squid+iptables

[junior10]

Доброго времени суток уважаемы форумчане.

Задача: все пользователи локальной сети должны ходить в инет, доступ извне закрыт, открыт только 22 порт, и трафик заворачивается на сквид который прозрачный.

Прошу сильно не пинать, я недавно познакомился с Ubuntu. Вот в такой конфигурации работать не хочет:

(Нажмите, чтобы показать/скрыть)

root@lwf2:/home/junior# uname -a
Linux lwf2 3.5.0-23-generic #35~precise1-Ubuntu SMP Fri Jan 25 17:15:33 UTC 2013
 i686 athlon i386 GNU/Linux

root@lwf2:/home/junior# cat /etc/issue.net
Ubuntu 12.04.2 LTS


http_port 3128 transparent
icp_port 0
hierarchy_stoplist cgi-bin ?
acl QUERY urlpath_regex cgi-bin \?
#no_cache deny QUERY
cache_mem 128 MB
#maximum_object_size 8092 KB
maximum_object_size_in_memory 512 KB
cache_dir ufs /etc/squid3/cache 2048 64 256
cache_log /var/log/squid3/cache.log
cache_store_log /var/log/squid3/store.log
refresh_pattern ^ftp:           1440    20%     10080
refresh_pattern ^gopher:        1440    0%      1440
refresh_pattern .               0       20%     4320


acl     all             src             0.0.0.0/0.0.0.0
acl     allowed_sites   dstdomain       \
"/etc/squid3/allowed_sites.conf"
acl     all             src             0.0.0.0/0.0.0.0
acl     allowed_sites   dstdomain       \
"/etc/squid3/allowed_sites.conf"
acl     limited_IP      src             \
"/etc/squid3/limited_IP.conf"
acl     localhost       src             127.0.0.0/8
acl     our_networks    src             192.168.0.0/24
#acl    denied_sites    dstdomain       \
#"/usr/local/my_doc_smb/squid/denied_ext.conf"
#http_access    deny    denied_sites
http_access     allow   allowed_sites
http_access     deny    limited_IP
http_access     allow   our_networks
http_access     allow   localhost
http_access     deny    all

iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 80 -j REDIRECT --to-port 3128

eth0 - сеть
eth1 - инет
ppp0 - соединение с инетом

Помогите люди добрые

[fisher74]

в конфиг кальмара не вглядывался
Вопрос первый: Как решён вопрос DNS-серверов?
nslookup ya.ru с клиента покажите
Вопрос второй: как проявляется "работать не хочет"? Сам кальмар запускается? Что у клиента появляется в браузере?

[ArcFi]

Код: [Выделить]

ip a ; ip r ; sudo iptables-save

[junior10]

в конфиг кальмара не вглядывался
Вопрос первый: Как решён вопрос DNS-серверов?

Сервер получает автоматически днс от провайдера.

nslookup ya.ru с клиента покажите

(Нажмите, чтобы показать/скрыть)

C:\Users\Sergey>nslookup ya.ru
DNS request timed out.
    timeout was 2 seconds.
╤хЁтхЁ:  UnKnown
Address:  192.168.0.88

DNS request timed out.
    timeout was 2 seconds.
DNS request timed out.
    timeout was 2 seconds.
DNS request timed out.
    timeout was 2 seconds.
DNS request timed out.
    timeout was 2 seconds.
*** Превышено время ожидания запроса UnKnown

Вопрос второй: как проявляется "работать не хочет"? Сам кальмар запускается? Что у клиента появляется в браузере?

кто такой "кальмар"? У клиента страница недоступна

[ArcFi]

кто такой "кальмар"?

http://slovari.yandex.ru/squid/%D0%BF%D0%B5%D1%80%D0%B5%D0%B2%D0%BE%D0%B4/

[junior10]

