Форум русскоязычного сообщества Ubuntu


Хотите сделать посильный вклад в развитие Ubuntu и русскоязычного сообщества?
Помогите нам с документацией!

Автор Тема: ubuntu 12.04 +squid3 прозрачный  (Прочитано 68737 раз)

0 Пользователей и 1 Гость просматривают эту тему.

Оффлайн Stenik

  • Автор темы
  • Новичок
  • *
  • Сообщений: 15
    • Просмотр профиля
ubuntu 12.04 +squid3 прозрачный
« : 25 Марта 2013, 13:59:05 »
Пытаюсь настроить прозрачный прокси на ubuntu 12.04 , просто прокси работает(если напрямую прописывать в броузере клиента)
Если пытаюсь завернуть все входящие пакеты на прокси через iptables,ничего не работает.. правила брал из разных источников, мануалы курил, вроде ничего подозрительного..., в сквиде стоит transparent....  может проблема не в правилах, а я что-то упустил  ?
в  /etc/rc.local     прописано
#iptables -t nat -A PREROUTING -i eth1 ! -d 192.168.0.0/24 -p tcp -m multiport —-dport 80,8080 -j DNAT --to 192.168.0.3:3128
#iptables -t nat -I PREROUTING 1 -p tcp --dport 80 -d ! 192.168.0.3 -j REDIRECT --to-ports 3128
#iptables -t nat -A PREROUTING -s 192.168.0.0/24 -p tcp -m multiport -j REDIRECT --to-ports 3128.
iptables -t nat -A PREROUTING -i eth1 -d ! 192.168.0.0/24 -p tcp -m multiport --dport 80,8080 -j DNAT --to 192.168.0.3:3128
exit 0

никакой из 4 варинтов не работает...
eth1 - интерфейс смотрящий  в локалку с айпи 192.168.0.3
eth0- инет

Спасибо за помощь и не кидайтесь плз помидорами,если кому-то вопрос покажется нубским.
« Последнее редактирование: 25 Марта 2013, 14:02:27 от Stenik »

Оффлайн Vitsliputsli

  • Старожил
  • *
  • Сообщений: 1293
    • Просмотр профиля
Re: ubuntu 12.04 +squid3 прозрачный
« Ответ #1 : 25 Марта 2013, 17:13:38 »
Обычно делается как-то так:
iptables -t nat -A PREROUTING -p tcp --dport 80 -j REDIRECT --to-port 3128
а вообще дайте вывод iptables-save, т.к. неизвестно что там.
Что значит не работает? Что в логах squid, пакеты к нему на порт точно не попадают?

Пользователь решил продолжить мысль 25 Марта 2013, 17:19:39:
Сейчас тоже тестирую не прозрачный squid. Попробовал по выше указанному правилу - все заворачивает.
« Последнее редактирование: 25 Марта 2013, 17:19:39 от Vitsliputsli »

Оффлайн fisher74

  • Заслуженный пользователь
  • Старожил
  • *
  • Сообщений: 13756
    • Просмотр профиля
Re: ubuntu 12.04 +squid3 прозрачный
« Ответ #2 : 25 Марта 2013, 20:15:29 »
Без выхлопа нижеследующих команд разговор будет идти в пустоту.
ifconfig -a
route -n
sudo iptables-save

Оффлайн Stenik

  • Автор темы
  • Новичок
  • *
  • Сообщений: 15
    • Просмотр профиля
Re: ubuntu 12.04 +squid3 прозрачный
« Ответ #3 : 26 Марта 2013, 02:31:03 »
taras@gate:~$ ifconfig -a
Цитировать
eth0      Link encap:Ethernet  HWaddr 00:0e:4e:37:d1:0c
          inet addr:192.168.1.3  Bcast:192.168.1.255  Mask:255.255.255.0
          inet6 addr: fe80::20e:4ar5:fe35:d00c/64 Scope:Link
          UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1
          RX packets:320509 errors:0 dropped:0 overruns:0 frame:0
          TX packets:212520 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:1000
          RX bytes:453222712 (453.2 MB)  TX bytes:17255762 (17.2 MB)
          Interrupt:19 Base address:0xe800

