Форум русскоязычного сообщества Ubuntu


Увидели сообщение с непонятной ссылкой, спам, непристойность или оскорбление?
Воспользуйтесь ссылкой «Сообщить модератору» рядом с сообщением!

Автор Тема: Прозрачная прокси в Squid3  (Прочитано 2741 раз)

0 Пользователей и 1 Гость просматривают эту тему.

Оффлайн vovanking

  • Автор темы
  • Новичок
  • *
  • Сообщений: 20
    • Просмотр профиля
Re: Прозрачная прокси в Squid3
« Ответ #15 : 29 Июля 2016, 14:46:14 »
если бы они были идентичны, то разрабы давно бы исключили что-либо из них. tproxy, в моём понимании, устроено таким образом, что запросы к ресурсам кальмар засылает от имени источника запроса, т.е. IP-source = IP клиента, Поэтому шлюз, его и пересылает снова кальмару. Правда есть не стыковка по условию интерфейса, но ... возможно я не совсем верно понимаю механизм работы tproxy ))).

Добавьте строку
http_port 3129

Да, видимо, меня ввели в заблуждение. Меня уверяли, что intercept - это просто устаревшее название параметра tproxy.
Добавил строку - не помогло

2016/07/29 13:48:51|  NF getsockopt(SO_ORIGINAL_DST) failed on local=172.17.2.211:3128 remote=172.17.8.111:1928 FD 10 flags=33: (92) Protocol not available
2016/07/29 13:48:51|  NF getsockopt(SO_ORIGINAL_DST) failed on local=172.17.2.211:3128 remote=172.17.8.111:1929 FD 10 flags=33: (92) Protocol not available
2016/07/29 13:48:56|  NF getsockopt(SO_ORIGINAL_DST) failed on local=172.17.2.211:3128 remote=172.17.8.111:1930 FD 10 flags=33: (92) Protocol not available
2016/07/29 13:49:26|  NF getsockopt(SO_ORIGINAL_DST) failed on local=172.17.2.211:3128 remote=172.17.8.111:1934 FD 10 flags=33: (92) Protocol not available
2016/07/29 13:50:26|  NF getsockopt(SO_ORIGINAL_DST) failed on local=172.17.2.211:3128 remote=172.17.8.111:1936 FD 10 flags=33: (92) Protocol not available
2016/07/29 13:55:26|  NF getsockopt(SO_ORIGINAL_DST) failed on local=172.17.2.211:3128 remote=172.17.8.111:1957 FD 10 flags=33: (92) Protocol not available
2016/07/29 14:05:26|  NF getsockopt(SO_ORIGINAL_DST) failed on local=172.17.2.211:3128 remote=172.17.8.111:1991 FD 10 flags=33: (92) Protocol not available

Оффлайн fisher74

  • Заслуженный пользователь
  • Старожил
  • *
  • Сообщений: 13756
    • Просмотр профиля
Re: Прозрачная прокси в Squid3
« Ответ #16 : 29 Июля 2016, 14:49:01 »
Меня уверяли, что intercept - это просто устаревшее название параметра tproxy.
с transparent не перепутали? Это как раз устаревший параметр на смену которому пришёл intercept

можно глянуть ip a; ip r на кальмаровском компе? И если есть особенности то тоже озвучить

Ещё покажите
sysctl net.ipv4.conf.default.rp_filter
PS УЧИМСЯ КВОТИТЬ!!!!
« Последнее редактирование: 29 Июля 2016, 15:27:16 от fisher74 »

Оффлайн vovanking

  • Автор темы
  • Новичок
  • *
  • Сообщений: 20
    • Просмотр профиля
Re: Прозрачная прокси в Squid3
« Ответ #17 : 29 Июля 2016, 15:36:37 »
Меня уверяли, что intercept - это просто устаревшее название параметра tproxy.
с transparent не перепутали? Это как раз устаревший параметр на смену которому пришёл intercept

можно глянуть ip a; ip r на кальмаровском компе? И если есть особенности то тоже озвучить

Ещё покажите
sysctl net.ipv4.conf.default.rp_filter
PS УЧИМСЯ КВОТИТЬ!!!!

