iptables: Пропуск сайта мимо Squid

[Alkantel]

Добрый день! Разбираюсь с Линуксом.
Имеется комп, на который поставил Ubuntu 16.04, поставил Squid и настроил iptables, ufw отключил. Он получает интернет, который потом раздает в локалку 10.6.85.1-10.6.85.255, форвардинг включен, маскарад настроен. В локалке все работает.
Появилась необходимость пустить один сайт (сервис, если можно так выразиться) мимо прокси. Это сайт организации и для него есть отдельная линия. IP сайта, к примеру, 194.0.131.18 (это не наш сайт, взят для проверки правил).

В iptables прописал таких 2 правила:
1. В таблице nat (ДО правил, перенаправляющих трафик на Squid)
-A PREROUTING -p tcp -d 194.0.131.18 --dport 443 -j ACCEPT
2. В таблице filter
-A INPUT -s 10.6.85.0/24 -p tcp -m multiport --ports 53,80,8080,443,70,210,110,21,25,995,143,993,465 -j ACCEPT
По умолчанию INPUT и FORWARD DROP.

Но при отключении Squid доступа к тестовому сайту все равно нет.
Я подозреваю, что не до конца понимаю логику работы iptables. Буду благодарен за любую помощь.

Забыл добавить: из локальной сети meta.ua(194.0.131.18) пингуется, днс работает, порт 53 разрешен в iptables.

[AnrDaemon]

Показывайте `iptables-save` полностью.

[Alkantel]

Вывод iptables-save

(Нажмите, чтобы показать/скрыть)

*nat
:PREROUTING ACCEPT [989:81928]
:INPUT ACCEPT [901:48033]
:OUTPUT ACCEPT [443:32965]
:POSTROUTING ACCEPT [441:32819]
-A PREROUTING -d 194.0.131.18/32 -p tcp -m tcp --dport 8080 -j ACCEPT
-A PREROUTING -d 194.0.131.18/32 -p tcp -m tcp --dport 443 -j ACCEPT
-A PREROUTING -d 194.0.131.18/32 -p tcp -m tcp --dport 80 -j ACCEPT
-A PREROUTING -s 10.6.85.0/24 -p tcp -m multiport --dports 80,8080 -j REDIRECT --to-ports 3128
-A PREROUTING -s 10.6.85.0/24 -p udp -m multiport --dports 80,8080 -j REDIRECT --to-ports 3128
-A PREROUTING -s 10.6.85.0/24 -p tcp -m multiport --dports 443 -j REDIRECT --to-ports 3129
-A PREROUTING -s 10.6.85.0/24 -p udp -m multiport --dports 443 -j REDIRECT --to-ports 3129
-A POSTROUTING -s 10.6.85.0/24 -j MASQUERADE
COMMIT
*filter
:INPUT DROP [917:77079]
:FORWARD DROP [0:0]
:OUTPUT ACCEPT [6150:1730796]
-A INPUT -i lo -j ACCEPT
-A INPUT -p icmp -j ACCEPT
-A INPUT -s 10.6.85.0/24 -p tcp -m multiport --ports 3128,3129,3130 -j ACCEPT
-A INPUT -s 10.6.85.0/24 -p udp -m multiport --ports 3128,3129,3130 -j ACCEPT
-A INPUT -s 10.6.85.0/24 -p tcp -m multiport --ports 53,80,8080,443,70,210,110,21,25,995,143,993,465 -j ACCEPT
-A INPUT -s 10.6.85.0/24 -p udp -m multiport --ports 53,80,8080,443,70,210,110,21,25,995,143,993,465 -j ACCEPT
-A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
-A FORWARD -p icmp -j ACCEPT
-A FORWARD -s 10.6.85.0/24 -p tcp -m multiport --ports 80,8080,443,70,210,110,25,21,995,143,993,465 -j ACCEPT
-A FORWARD -s 10.6.85.0/24 -p udp -m multiport --ports 80,8080,443,70,210,110,25,21,995,143,993,465 -j ACCEPT
-A FORWARD -m state --state RELATED,ESTABLISHED -j ACCEPT
COMMIT

10.6.85.0 - локальная сеть

[AnrDaemon]

-A PREROUTING -s 10.6.85.0/24 -p tcp -m multiport --dports 80,8080 -j REDIRECT --to-ports 3128

-A PREROUTING -s 10.6.85.0/24 -p tcp -m multiport --dports 443 -j REDIRECT --to-ports 3129

Почему не закинуть оба на 3129? Поправьте меня, если я ошибаюсь, но SSL он автоматом определяет.