eth1      Link encap:Ethernet  HWaddr 00:18:dv:b1:d0:c0
          inet addr:192.168.0.3  Bcast:192.168.0.255  Mask:255.255.255.0
          inet6 addr: fe81::219:dbff:feb3:d1c1/64 Scope:Link
          UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1
          RX packets:379867 errors:0 dropped:0 overruns:0 frame:0
          TX packets:317038 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:1000
          RX bytes:27311721 (27.3 MB)  TX bytes:453789528 (453.7 MB)
          Interrupt:23 Base address:0x6000

lo        Link encap:Локальная петля (Loopback)
          inet addr:127.0.0.1  Mask:255.0.0.0
          inet6 addr: ::1/128 Scope:Host
          UP LOOPBACK RUNNING  MTU:16436  Metric:1
          RX packets:3818 errors:0 dropped:0 overruns:0 frame:0
          TX packets:3818 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:0
          RX bytes:296666 (296.6 KB)  TX bytes:296666 (296.6 KB)
taras@gate:~$ route -n
Цитировать
Таблица маршутизации ядра протокола IP
Destination Gateway Genmask Flags Metric Ref Use Iface
0.0.0.0         192.168.1.1     0.0.0.0         UG    100    0        0 eth0
192.168.0.0     0.0.0.0         255.255.255.0   U     0      0        0 eth1
192.168.1.0     0.0.0.0         255.255.255.0   U     0      0        0 eth0

p.sа iptables-save выдает пустоту, получается  правила не считываются с /etc/rc.local, если же ввожу правило с терминала, тогда iptables-save  не пустой и все работает так как надо
« Последнее редактирование: 26 Марта 2013, 11:25:11 от Stenik »

Оффлайн mailnvk

  • Новичок
  • *
  • Сообщений: 21
    • Просмотр профиля
Re: ubuntu 12.04 +squid3 прозрачный
« Ответ #4 : 26 Марта 2013, 11:17:57 »
Цитировать
а iptables-save выдает пустоту, получается  правила не считываются с /etc/rc.local
iptables-save  -  просто сохраняет текущие правила. Это тебе ляпнули не подумав :)

Дай вывод   
iptables -t nat -L

Ты заметил что у тебя два интерфейса? :) Значит надо бы включить форвардинг...
echo 'net.ipv4.ip_forward = 1' > /etc/sysctl.conf

Оффлайн Stenik

  • Автор темы
  • Новичок
  • *
  • Сообщений: 15
    • Просмотр профиля
Re: ubuntu 12.04 +squid3 прозрачный
« Ответ #5 : 26 Марта 2013, 11:31:04 »
Цитировать
а iptables-save выдает пустоту, получается  правила не считываются с /etc/rc.local
iptables-save  -  просто сохраняет текущие правила. Это тебе ляпнули не подумав :)
про 2 интерфейса я вкурсе :),  сервак поднимается типа в виде шлюза :)
я разобрался, что делает iptables-save.... повторюсь.... , насколько я понял,  у меня правила не считываются с /etc/rc.local  (где, насколько я понял, они должны быть)... если же  я ввожу правила через терминал-sudo, тогда получаю нужный результат, но до перезагрузки.