Да, возможно, что и перепутал...
Вывод ip a:
1: lo: <LOOPBACK,UP,LOWER_UP> mtu 65536 qdisc noqueue state UNKNOWN group default
    link/loopback 00:00:00:00:00:00 brd 00:00:00:00:00:00
    inet 127.0.0.1/8 scope host lo
       valid_lft forever preferred_lft forever
    inet6 ::1/128 scope host
       valid_lft forever preferred_lft forever
2: eth0: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc pfifo_fast state UP group default qlen 1000
    link/ether 52:54:00:5b:57:c5 brd ff:ff:ff:ff:ff:ff
    inet 172.17.2.211/24 brd 172.17.2.255 scope global eth0
       valid_lft forever preferred_lft forever
    inet6 fe80::5054:ff:fe5b:57c5/64 scope link
       valid_lft forever preferred_lft forever
ip r:
default via 172.17.2.100 dev eth0
172.17.2.0/24 dev eth0  proto kernel  scope link  src 172.17.2.211

net.ipv4.conf.default.rp_filter = 1
Из особенностей разве только то, что он на виртуальной машинке KVM находится. сам хост в сети 172.17.2.0/24, машинка тоже, никакие другие vlan туда не прокинуты. Но думаю, это не существенно.

PS: посните, что не так с моим квотированием? новичек-с, простите.

Оффлайн fisher74

  • Заслуженный пользователь
  • Старожил
  • *
  • Сообщений: 13756
    • Просмотр профиля
Re: Прозрачная прокси в Squid3
« Ответ #18 : 29 Июля 2016, 16:06:39 »
Попробуйте
sudo sysctl -w net.ipv4.conf.all.rp_filter=0
sudo sysctl -w net.ipv4.ip_nonlocal_bind = 1

PS: посните, что не так с моим квотированием? новичек-с, простите.
Не нужно цитировать (Quoted) собеседника, если понятно на какой вопрос Вы отвечаете. А если  цитирование всё же требуется, то оставляйте только ту часть, которая требует уточнения.
« Последнее редактирование: 29 Июля 2016, 16:13:49 от fisher74 »

Оффлайн vovanking

  • Автор темы
  • Новичок
  • *
  • Сообщений: 20
    • Просмотр профиля
Re: Прозрачная прокси в Squid3
« Ответ #19 : 29 Июля 2016, 16:18:22 »
Попробовал, ничего не изменилось. Да, там у меня была единица потому, что я пробовал использовать саму машинку с кальмаром в качестве дефолт гетвея в данной сети, и уже с него перенаправлять пакеты на шлюз. А на нем самом делать REDIRECT с 80 порта на 3128. Но эта идея тоже не увенчалась успехом.
Спасибо, понял насчет цитирования.

Оффлайн vovanking

  • Автор темы
  • Новичок
  • *
  • Сообщений: 20
    • Просмотр профиля
Re: Прозрачная прокси в Squid3
« Ответ #20 : 04 Августа 2016, 09:50:24 »
Не появились больше идеи, с чем может быть связана моя проблема?

Оффлайн fisher74

  • Заслуженный пользователь
  • Старожил
  • *
  • Сообщений: 13756
    • Просмотр профиля
Re: Прозрачная прокси в Squid3
« Ответ #21 : 04 Августа 2016, 09:59:54 »
Попробовал, ничего не изменилось.
В логах такие же записи?

Оффлайн vovanking

  • Автор темы
  • Новичок
  • *
  • Сообщений: 20
    • Просмотр профиля
Re: Прозрачная прокси в Squid3
« Ответ #22 : 04 Августа 2016, 11:18:28 »
да. один в один:
2016/08/04 11:17:32|  NF getsockopt(SO_ORIGINAL_DST) failed on local=172.17.2.211:3128 remote=172.17.8.114:1952 FD 10 flags=33: (92) Protocol not available
2016/08/04 11:17:40|  NF getsockopt(SO_ORIGINAL_DST) failed on local=172.17.2.211:3128 remote=172.17.8.114:1954 FD 10 flags=33: (92) Protocol not available
2016/08/04 11:17:40|  NF getsockopt(SO_ORIGINAL_DST) failed on local=172.17.2.211:3128 remote=172.17.8.114:1955 FD 10 flags=33: (92) Protocol not available
В access.log пусто.

Оффлайн fisher74

  • Заслуженный пользователь
  • Старожил
  • *
  • Сообщений: 13756
    • Просмотр профиля
Re: Прозрачная прокси в Squid3
« Ответ #23 : 04 Августа 2016, 11:54:42 »
Давайте повторимся
grep -vE "(^#|^$)" /etc/squid*/squid.conf
sysctl net.ipv4.ip_nonlocal_bind
sysctl net.ipv4.conf.default.accept_source_route

и с шлюза
iptables-save
sysctl net.ipv4.conf.default.rp_filter
« Последнее редактирование: 04 Августа 2016, 12:09:24 от fisher74 »

