Squid3 и два "внутренних" интерфейса

[LagunaGuardian]

Добрый день.
В сети есть сервер xubuntu 12.04 с установленным squid3.
На компьютере два сетевых интерфейса, один из которых смотрит во внутреннюю сеть; второй в циску которая NATит во внешнюю сеть (хотя всё ещё сложнее  ). DHCP и DNS заведены на внутренних серверах. Через уже установленный сервер ISA пользователи выходят в интернет без проблем, сейчас возникло желание попробовать из запускать туда через squid для обрезания трафика и т.п. вещей которые ISA по-умолчанию не даёт.
ifconfig -a

(Нажмите, чтобы показать/скрыть)

eth0      Link encap:Ethernet  HWaddr 00:50:56:9b:19:69 
          inet addr:10.0.0.101  Bcast:10.0.0.255  Mask:255.255.255.0
          inet6 addr: fe80::250:56ff:fe9b:1969/64 Scope:Link
          UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1
          RX packets:5223 errors:0 dropped:605 overruns:0 frame:0
          TX packets:87 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:1000
          RX bytes:489663 (489.6 KB)  TX bytes:12844 (12.8 KB)
          Interrupt:18 Base address:0x1080

eth1      Link encap:Ethernet  HWaddr 00:50:56:9b:37:14 
          inet addr:10.0.2.101  Bcast:10.0.2.255  Mask:255.255.255.0
          inet6 addr: fe80::250:56ff:fe9b:3714/64 Scope:Link
          UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1
          RX packets:7962 errors:2 dropped:2 overruns:0 frame:0
          TX packets:2955 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:1000
          RX bytes:9723226 (9.7 MB)  TX bytes:343735 (343.7 KB)
          Interrupt:19 Base address:0x1400

lo        Link encap:Локальная петля (Loopback) 
          inet addr:127.0.0.1  Mask:255.0.0.0
          inet6 addr: ::1/128 Scope:Host
          UP LOOPBACK RUNNING  MTU:16436  Metric:1
          RX packets:4 errors:0 dropped:0 overruns:0 frame:0
          TX packets:4 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:0
          RX bytes:240 (240.0 B)  TX bytes:240 (240.0 B)

в /etc/squid3/squid.conf добавил/изменил следующие строки

(Нажмите, чтобы показать/скрыть)

acl localnet src 10.0.0.0/8   # RFC1918 possible internal network

http_access allow localnet
http_access allow localhost
http_access deny all
icp_access deny all
htcp_access deny all

http_access allow localnet
http_access allow localhost

http_port 10.0.0.101:3128 transparent

cache_dir ufs /var/spool/squid3 100 16 256

До кучи /etc/network/interfaces

(Нажмите, чтобы показать/скрыть)

# The loopback network interface
auto lo
iface lo inet loopback

# The primary network interface ЛОКАЛЬНАЯ СЕТЬ
iface eth0 inet static
address 10.0.0.101
netmask 255.255.255.0
auto eth0
# The secondary network interface ИНТЕРНЕТ
iface eth1 inet static
address 10.0.2.101
netmask 255.255.255.0
gateway 10.0.2.1
dns-nameservers 10.0.2.14
auto eth1

Сейчас с ПК со squid-ом я могу открыть страничку в интернете = ДНС работает.
С любого другого компьютера внутренней сети выйти в интернет не могу (прокси и порт прописываю в браузере). Смущает то, что у меня оба интерфейса "внутренние" получаются. Подскажите как можно решить проблему?

[fisher74]

на счёт интерфейсов - это Вы не правильно думаете. кальмару фиолетово как Вы их назовёте.
Но, конечно, надо бы сузить пользователей localnet до 10.0.0.0/24

Зачем вторая пара разрешающих access-ов? Выхлоп конфига кальмара полный или что-то запараноилось?
iptables-ами не перекрыли порт кальмара?
Что выпадает на компах клиентов?