Оффлайн mailnvk

  • Новичок
  • *
  • Сообщений: 21
    • Просмотр профиля
Re: ubuntu 12.04 +squid3 прозрачный
« Ответ #6 : 26 Марта 2013, 14:50:44 »
Ну во первых, в rc.local нужно прописывать полный путь до исполняемого файла.
Во вторых оно тебе нахрен не нужно. Вводишь в терминале правила через sudo, далее sudo iptables-save. Все правила сохранены и после перезагрузки они остануться.
Еще раз говорю, покажи "iptables -t nat -L", ну и до кучи squid.cfg

Оффлайн Stenik

  • Автор темы
  • Новичок
  • *
  • Сообщений: 15
    • Просмотр профиля
Re: ubuntu 12.04 +squid3 прозрачный
« Ответ #7 : 26 Марта 2013, 15:47:22 »
taras@gate:~$ sudo iptables-save
# Generated by iptables-save v1.4.12 on Tue Mar 26 13:42:11 2013
*nat
:PREROUTING ACCEPT [24:3142]
:INPUT ACCEPT [24:3142]
:OUTPUT ACCEPT [29:1872]
:POSTROUTING ACCEPT [29:1872]
-A PREROUTING -p tcp -m tcp --dport 80 -j REDIRECT --to-ports 3128
COMMIT
# Completed on Tue Mar 26 13:42:11 2013
taras@gate:~$ sudo iptables -t nat -L
Chain PREROUTING (policy ACCEPT)
target     prot opt source               destination
REDIRECT   tcp  --  anywhere             anywhere             tcp dpt:http redir ports 3128

Chain INPUT (policy ACCEPT)
target     prot opt source               destination

Chain OUTPUT (policy ACCEPT)
target     prot opt source               destination

Chain POSTROUTING (policy ACCEPT)
target     prot opt source               destination

сквид еше ничего не менял... стандартный дефаулт конфиг

Пользователь решил продолжить мысль 26 Марта 2013, 15:58:46:

Во вторых оно тебе нахрен не нужно. Вводишь в терминале правила через sudo, далее sudo iptables-save. Все правила сохранены и после перезагрузки они остануться.

ну хотел что бы это все было в файле одном, удобно редактировать, смотреть... пока учусь... мне кажется так проще..
« Последнее редактирование: 26 Марта 2013, 15:58:46 от Stenik »

Оффлайн mailnvk

  • Новичок
  • *
  • Сообщений: 21
    • Просмотр профиля
Re: ubuntu 12.04 +squid3 прозрачный
« Ответ #8 : 27 Марта 2013, 09:29:34 »
Цитировать
сквид еше ничего не менял... стандартный дефаулт конфиг
т.е. это ты не писал?
http_port 3128 transparent
acl our_networks src 192.168.0.0/24
http_access allow our_networks
В iptables достаточно:
iptables -t nat -A PREROUTING -i eth1 -p tcp -m tcp --dport 80 -j DNAT --to-destination 192.168.0.3:3128
iptables -t nat -A PREROUTING -i eth0 -p tcp -m tcp --dport 80 -j REDIRECT --to-ports 3128

Оффлайн Stenik

  • Автор темы
  • Новичок
  • *
  • Сообщений: 15
    • Просмотр профиля
Re: ubuntu 12.04 +squid3 прозрачный
« Ответ #9 : 27 Марта 2013, 12:18:45 »
т.е. это ты не писал?
http_port 3128 transparent
acl our_networks src 192.168.0.0/24
http_access allow our_networks
ну самое необходимое
iptables -t nat -A PREROUTING -i eth1 -p tcp -m tcp --dport 80 -j DNAT --to-destination 192.168.0.3:3128
iptables -t nat -A PREROUTING -i eth0 -p tcp -m tcp --dport 80 -j REDIRECT --to-ports 3128
добавил эти правила  в rc.local, и нормально заработало.. получается я где-то мудрил с синтаксисом просто....
спасибо

Оффлайн Vitsliputsli

  • Старожил
  • *
  • Сообщений: 1293
    • Просмотр профиля
Re: ubuntu 12.04 +squid3 прозрачный
« Ответ #10 : 27 Марта 2013, 13:28:56 »
Учитывая что "iptables-save выдает пустоту", похоже просто правила не прописывались, прежде чем правила записывать на постоянку, лучше сперва просто выполнить команды iptables, чтобы проверить работоспособность.

