --to-ports
>80
>????
>
>С уважением Максим.
Сначала нужно писать разрешения, а потом запрет. А у тебя все наоборот. И получается, что ты делаешь редирект туда куда уже запретил.

  Рекомендовать в FAQ | Cообщить модератору | Наверх

2. "Squid и особенности прозрачной прокси..."
Сообщение от KindMan emailИскать по авторуВ закладки on 31-Июл-03, 06:13  (MSK)
И почитай здесь
http://gazette.linux.ru.net/rus/articles/iptables-tutorial.html
А то у тебя слегка все коряво :)


  Рекомендовать в FAQ | Cообщить модератору | Наверх

3. "Squid и особенности прозрачной прокси..."
Сообщение от MaIron emailИскать по авторуВ закладки on 31-Июл-03, 10:32  (MSK)
>Сначала нужно писать разрешения, а потом запрет. А у тебя все наоборот.
>И получается, что ты делаешь редирект туда куда уже запретил.

Нет я же говорю что запросы на саму проксю уходят.
Прокся после редиректа открывает только ранее закешированные страницы. А новые неоткрывает.

И какая разница в какой последовательности писать разрешения. Т.к. строкой iptables -t nat -A PREROUTING -p tcp --dport 3128 -j DROP я запрещаю прямой доступ к проксе. А порт 3128 остаётся открытым.

>И почитай здесь
>http://gazette.linux.ru.net/rus/articles/iptables-tutorial.html
>А то у тебя слегка все коряво :)

Я изучил инструкцию по Iptables достаточно внимательно. Там о маскарадинге всего написано пару строк и один простейший пример.

А мне видимо надо настроить маскарад после прокси... :( хотя может сам сквид козявит, я слышал что его вроде надо запускать с параметром -v. А я его без него запускаю..

  Рекомендовать в FAQ | Cообщить модератору | Наверх

4. "Squid и особенности прозрачной прокси..."
Сообщение от Mikhail Искать по авторуВ закладки on 31-Июл-03, 10:45  (MSK)
>И какая разница в какой последовательности писать разрешения. Т.к. строкой iptables -t
>nat -A PREROUTING -p tcp --dport 3128 -j DROP я запрещаю
>прямой доступ к проксе. А порт 3128 остаётся открытым.
Разница как раз принципиальная, в iptables-tutorial это написано.
>
>>И почитай здесь
>>http://gazette.linux.ru.net/rus/articles/iptables-tutorial.html
>>А то у тебя слегка все коряво :)
>
>Я изучил инструкцию по Iptables достаточно внимательно. Там о маскарадинге всего написано
>пару строк и один простейший пример.

Ну, не совсем...

>А мне видимо надо настроить маскарад после прокси... :( хотя может сам
>сквид козявит, я слышал что его вроде надо запускать с параметром
>-v. А я его без него запускаю..

Сначала разберитесь: что, зачем, в каком порядке и для чего. И что дает 'squid -v' и для чего он это делает. Пока нет понимания принципов - не заработает...

  Рекомендовать в FAQ | Cообщить модератору | Наверх

5. "Squid и особенности прозрачной прокси..."
Сообщение от MaIron emailИскать по авторуВ закладки on 31-Июл-03, 11:20  (MSK)
>>И какая разница в какой последовательности писать разрешения. Т.к. строкой iptables -t
>>nat -A PREROUTING -p tcp --dport 3128 -j DROP я запрещаю
>>прямой доступ к проксе. А порт 3128 остаётся открытым.
>Разница как раз принципиальная, в iptables-tutorial это написано.
>>
>>>И почитай здесь
>>>http://gazette.linux.ru.net/rus/articles/iptables-tutorial.html
>>>А то у тебя слегка все коряво :)
>>
>>Я изучил инструкцию по Iptables достаточно внимательно. Там о маскарадинге всего написано
>>пару строк и один простейший пример.
>
>Ну, не совсем...
>
>>А мне видимо надо настроить маскарад после прокси... :( хотя может сам
>>сквид козявит, я слышал что его вроде надо запускать с параметром
>>-v. А я его без него запускаю..
>
>Сначала разберитесь: что, зачем, в каком порядке и для чего. И что
>дает 'squid -v' и для чего он это делает. Пока нет
>понимания принципов - не заработает...

