SQUID+несколько подсетей

[Like]

Всем доброго времени суток!

Вопрос в следующем. Стоит сервер под управлением Ubuntu 10.04, на нем поднят squid в режиме прозрачного проксирования с адресом 192.168.1.1 на интерфейсе eth0(локалка) и eth2 который смотрит в сеть. Необходимо, чтобы прокси пропускал через себя несколько подсетей (192.168.1.0,192.168.2.0,192.168.3.0,192.168.5.0). С моим файлом squid.conf Squid пускает только одну подсеть 192.168.1.0. Подскажите, что поправить для правильной работы? Это все стоит в школе, поэтому необходимо такое разграничение.

Файл squid.conf

(Нажмите, чтобы показать/скрыть)

#Recommended minimum configuration:
acl all src 0.0.0.0/0.0.0.0
acl manager proto cache_object
acl localhost src 127.0.0.1/32
acl to_localhost dst 127.0.0.0/8 0.0.0.0/32
acl localnet src 10.0.0.0/8 # RFC1918 possible internal network
acl schoolnet src 192.168.1.0/24
acl phonenet src 192.168.2.0/24
acl buhnet src 192.168.3.0/24
acl admnet src 192.168.5.0/24

acl SSL_ports port 443 # https
acl SSL_ports port 563 # snews
acl SSL_ports port 873 # rsync
acl Safe_ports port 80 # http
acl Safe_ports port 21 # ftp
acl Safe_ports port 443 # https
acl Safe_ports port 70 # gopher
acl Safe_ports port 210 # wais
acl Safe_ports port 1025-65535 # unregistered ports
acl Safe_ports port 280 # http-mgmt
acl Safe_ports port 488 # gss-http
acl Safe_ports port 591 # filemaker
acl Safe_ports port 777 # multiling http
acl Safe_ports port 631 # cups
acl Safe_ports port 873 # rsync
acl Safe_ports port 901 # SWAT
acl purge method PURGE
acl CONNECT method CONNECT

icp_access allow schoolnet
icp_access allow buhnet
icp_access allow admnet
icp_access deny all

http_port 3128 transparent

hierarchy_stoplist cgi-bin ?
cache_dir ufs /var/spool/squid 2048 64 512

access_log /var/log/squid/access.log squid

#Suggested default:
refresh_pattern ^ftp:           1440    20%     10080
refresh_pattern ^gopher:        1440    0%      1440
refresh_pattern -i (/cgi-bin/|\?) 0     0%      0
refresh_pattern (Release|Package(.gz)*)$        0       20%     2880

#refresh_pattern (\.deb|\.udeb)$   129600 100% 129600
refresh_pattern .               0       20%     4320

# Don't upgrade ShoutCast responses to HTTP
acl shoutcast rep_header X-HTTP09-First-Line ^ICY.[0-9]
upgrade_http0.9 deny shoutcast
acl apache rep_header Server ^Apache
acl localdomain src 192.168.1.0-192.168.1.255
acl special_url url_regex "/etc/squid/conf/whitelist.lst"
acl adult url_regex "/usr/local/squid/adult.lst"
acl adultlist dstdomain "/usr/local/squid/adultlist.lst"
acl media urlpath_regex -i \.mp3$ \.asf$ \.wma$ \.mpg$ \.avi$ \.mpeg$ \.wav$ \.wmv$ \.torrent$
acl suicide url_regex "/usr/local/squid/suicide.lst"
acl social url_regex "/usr/local/squid/social.lst"
acl narkota url_regex "/usr/local/squid/narkota.lst"
acl proxy url_regex "/usr/local/squid/proxy.lst"
acl banners urlpath_regex -i "/usr/local/squid/banners.lst"
acl sekta url_regex "/usr/local/squid/sekta.lst"

http_access allow manager localhost
http_access deny manager
http_access allow purge localhost
http_access deny purge
http_access deny !Safe_ports
http_access deny CONNECT !SSL_ports
http_access allow localhost
http_access allow localnet !adult !media !social !proxy !banners !adultlist !suicide !narkota !sekta
http_access allow localdomain !adult !media !social !proxy !banners !adultlist !suicide !narkota !sekta
http_access allow special_url
http_access allow admnet all
http_access allow schoolnet !media !adult !social !proxy !banners !adultlist !suicide !narkota !sekta
http_access allow phonenet !media !adult !social !proxy !banners !adultlist !suicide !narkota !sekta
http_access allow buhnet !media !adult !social !proxy !banners !adultlist !suicide !narkota !sekta
http_access deny adult
http_access deny adultlist
http_access deny media
http_access deny suicide
http_access deny social
http_access deny narkota
http_access deny proxy
http_access deny banners
http_access deny sekta
http_access deny all

broken_vary_encoding allow apache

extension_methods REPORT MERGE MKACTIVITY CHECKOUT

error_directory /usr/share/squid/errors/ru

dns_nameservers 192.168.1.30 8.8.8.8
# dns_nameservers 193.58.251.251
# dns_nameservers 81.176.72.82 81.176.72.83

hosts_file /etc/hosts

memory_pools on
memory_pools_limit 50 MB

coredump_dir /var/spool/squid

deny_info http://denied.local adult
deny_info http://denied.local media
deny_info http://denied.local social
deny_info http://denied.local proxy
deny_info http://denied.local adultauto
deny_info http://denied.local banners
deny_info http://denied.local adultlist
deny_info http://denied.local suicide
deny_info http://denied.local narkota
deny_info http://denied.local sekta