-A PREROUTING -s 10.6.85.0/24 -p udp -m multiport --dports 80,8080 -j REDIRECT --to-ports 3128

-A PREROUTING -s 10.6.85.0/24 -p udp -m multiport --dports 443 -j REDIRECT --to-ports 3129

Зачем этот мусор?

И где ваши попытки настроить обход, о которых вы говорили вот буквально только что?

[Alkantel]

Почему не закинуть оба на 3129? Поправьте меня, если я ошибаюсь, но SSL он автоматом определяет.

Настраивал по мануалах в сети. Конкретно это настраивал согласно статьи на Хабре про прозрачный Squid с фильтрацией https без подмены сертификатов. Для меня это дебри, потому ничего не менял.

Зачем этот мусор?

Это мой косяк еще от настройки днс. Копипаста.

И где ваши попытки настроить обход, о которых вы говорили вот буквально только что?

Нуууу... Это видимо.
До маршрутизации пакеты, идущие по tcp адрес назначения которых 194.0.131.18 и порт 443 разрешить (но чую, что это не то)
-A PREROUTING -p tcp -d 194.0.131.18 --dport 443 -j ACCEPT
И разрешил проходящий трафик
-A FORWARD -s 10.6.85.0/24 -p tcp -m multiport --ports 80,8080,443,70,210,110,25,21,995,143,993,465 -j ACCEPT
Пользователь добавил сообщение 15 Февраля 2019, 13:03:49:Кажется нашел решение. Все так просто и банально, но может пригодится кому-то.
Требовалось просто НЕ заворачивать трафик на Squid, адрес назначения которого 194.0.131.18.
До маршрутизации трафик адрес источника 10.6.85.0/24 исключить адрес назначения 194.0.131.18 протокол tcp порты  80,8080 перенаправить на порт 3128
-A PREROUTING -s 10.6.85.0/24 ! -d 194.0.131.18 -p tcp -m multiport --dports 80,8080 -j REDIRECT --to-ports 3128
-A PREROUTING -s 10.6.85.0/24 ! -d 194.0.131.18 -p tcp -m multiport --dports 443 -j REDIRECT --to-ports 3129

[AnrDaemon]

Вот именно - ДО, а не во время.

[Alkantel]

Ну так PREROUTING же и работает ДО маршрутизации. Или Вы о предыдущих моих попытках?

[AnrDaemon]

(Нажмите, чтобы показать/скрыть)

Код: [Выделить]

*nat
:PREROUTING ACCEPT
:INPUT ACCEPT
:OUTPUT ACCEPT
:POSTROUTING ACCEPT
:squid -
-A PREROUTING -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
-A PREROUTING -s 10.6.85.0/24 -p tcp -m multiport --dports 80,8080 -j squid
-A PREROUTING -s 10.6.85.0/24 -p tcp -m multiport --dports 443 -j squid
-A POSTROUTING -s 10.6.85.0/24 -j MASQUERADE
-A sqid -d 194.0.131.18 -j RETURN
-A sqid -j REDIRECT --to-ports 3129
COMMIT
*filter
:INPUT DROP
:FORWARD DROP
:OUTPUT ACCEPT
-A INPUT -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
-A INPUT -i lo -j ACCEPT
-A INPUT -p icmp -j ACCEPT
-A INPUT -s 10.6.85.0/24 -j ACCEPT
-A FORWARD -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
-A FORWARD -p icmp -j ACCEPT
-A FORWARD -s 10.6.85.0/24 -j ACCEPT
COMMIT

[Alkantel]

AnrDaemon, прочитал про RETURN, и пользовательские цепочки. Интересно, но еще слишком мало опыта, что б их использовать самому. Посему большое спасибо за Ваш ответ.

[esgard]

Здравствуйте. Уже много-много дней бьюсь над одной проблемой. И никак не могу ее решить.
Ситуация такая: существует республиканская корпоративная сеть со своим прокси. Мы находимся внутри этой сети. Поднял свой прокси-сервер на сквиде на основе Ubuntu 18.04. Http, https сайты пашут без нареканий. Работает все, кроме почтовых клиентов outlook через exchange. Он должен коннектится к серверу mail.tatar.ru. Причем веб-версия этого же клиента опять же работает.
Звонил даже в техподдержку республиканских прокси, чтобы уточнить какие порты требуются для работы почтового клиента exchange. Требование было только по 443-му порту, ну и проброс mail.tatar.ru через фаервол. Путем наблюдений выяснил, что кроме 443 порта, почтовый клиент юзает еще 135 порт. Его я через сквид пускать не стал, но все равно не канает судя по скрину.

