iptables для squid3 с одним интерфейсом

[exonix]

имеется роутер Mikrotik 192.168.1.1
имеется виртуальный сервер с debian 8.2 и установленным там squid 3.4.8 192.168.1.111
настроено перенаправление трафика (только с одного IP 192.168.1.222) с Mikrotik на squid3
как настроить squid3 (iptables), чтобы входящий трафик перебрасывался на 3128 порт ?

сейчас конфиг такой:

Код: [Выделить]

acl my_network src 192.168.1.0/24
acl SSL_ports port 443
acl Safe_ports port 80 # http
acl Safe_ports port 21 # ftp
acl Safe_ports port 443 # https
acl CONNECT method CONNECT

http_access allow my_network
http_access allow manager localhost
http_access deny manager
http_access deny !Safe_ports
http_access deny CONNECT !SSL_ports
http_access allow localhost
http_access deny all

http_port 3128

hierarchy_stoplist cgi-bin ?
coredump_dir /var/spool/squid3
refresh_pattern ^ftp: 1440 20% 10080
refresh_pattern ^gopher: 1440 0% 1440
refresh_pattern -i (/cgi-bin/|\?) 0 0% 0
refresh_pattern . 0 20% 4320
если его прописать в браузере - то всё работает.
можно ли сделать так, чтобы непрозрачный squid3 работал прозрачно для пользователя? т.е. чтобы авторизация по IP происходила не на стороне пользователя, а на стороне прокси?

спасибо

настроил так, но не заработало:

Код: [Выделить]

iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 80 -j REDIRECT --to-port 3128при этом tcpdump видит запросы на 3128 порт...:

00:00:00.000148 IP 192.168.1.222.50859 > 192.168.1.111.3128: Flags [R], seq 3584138364, win 0, length 0
00:00:00.876820 IP 192.168.1.222.50860 > 192.168.1.111.3128: Flags [$], seq 666419206, win 8192, options [mss 1460,nop,wscale 8,nop,nop,sackOK], length 0
00:00:00.000055 IP 192.168.1.111.3128 > 192.168.1.222.50860: Flags [$.], seq 185885072, ack 666419207, win 29200, options [mss 1460,nop,nop,sackOK,nop,wscale 7], length 0
00:00:00.000563 IP 192.168.1.222.50860 > 192.168.1.111.3128: Flags [R], seq 666419207, win 0, length 0
00:00:00.622279 IP 192.168.1.222.50861 > 192.168.1.111.3128: Flags [$], seq 1250278031, win 65535, options [mss 1460,nop,wscale 3,nop,nop,sackOK], length 0
00:00:00.000049 IP 192.168.1.111.3128 > 192.168.1.222.50861: Flags [$.], seq 3983842397, ack 1250278032, win 29200, options [mss 1460,nop,nop,sackOK,nop,wscale 7], length 0
00:00:00.000494 IP 192.168.1.222.50861 > 192.168.1.111.3128: Flags [R], seq 1250278032, win 0, length 0
00:00:01.015090 IP 192.168.1.222.50861 > 192.168.1.111.3128: Flags [$], seq 1250278031, win 65535, options [mss 1460,nop,wscale 3,nop,nop,sackOK], length 0
00:00:00.000053 IP 192.168.1.111.3128 > 192.168.1.222.50861: Flags [$.], seq 3999711703, ack 1250278032, win 29200, options [mss 1460,nop,nop,sackOK,nop,wscale 7], length 0
00:00:00.000228 IP 192.168.1.222.50861 > 192.168.1.111.3128: Flags [R], seq 1250278032, win 0, length 0
00:00:02.015999 IP 192.168.1.222.50861 > 192.168.1.111.3128: Flags [$], seq 1250278031, win 65535, options [mss 1460,nop,nop,sackOK], length 0
00:00:00.000052 IP 192.168.1.111.3128 > 192.168.1.222.50861: Flags [$.], seq 4031216088, ack 1250278032, win 29200, options [mss 1460,nop,nop,sackOK], length 0
00:00:00.003871 IP 192.168.1.222.50861 > 192.168.1.111.3128: Flags [R], seq 1250278032, win 0, length 0

настраивал squid как прозрачный - ничего не поменялось..

[_rod_]

почитайте про вланы и саб-интерфейсы

[exonix]

почитайте про вланы и саб-интерфейсы

да, я видел конфигурацию с eth0:1 но мне нужно избежать любого маскардинга с интерфейса на интерфейс
непрозрачный прокси прекрасно работает с одним интерфейсом и без саб-интерфейсов

[AnrDaemon]

Поскольку вы проксируете, вам пофиг, что там происходит с маскарадом.
Создавайте новый vlan между роутером и прокси и гоняйте по нему трафик.
Пользователь добавил сообщение 05 Октября 2016, 18:35:14:

я видел конфигурацию с eth0:1

Это не vlan.

[exonix]

Это не vlan.

я как бы и не говорил, что это vlan.

Поскольку вы проксируете, вам пофиг, что там происходит с маскарадом.

когда это происходит два-три раза - становится не пофиг...
т.е. кроме как маскарада других вариантов нет?
может непрозрачный прокси как то можно сделать? но без прописи прокси в браузере..

[AnrDaemon]

когда это происходит два-три раза - становится не пофиг...

Чо?…

может непрозрачный прокси как то можно сделать? но без прописи прокси в браузере..

WPAD, DHCP
Но не все браузеры и системы это поддерживают.

[exonix]

Чо?…

понятно... проехали.

WPAD, DHCP
Но не все браузеры и системы это поддерживают.

может как-то пользователь обнаружить это?


и вот ещё момент не могу понять. есть два вида конфигурации:
- пропись в браузере, с указанием порта 3128
- редирект на сквид на порт 3128

в обоих случаях трафик идёт на 3128, но только в первом случае сквид его пропускает, а во втором - вообще никаких логов.... это как будто до сквида дело не доходит....

если делать редирект на 3128 средствами IPTABLES, маскардинг и прозрачность - работает...
Пользователь добавил сообщение 06 Октября 2016, 18:17:33:вот это помогло. осталось теперь с ssl разобраться