Банальный проброс портов

[Rimsky]

В режиме transparent кальмар и стандартные запросы на прокси обрабатывает.
Так и делал, заворачивал между 80 и 8080 добавлял 443
Может сквид и обрабатывает, только сайты пишут что-то про SSL "не может быть установлено"
Да и гугель говорит тоже самое.
Есть конечно костыль с самоподписанными сертификатами, но мне как-то не хочется проверять как они будут работать с goszakupki.ru
Или таки работает?

[fisher74]

Вот выжимки с конфига моего кальмара (правда без режима tranparent) с работающим SSL

~$ grep -v "^$\|^#"  /etc/squid*/squid.conf | grep SSL
acl SSL_ports port 443
http_access deny CONNECT !SSL_ports

[Rimsky]

fisher74,
у меня свкид скомпилирован без enable ssl

[fisher74]

Я работаю с ubuntu, а Вы?
И, кстати, кто мешает собрать с этим параметром?

P.S. У меня красноглазие от компилирования уже давно прошло (правда кальмар всегда нормально собирался).

[Rimsky]

fisher74,
ubunta 10.04
Я скачал squid3 без ssl
И таким видом красноглазия никогда не страдал

Касательно порта: на вебсервере для сайта разрешил порт 8000, т.е. изнутри он открывается по 192,168,1,240:8000, конечно пробросил
А снаружи нет

Код: [Выделить]

iptables -A FORWARD -i eth3 -p tcp -m multiport --dport 80,3389,8000,50000,50001 -j ACCEPT
iptables -A FORWARD -i eth2 -p tcp -m multiport --dport 80,3389,8000,50000,50001 -j ACCEPT

root@fuckingu1-gw:/home/fuckingu1# iptables-save
# Generated by iptables-save v1.4.4 on Fri May  4 13:24:55 2012
*mangle
:PREROUTING ACCEPT [4943827:3587701925]
:INPUT ACCEPT [3089702:2345820651]
:FORWARD ACCEPT [1773837:1234802556]
:OUTPUT ACCEPT [3411098:2540266324]
:POSTROUTING ACCEPT [5100272:3767777577]
COMMIT
# Completed on Fri May  4 13:24:55 2012
# Generated by iptables-save v1.4.4 on Fri May  4 13:24:55 2012
*nat
:PREROUTING ACCEPT [134206:12930217]
:POSTROUTING ACCEPT [57395:3449812]
:OUTPUT ACCEPT [57320:3445608]
-A PREROUTING -d 192.168.2.250/32 -p tcp -m tcp --dport 8000 -j DNAT --to-destination 192.168.1.240:8000
-A PREROUTING -d 192.168.2.250/32 -p tcp -m tcp --dport 50000 -j DNAT --to-destination 192.168.1.240:3389
-A PREROUTING -d 192.168.2.250/32 -p tcp -m tcp --dport 50001 -j DNAT --to-destination 192.168.1.254:3389
-A PREROUTING -i eth3 -p tcp -m multiport --dports 80,8080 -j REDIRECT --to-ports 3128
-A POSTROUTING -s 192.168.1.0/24 -o eth2 -j MASQUERADE
COMMIT
# Completed on Fri May  4 13:24:55 2012
# Generated by iptables-save v1.4.4 on Fri May  4 13:24:55 2012
*filter
:INPUT ACCEPT [113383:7443462]
:FORWARD DROP [1363:119987]
:OUTPUT ACCEPT [74729:4166817]
-A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
-A FORWARD -i eth3 -p tcp -m multiport --dports 20,21,22,25,110,123,135,139,143,443,587,3389,8095,8000,80 -j ACCEPT
-A FORWARD -i eth3 -p udp -m multiport --dports 123,500,137,138,445,1701,1900 -j ACCEPT
-A FORWARD -i eth3 -p tcp -m multiport --dports 5938 -j ACCEPT
-A FORWARD -i eth3 -p tcp -m multiport --dports 80,3389,8000,50000,50001 -j ACCEPT
-A FORWARD -i eth2 -p tcp -m multiport --dports 80,3389,8000,50000,50001 -j ACCEPT
-A FORWARD -s 192.168.1.100/32 -m state --state NEW,RELATED,ESTABLISHED -j ACCEPT
-A FORWARD -m state --state RELATED,ESTABLISHED -j ACCEPT
-A FORWARD -p icmp -m icmp --icmp-type 8 -j ACCEPT
-A OUTPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
COMMIT


=============

вопрос решен! стыдно но не был указан Default GW

[fisher74]

А зачем его откуда-то скачивать, если он есть в репах, причём нормальнособранный?
Можете показать выхлоп
squid3 -v
или
squid -v

[Rimsky]

fisher74,
виндовое словечко... ставил squid3 через synaptic

Спасибо за поддержку и ответы!

