Выход на определенные URL мимо SQUID'а

[f00ntic]

Настроен iptables и прозрачный squid
Нужно, чтоб с клиента/клиентов/всей сети - без разницы, выход на определенные адреса шел мимо squid
Перепробовал кучу вариантов, не получается
Подскажите пожалуйста.

[Nesmit]

если iptables редиректит на сквид, тогда поставь правило -j Acept на нужный сайт до этого редиректа.

[f00ntic]

Я пробовал типа такого
$IPT -t nat -A PREROUTING -p ALL -i $LOCAL_IFACE -d xxx.xxx.xxx.xxx -j ACCEPT
но не работает

[AnrDaemon]

Перед редиректом поставь...

И какой -p ALL ты имел в виду, когда HTTP всегда был -p tcp ?

[fisher74]

Если что опять не получается, показывай вывод

Код: [Выделить]

sudo iptables -t nat -nvL PREROUTINGКстати, в цепочке FORWARD не забыл пропустить?

[AnrDaemon]

Если что опять не получается, показывай вывод

Код: [Выделить]

sudo iptables -t nat -nvL PREROUTINGКстати, в цепочке FORWARD не забыл пропустить?

Мабуть, таки
iptables-save -t nat
?

[fisher74]

может быть и так. Можно достигнуть положительных результатов разными путями. Можно было вообще все правила запросить, а можно и посмотреть - были-ли вообще пакеты удовлетворяющие правилу...

[Sam Stone]

Мимо сквида это вообще мимо или чтобы правила фильтрации не срабатывали/в статистику не попадало? Если второе, то настроить log_access в сквиде

[fisher74]

Слово "мимо" как бы подразумевает, что squid вообще не при делах должен остаться.

[f00ntic]

Вывод iptables-save -t nat
*nat
:PREROUTING ACCEPT [2159:141484]
:POSTROUTING ACCEPT [0:0]
:OUTPUT ACCEPT [13:828]
-A PREROUTING -d 207.200.74.38/32 -i br0 -p tcp -j ACCEPT
-A PREROUTING -d 205.188.100.58/32 -i br0 -p tcp -j ACCEPT
-A PREROUTING -d 64.12.79.57/32 -i br0 -p tcp -j ACCEPT
-A PREROUTING -p tcp -m tcp --dport 80 -j REDIRECT --to-ports 3128
-A POSTROUTING -o ppp0 -j SNAT --to-source xxx.xxx.xxx.xxx
COMMIT

Вообще дело вот в чем - есть радио di.fm, там куча ссылок по жанрам, так вот ссылки вида http://67.21.210.110:8004 работают отлично, а вот ссылки типа такой http://scfire-dtc-aa01.stream.aol.com:80/stream/1025 через squid заикаются, а без squida работают отлично. Три ip из iptables - адреса aol.com, вот их я и хочу пробросить мимо проксика.

А в forward я добавил это
$IPT -A FORWARD -p tcp -i $LOCAL_IFACE -d 207.200.74.38 -j ACCEPT
$IPT -A FORWARD -p tcp -i $LOCAL_IFACE -d 205.188.100.58 -j ACCEPT
$IPT -A FORWARD -p tcp -i $LOCAL_IFACE -d 64.12.79.578 -j ACCEPT

[fisher74]

Правило перенаправления на squid - страшненькое...

Код: [Выделить]

sudo iptables -t nat -A PREROUTING -s ваша_сеть ! -d ваша_сеть -p tcp --dport 80,443,8080 -j REDIRECT --to-ports 3128Вроде так (писал на память) будет правильней и лучшЕе (за 443 порт не бить).
Пользователь решил продолжить мысль 16 Мая 2011, 23:26:10:А по поводу радио ... может лучше в squid-е насроить эти адреса без кеширования пропускать?

[f00ntic]

Сменил как советовали, спасибо за подсказку.
*nat
:PREROUTING ACCEPT [6030:412655]
:POSTROUTING ACCEPT [5:649]
:OUTPUT ACCEPT [219:13722]
-A PREROUTING -d 207.200.74.38/32 -i br0 -p tcp -j ACCEPT
-A PREROUTING -d 205.188.100.58/32 -i br0 -p tcp -j ACCEPT
-A PREROUTING -d 64.12.79.57/32 -i br0 -p tcp -j ACCEPT
-A PREROUTING -s 192.168.0.0/24 ! -d 192.168.0.0/24 -p tcp -m tcp --dport 80 -j REDIRECT --to-ports 3128
-A PREROUTING -s 192.168.0.0/24 ! -d 192.168.0.0/24 -p tcp -m tcp --dport 8080 -j REDIRECT --to-ports 3128
-A POSTROUTING -o ppp0 -j SNAT --to-source xxx.xxx.xxx.xxx
COMMIT

Со сквидом до этого шаманил, не вышло, думал в iptables проще и надежней получится и тоже никак.

[fisher74]

и тоже никак.

И сейчас "никак"? А точно обращаетесь к этим IP? Проверь те по nslookup (кстати, озвученный выше url не соответствует ни одному их этих адресов)
Точно в squid лезет? Попробуйте выключить squid и запросить в браузере.

[f00ntic]

И правда адрес другой, вечером попробую.

Name:    scfire-dtc-aa01.stream.aol.com
Address:  205.188.234.1