(Нажмите, чтобы показать/скрыть)

root@lwf2:/home/junior# ip a
1: lo: <LOOPBACK,UP,LOWER_UP> mtu 16436 qdisc noqueue state UNKNOWN
    link/loopback 00:00:00:00:00:00 brd 00:00:00:00:00:00
    inet 127.0.0.1/8 scope host lo
    inet6 ::1/128 scope host
       valid_lft forever preferred_lft forever
2: eth1: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc pfifo_fast state UNKNO
WN qlen 1000
    link/ether 00:30:4f:2b:58:67 brd ff:ff:ff:ff:ff:ff
    inet 192.168.2.108/24 brd 192.168.2.255 scope global eth1
    inet6 fe80::230:4fff:fe2b:5867/64 scope link
       valid_lft forever preferred_lft forever
3: eth0: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc pfifo_fast state UP ql
en 1000
    link/ether 00:25:22:75:e8:38 brd ff:ff:ff:ff:ff:ff
    inet 192.168.0.88/24 brd 192.168.0.255 scope global eth0
    inet6 fe80::225:22ff:fe75:e838/64 scope link
       valid_lft forever preferred_lft forever
4: ppp0: <POINTOPOINT,MULTICAST,NOARP,UP,LOWER_UP> mtu 1492 qdisc pfifo_fast sta
te UNKNOWN qlen 3
    link/ppp
    inet 193.200.32.191 peer 193.200.32.2/32 scope global ppp0

root@lwf2:/home/junior# ip r
default dev ppp0  scope link
192.168.0.0/24 dev eth0  proto kernel  scope link  src 192.168.0.88
192.168.2.0/24 dev eth1  proto kernel  scope link  src 192.168.2.108
193.200.32.2 dev ppp0  proto kernel  scope link  src 193.200.32.191

# Generated by iptables-save v1.4.12 on Wed Jul 24 22:42:55 2013
*nat
:PREROUTING ACCEPT [620:53273]
:INPUT ACCEPT [439:41999]
:OUTPUT ACCEPT [51:3066]
:POSTROUTING ACCEPT [248:14157]
-A PREROUTING -i eth0 -p tcp -m tcp --dport 80 -j REDIRECT --to-ports 3128
COMMIT
# Completed on Wed Jul 24 22:42:55 2013
# Generated by iptables-save v1.4.12 on Wed Jul 24 22:42:55 2013
*filter
:INPUT ACCEPT [4233:674059]
:FORWARD ACCEPT [316:17047]
:OUTPUT ACCEPT [3870:770916]
COMMIT
# Completed on Wed Jul 24 22:42:55 2013
# Generated by iptables-save v1.4.12 on Wed Jul 24 22:42:55 2013
*mangle
:PREROUTING ACCEPT [4594:696704]
:INPUT ACCEPT [4233:674059]
:FORWARD ACCEPT [316:17047]
:OUTPUT ACCEPT [3874:771556]
:POSTROUTING ACCEPT [4190:788603]
COMMIT
# Completed on Wed Jul 24 22:42:55 2013

Пользователь решил продолжить мысль 24 Июля 2013, 23:51:20:Сам сквид работает, если в браузере указать адрес-порт, открывает страницы, но не все, например гугл не открывает

[ArcFi]

1) для проблемных сайтов проверьте корректность работы DNS с самого сервера
2) добавьте iptables-правила для выпрямления MTU

[junior10]

1) для проблемных сайтов проверьте корректность работы DNS с самого сервера
2) добавьте iptables-правила для выпрямления MTU
Это как? Подскажите если не сложно

[ArcFi]

Это как?

1)

Код: [Выделить]

nslookup example.com
nslookup example.com 8.8.8.8
2)

Код: [Выделить]

# cat /etc/iptables.rules
*mangle
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]
-A FORWARD -o <inet_if> -p tcp -m tcp --tcp-flags SYN,RST SYN -m tcpmss --mss 1300:1500 -j TCPMSS --clamp-mss-to-pmtu
-A OUTPUT -o <inet_if> -p tcp -m tcp --tcp-flags SYN,RST SYN -m tcpmss --mss 1300:1500 -j TCPMSS --clamp-mss-to-pmtu
COMMIT

# sudo iptables-restore /etc/iptables.rules

[fisher74]

Судя по всему nslookup с клиента показывает дулю... Правил для работы я не увидел и, что-то мне подсказывает, что никаких dns-репитеров на шлюзе нет.

А гугл мог и https запросить, который перекрыт изначально.

[junior10]

Вопрос решился, действительно был не настроен днс (не знал что его нужно отдельно настраивать), спасибо всем за помощь