Прозрачный squid

[Sollomon]

Вроде как бы все правильно делаю.
С полпинка поднялся свид, ipserver:3128 в браузере прописываю - усе гуд работает.
Теперь хотел бы сделать прозрачным его, с помощью iptables, вроде и там ничего то сложно - редиректим 80 и 8080 порт на 3128.

Код: [Выделить]

iptables -t nat -A PREROUTING -i vlan20 -p tcp --dport 80 -j REDIRECT --to-port 3128
iptables -t nat -A PREROUTING -i vlan20 -p tcp --dport 8080 -j REDIRECT --to-port 3128
Vlan20 - интерфейс смотрящий на юзеров.
Vlan21 - смотрящий в инэт.

ifconfig

(Нажмите, чтобы показать/скрыть)

proxy:/etc/network/if-up.d# ifconfig
eth0      Link encap:Ethernet  HWaddr 00:50:fc:c6:13:4e
          inet6 addr: fe80::250:fcff:fec6:134e/64 Scope:Link
          UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1
          RX packets:4568782 errors:0 dropped:0 overruns:0 frame:0
          TX packets:4566163 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:1000
          RX bytes:3847848105 (3.5 GiB)  TX bytes:3843759286 (3.5 GiB)
          Interrupt:19 Base address:0xec00

lo        Link encap:Local Loopback
          inet addr:127.0.0.1  Mask:255.0.0.0
          inet6 addr: ::1/128 Scope:Host
          UP LOOPBACK RUNNING  MTU:16436  Metric:1
          RX packets:14 errors:0 dropped:0 overruns:0 frame:0
          TX packets:14 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:0
          RX bytes:1438 (1.4 KiB)  TX bytes:1438 (1.4 KiB)

vlan20    Link encap:Ethernet  HWaddr 00:50:fc:c6:13:4e
          inet addr:192.168.0.100  Bcast:192.168.0.255  Mask:255.255.255.0
          inet6 addr: fe80::250:fcff:fec6:134e/64 Scope:Link
          UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1
          RX packets:1756089 errors:0 dropped:0 overruns:0 frame:0
          TX packets:2824686 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:0
          RX bytes:410580789 (391.5 MiB)  TX bytes:3414433150 (3.1 GiB)

vlan21    Link encap:Ethernet  HWaddr 00:50:fc:c6:13:4e
          inet addr:192.168.2.2  Bcast:192.168.2.255  Mask:255.255.255.0
          inet6 addr: fe80::250:fcff:fec6:134e/64 Scope:Link
          UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1
          RX packets:2812675 errors:0 dropped:0 overruns:0 frame:0
          TX packets:1741471 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:0
          RX bytes:3373299859 (3.1 GiB)  TX bytes:426820917 (407.0 MiB)

iptables

(Нажмите, чтобы показать/скрыть)

proxy:/etc/network/if-up.d# iptables -L -n
Chain INPUT (policy ACCEPT)
target     prot opt source               destination
ACCEPT     all  --  0.0.0.0/0            0.0.0.0/0
ACCEPT     all  --  0.0.0.0/0            0.0.0.0/0           state RELATED,ESTABLISHED
ACCEPT     all  --  0.0.0.0/0            0.0.0.0/0           state NEW

Chain FORWARD (policy ACCEPT)
target     prot opt source               destination
ACCEPT     all  --  0.0.0.0/0            0.0.0.0/0           state RELATED,ESTABLISHED
ACCEPT     all  --  0.0.0.0/0            0.0.0.0/0

Chain OUTPUT (policy ACCEPT)
target     prot opt source               destination
proxy:/etc/network/if-up.d# iptables -L -n -t nat
Chain PREROUTING (policy ACCEPT)
target     prot opt source               destination
REDIRECT   tcp  --  0.0.0.0/0            0.0.0.0/0           tcp dpt:80 redir ports 3128
REDIRECT   tcp  --  0.0.0.0/0            0.0.0.0/0           tcp dpt:8080 redir ports 3128

Chain POSTROUTING (policy ACCEPT)
target     prot opt source               destination
MASQUERADE  all  --  0.0.0.0/0            0.0.0.0/0

Chain OUTPUT (policy ACCEPT)
target     prot opt source               destination

Ткните носом где что пропустил.

