прозрачный прокси

[shaulyn]

подскажите правильно ли у меня сделаны правила для iptables для прозрачного прокси( прокси все нормально настроено и работает) и где закрывать теперь сайты по домену в сквид или iptables (хотелось бы в iptables)

Код: [Выделить]


iptables -A INPUT -m conntrack --ctstate ESTABLISHED,RELATED -j ACCEPT
iptables -A INPUT -i lo -j ACCEPT
iptables -A INPUT -p icmp -j ACCEPT
iptables -A INPUT -p udp --dport 53 -j ACCEPT
iptables -A INPUT -m conntrack --ctstate NEW -p tcp -s 0.0.0.0/0 -m multiport --ports 80,22 -j ACCEPT

iptables -A OUTPUT -j ACCEPT


iptables -A FORWARD -m conntrack --ctstate ESTABLISHED,RELATED -j ACCEPT
iptables -A FORWARD -p icmp -j ACCEPT
iptables -A FORWARD -p udp --dport 53 -j ACCEPT
iptables -A FORWARD -m conntrack --ctstate NEW -p tcp -s 192.168.0.0/24 -m multiport --ports 80,21,5190,443,22,8100,3389,143,1723,25,110,1024,8585,993 -j ACCEPT




iptables -t nat -A POSTROUTING -s 192.168.0.0/24 -o eth0 -j SNAT --to-source 123.123.123.123
iptables -t nat -A PREROUTING -p tcp -m multiport --dport 80,8080 -j REDIRECT --to-port 3128
echo 1 > /proc/sys/net/ipv4/ip_forward




[_Voland_]

лучше будет закрывать сайты в сквиде (или настроить его с squidguard) iptables для этого не особо подходит

[solmedas]

Сайты по домену закрываются из сквида, iptables можно только блокировать их ip, но затея это глупая и практически нерабочая.
И, кстати, схему сети бы)

[shaulyn]

правила то правильные для сквида написаны?
Пользователь решил продолжить мысль 24 Марта 2011, 13:35:57:и почему когда ставлю -d ! 192.168.0.0/24 пишет Using intrapositioned negation (`--option ! this`) is deprecated in favor of extrapositioned (`! --option this`). как теперь отрицание использовать правильно?

[shumtest]

как теперь отрицание использовать правильно?

! -d 192.168.0.0/24

[shaulyn]

почему то логи не пишутся в access.log  вот конфиг squid

Код: [Выделить]

acl all src all
acl manager proto cache_object
acl localhost src 127.0.0.1/32
acl to_localhost dst 127.0.0.0/8 0.0.0.0/32
acl purge method PURGE
acl CONNECT method CONNECT
acl localnet src 192.168.0.0/24

http_access allow manager localhost
http_access deny manager
http_access allow purge localhost
http_access deny purge
#http_access deny !Safe_ports
#http_access deny CONNECT !SSL_ports

http_access allow localnet
http_access allow localhost

http_access deny all



icp_access allow localnet
icp_access deny all

http_port 3128  transparent

hierarchy_stoplist cgi-bin ?

cache_dir ufs /var/spool/squid 100 16 256

access_log /var/log/squid/access.log squid


refresh_pattern ^ftp: 1440 20% 10080
refresh_pattern ^gopher: 1440 0% 1440
refresh_pattern -i (/cgi-bin/|\?) 0 0% 0
refresh_pattern (Release|Package(.gz)*)$ 0 20% 2880
refresh_pattern . 0 20% 4320

acl shoutcast rep_header X-HTTP09-First-Line ^ICY.[0-9]
upgrade_http0.9 deny shoutcast

acl apache rep_header Server ^Apache
broken_vary_encoding allow apache

extension_methods REPORT MERGE MKACTIVITY CHECKOUT

error_directory /usr/share/squid/errors/ru

hosts_file /etc/hosts

memory_pools on

coredump_dir /var/spool/squid

[fisher74]

А squid имеет правно в директорию /var/log/squid/ писать?
В cache.log нет намёков на ошибки?