[LagunaGuardian]

Доброе утро, я наверно не совсем правильно объяснил: вопрос не в том, КАК называются интерфейсы, а в том какие диапазоны для них выделены. То есть у меня получается 10.0.2.101 это внешняя сеть, а в конфиге кальмара этот диапазон изначально прописан как внутренний -- смущает именно это. Сейчас поправил в конфиге внутреннюю сеть на acl localnet src 10.9.0.0/16 (пытаюсь выйти с 10.9.1.14).

Со второй парой access моя ошибка, исправил.

Выхлоп конфига кальмара полный или что-то запараноилось?

Не понял что именно Вы имеете ввиду, не могли бы попроще 

iptables-ами не перекрыли порт кальмара?

Я iptables не устанавливал и не запускал, хотя пакет в системе стоит. Попробую покопаться с ним.

Что выпадает на компах клиентов?

Страничка просто не открывается как будто нет соединения, т.е. ошибка по таймауту открытия странички.

[absent]

уберите параметр transparent, у Вас ведь получается не прозрачный прокси с заворотом порта средствами iptables, а обычный ("прокси и порт прописываю в браузере")

[fisher74]

уберите параметр transparent, у Вас ведь получается не прозрачный прокси

Не критично

а в конфиге кальмара этот диапазон изначально прописан как внутренний -- смущает именно это.

Не важно, что там изначально прописано. Настраивайте под себя

Сейчас поправил в конфиге внутреннюю сеть на acl localnet src 10.9.0.0/16 (пытаюсь выйти с 10.9.1.14).

Вы уж определитесь и скачите по диапазонам, а то мы так с Вами до 21 декабря будем разбираться

Выхлоп конфига кальмара полный или что-то запараноилось?

Не понял что именно Вы имеете ввиду, не могли бы попроще 

Код: [Выделить]

sudo grep -v "^$\|^#" /etc/squid3/squid.confТо что выдаст (ака "выхлоп") сюда

Я iptables не устанавливал и не запускал, хотя пакет в системе стоит. Попробую покопаться с ним.

Может пока не стоит?

Что выпадает на компах клиентов?

Страничка просто не открывается как будто нет соединения, т.е. ошибка по таймауту открытия странички.
[/quote]
Странно....

[LagunaGuardian]

Про диапазон: сейчас прописал  acl localnet src 10.9.1.1-10.9.1.255/255.255.255.0 -- хочу пока попробовать на этом диапазоне, если всё получится нормально, но потом уже добавлю всё остальное.
а почему именно до 21 декабря 

Вывод на sudo grep -v "^$\|^#" /etc/squid3/squid.conf

(Нажмите, чтобы показать/скрыть)

acl manager proto cache_object
acl localhost src 127.0.0.1/32 ::1
acl to_localhost dst 127.0.0.0/8 0.0.0.0/32 ::1
acl localnet src 10.9.1.1-10.9.1.255/255.255.255.0 # RFC1918 possible internal network
acl SSL_ports port 443
acl Safe_ports port 80 # http
acl Safe_ports port 21 # ftp
acl Safe_ports port 443 # https
acl Safe_ports port 70 # gopher
acl Safe_ports port 210 # wais
acl Safe_ports port 1025-65535 # unregistered ports
acl Safe_ports port 280 # http-mgmt
acl Safe_ports port 488 # gss-http
acl Safe_ports port 591 # filemaker
acl Safe_ports port 777 # multiling http
acl CONNECT method CONNECT
http_access allow manager localhost
http_access allow localhost
http_access allow localnet
http_access deny manager
http_access deny !Safe_ports
http_access deny CONNECT !SSL_ports
http_access deny all
icp_access deny all
htcp_access deny all
http_port 10.0.0.101:3128 transparent
cache_dir ufs /var/spool/squid3 100 16 256
access_log /var/log/squid3/access.log squid
coredump_dir /var/spool/squid3
refresh_pattern ^ftp:        1440    20%    10080
refresh_pattern ^gopher:    1440    0%    1440
refresh_pattern -i (/cgi-bin/|\?) 0    0%    0
refresh_pattern (Release|Packages(.gz)*)$      0       20%     2880
refresh_pattern .        0    20%    4320
error_directory /usr/share/squid3/errors/Russian-koi8-r
memory_pools on
memory_pools_limit 50 MB

iptables оставил в покое.