Оффлайн tagilchanin

  • Активист
  • *
  • Сообщений: 658
    • Просмотр профиля
Re: ubuntu 12.04 +squid3 прозрачный
« Ответ #11 : 28 Марта 2013, 15:19:40 »
Цитировать
а iptables-save выдает пустоту, получается  правила не считываются с /etc/rc.local
iptables-save  -  просто сохраняет текущие правила. Это тебе ляпнули не подумав :)

Дай вывод   
iptables -t nat -L

Ты заметил что у тебя два интерфейса? :) Значит надо бы включить форвардинг...
echo 'net.ipv4.ip_forward = 1' > /etc/sysctl.conf

ремарочка iptables-save выводит текущие правила, а вот iptables-save > /path_to_file сохраняет их в указанный файл.
Выбери профессию, которую ты любишь, - и тебе не придется работать ни дня в твоей жизни. (Конфуций)

Оффлайн aleksandrnovikov

  • Любитель
  • *
  • Сообщений: 57
    • Просмотр профиля
Re: ubuntu 12.04 +squid3 прозрачный
« Ответ #12 : 28 Марта 2013, 23:05:21 »
Будьте добры, подскажите где у меня проблема, тоже хочу настроить прозрачный squid. Eth0 192.168.1.199 смотрит в локалку, eth1 192.168.0.101 в интернет.
Цитировать
Таблица маршутизации ядра протокола IP
Destination Gateway Genmask Flags Metric Ref Use Iface
0.0.0.0         192.168.0.1     0.0.0.0         UG    0      0        0 eth1
169.254.0.0     0.0.0.0         255.255.0.0     U     1000   0        0 eth0ава
192.168.0.0     0.0.0.0         255.255.255.0   U     1      0        0 eth1
192.168.1.0     0.0.0.0         255.255.255.0   U     1      0        0 eth0

Цитировать
eth0      Link encap:Ethernet  HWaddr 00:40:f4:6f:cd:4f 
          inet addr:192.168.1.199  Bcast:192.168.1.255  Mask:255.255.255.0
          inet6 addr: fe80::240:f4ff:fe6f:cd4f/64 Scope:Link
          UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1
          RX packets:199 errors:0 dropped:0 overruns:0 frame:0
          TX packets:28 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:1000
          RX bytes:18294 (18.2 KB)  TX bytes:3025 (3.0 KB)
          Interrupt:20 Base address:0xde00

eth1      Link encap:Ethernet  HWaddr 1c:6f:65:e1:78:f6 
          inet addr:192.168.0.101  Bcast:192.168.0.255  Mask:255.255.255.0
          inet6 addr: fe80::1e6f:65ff:fee1:78f6/64 Scope:Link
          UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1
          RX packets:2602 errors:0 dropped:0 overruns:0 frame:0
          TX packets:2128 errors:0 dropped:0 overruns:0 carrier:1
          collisions:0 txqueuelen:1000
          RX bytes:1157097 (1.1 MB)  TX bytes:498656 (498.6 KB)
          Interrupt:44

lo        Link encap:Локальная петля (Loopback) 
          inet addr:127.0.0.1  Mask:255.0.0.0
          inet6 addr: ::1/128 Scope:Host
          UP LOOPBACK RUNNING  MTU:16436  Metric:1
          RX packets:349 errors:0 dropped:0 overruns:0 frame:0
          TX packets:349 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:0
          RX bytes:33316 (33.3 KB)  TX bytes:33316 (33.3 KB)
Цитировать
# Generated by iptables-save v1.4.12 on Thu Mar 28 23:03:12 2013
*nat
:PREROUTING ACCEPT [16:1867]
:INPUT ACCEPT [12:1667]
:OUTPUT ACCEPT [464:28633]
:POSTROUTING ACCEPT [464:28633]
-A PREROUTING -i eth0 -p tcp -m tcp --dport 80 -j DNAT --to-destination 192.168.1.199:3128
-A PREROUTING -i eth1 -p tcp -m tcp --dport 80 -j REDIRECT --to-ports 3128
COMMIT
# Completed on Thu Mar 28 23:03:12 2013
Цитировать
http_port 3128 transparent
acl our_networks src 192.168.1.1/24
http_access allow our_networks

