squid+squidGuard редирект на 3128 нет инета

[Unicum]

Утречка доброго. Уважаемые Гуру, настроил я инет сервер на 12.04, дал выход через него в инет, поставил squid+squidGuard, и только правилом iptables

Код: [Выделить]

iptables -t nat -A PREROUTING -p tcp --dport 80 -j REDIRECT --to-ports 3128делаю редирект на порт 3128 инет в браузере ложится.

лог squid3

Код: [Выделить]

root@Gateway:/etc/squid3# squid3
2013/03/20 13:53:40| WARNING: (B) '::/0' is a subnetwork of (A) '::/0'
2013/03/20 13:53:40| WARNING: because of this '::/0' is ignored to keep splay tree searching predictable
2013/03/20 13:53:40| WARNING: You should probably remove '::/0' from the ACL named 'all'
2013/03/20 13:53:40| strtokFile: /etc/squid/block.acl not found
2013/03/20 13:53:40| Warning: empty ACL: acl block dstdomain "/etc/squid/block.acl"
2013/03/20 13:53:40| cache_cf.cc(381) parseOneConfigFile: squid.conf:72 unrecognized: 'broken_vary_encoding'
root@Gateway:/etc/squid3# squid3
2013/03/20 13:54:24| WARNING: (B) '::/0' is a subnetwork of (A) '::/0'
2013/03/20 13:54:24| WARNING: because of this '::/0' is ignored to keep splay tree searching predictable
2013/03/20 13:54:24| WARNING: You should probably remove '::/0' from the ACL named 'all'
2013/03/20 13:54:24| strtokFile: /etc/squid/block.acl not found
2013/03/20 13:54:24| Warning: empty ACL: acl block dstdomain "/etc/squid/block.acl"
2013/03/20 13:54:24| cache_cf.cc(381) parseOneConfigFile: squid.conf:72 unrecognized: 'broken_vary_encoding'
root@Gateway:/etc/squid3#
cache.log.1                                                                                                                      16475/16475             100%
2013/03/20 12:04:53| Adaptation support is off.
2013/03/20 12:04:53| Ready to serve requests.
2013/03/20 12:04:54| storeLateRelease: released 0 objects
2013/03/20 12:08:20| Preparing for shutdown after 0 requests
2013/03/20 12:08:20| Waiting 30 seconds for active connections to finish
2013/03/20 12:08:20| FD 22 Closing HTTP connection
2013/03/20 12:08:25| Starting Squid Cache version 3.1.19 for i686-pc-linux-gnu...
2013/03/20 12:08:25| Process ID 1925
2013/03/20 12:08:25| With 65535 file descriptors available
2013/03/20 12:08:25| Initializing IP Cache...
2013/03/20 12:08:25| DNS Socket created at [::], FD 5
2013/03/20 12:08:25| DNS Socket created at 0.0.0.0, FD 6
2013/03/20 12:08:25| Adding nameserver 85.90.192.8 from /etc/resolv.conf
2013/03/20 12:08:25| Adding nameserver 85.90.192.9 from /etc/resolv.conf
2013/03/20 12:08:25| Adding domain gpon.lc from /etc/resolv.conf
2013/03/20 12:08:25| helperOpenServers: Starting 5/5 'squidGuard' processes
2013/03/20 12:08:25| Unlinkd pipe opened on FD 21
2013/03/20 12:08:25| Local cache digest enabled; rebuild/rewrite every 3600/3600 sec
2013/03/20 12:08:25| Store logging disabled
2013/03/20 12:08:25| Swap maxSize 0 + 262144 KB, estimated 20164 objects
2013/03/20 12:08:25| Target number of buckets: 1008
2013/03/20 12:08:25| Using 8192 Store buckets
2013/03/20 12:08:25| Max Mem  size: 262144 KB
2013/03/20 12:08:25| Max Swap size: 0 KB
2013/03/20 12:08:25| Using Least Load store dir selection
2013/03/20 12:08:25| Set Current Directory to /var/spool/squid3
2013/03/20 12:08:25| Loaded Icons.
2013/03/20 12:08:25| Accepting  intercepted HTTP connections at 192.168.127.254:3128, FD 22.
2013/03/20 12:08:25| HTCP Disabled.
2013/03/20 12:08:25| Squid plugin modules loaded: 0
2013/03/20 12:08:25| Adaptation support is off.
2013/03/20 12:08:25| Ready to serve requests.
2013/03/20 12:08:26| storeLateRelease: released 0 objects
2013/03/20 12:15:34| Preparing for shutdown after 0 requests
2013/03/20 12:15:34| Waiting 30 seconds for active connections to finish
2013/03/20 12:15:34| FD 22 Closing HTTP connection
2013/03/20 12:15:37| WARNING: redirector #1 (FD 7) exited
2013/03/20 12:15:37| WARNING: redirector #2 (FD 9) exited
2013/03/20 12:15:37| WARNING: redirector #3 (FD 11) exited
2013/03/20 12:15:37| WARNING: redirector #4 (FD 13) exited
2013/03/20 12:15:37| Too few redirector processes are running
2013/03/20 12:15:37| Starting new helpers
2013/03/20 12:15:37| helperOpenServers: Starting 4/5 'squidGuard' processes
2013/03/20 12:15:37| WARNING: redirector #5 (FD 15) exited
squid3