Оффлайн vovanking

  • Автор темы
  • Новичок
  • *
  • Сообщений: 20
    • Просмотр профиля
Re: Прозрачная прокси в Squid3
« Ответ #24 : 04 Августа 2016, 12:12:25 »
grep -vE "(^#|^$)" /etc/squid*/squid.conf

http_port 3129
http_port 3128 intercept
cache_dir ufs /var/cache/squid 2048 16 256
maximum_object_size 61440 KB
minimum_object_size 3 KB
acl lan src 172.17.8.0/24
acl SSL_ports port 443
acl Safe_ports port 80          # http
acl Safe_ports port 21          # ftp
acl Safe_ports port 443         # https
acl Safe_ports port 70          # gopher
acl Safe_ports port 210         # wais
acl Safe_ports port 1025-65535  # unregistered ports
acl Safe_ports port 280         # http-mgmt
acl Safe_ports port 488         # gss-http
acl Safe_ports port 591         # filemaker
acl Safe_ports port 777         # multiling http
acl CONNECT method CONNECT
http_access allow lan
http_access deny !Safe_ports
http_access deny CONNECT !SSL_ports
http_access allow localhost
http_access deny all
hierarchy_stoplist cgi-bin ?
coredump_dir /var/spool/squid3
refresh_pattern ^ftp:           1440    20%     10080
refresh_pattern ^gopher:        1440    0%      1440
refresh_pattern -i (/cgi-bin/|\?) 0     0%      0
refresh_pattern .               0       20%     4320

sysctl net.ipv4.conf.default.rp_filter = 1
net.ipv4.ip_nonlocal_bind = 1
net.ipv4.conf.default.accept_source_route = 1

Пробовал первый параметр в 0 устанавливать - результат тот же.