Оффлайн Andrey_S15

  • Новичок
  • *
  • Сообщений: 16
    • Просмотр профиля
Re: ubuntu 12.04 +squid3 прозрачный
« Ответ #13 : 19 Июня 2013, 13:49:20 »
Доброго времени суток
Кто разобрался подскажите не могу поставить доступ ограничения на сайты
Squid3 работает через себя пропускает а вот резать не хочет .
squid.conf
auth_param basic program /etc/webmin/squid/squid-auth.pl /etc/webmin/squid/users
acl manager proto cache_object
acl localhost src 127.0.0.1/32 ::1
acl to_localhost dst 127.0.0.0/8 0.0.0.0/32 ::1
 acl localnet src 192.168.2.0/24        # RFC1918 possible internal network
acl SSL_ports port 443
acl Safe_ports port 80          # http
acl Safe_ports port 21          # ftp
acl Safe_ports port 443         # https
acl Safe_ports port 70          # gopher
acl Safe_ports port 210         # wais
acl Safe_ports port 1025-65535  # unregistered ports
acl Safe_ports port 280         # http-mgmt
acl Safe_ports port 488         # gss-http
acl Safe_ports port 591         # filemaker
acl Safe_ports port 777         # multiling http
acl CONNECT method CONNECT
http_access allow manager localhost
http_access deny manager
http_access deny !Safe_ports
http_access deny CONNECT !SSL_ports
http_access allow localnet
http_access allow localhost
http_access deny all
http_port 3128 transparent
 cache_dir ufs /var/spool/squid3 4096 32 256
 maximum_object_size 10024 KB
 access_log /var/log/squid3/access.log squid
 logfile_rotate 12
coredump_dir /var/spool/squid3
refresh_pattern ^ftp:           1440    20%     10080
refresh_pattern ^gopher:        1440    0%      1440
refresh_pattern -i (/cgi-bin/|\?) 0     0%      0
refresh_pattern (Release|Packages(.gz)*)$      0       20%     2880
refresh_pattern .               0       20%     4320
 positive_dns_ttl 5 hours
 visible_hostname home-mini.com
error_directory /usr/share/squid3/errors/Russian-koi8-r
dns_nameservers 192.168.2.1 8.8.8.8 8.8.4.4
 memory_pools on
 memory_pools_limit 50 MB
acl zapret dstdomain .vkontakte.ru .odnoklassniki.ru .my.mail.ru .blogs.mail.ru .horo.mail.ru .news.mail.ru .games.mail.ru .auto.mail.ru .map.mail.ru .rabota.mail.ru .travel.mail.ru .lady.mail.ru .deti.mail.ru .realty.mail.ru .video.mail.ru .cards.mail.ru .pogoda.mail.ru .afisha.mail.ru .mobile.mail.ru .soft.mail.ru .otvet.mail.ru .chat.mail.ru .sowbiz.mail.ru .torg.mail.ru .love.mail.ru .foto.mail.ru .content.mail.ru .odnoklasniki.ru .adobe.com .radio.tut.by .blog.tut.by .i.tut.by .update.icq.com
cache_peer 127.0.0.1 parent 8000 0 no-query no-digest no-netdb-exchange default
cache_peer_access 127.0.0.1 allow all
acl Scan_HTTP proto HTTP
never_direct allow Scan_HTTP

В чем причина не пойму?
Заранее благодарен тем кто откликнется

Оффлайн ArcFi

  • Старожил
  • *
  • Сообщений: 15189
    • Просмотр профиля
    • aetera.net
Re: ubuntu 12.04 +squid3 прозрачный
« Ответ #14 : 19 Июня 2013, 19:18:14 »
Andrey_S15, попробуйте через squidguard.

 

Страница сгенерирована за 0.034 секунд. Запросов: 25.