Код: [Выделить]

squid.conf                                                                                                                        1876/2561               73%
redirect_program /usr/bin/squidGuard -c /etc/squid/squidGuard.conf
acl all src all
acl manager proto cache_object
acl localhost src 127.0.0.1/32
acl to_localhost dst 127.0.0.0/8 #0.0.0.0/32
#acl localnet src 10.0.0.0/8   # RFC1918 possible internal network
#acl localnet src 172.16.0.0/12   # RFC1918 possible internal network
acl localnet src 192.168.127.0/24   # RFC1918 possible internal network

acl Diz src 192.168.127.100-192.168.127.105
acl Other src 192.168.127.106-192.168.127.115
acl Admin src 192.168.127.1-192.168.127.9
acl Terminal src 192.168.127.10



http_access allow Diz
http_access allow Admin
http_access allow Other
http_access allow Terminal
http_access deny all


acl SSL_ports port 443      # https
acl SSL_ports port 563      # snews
acl SSL_ports port 873      # rsync
acl Safe_ports port 80      # http
acl Safe_ports port 21      # ftp
#acl Safe_ports port 20      #мой ftp порт
acl Safe_ports port 443      # https
acl Safe_ports port 70      # gopher
acl Safe_ports port 210      # wais
acl Safe_ports port 1025-65535   # unregistered ports
acl Safe_ports port 280      # http-mgmt
acl Safe_ports port 488      # gss-http
acl Safe_ports port 591      # filemaker
acl Safe_ports port 777      # multiling http
acl Safe_ports port 631      # cups
acl Safe_ports port 873      # rsync
acl Safe_ports port 901      # SWAT
acl Safe_ports port 110      # POP
acl Safe_ports port 25       # SMTP
acl block dstdomain "/etc/squid/block.acl"
acl purge method PURGE
acl CONNECT method CONNECT
http_access allow manager localhost
http_access deny manager
http_access allow purge localhost
http_access deny purge
http_access deny !Safe_ports
http_access deny CONNECT !SSL_ports
http_access allow localnet
http_access allow localhost
http_access allow Safe_ports
http_access deny block
http_access deny all
icp_access allow localnet
icp_access deny all
http_port 192.168.127.254:3128 transparent

hierarchy_stoplist cgi-bin ?
access_log /var/log/squid/access.log squid
refresh_pattern ^ftp:      1440   20%   10080
refresh_pattern ^gopher:   1440   0%   1440
refresh_pattern -i (/cgi-bin/|\?) 0   0%   0
refresh_pattern (Release|Packages(.gz)*)$   0   20%   2880
refresh_pattern .      0   20%   4320
acl shoutcast rep_header X-HTTP09-First-Line ^ICY.[0-9]
#upgrade_http0.9 deny shoutcast
acl apache rep_header Server ^Apache
broken_vary_encoding allow apache
#extension_methods REPORT MERGE MKACTIVITY CHECKOUT
cache_effective_user proxy
#cache_dir /usr/local/squid/cache 2028 64 256
hosts_file /etc/hosts
coredump_dir /var/spool/squid