Пользователь добавил сообщение 04 Августа 2016, 12:18:24:
С шлюза:
Здесь здоровая простыня, но публикую все, чтобы ничего не упустить (только белые айпишники удалю)
iptables-save
# Generated by iptables-save v1.4.8 on Thu Aug  4 12:13:33 2016
*nat
:PREROUTING ACCEPT [17859348:1831771874]
:POSTROUTING ACCEPT [3737198:254659013]
:OUTPUT ACCEPT [1653453:122360277]
-A PREROUTING -s  -d  -i eth0 -p tcp -m tcp --dport 50873 -j DNAT --to-destination 172.17.10.23:873
-A PREROUTING -d  -i eth0 -p tcp -m tcp --dport 50888 -j DNAT --to-destination 172.17.2.12:22
-A PREROUTING -s  -d  -i eth0 -p tcp -m tcp --dport 50874 -j DNAT --to-destination 172.17.2.241:873
-A PREROUTING ! -s 172.17.2.211/32 -i eth1.8 -p tcp -m tcp --dport 80 -j DNAT --to-destination 172.17.2.211:3128
-A POSTROUTING -s 192.168.11.0/24 -o eth0 -j SNAT --to-source 
-A POSTROUTING -s 172.17.2.0/24 -o eth0 -j SNAT --to-source 
-A POSTROUTING -s 172.17.0.0/24 -o eth0 -j SNAT --to-source 
-A POSTROUTING -s 172.17.1.0/24 -o eth0 -j SNAT --to-source 
-A POSTROUTING -s 172.17.10.0/24 -o eth0 -j SNAT --to-source 
-A POSTROUTING -s 172.17.11.0/24 -o eth0 -j SNAT --to-source
-A POSTROUTING -s 172.17.7.0/24 -o eth0 -j SNAT --to-source
-A POSTROUTING -s 172.17.6.0/24 -o eth0 -j SNAT --to-source 
-A POSTROUTING -s 172.17.8.0/24 -o eth0 -j SNAT --to-source
-A POSTROUTING -s 172.17.9.0/24 -o eth0 -j SNAT --to-source
COMMIT
# Completed on Thu Aug  4 12:13:33 2016
# Generated by iptables-save v1.4.8 on Thu Aug  4 12:13:33 2016
*mangle
:PREROUTING ACCEPT [3932302153:3373237737299]
:INPUT ACCEPT [21655076:6209885782]
:FORWARD ACCEPT [3910608049:3367023085679]
:OUTPUT ACCEPT [17581304:7786585337]
:POSTROUTING ACCEPT [3927405793:3374740586300]
COMMIT
# Completed on Thu Aug  4 12:13:33 2016
# Generated by iptables-save v1.4.8 on Thu Aug  4 12:13:33 2016
*filter
:INPUT DROP [4435785:384038503]
:FORWARD DROP [487372:44631759]
:OUTPUT ACCEPT [7181:1692080]
:allowed - [0:0]
:bad_tcp_packets - [0:0]
:icmp_packets - [0:0]
-A INPUT -p gre -j ACCEPT
-A INPUT -p tcp -m tcp --dport 1723 -j ACCEPT
-A INPUT -p tcp -j bad_tcp_packets
-A INPUT -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
-A INPUT -p udp -m udp --dport 53 -j ACCEPT
-A INPUT -s  -p tcp -m tcp --sport 1024:65353 --dport 53 -j allowed
-A INPUT -s  -p tcp -m tcp --sport 1024:65353 --dport 53 -j allowed
-A INPUT -s  -p tcp -m tcp --sport 1024:65353 --dport 53 -j allowed
-A INPUT -s  -p tcp -m tcp --sport 1024:65353 --dport 53 -j allowed
-A INPUT -s  -p tcp -m tcp --sport 1024:65353 --dport 53 -j allowed
-A INPUT -s  -p tcp -m tcp --sport 1024:65353 --dport 53 -j allowed
-A INPUT -s  -p tcp -m tcp --sport 1024:65353 --dport 53 -j allowed
-A INPUT -s  -p tcp -m tcp --sport 1024:65353 --dport 53 -j allowed
-A INPUT -s  -p tcp -m tcp --sport 1024:65353 --dport 53 -j allowed
-A INPUT -s  -p tcp -m tcp --sport 1024:65353 --dport 53 -j allowed
-A INPUT -s  -p tcp -m tcp --sport 1024:65353 --dport 53 -j allowed
-A INPUT -i eth0 -p icmp -m icmp --icmp-type 8 -j ACCEPT
-A INPUT -i eth0 -p icmp -m icmp --icmp-type 0 -j ACCEPT
-A INPUT -i eth1 -p icmp -m icmp --icmp-type 8 -j ACCEPT