=========

можно еще вопросик по lighttpd
ограничиваю подключения

Код: [Выделить]

$HTTP["remoteip"] !~ "192,168,1,254|127,0,0,1" {
      url.access-deny = ( "" )
 }
и вообще никто подключиться не может - 403
Убираю этот блок, перезапускаю, и минут 10 также никто подключиться не может

[fisher74]

Я не уверен, что это основная проблема, но думаю в качестве разделителей декад IP-адреса должны быть точки, а не запятые

[Rimsky]

Я не уверен, что это основная проблема, но думаю в качестве разделителей декад IP-адреса должны быть точки, а не запятые

В конфе конечно точки, это просто на цифровой клавиатуре на точке запятая (не знаю как поменять) и при наборе на форуме иногда не переключаю раскладку

[fisher74]

Сделайте ограничение так

$HTTP["remoteip"] !~ "192\.168\.1\.254|127\.0\.0\.1" {
      url.access-deny = ( "" )
 }

P.S. И на будущее. Старайтесь листинги конфигов и логов копипастить. Очень часто сталкиваемся с банальной опечаткой

[Rimsky]

fisher74,
понял спасибо!
прямо с косыми или это указатель "именно точка?"

[fisher74]

прямо с косыми Скопируйте прямо из форума как видите.

[Rimsky]

fisher74,
блок

Код: [Выделить]

$HTTP["remoteip"] !~ "192\.168\.1\.254|127\.0\.0\.1" {
      url.access-deny = ( "" )
 }
$HTTP["remoteip"] =~ "127.0.0.1" {
alias.url += (
"/doc/" => "/usr/share/doc/",
"/images/" => "/usr/share/images/"
)
$HTTP["url"] =~ "^/doc/|^/images/" {
dir-listing.activate = "enable"
}
}Изменяю-сохраняю-перезапускаю sudo /etc/init.d/lighttpd restart
И никто не заходит, 403, ни 127.0.0.1, ни .192.168.1.254, ни другие
Удаляю первый блок, перезапускаю, и опять никто не заходит

[fisher74]

Изменяю-сохраняю-перезапускаю sudo /etc/init.d/lighttpd restart

Так уже не камильфо. Так надо

Код: [Выделить]

sudo service lighttpd restart
По вопросу mod_access:
Показывайте листинг (копипастом под спойлер)

Код: [Выделить]

grep -v "^$\|^#" /etc/lighttpd/lighttpd.conf
Только что проверил - всё работает как часики.

[Rimsky]

fisher74,
mode access подключен
\. лишние
загвоздка была в sudo service lighttpd restart

теперь с разрешенного компа пускает на http://192.168.1.250/squid-reports/Daily/ но не пускает на http://192.168.1.250/squid-reports/Daily/2012May04-2012May04/index.html (403)

(Нажмите, чтобы показать/скрыть)

Код: [Выделить]

server.modules              = (
            "mod_access",
            "mod_alias",
            "mod_accesslog",
            "mod_compress",
)
server.document-root       = "/var/www/"
server.upload-dirs = ( "/var/cache/lighttpd/uploads" )
server.errorlog            = "/var/log/lighttpd/error.log"
index-file.names           = ( "index.php", "index.html",
                               "index.htm", "default.htm",
                               "index.lighttpd.html" )
accesslog.filename         = "/var/log/lighttpd/access.log"
url.access-deny            = ( "~", ".inc" )
static-file.exclude-extensions = ( ".php", ".pl", ".fcgi" )
server.pid-file            = "/var/run/lighttpd.pid"
dir-listing.encoding        = "utf-8"
server.dir-listing          = "enable"
server.username            = "www-data"
server.groupname           = "www-data"
compress.cache-dir          = "/var/cache/lighttpd/compress/"
compress.filetype           = ("text/plain", "text/html", "application/x-javascript", "text/css")
include_shell "/usr/share/lighttpd/create-mime.assign.pl"
include_shell "/usr/share/lighttpd/include-conf-enabled.pl"
$HTTP["remoteip"] !~ "192.168.1.254|127.0.0.1" {
      url.access-deny = ( "" )
 }
$HTTP["remoteip"] =~ "127.0.0.1" {
alias.url += (
"/doc/" => "/usr/share/doc/",
"/images/" => "/usr/share/images/"
)
$HTTP["url"] =~ "^/doc/|^/images/" {
dir-listing.activate = "enable"
}
}