[fisher74]

Первое - не вижу, чтобы кальмару было указано работать в прозрачном режиме.

Второе, что бросается в глаза - это не совсем правильно составленное правило для netfilter, а именно не указано в каком направлении делать редирект. Желательно либо указать источники пакетов (ака локальную сеть), либо интерфейс который будет обслуживать клиентов (ака смотрящий в локальную сеть)

[Unicum]

Первое - не вижу, чтобы кальмару было указано работать в прозрачном режиме.

Второе, что бросается в глаза - это не совсем правильно составленное правило для netfilter, а именно не указано в каком направлении делать редирект. Желательно либо указать источники пакетов (ака локальную сеть), либо интерфейс который будет обслуживать клиентов (ака смотрящий в локальную сеть)

Простите не весь конфиг скопировался, добавил.

тоесть таким вот образом

iptables -t nat -A PREROUTING -i eth0 -d ! 192.168.127.0/24  -p tcp -m multiport --dport 80,8080  -j DNAT --to-destination 192.168.127.254:3128 иль так

iptables -t nat -A PREROUTING -s 192.168.127.0/24 -p tcp -m multiport --dport 80 -j REDIRECT --to-port 3128

eth0 local
eth1 inet

[fisher74]

Я бы вообще венегрет бы из них сделал

Код: [Выделить]

iptables -t nat -A PREROUTING -i eth0 -s 192.168.127.0/24 ! -d 192.168.127.0/24  -p tcp -m multiport --dport 80,8080 -j REDIRECT --to-port 3128
объясню почему
-i eth0 - как бы однозначно определяем, что ждём только с интерфейса смотрящего в локалку
-s 192.168.127.0/24 - тут как бы тоже отфильтровываем только своих клиентов
! -d 192.168.127.0/24 - наши же клиенты могут и на http-сервер на этом сервере могут заглянуть, тогда предыдущие два условия будут соблюдены
-j REDIRECT --to-port 3128 - как как прокси находится на самом шлюзе, то и использовать нужно редирект.

[Unicum]

Я бы вообще венегрет бы из них сделал

Код: [Выделить]

iptables -t nat -A PREROUTING -i eth0 -s 192.168.127.0/24 ! -d 192.168.127.0/24  -p tcp -m multiport --dport 80,8080 -j REDIRECT --to-port 3128
объясню почему
-i eth0 - как бы однозначно определяем, что ждём только с интерфейса смотрящего в локалку
-s 192.168.127.0/24 - тут как бы тоже отфильтровываем только своих клиентов
! -d 192.168.127.0/24 - наши же клиенты могут и на http-сервер на этом сервере могут заглянуть, тогда предыдущие два условия будут соблюдены
-j REDIRECT --to-port 3128 - как как прокси находится на самом шлюзе, то и использовать нужно редирект.

прописал правило, инет снова лег , может где нить в конфиге squida проблема???