Извините конечно. Обращаясь за советом на этот форум я надеялся получить конкретный совет или рекомендацию.

А ответы типа перечитай всю документацию к Linux мне здесь кажутся несколько неуместными. Ну естественно я всё это читал но у меня мало опыта в настройках Linux`a поэтому я испрашиваю совета что делать то :)

  Рекомендовать в FAQ | Cообщить модератору | Наверх

6. "Squid и особенности прозрачной прокси..."
Сообщение от Mikhail Искать по авторуВ закладки on 31-Июл-03, 11:51  (MSK)
Прошу прощения, конечно... Это, собственно, был действительно совет.
Не стОит настраивать такие вещи без понимания происходящего - небезопасно это. Ну посоветуют, ну сделаешь, а восстанавливать и отвечать дядя потом будет?
Почитай на http://squid.opennet.ru/transperent.shtml - там с примерами.

Ничего личного ;-)

  Рекомендовать в FAQ | Cообщить модератору | Наверх

7. "Squid и особенности прозрачной прокси..."
Сообщение от KindMan emailИскать по авторуВ закладки on 31-Июл-03, 12:35  (MSK)
>А ответы типа перечитай всю документацию к Linux мне здесь кажутся несколько
>неуместными. Ну естественно я всё это читал но у меня мало
>опыта в настройках Linux`a поэтому я испрашиваю совета что делать то
>:)


Если этот сервак смотрит в инет, и те сточки которые ты показал это все, то задумайся о безопастности. А по поводу squid я тебе уже сказал, где косяк. И обижаться действительно не стоит, речь идет о твоем firewall. И не забудь загрузить доп модули, а то будешь потом голову ломать почему активное ftp не работает, и т.д.
Например:
/sbin/modprobe ip_conntrack_ftp
/sbin/modprobe ip_nat_ftp

Совет: Читай сейчас, и пробуй. Потом на рабочем серваке надо будет что нибудь добавить, и будешь париться... .

  Рекомендовать в FAQ | Cообщить модератору | Наверх

8. "Squid и особенности прозрачной прокси..."
Сообщение от MaIron emailИскать по авторуВ закладки on 31-Июл-03, 16:59  (MSK)
Попробовал переписать правила один чёрт неработает :(
А вся документация к прозрачной проксе привидена для IPCHIANS :(

iptables -A INPUT -p tcp -j ACCEPT -s 192.168.22.0/24 \-d 192.168.0.99 --dport 80
iptables -t nat -A PREROUTING -p tcp -s 192.168.22.0/24 -d 192.168.0.99 \--dport 80 -j ACCEPT
iptables -t nat -A PREROUTING -p tcp -s 192.168.22.0/24 -d any/0 \--dport 80 -j REDIRECT --to-ports 3128
iptables -t nat -A PREROUTING -p tcp --dport 3128 -j DROP
iptables -t nat -A POSTROUTING -p tcp -s 192.168.22.0/24 -j MASQUERADE --to-ports 80

  Рекомендовать в FAQ | Cообщить модератору | Наверх

9. "Squid и особенности прозрачной прокси..."
Сообщение от MaIron emailИскать по авторуВ закладки on 01-Авг-03, 01:06  (MSK)
Вопрос в догонку. Т.к нечего неполучилсь :( Хочу спросить ещё:

Необходимо ли компилировать Squid с опцией --enable-linux-netfilter или достаточно установить стандартный rpm-к.

И вообще нужен ли впринципе маскарад после сквида или всё всё будет работать и так ?