upd:
я в принципе не могу этот комп пропинговать или как-то до него достучаться, ни по ssh, ни через webmin, ни через vnc. Зато с него могу обратиться к ресурсам внутренней сети. 

upd2:
Если пытаюсь выйти в интернет из диапазона который не относится к localnet, то выдается окошко с надписью "Доступ запрещен"

[fisher74]

а почему именно до 21 декабря 

По календарю майя...

http_port 10.0.0.101:3128 transparent

судя по всему не на том интерфейсе кальмар слушает

я в принципе не могу этот комп пропинговать или как-то до него достучаться, ни по ssh, ни через webmin, ни через vnc. Зато с него могу обратиться к ресурсам внутренней сети. 

Есть подозрение, что чем-то перекрыли дышло
Покажите

Код: [Выделить]

sudo iptavles-save

[LagunaGuardian]

10.0.0.101 это точно IP сетевой карты смотрящей в локальную сеть. Отключил сетевую карту внешнего интерфейса для проверки, еще могу попробовать поставить получение IP в автоматическом режиме: во внутренней сети есть dhcp-сервер.

Вывод sudo iptables-save пустой, т.е. показывает строку консоли.

upd
Ситуация следующая:
Пробую пинговать 10.0.0.101 с других компов из этой же подсети (например 10.0.0.100) -- пинги доходят, (в обратную сторону так же)
Пробую пинговать 10.0.0.101 с компьютера из другой подсети (10.9.1.14) -- пинги НЕ доходят, (в обратную сторону так же)
Пробую пинговать 10.0.0.100 с компа 10.9.1.14 -- пинги доходят (в обратную сторону так же)
С маршрутизатора внутренней сети все ПК пингуются.
 

Вывод interfaces:

(Нажмите, чтобы показать/скрыть)

# This file describes the network interfaces available on your system
# and how to activate them. For more information, see interfaces(5).

# The loopback network interface
auto lo
iface lo inet loopback

# The primary network interface
iface eth0 inet static
address 10.0.0.101
netmask 255.255.255.0
dns-nameservers 10.0.0.62 10.0.0.63
auto eth0


# The secondary network interface
iface eth1 inet static
address 10.0.2.101
netmask 255.255.255.0
gateway 10.0.2.1
auto eth1

[fisher74]

сначала обычно сеть нормально настраивают, а потом плюшки разворачивают.
У Вас сеть пересекается с провайдерской. Либо разнесите (172 допустим используйте и вообще 192.168.0.0)
Если это сложно сделать, то разруливайте маршрутизацией.

[LagunaGuardian]

Не совсем так:

Интернет <--> (внешний IP 80.250.x.x) Железный файервол (внутренний IP) <--> (10.0.2.101) Squid (10.0.0.101) <--> Локальная сеть

Т.е. NATом занимается железячный файервол, а прокси считает сетку 10.0.2.х интернетовской, хотя это не так.
Меня смущает то, что стоящая в этой же подсети ISA нормально работает, т.е. дело imho не в маршрутизации, а в том что я не могу настроить сеть/squid 

[fisher74]

Ну так измените сеть между железным файерволлом на 192.168.0.0/24 (или того круче /30), чтобы клиентов не трогать. А локалке отдайте всю 10.0.0.0/8

Вообще надо смотреть полную схему, а не кусками урывать. Я же не знаю где там Ваша ISA работает и что там понакручено.
Настройте нормально сеть!!! Если не хотите капитально разводить диапазоны, то рулите маршрутизацию. Я не смогу Вам помочь, если у Вас "Ванька едет на Дусе, Дуся - на Гоше, а Гоша под ногами у Вани"

[LagunaGuardian]

Глянул маршруты на Isa сервере.

route add -net 10.0.0.0 netmask 255.0.0.0 gw 10.0.0.1 eth0 на ubuntu помогло.

был не прав, спасибо за помощь