Код: [Выделить]

root@Gateway:/var/log# ps -ax
Warning: bad ps syntax, perhaps a bogus '-'? See http://procps.sf.net/faq.html
  PID TTY      STAT   TIME COMMAND
    1 ?        Ss     0:00 /sbin/init
    2 ?        S      0:00 [kthreadd]
    3 ?        S      0:00 [ksoftirqd/0]
    4 ?        S      0:00 [kworker/0:0]
    5 ?        S      0:00 [kworker/u:0]
    6 ?        S      0:00 [migration/0]
    7 ?        S      0:00 [watchdog/0]
    8 ?        S<     0:00 [cpuset]
    9 ?        S<     0:00 [khelper]
   10 ?        S      0:00 [kdevtmpfs]
   11 ?        S<     0:00 [netns]
   12 ?        S      0:00 [sync_supers]
   13 ?        S      0:00 [bdi-default]
   14 ?        S<     0:00 [kintegrityd]
   15 ?        S<     0:00 [kblockd]
   16 ?        S<     0:00 [ata_sff]
   17 ?        S      0:00 [khubd]
   18 ?        S<     0:00 [md]
   19 ?        S      0:00 [kworker/u:1]
   20 ?        S      0:00 [kworker/0:1]
   21 ?        S      0:00 [khungtaskd]
   22 ?        S      0:00 [kswapd0]
   23 ?        SN     0:00 [ksmd]
   24 ?        SN     0:00 [khugepaged]
   25 ?        S      0:00 [fsnotify_mark]
   26 ?        S      0:00 [ecryptfs-kthrea]
   27 ?        S<     0:00 [crypto]
   35 ?        S<     0:00 [kthrotld]
   36 ?        S      0:00 [kworker/u:2]
   38 ?        R      0:00 [kworker/0:2]
   57 ?        S<     0:00 [devfreq_wq]
  147 ?        S      0:00 [scsi_eh_0]
  182 ?        S      0:00 [scsi_eh_1]
  183 ?        S      0:00 [scsi_eh_2]
  184 ?        S      0:00 [scsi_eh_3]
  185 ?        S      0:00 [kworker/u:3]
  186 ?        S      0:00 [kworker/u:4]
  187 ?        S      0:00 [scsi_eh_4]
  188 ?        S      0:00 [scsi_eh_5]
  189 ?        S      0:00 [kworker/u:5]
  190 ?        S      0:00 [kworker/u:6]
  241 ?        S      0:00 [kworker/u:7]
  253 ?        S<     0:00 [kdmflush]
  261 ?        S<     0:00 [kdmflush]
  318 ?        S      0:00 [jbd2/dm-0-8]
  319 ?        S<     0:00 [ext4-dio-unwrit]
  413 ?        S      0:00 upstart-udev-bridge --daemon
  415 ?        Ss     0:00 /sbin/udevd --daemon
  567 ?        S      0:00 /sbin/udevd --daemon
  568 ?        S      0:00 /sbin/udevd --daemon
  569 ?        Ss     0:00 dbus-daemon --system --fork --activation=upstart
  574 ?        Sl     0:00 rsyslogd -c5
  705 ?        Ss     0:00 smbd -F
  736 ?        Ss     0:00 nmbd -D
  744 ?        S      0:00 smbd -F
  817 ?        Ss     0:00 dhclient3 -e IF_METRIC=100 -pf /var/run/dhclient.eth1.pid -lf /var/lib/dhcp/dhclient.eth1.leases -1 eth1
  855 ?        S      0:00 upstart-socket-bridge --daemon
  880 ?        Ss     0:00 /usr/sbin/sshd -D
 1062 tty4     Ss+    0:00 /sbin/getty -8 38400 tty4
 1070 tty5     Ss+    0:00 /sbin/getty -8 38400 tty5
 1082 tty2     Ss+    0:00 /sbin/getty -8 38400 tty2
 1083 tty3     Ss+    0:00 /sbin/getty -8 38400 tty3
 1090 tty6     Ss+    0:00 /sbin/getty -8 38400 tty6
 1125 ?        Ss     0:00 acpid -c /etc/acpi/events -s /var/run/acpid.socket
 1126 ?        Ss     0:00 cron
 1127 ?        Ss     0:00 atd
 1135 ?        Ssl    0:00 whoopsie
 1199 ?        Ssl    0:00 /usr/sbin/mysqld
 1319 ?        Ss     0:03 /usr/bin/freshclam -d --quiet
 1341 ?        Ss     0:00 /usr/sbin/winbindd
 1343 ?        S      0:00 /usr/sbin/winbindd
 1385 ?        Ss     0:00 /usr/sbin/apache2 -k start
 1406 ?        S      0:00 /usr/sbin/apache2 -k start
 1407 ?        S      0:00 /usr/sbin/apache2 -k start
 1408 ?        S      0:00 /usr/sbin/apache2 -k start
 1409 ?        S      0:00 /usr/sbin/apache2 -k start
 1410 ?        S      0:00 /usr/sbin/apache2 -k start
 1427 tty1     Ss+    0:00 /sbin/getty -8 38400 tty1
 1465 ?        S      0:00 [flush-8:0]
 1466 ?        S      0:00 [flush-252:0]
 1564 ?        S      0:00 /usr/sbin/winbindd
 1565 ?        S      0:00 /usr/sbin/winbindd
 1566 ?        Ss     0:00 sshd: root@pts/0
 1664 pts/0    Ss     0:00 -bash
 1719 pts/0    S+     0:01 mc
 1721 pts/1    Ss     0:00 bash -rcfile .bashrc
 1927 pts/1    R+     0:00 ps -ax
root@Gateway:/var/log# squid3
2013/03/22 09:30:54| WARNING: (B) '::/0' is a subnetwork of (A) '::/0'
2013/03/22 09:30:54| WARNING: because of this '::/0' is ignored to keep splay tree searching predictable
2013/03/22 09:30:54| WARNING: You should probably remove '::/0' from the ACL named 'all'
2013/03/22 09:30:54| strtokFile: /etc/squid/block.acl not found
2013/03/22 09:30:54| Warning: empty ACL: acl block dstdomain "/etc/squid/block.acl"
2013/03/22 09:30:54| cache_cf.cc(381) parseOneConfigFile: squid.conf:72 unrecognized: 'broken_vary_encoding'
root@Gateway:/var/log#