[Romon]

А в настройках squid'a указали режим работы transparate?

И вправду попутал что-то в предверии Н.Г =) transparent

[fisher74]

Chain POSTROUTING (policy ACCEPT)
target     prot opt source               destination
MASQUERADE  all  --  0.0.0.0/0            0.0.0.0/0

Жестокое правило

[Unreg]

$ grep transparent /etc/squid/squid.conf

[Sollomon]

$ grep transparent /etc/squid/squid.conf

Код: [Выделить]

proxy:/home/sollomon# grep transparent /etc/squid/squid.conf
#       WARNING: authentication can't be used in a transparently intercepting
#       transparently intercepting port 80, not a limitation in Squid.
#         # NOTE: proxy_auth can't be used in a transparent proxy as
#          transparent  Support for transparent interception of
http_port 3128 transparent
#       Pack 1 has an issue with transparent proxies, wherein it
#       In many setups of transparently intercepting proxies Path-MTU

По маскарадингу - это только пока наработка фаервола, никто ж не собирается оставлять такую дыру.
По умолчанию политика будет Дроп, а там буду разрешать, что мне нужно.

[Romon]

Мне кажется что редиректить нужно через DNAT --to-destination IP:3128

[Sollomon]

Забыл еще приложить, вот что браузер говорит, когда делаю редирект через iptables, как я в первом посте написал.

(Нажмите, чтобы показать/скрыть)

ERROR
The requested URL could not be retrieved

While trying to process the request:

GET /news/kurezy.html HTTP/1.1
Host: www.ukr.net
User-Agent: Mozilla/5.0 (Windows; U; Windows NT 5.1; ru; rv:1.9.1.4) Gecko/20091016 Firefox/3.5.4
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8
Accept-Language: ru,en-us;q=0.7,en;q=0.3
Accept-Encoding: gzip,deflate
Accept-Charset: windows-1251,utf-8;q=0.7,*;q=0.7
Keep-Alive: 300
Connection: keep-alive
Referer: http://www.ukr.net/news/politika.html
Cookie: b=b; PHPSESSID=85d155a23e2c1bbcdc327da4d40e98bc; un_lang=ru; un_lang=ru; un_city_city=9; un_city_city=9; un_weather_city=9; un_weather_city=9; un_job_city=9; un_job_city=9; un_news_region=9; un_news_region=9; tracknew=1293698709614724.1293698719.1; b=b; __utma=183793058.1215271961.1293698705.1293698705.1293698705.1; __utmb=183793058.2.10.1293698705; __utmc=183793058; __utmz=183793058.1293698705.1.1.utmcsr=(direct)|utmccn=(direct)|utmcmd=(none); co=1



The following error was encountered:

    * Invalid Request

Some aspect of the HTTP Request is invalid. Possible problems:

    * Missing or unknown request method
    * Missing URL
    * Missing HTTP Identifier (HTTP/1.0)
    * Request is too large
    * Content-Length missing for POST or PUT requests
    * Illegal character in hostname; underscores are not allowed

Your cache administrator is admin@dreamtrk.com.ua.
Generated Thu, 30 Dec 2010 08:51:32 GMT by proxy (squid/2.7.STABLE3)

[fisher74]

Не?

[Romon]

squid не понимает че эт ему шлют пакеты, которые ему не предназначены, вот и ругается.