-A INPUT -i eth1 -p icmp -m icmp --icmp-type 0 -j ACCEPT
-A INPUT -i eth2 -p icmp -m icmp --icmp-type 8 -j ACCEPT
-A INPUT -i eth1.6 -p icmp -m icmp --icmp-type 8 -j ACCEPT
-A INPUT -i eth1.6 -p icmp -m icmp --icmp-type 0 -j ACCEPT
-A INPUT -i eth1.8 -p icmp -m icmp --icmp-type 8 -j ACCEPT
-A INPUT -i eth1.8 -p icmp -m icmp --icmp-type 0 -j ACCEPT
-A INPUT -i eth1.9 -p icmp -m icmp --icmp-type 8 -j ACCEPT
-A INPUT -i eth1.9 -p icmp -m icmp --icmp-type 0 -j ACCEPT
-A INPUT -s 172.17.1.103/32 -p tcp -j allowed
-A INPUT -s 172.17.1.103/32 -p udp -j ACCEPT
-A INPUT -s 172.17.1.0/24 -p udp -m udp --dport 123 -j ACCEPT
-A INPUT -s 172.17.10.23/32 -p tcp -m tcp --sport 1024:65535 --dport 25 -j allowed
-A INPUT -s 172.17.1.3/32 -p tcp -m tcp --sport 1024:65535 --dport 25 -j allowed
-A INPUT -s 172.17.1.4/32 -p tcp -m tcp --sport 1024:65535 --dport 25 -j allowed
-A INPUT -s 172.17.1.7/32 -p tcp -m tcp --sport 1024:65535 --dport 25 -j allowed
-A INPUT -s 172.17.1.8/32 -p tcp -m tcp --sport 1024:65535 --dport 25 -j allowed
-A INPUT -s 172.17.1.15/32 -p tcp -m tcp --sport 1024:65535 --dport 25 -j allowed
-A INPUT -s 172.17.1.18/32 -p tcp -m tcp --sport 1024:65535 --dport 25 -j allowed
-A INPUT -s 172.17.1.25/32 -p tcp -m tcp --sport 1024:65535 --dport 25 -j allowed
-A INPUT -p udp -m udp --sport 123 --dport 123 -j ACCEPT
-A INPUT -d  -i eth0 -p tcp -m tcp --sport 1024:65535 --dport 80 -m conntrack --ctstate NEW -m hashlimit --hashlimit-upto 20/sec --hashlimit-burst 50 --hashlimit-mode srcip --hashlimit-name limit_http -j ACCEPT
-A INPUT -d  -i eth0 -p tcp -m tcp --sport 1024:65535 --dport 80 -m conntrack --ctstate NEW -j DROP
-A INPUT -d  -p tcp -m tcp --sport 1024:65535 --dport 80 -j allowed
-A INPUT -d  -i eth0 -p tcp -m tcp --sport 1024:65535 --dport 443 -m conntrack --ctstate NEW -m hashlimit --hashlimit-upto 20/sec --hashlimit-burst 50 --hashlimit-mode srcip --hashlimit-name limit_https -j ACCEPT
-A INPUT -d  -i eth0 -p tcp -m tcp --sport 1024:65535 --dport 443 -m conntrack --ctstate NEW -j DROP
-A INPUT -d  -p tcp -m tcp --sport 1024:65535 --dport 443 -j allowed
-A INPUT -d  -i eth0 -p tcp -m tcp --sport 1024:65535 --dport 80 -m conntrack --ctstate NEW -m hashlimit --hashlimit-upto 20/sec --hashlimit-burst 50 --hashlimit-mode srcip --hashlimit-name limit_http -j ACCEPT
-A INPUT -d  -i eth0 -p tcp -m tcp --sport 1024:65535 --dport 80 -m conntrack --ctstate NEW -j DROP
-A INPUT -d  -p tcp -m tcp --sport 1024:65535 --dport 80 -j allowed
-A INPUT -d  -i eth0 -p tcp -m tcp --sport 1024:65535 --dport 443 -m conntrack --ctstate NEW -m hashlimit --hashlimit-upto 20/sec --hashlimit-burst 50 --hashlimit-mode srcip --hashlimit-name limit_https -j ACCEPT
-A INPUT -d  -i eth0 -p tcp -m tcp --sport 1024:65535 --dport 443 -m conntrack --ctstate NEW -j DROP
-A INPUT -d  -p tcp -m tcp --sport 1024:65535 --dport 443 -j allowed
-A INPUT -d  -p tcp -m tcp --sport 1024:65535 --dport 25 -j allowed
-A INPUT -s  -p tcp -m tcp --dport 22 -j allowed
-A INPUT -s  -p tcp -m tcp --dport 22 -j allowed
-A INPUT -s  -p tcp -m tcp --dport 22 -j allowed