[fisher74]

Если не уверены в правильности правил, то начните с проверки работоспособности кальмара.
Натравите браузер на него (в настройках) и посмотрите - работает ли он ВООБЩЕ. Может там охранник параноит. После того как он заработает, тогда уже обесцвечивайте его (прозрачным)

[funakoshi]

А конфиг squid.conf в настоящее время в полном объеме приведен?
Если да - то где редирект на squidGuard? url_redirect_program параметр так вроде называется.
Кроме того, инета не будет даже в том случае, если вы ошибку в настройках squidGurd'а сделали. Так что и squidGuard.conf тоже в студию.


P.S. Все, вижу. прошу пардона ) Но squidGuard.conf все же покажите.

[Unicum]

Если не уверены в правильности правил, то начните с проверки работоспособности кальмара.
Натравите браузер на него (в настройках) и посмотрите - работает ли он ВООБЩЕ. Может там охранник параноит. После того как он заработает, тогда уже обесцвечивайте его (прозрачным)

Да вродь как сам squid работает

Код: [Выделить]

root@Gateway:/etc/squid3# netstat -a -p tcp|grep 3128
tcp        0      0 Gateway:3128            *:*                     LISTEN      1974/squid3
он слушат этот порт, значит работает, почему тогда после правила пропадает инет???
В мозиле прописал айпи и порт прокси, все работает, ставлю коминтарием #transparent все, в мозиле не работает, в опере работает и с прокси и без
Пользователь решил продолжить мысль 22 Марта 2013, 14:31:09:

Код: [Выделить]

root@Gateway:/etc/squid3#
squidGuard.conf                                                                                                                     431/431               100%
dbhome /var/lib/squidguard/db
logdir /var/log/squid

time workhours {
 weekly mtwhf 09:00-18:00
 date *-*-01  08:00-16:30
}

src foo-clients {
 ip        192.168.127.5-192.168.127.253
}

dest good {
}

dest local {
}

dest social {
 domainlist    socialnet/domains
 redirect      http://se7en.ru/files/negry.jpg
}

acl {

 foo-clients within workhours {
 pass     good !in-addr !social any
 }

 default {
 pass     local none
 }
}


[fisher74]

он слушат этот порт, значит работает, почему тогда после правила пропадает инет???