[Unreg]

Код: [Выделить]

# Generated by iptables-save v1.4.2 on Thu Dec 30 15:11:39 2010
*raw
:PREROUTING ACCEPT [30628029:18446756928]
:OUTPUT ACCEPT [6017228:7544908800]
COMMIT
# Completed on Thu Dec 30 15:11:39 2010
# Generated by iptables-save v1.4.2 on Thu Dec 30 15:11:39 2010
*mangle
:PREROUTING ACCEPT [30628028:18446756876]
:INPUT ACCEPT [8505645:5378631261]
:FORWARD ACCEPT [22025463:13053884181]
:OUTPUT ACCEPT [6017228:7544908800]
:POSTROUTING ACCEPT [28039515:20593615563]
-A FORWARD -p tcp -m tcp --tcp-flags SYN,RST SYN -j TCPMSS --clamp-mss-to-pmtu
COMMIT
# Completed on Thu Dec 30 15:11:39 2010
# Generated by iptables-save v1.4.2 on Thu Dec 30 15:11:39 2010
*nat
:PREROUTING ACCEPT [333923:27528980]
:POSTROUTING ACCEPT [1043999:59810173]
:OUTPUT ACCEPT [196309:13107241]
-A PREROUTING -s 192.168.0.0 /24 -d ! 192.168.0.0/24 -i vlan20 -p tcp -m multiport --dports 80,8080 -j DNAT --to-destination 192.168.0.100:3128
-A POSTROUTING -s 192.168.0.0/24 -o vlan20 -j MASQUERADE
COMMIT
# Completed on Thu Dec 30 15:11:39 2010
# Generated by iptables-save v1.4.2 on Thu Dec 30 15:11:39 2010
*filter
:INPUT DROP [230:26256]
:FORWARD DROP [7:796]
:OUTPUT ACCEPT [6017254:7544915016]
-A INPUT -m conntrack --ctstate INVALID -j DROP
-A INPUT -i ! lo -m addrtype --src-type LOCAL -j DROP
-A INPUT -i lo -j ACCEPT
-A INPUT -i vlan21 -p icmp -j ACCEPT
-A INPUT -i vlan21 -p udp -m udp --sport 67 --dport 68 -j ACCEPT
-A INPUT -i vlan21 -p tcp -m tcp --dport 22 -j ACCEPT
-A INPUT -i vlan20 -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
-A INPUT -i vlan21 -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
-A INPUT -i vlan20 -m conntrack --ctstate NEW -j ACCEPT
-A FORWARD -m conntrack --ctstate INVALID -j DROP
-A FORWARD -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
-A FORWARD -s 192.168.0.0/24 -i vlan20 -m conntrack --ctstate NEW -j ACCEPT
-A FORWARD -m conntrack --ctstate DNAT -j ACCEPT
COMMIT
# Completed on Thu Dec 30 15:11:39 2010


[Sollomon]

Спасибо ребята, буду наверное уже завтра пробовать или через год. )))
В зависимости от завтрешней нагрузки на работе.

А, еще нашел очень прекрасный ресурс по squid'y - http://squid.opennet.ru/
Может кому и сгодиться.

[alex_shkut]

Даю намек, если все правильно понял:
Если речь идет о Squid 3, то у меня прекрасно работал новый тег transparent и "древний метод" iptables - REDIRECT --to-port 3128

[Romon]

По умолчанию идет репозиторий с 2.7, так что скорее всего не 3(squid встал с полтычка). 2.7 squid, transparent + DNAT - работает 100%.

[Sollomon]

По умолчанию идет репозиторий с 2.7, так что скорее всего не 3(squid встал с полтычка). 2.7 squid, transparent + DNAT - работает 100%.

Агась.

Код: [Выделить]

proxy:/home/sollomon# squid -v
Squid Cache: Version 2.7.STABLE3
Может из сырцов собрать 3 версию?


Зы: И не кисло он проц жерет, это еще при том, что народу то на этом серваке то не сидит. )))

Код: [Выделить]

3222 proxy     20   0 18292  15m 1716 R 30.6  2.5  25:20.28 squidТоесть 30%

[roma333]

Лучше тогда собрать последнюю версию 2.7Stable 9. Чтобы не жрал, можно кеширование отключить.