-A INPUT -i lo -j ACCEPT
-A INPUT -s 127.0.0.1/32 -i lo -j ACCEPT
-A INPUT -s  -i lo -j ACCEPT
-A INPUT -s  -i lo -j ACCEPT
-A INPUT -s 172.17.2.100/32 -i lo -j ACCEPT
-A INPUT -s 172.17.5.0/24 -j ACCEPT
-A INPUT -s  -j allowed
-A INPUT -s  -p tcp -m tcp --dport 53 -j ACCEPT
-A INPUT -s 172.17.2.0/24 -d 172.17.2.100/32 -i eth2 -j allowed
-A INPUT -i eth1 -p udp -j ACCEPT
-A INPUT -s 172.17.11.0/24 -j ACCEPT
-A INPUT -s 172.17.9.0/24 -j ACCEPT
-A FORWARD -i eth2 -p tcp -j bad_tcp_packets
-A FORWARD -i eth1 -p tcp -j bad_tcp_packets
-A FORWARD -i eth1.8 -p tcp -j bad_tcp_packets
-A FORWARD -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
-A FORWARD -s 172.17.2.0/24 -p icmp -m icmp --icmp-type 8 -j ACCEPT
-A FORWARD -s 172.17.8.0/24 -p icmp -m icmp --icmp-type 8 -j ACCEPT
-A FORWARD -s 172.17.1.0/24 -p icmp -m icmp --icmp-type 8 -j ACCEPT
-A FORWARD -s 172.17.5.0/24 -p icmp -m icmp --icmp-type 8 -j ACCEPT
-A FORWARD -s 172.17.10.0/24 -p icmp -m icmp --icmp-type 8 -j ACCEPT
-A FORWARD -s 172.17.7.0/24 -p icmp -m icmp --icmp-type 8 -j ACCEPT
-A FORWARD -s 172.17.11.0/24 -p icmp -m icmp --icmp-type 8 -j ACCEPT
-A FORWARD -s 172.17.0.0/24 -o eth0 -p icmp -m icmp --icmp-type 8 -j ACCEPT
-A FORWARD -s 192.168.11.0/24 -o eth0 -j allowed
-A FORWARD -s 172.17.2.86/32 -j DROP
-A FORWARD -s 172.17.2.0/24 -p tcp -j allowed
-A FORWARD -s 172.17.2.0/24 -p udp -j allowed
-A FORWARD -s 172.17.2.0/24 -d 172.17.2.0/24 -j ACCEPT
-A FORWARD -s 172.17.8.0/24 -p tcp -j allowed
-A FORWARD -s 172.17.8.0/24 -p udp -j allowed
-A FORWARD -d 172.17.10.23/32 -p tcp -m tcp --dport 873 -j allowed
-A FORWARD -d 172.17.2.12/32 -p tcp -m tcp --dport 22 -j allowed
-A FORWARD -d 172.17.2.241/32 -p tcp -m tcp --dport 873 -j allowed
-A FORWARD -s 172.17.0.0/24 -d 172.17.1.0/24 -i eth1 -p tcp -j REJECT --reject-with tcp-reset
-A FORWARD -s 172.17.0.0/24 -d 172.17.1.0/24 -i eth1 -p udp -j DROP
-A FORWARD -s 172.17.0.0/24 -d 172.17.1.0/24 -i eth1 -p icmp -j DROP
-A FORWARD -s 172.17.0.0/24 -o eth0 -p tcp -j allowed
-A FORWARD -s 172.17.0.0/24 -d 8.8.8.8/32 -o eth0 -p udp -j allowed
-A FORWARD -s 172.17.0.0/24 -d 8.8.4.4/32 -o eth0 -p udp -j allowed
-A FORWARD -s 172.17.0.0/24 -d 81.88.86.0/24 -o eth0 -p udp -j allowed
-A FORWARD -s 172.17.0.0/24 -o eth0 -p udp -j allowed
-A FORWARD -s 172.17.0.0/24 -d 172.17.10.23/32 -i eth1 -p tcp -j allowed
-A FORWARD -s 172.17.0.0/24 -d 172.17.2.231/32 -i eth1 -j allowed
-A FORWARD -s 172.17.0.0/24 -d 172.17.2.51/32 -i eth1 -p tcp -m tcp --dport 8083 -j allowed
-A FORWARD -s 172.17.0.0/24 -d 172.17.2.230/32 -i eth1 -j allowed
-A FORWARD -s 172.17.0.214/32 -d 172.17.2.75/32 -i eth1 -p tcp -j allowed
-A FORWARD -s 172.17.0.214/32 -d 172.17.2.75/32 -i eth1 -p udp -j allowed
-A FORWARD -s 172.17.0.176/32 -d 172.17.2.160/32 -i eth1 -j allowed
-A FORWARD -s 172.17.0.129/32 -d 172.17.2.160/32 -i eth1 -j allowed
-A FORWARD -s 172.17.0.162/32 -d 172.17.2.160/32 -i eth1 -j allowed
-A FORWARD -s 172.17.0.163/32 -d 172.17.2.160/32 -i eth1 -j allowed
-A FORWARD -s 172.17.0.165/32 -d 172.17.2.160/32 -i eth1 -j allowed
-A FORWARD -s 172.17.6.0/24 -d 172.17.2.160/32 -i eth1.6 -j allowed