Не путайте работу в функционированием. Кальмар может висеть в процессах, но ложить большой и толстый на клиентов.

В мозиле прописал айпи и порт прокси, все работает, ставлю коминтарием #transparent все, в мозиле не работает, в опере работает и с прокси и без

Я Ваш язык с трудом разбираю, потому запутался в этом предложении. Извините.

P.S. Я русский и русский язык знаю намного лучше, чем любой другой язык.

[Unicum]

он слушат этот порт, значит работает, почему тогда после правила пропадает инет???

Не путайте работу в функционированием. Кальмар может висеть в процессах, но ложить большой и толстый на клиентов.

В мозиле прописал айпи и порт прокси, все работает, ставлю коминтарием #transparent все, в мозиле не работает, в опере работает и с прокси и без

Я Ваш язык с трудом разбираю, потому запутался в этом предложении. Извините.

P.S. Я русский и русский язык знаю намного лучше, чем любой другой язык.

))) понял))) инет в данный момент работает

Код: [Выделить]

root@Gateway:/etc/squid3#
iptables.conf                                                                                                                       825/825               100%
# Generated by iptables-save v1.4.12 on Wed Mar 20 13:04:06 2013
*nat
:PREROUTING ACCEPT [18:1935]
:INPUT ACCEPT [8:1421]
:OUTPUT ACCEPT [0:0]
:POSTROUTING ACCEPT [0:0]
-A POSTROUTING -s 192.168.127.0/24 ! -d 192.168.127.0/24 -j MASQUERADE
COMMIT
# Completed on Wed Mar 20 13:04:06 2013
# Generated by iptables-save v1.4.12 on Wed Mar 20 13:04:06 2013
*mangle
:PREROUTING ACCEPT [105:48840]
:INPUT ACCEPT [32:3721]
:FORWARD ACCEPT [73:45119]
:OUTPUT ACCEPT [15:1845]
:POSTROUTING ACCEPT [88:46964]
-A FORWARD -p tcp -m tcp --tcp-flags SYN,RST SYN -j TCPMSS --clamp-mss-to-pmtu
COMMIT
# Completed on Wed Mar 20 13:04:06 2013
# Generated by iptables-save v1.4.12 on Wed Mar 20 13:04:06 2013
*filter
:INPUT ACCEPT [288:27146]
:FORWARD ACCEPT [259:75858]
:OUTPUT ACCEPT [205:48586]
COMMIT
прописал прокси, работает, значит он все таки через 3128 работает, правильно? как я понимаю http_port 192.168.127.254:3128 transparent это прозрачное проксирование? ставлю http_port 192.168.127.254:3128 #transparent все инета нету

[funakoshi]

Я Ваш язык с трудом разбираю, потому запутался в этом предложении. Извините.

Аналогично - ни чего не понял
А вообще сквид там ругается на то, что не может найти файл /etc/squid/block.acl, точнее на пустой block.acl
И еще на параметр broken_vary_encoding

[Unicum]

Я Ваш язык с трудом разбираю, потому запутался в этом предложении. Извините.

Аналогично - ни чего не понял
А вообще сквид там ругается на то, что не может найти файл /etc/squid/block.acl, точнее на пустой block.acl
И еще на параметр broken_vary_encoding

закоментировал эти строки. Ребята Вы простите я с линуксом не часто сталкиваюсь, то что не могу решить сам, иль найти ответы в гуггле, спрашиваю у Вас)))

[funakoshi]

Заработало?

[Unicum]

Заработало?

неа( да-да-да))))) спс!!!!!

[fisher74]

Заработало?

неа( да-да-да))))) спс!!!!!

И я снова в шоке от Вашего акцента...

Судя по отметке "Решено" проблема всё-таки решилась