iptables-save:

(Нажмите, чтобы показать/скрыть)

# Generated by iptables-save v1.6.1 on Fri Dec 13 19:19:49 2019
*mangle
:PREROUTING ACCEPT [976090:112851292]
:INPUT ACCEPT [506153:88164224]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [97626:54772670]
:POSTROUTING ACCEPT [98092:54889403]
COMMIT
# Completed on Fri Dec 13 19:19:49 2019
# Generated by iptables-save v1.6.1 on Fri Dec 13 19:19:49 2019
*nat
:PREROUTING ACCEPT [435319:29384217]
:INPUT ACCEPT [1596:82716]
:OUTPUT ACCEPT [2171:152271]
:POSTROUTING ACCEPT [2103:140737]
-A PREROUTING -s 192.168.X.X/24 -p tcp -m multiport --dports 80,8080 -j REDIRECT --to-ports 3128
-A PREROUTING -s 192.168.X.X/24 -p tcp -m multiport --dports 443 -j REDIRECT --to-ports 3129
-A POSTROUTING -s 192.168.X.X/24 -j MASQUERADE
COMMIT
# Completed on Fri Dec 13 19:19:49 2019
# Generated by iptables-save v1.6.1 on Fri Dec 13 19:19:49 2019
*filter
:INPUT DROP [124485:10366079]
:FORWARD DROP [0:0]
:OUTPUT ACCEPT [77912:49943306]
-A INPUT -s 192.168.163.0/24 -i enp1s0 -p tcp -m tcp --dport 22 -j ACCEPT
-A INPUT -s 192.168.163.0/24 -i enp1s0 -p icmp -j ACCEPT
-A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
-A INPUT -i lo -j ACCEPT
-A INPUT -s 192.168.163.0/24 -p tcp -m multiport --ports 3128 -j ACCEPT
-A INPUT -s 192.168.163.0/24 -p tcp -m multiport --ports 3129 -j ACCEPT
-A FORWARD -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
-A FORWARD -p icmp -j ACCEPT
-A FORWARD -s 192.168.X.X/24 -p tcp -m multiport --ports 110,5190,25,21,135 -j ACCEPT
-A FORWARD -s 192.168.X.X/24 -p tcp -m multiport --ports 53 -j ACCEPT
-A FORWARD -s 192.168.X.X/24 -p udp -m multiport --ports 53 -j ACCEPT
COMMIT

на всякий случай конфиг сквида:

(Нажмите, чтобы показать/скрыть)

acl mail-server dstdomain mail.tatar.ru gmp.tatar.ru
acl localnet src 192.168.X.X/24
acl SSL_ports port 443
acl Safe_ports port 80          # http
acl Safe_ports port 8080                # http
acl Safe_ports port 21          # ftp
acl Safe_ports port 443         # https
acl Safe_ports port 70          # gopher
acl Safe_ports port 210         # wais
acl Safe_ports port 1025-65535  # unregistered ports
acl Safe_ports port 280         # http-mgmt
acl Safe_ports port 488         # gss-http
acl Safe_ports port 591         # filemaker
acl Safe_ports port 777         # multiling http
acl CONNECT method CONNECT
http_access deny !Safe_ports
http_access deny CONNECT !SSL_ports
http_access allow localhost manager
http_access deny manager
http_access allow localhost
http_access allow localnet
http_access deny all
never_direct deny mail-server
never_direct allow all
http_port 192.168.X.X:3128
https_port 192.168.X.X:3129 tproxy ssl-bump cert=/etc/squid/squidCA.pem
ssl_bump peek all
ssl_bump splice all
sslcrtd_program /usr/lib/squid/ssl_crtd -s /var/lib/ssl_db -M 4MB

cache_peer i.tatar.ru parent 8080 0 no-query proxy-only default login=xxx:yyy
cache_peer_access i.tatar.ru allow localnet

И я не пойму что мне делать. То ли прокидывать почту мимо сквида, то ли просто настроить его должным образом.

[esgard]

Мда. Дело было в том, что я думал, будто бы аутлук ломиться на сервер mail.tatar.ru. Грепал логи инпут, аутпут, форвард, логи сквида. И не мог понять, куда он в итоге попадает. Но вот буквально час глаз зацепился на access.log сквида. И там черным по белому написано:

Код: [Выделить]

192.168.163.43 TCP_TUNNEL/502 0 CONNECT outlook.tatar.ru:443 - FIRSTUP_PARENT/85.233.74.5 -Как только добавил этот адрес в исключения сквида почта запахала. Какой же я тугодум а.