-A FORWARD -s 172.17.0.30/32 -d 172.17.2.69/32 -i eth1 -p tcp -m tcp --sport 3389 --dport 1024:65353 -j ACCEPT
-A FORWARD -s 172.17.0.181/32 -d 172.17.2.241/32 -i eth1 -p tcp -j allowed
-A FORWARD -s 172.17.0.143/32 -d 172.17.2.241/32 -i eth1 -p tcp -j allowed
-A FORWARD -s 172.17.6.0/24 -o eth0 -j allowed
-A FORWARD -s 172.17.9.0/24 -o eth0 -j allowed
-A FORWARD -s 172.17.9.0/24 -d 172.17.10.23/32 -i eth1.9 -p tcp -j allowed
-A FORWARD -s 172.17.9.0/24 -d 172.17.2.231/32 -i eth1.9 -j allowed
-A FORWARD -s 172.17.9.0/24 -d 172.17.2.51/32 -i eth1.9 -p tcp -m tcp --dport 8083 -j allowed
-A FORWARD -s 172.17.9.0/24 -d 172.17.2.230/32 -i eth1.9 -j allowed
-A FORWARD -s 172.17.9.0/24 -d 172.17.2.160/32 -i eth1.9 -j allowed
-A FORWARD -s 172.17.9.0/24 -d 172.17.0.0/24 -i eth1.9 -j ACCEPT
-A FORWARD -s 172.17.0.0/24 -d 172.17.9.0/24 -i eth1 -j ACCEPT
-A FORWARD -s 172.17.11.0/24 -p icmp -j ACCEPT
-A FORWARD -s 172.17.11.0/24 -d 172.17.2.0/24 -p tcp -j allowed
-A FORWARD -s 172.17.11.0/24 -d 172.17.2.0/24 -p udp -j allowed
-A FORWARD -s 172.17.11.0/24 -d 172.17.7.0/24 -p tcp -j allowed
-A FORWARD -s 172.17.11.0/24 -d 172.17.7.0/24 -p udp -j allowed
-A FORWARD -s 172.17.11.0/24 -d 172.17.0.0/24 -p tcp -j allowed
-A FORWARD -s 172.17.11.0/24 -d 172.17.0.0/24 -p udp -j allowed
-A FORWARD -s 172.17.11.0/24 -d 172.17.1.23/32 -p tcp -m tcp --dport 8080 -j ACCEPT
-A FORWARD -s 172.17.11.0/24 -d 172.17.1.23/32 -p tcp -m tcp --dport 8041 -j ACCEPT
-A FORWARD -s 172.17.11.0/24 -o eth0 -p tcp -j allowed
-A FORWARD -s 172.17.11.0/24 -o eth0 -p udp -j allowed
-A FORWARD -s 172.17.7.0/24 -d 172.17.2.0/24 -p tcp -j allowed
-A FORWARD -s 172.17.7.0/24 -d 172.17.2.0/24 -p udp -j allowed
-A FORWARD -s 172.17.7.0/24 -d 172.17.11.0/24 -p tcp -j allowed
-A FORWARD -s 172.17.7.0/24 -d 172.17.11.0/24 -p udp -j allowed
-A FORWARD -s 172.17.7.0/24 -d 172.17.0.0/24 -p tcp -j allowed
-A FORWARD -s 172.17.7.0/24 -o eth0 -p tcp -j allowed
-A FORWARD -s 172.17.7.0/24 -o eth0 -p udp -j allowed
-A FORWARD -s 172.17.10.0/24 -p tcp -j allowed
-A FORWARD -s 172.17.10.0/24 -p udp -j allowed
-A FORWARD -s 172.17.10.0/24 -d 172.17.2.0/24 -j allowed
-A FORWARD -s 172.17.10.0/24 -d 172.17.0.0/24 -j allowed
-A FORWARD -d 172.17.10.0/24 -p udp -j allowed
-A FORWARD -s 172.17.1.0/24 -p tcp -j allowed
-A FORWARD -s 172.17.1.0/24 -p udp -j allowed
-A FORWARD -s 172.17.1.0/24 -d 172.17.2.0/24 -j allowed
-A FORWARD -s 172.17.1.0/24 -d 172.17.8.0/24 -j allowed
-A FORWARD -d 172.17.1.0/24 -p udp -j allowed
-A OUTPUT -p gre -j ACCEPT
-A OUTPUT -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
-A OUTPUT -o lo -j ACCEPT
-A OUTPUT -s 127.0.0.1/32 -j ACCEPT
-A OUTPUT -o eth2 -j ACCEPT
-A OUTPUT -o eth0 -j ACCEPT
-A allowed -m conntrack --ctstate NEW -j ACCEPT
-A allowed -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
-A allowed -j DROP
-A bad_tcp_packets -p tcp -m tcp --tcp-flags SYN,ACK SYN,ACK -m conntrack --ctstate NEW -j REJECT --reject-with tcp-reset
-A bad_tcp_packets -p tcp -m tcp ! --tcp-flags FIN,SYN,RST,ACK SYN -m conntrack --ctstate NEW -j DROP
COMMIT

net.ipv4.conf.default.rp_filter = 0
« Последнее редактирование: 04 Августа 2016, 12:18:24 от vovanking »

Оффлайн vovanking

  • Автор темы
  • Новичок
  • *
  • Сообщений: 20
    • Просмотр профиля
Re: Прозрачная прокси в Squid3
« Ответ #25 : 08 Августа 2016, 10:06:30 »
Не появилось идей?

Пользователь добавил сообщение 08 Августа 2016, 14:48:19:
В общем, немного изменил конфигурацию. Теперь шлюз переправляет трафик, который идет на 80 порт, на 80й же порт сквида.
A PREROUTING ! -s 172.17.2.211/32 -i eth1.8 -p tcp -m tcp --dport 80 -j DNAT --to-destination 172.17.2.211:80
На порт 3128 редиректится уже на самом кальмаре. Правила iptables кальмара:
$IPTABLES -t nat -A PREROUTING -p tcp --dport 80 -j REDIRECT --to-port 3128
 $IPTABLES -t nat -A POSTROUTING -j MASQUERADE

Теперь в access.log появились следующие записи:
1470656014.249      0 172.17.8.114 TCP_MISS/503 3996 GET http://fanat1k.ru/ - HIER_DIRECT/172.17.2.211 text/html
1470656270.077      4 172.17.8.114 TCP_MISS/503 3996 GET http://fanat1k.ru/ - HIER_DIRECT/172.17.2.211 text/html
1470656690.847   1565 172.17.8.114 TCP_MISS/503 3988 POST http://update-nl.huawei.com/MegaFon_Russia/UrlCommand/CheckNewVersion.aspx - HIER_DIRECT/172.17.2.211 text/html
1470656728.197      4 172.17.8.114 TCP_MISS/503 3996 GET http://fanat1k.ru/ - HIER_DIRECT/172.17.2.211 text/html
1470656788.251      3 172.17.8.114 TCP_MISS/503 4046 GET http://ya.ru/ - HIER_DIRECT/172.17.2.211 text/html
1470656788.972      0 172.17.8.114 TCP_MISS/503 4073 GET http://ya.ru/favicon.ico - HIER_DIRECT/172.17.2.211 text/html

Я подумал, что в ядре отключена возможность подменять IP для локальных процессов. Но

net.ipv4.ip_nonlocal_bind = 1

Я уже голову сломал. Не понимаю, что не так... :-\
« Последнее редактирование: 08 Августа 2016, 14:48:19 от vovanking »

Оффлайн fisher74

  • Заслуженный пользователь
  • Старожил
  • *
  • Сообщений: 13756
    • Просмотр профиля
Re: Прозрачная прокси в Squid3
« Ответ #26 : 08 Августа 2016, 14:57:14 »
squid3 -v?

Оффлайн vovanking

  • Автор темы
  • Новичок
  • *
  • Сообщений: 20
    • Просмотр профиля
Re: Прозрачная прокси в Squid3
« Ответ #27 : 08 Августа 2016, 15:02:36 »
Squid Cache: Version 3.3.8
 (Ubuntu)
configure options:  '--build=x86_64-linux-gnu' '--prefix=/usr' '--includedir=${prefix}/include' '--mandir=${prefix}/share/man' '--infodir=${prefix}/share/info' '--sysconfdir=/etc' '--localstatedir=/var' '--libexecdir=${prefix}/lib/squid3' '--srcdir=.' '--disable-maintainer-mode' '--disable-dependency-tracking' '--disable-silent-rules' '--datadir=/usr/share/squid3' '--sysconfdir=/etc/squid3' '--mandir=/usr/share/man' '--enable-inline' '--enable-async-io=8' '--enable-storeio=ufs,aufs,diskd,rock' '--enable-removal-policies=lru,heap' '--enable-delay-pools' '--enable-cache-digests' '--enable-underscores' '--enable-icap-client' '--enable-follow-x-forwarded-for' '--enable-auth-basic=DB,fake,getpwnam,LDAP,MSNT,MSNT-multi-domain,NCSA,NIS,PAM,POP3,RADIUS,SASL,SMB' '--enable-auth-digest=file,LDAP' '--enable-auth-negotiate=kerberos,wrapper' '--enable-auth-ntlm=fake,smb_lm' '--enable-external-acl-helpers=file_userip,kerberos_ldap_group,LDAP_group,session,SQL_session,unix_group,wbinfo_group' '--enable-url-rewrite-helpers=fake' '--enable-eui' '--enable-esi' '--enable-icmp' '--enable-zph-qos' '--enable-ecap' '--disable-translation' '--with-swapdir=/var/spool/squid3' '--with-logdir=/var/log/squid3' '--with-pidfile=/var/run/squid3.pid' '--with-filedescriptors=65536' '--with-large-files' '--with-default-user=proxy' '--enable-linux-netfilter' 'build_alias=x86_64-linux-gnu' 'CFLAGS=-g -O2 -fPIE -fstack-protector --param=ssp-buffer-size=4 -Wformat -Werror=format-security -Wall' 'LDFLAGS=-Wl,-Bsymbolic-functions -fPIE -pie -Wl,-z,relro -Wl,-z,now' 'CPPFLAGS=-D_FORTIFY_SOURCE=2' 'CXXFLAGS=-g -O2 -fPIE -fstack-protector --param=ssp-buffer-size=4 -Wformat -Werror=format-security'

Оффлайн fisher74

  • Заслуженный пользователь
  • Старожил
  • *
  • Сообщений: 13756
    • Просмотр профиля
Re: Прозрачная прокси в Squid3
« Ответ #28 : 08 Августа 2016, 16:05:19 »
У меня мыслей нет
Небольшой гуглинг показал, что Вы не первый кто натыкается на проблему проксирования nat-ируемых клиентов.

Оффлайн vovanking

  • Автор темы
  • Новичок
  • *
  • Сообщений: 20
    • Просмотр профиля
Re: Прозрачная прокси в Squid3
« Ответ #29 : 09 Августа 2016, 10:25:55 »
Ладно. Спасибо за попытку помочь. Буду дальше разбираться. Или вообще забью на это дело :-\

 

Страница сгенерирована за 0.033 секунд. Запросов: 25.