UDP: прочитал эту статью https://forum.ubuntu.ru/index.php?topic=12454.0, честно скажу, я в маршрутах ничего не понимаю. Подскажите что прописать надо

[djrust]

может быть не ICP_acsess , а http_access?

[Like]

http_access указан ниже

[djrust]

прошу прощенья с телефона не заметил!

[Like]

Собственно с маршрутами вопрос решился, но возникла другая ситуация.
Добавил в /etc/network/interfaces 3 маршрута:

Код: [Выделить]

up route add -net 192.168.2.0 netmask 255.255.255.0 gw 192.168.1.1 eth0
up route add -net 192.168.3.0 netmask 255.255.255.0 gw 192.168.1.1 eth0
up route add -net 192.168.5.0 netmask 255.255.255.0 gw 192.168.1.1 eth0

У подсетей доступ в локалку появился. Чтобы подключиться к интернету надо в браузере прописать адрес прокси. Хотя он настроен в прозрачном режиме.

Код: [Выделить]

http_port 3128 transparent
То есть пока была одна подсеть, сервер работал в прозрачном режиме нормально. Теперь же перестал. Я с маршрутами накосячил? Или в чем-то другом?

UDP: Для подсети 1.0 прозрачность работает, а для остальных нет.

[Like]

Неужели никто не знает, как сделать прозрачное проксирование для всех подсетей?

[fisher74]

В чём-то другом
Правила показывайте

[Like]

Все, разобрался.
Оказывается на сервере лежат файл nat. В нем был поднят маскарадинг только для одной подсети. Добавил:

Код: [Выделить]

iptables -t nat -A POSTROUTING -o eth2 -s 192.168.1.0/24 -j MASQUERADE
iptables -t nat -A POSTROUTING -o eth2 -s 192.168.2.0/24 -j MASQUERADE
iptables -t nat -A POSTROUTING -o eth2 -s 192.168.3.0/24 -j MASQUERADE
iptables -t nat -A POSTROUTING -o eth2 -s 192.168.5.0/24 -j MASQUERADE
И все заработало. Как-то я его раньше не замечал =)

[koshev]

Я не очень понял, каким образом nat относится к squid'у. Для прозрачного проксирования nat не нужен, вообще.
Что-то у тебя не так.

[Like]

Я сам не до конца понимаю каким он боком тут стоит. До этого был провайдер, который давай инет через vpn. В школе была одна подсеть. Сейчас другой провайдер, который дает интернет без vpn и с реальным IP. Если же отключить NAT, то интернета в школе не будет совсем. Вот как-то так.

[koshev]

Неважно каким образом приходит инет, между VPN и IPoE, в данном случае разницы никакой.  Важно то, что в твоей ситуации, сервисы в сети не сконфигурированы должным образом, если ты решаешь проблему через ж NAT, то будь готов к тому, что школе придёт счет на использованный траффик.
Вероятно, за последние годы ситуация в школах изменилась, и, возможно, провайдеры дают безлимит, с худеньким каналом.
Ещё раз повторюсь, верно настроенная сеть, с прозрачным прокси-сервером на шлюзе, не требует никакого NAT'а.
Исключение можно сделать лишь для HTTPS, но и он проксируется. Я могу лишь предположить, что в сети нет собственного доступного DNS-сервера для хостов, который можно сконфигурировать на разные уровни доступа разных подсетей, что избавляет от дополнительных настроек контент-фильтра и, хоть немного, но улучшит отзывчивость в сети. 

[Like]

Школе сейчас дается 10 Мбит/сек безлимит. Действительно, своего DNS сервера нет, squid используется для контроля доступа учеников и учителей к разным ресурсам. Прокуратура очень любит приезжать в гости=) На каникулах попробую поиграть с настройкой сети и убрать NAT.

Спасибо за помощь, на данном этапе все необходимые задачи решены. Тему можно закрывать.

[fisher74]

Вы правда не слышите, что Вам говорят?

У Вас не решена одна ВАЖНАЯ для школы задача

squid используется для контроля доступа учеников и учителей к разным ресурсам.

В Вашем случае он ничего не контролирует. Не верите? Остановите кальмара и убедитесь в этом.
Первая же проверка будет для Вас неприятной.

[Like]

Не верю, так как контент фильтруется по всем листам. Если остановить сквид, доступ в интернет прекращается.

[fisher74]

Тогда беда была не в в правилах, которые Вы добавили.

Хотя.... DNS у Вас поди провайдерские или гугловские используются. Тогда да