  Рекомендовать в FAQ | Cообщить модератору | Наверх

11. "Squid и особенности прозрачной прокси..."
Сообщение от Mikhail Искать по авторуВ закладки on 01-Авг-03, 09:21  (MSK)
Спроси у squid'а - 'squid -v' - должен выдать опции, с которыми был собран. В разных дистрибутивах по-разному может быть.
Маскарад после прокси не нужен, т.к. запросы идут уже с proxy-машины, с ее внешнего интерфейса.
  Рекомендовать в FAQ | Cообщить модератору | Наверх

10. "Squid и особенности прозрачной прокси..."
Сообщение от KindMan emailИскать по авторуВ закладки on 01-Авг-03, 06:21  (MSK)
IPT=/sbin/iptables
# flush current rules
$IPT -F
$IPT -F -t nat
# INPUT RULS
$IPT -N in_lan
$IPT -N in_inet
# SET INPUT FILTRS
$IPT -A INPUT -i eth0 -j in_lan
$IPT -A INPUT -i eth1 -j in_inet
$IPT -A FORWARD -i eth0 -j in_lan
$IPT -A FORWARD -i eth1 -j in_inet

$IPT -A in_lan -p tcp -s 192.168.22.0/24 -d 192.168.0.99 --dport
80  -j ACCEPT
#$IPT -t nat -A PREROUTING -p tcp -s 192.168.22.0/24 -d 192.168.0.99 --dport 80 -j ACCEPT # А это тебе зачем ? Убивай :)
$IPT -t nat -A PREROUTING -p tcp -s 192.168.22.0/24 --dport 80 -j REDIRECT --to-ports 3128
#$IPT -t nat -A POSTROUTING -p tcp -s 192.168.22.0/24 -j MASQUERADE --to-ports 80 # Тоже убивай
$IPT -t nat -A PREROUTING -p tcp -i eth1 --dport 3128 -j DROP # Запрешай только внешний интерфейс
# INPUT FROM LAN
$IPT -A in_lan -m state --state RELATED,ESTABLISHED -j ACCEPT
$IPT -A in_lan -j REJECT --reject-with icmp-net-unreachable
$IPT -A in_lan -j DROP
# INPUT FROM INET
$IPT -A in_inet -m state --state RELATED,ESTABLISHED -j ACCEPT
$IPT -A in_inet -j REJECT --reject-with icmp-net-unreachable
$IPT -A in_inet -j DROP
Это должно у тебя работать... .
На счет rpm не знаю:( Всегда сам делал.
Squid и так пакеты в инет с внешнего интерфейса пошлет и без маскарада
Если вешаешь какой нибудь сервис на порт, то доступ давай только на нужном интерфейсе.

  Рекомендовать в FAQ | Cообщить модератору | Наверх

12. "Squid и особенности прозрачной прокси..."
Сообщение от MaIron emailИскать по авторуВ закладки on 01-Авг-03, 16:39  (MSK)
Ура настроил... :)

Всем огромное спасибо за обсуждение данной темы.

В правилах оставил только это:
iptables -t nat -A PREROUTING -p tcp -s 192.168.22.0/24 -d any/0 \--dport 80 -j REDIRECT --to-ports 3128
iptables -t nat -A PREROUTING -p tcp --dport 3128 -j DROP

Оказывается вообще маскарад ненужен :) Вот поэтому то я долбался.

Единственно что то медленно работает этот прокси большой лаг и часть страниц вообще ненаходит. Видимо придётся от него вообще отказаться :(((
Т.к. чувствуется для его нормальной настройки придётся пол жизни потратить:((((

+ Ковсему у меня перестал работать подсчёт трафика программой TA billing т.к. она считает по IpTables :((( Вобщем одни косяки... :((

  Рекомендовать в FAQ | Cообщить модератору | Наверх


Удалить

Индекс форумов | Темы | Пред. тема | След. тема
Пожалуйста, прежде чем написать сообщение, ознакомьтесь с данными рекомендациями.




Партнёры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру