непрозрачный прокси с одним eth интерфейсом (squid)

[prajenik]

господа
хорошая задачка

в организации cisco 871, ее админит управляющая компания из мск
задача настроить проксик

мне привиделось такое решение, москва на циске закрывает 80, 8080, 3128 для всех кроме 10.100.11.250 и директоров и бухгалтеров с банк-клиентами

а на 10.100.11.250 мной поставлен ubuntu server и squid, до этого сквид я не настраивал особо да и вообще в Linuxе не силен.. но по сути там ничего сложного нет во всяком случае в squid.conf
при рестарте сквид никаких ошибок не выдает..

Код: [Выделить]

danila@proxy:/etc/squid3$ sudo /etc/init.d/squid3 restart
Rather than invoking init scripts through /etc/init.d, use the service(8)
utility, e.g. service squid3 restart

Since the script you are attempting to invoke has been converted to an
Upstart job, you may also use the stop(8) and then start(8) utilities,
e.g. stop squid3 ; start squid3. The restart(8) utility is also available.

squid3 stop/waiting
squid3 start/running, process 3602

в конфиге сквида у меня все по минимому..

Код: [Выделить]

GNU nano 2.2.6                          Файл: sqiud.conf

acl localhost src 127.0.0.1/32
acl to_localhost dst 127.0.0.0/8 0.0.0.0/32

http_port 3128

acl localnet src 10.100.11.0/24

acl SSL_ports port 443
acl Safe_ports port 80        # http
acl Safe_ports port 21        # ftp
acl Safe_ports port 443        # https
acl Safe_ports port 70        # gopher
acl Safe_ports port 210        # wais
acl Safe_ports port 280        # http-mgmt
acl Safe_ports port 488        # gss-http
acl Safe_ports port 591        # filemaker
acl Safe_ports port 777        # multiling http
acl CONNECT method CONNECT

http_access deny !Safe_ports

http_access deny CONNECT !SSL_ports


http_access allow manager localhost
http_access allow localnet
http_access allow localhost
http_access deny manager

cache_dir ufs /var/spool/squid 4096 32 256

memory_pools on
memory_pools_limit 20 MB
error_directory /usr/share/squid-langpack/Russian-1251
 
в iptables у меня пусто:

Код: [Выделить]

danila@proxy:/etc/squid3$ sudo iptables -L -n
Chain INPUT (policy ACCEPT)
target     prot opt source               destination

Chain FORWARD (policy ACCEPT)
target     prot opt source               destination

Chain OUTPUT (policy ACCEPT)
target     prot opt source               destination

при попытке зайти на гугл.ком из браузера где прописан проксиком 10.100.11.250 с портом 3128..   ничего не происходит.. вообще ничего))

в логах у сквида:

Код: [Выделить]

1375366986.845      1 10.100.11.100 TCP_DENIED/403 4240 GET http://www.yandex.ru/ - NONE/- text/html
1375366986.865      0 10.100.11.100 TCP_DENIED/403 3879 GET http://www.squid-cache.org/Artwork/SN.png - NONE/- tex$
1375367248.486      0 10.100.11.100 TCP_DENIED/403 4082 GET http://www.yandex.ru/ - NONE/- text/html
1375367248.490      0 10.100.11.100 TCP_DENIED/403 3879 GET http://www.squid-cache.org/Artwork/SN.png - NONE/- tex$
1375367250.463      0 10.100.11.100 TCP_DENIED/403 4108 GET http://www.yandex.ru/ - NONE/- text/html
1375367250.467      0 10.100.11.100 TCP_DENIED/403 3905 GET http://www.squid-cache.org/Artwork/SN.png - NONE/- tex$
1375367250.679      0 10.100.11.100 TCP_DENIED/403 4108 GET http://www.yandex.ru/ - NONE/- text/html
1375367250.683      0 10.100.11.100 TCP_DENIED/403 3905 GET http://www.squid-cache.org/Artwork/SN.png - NONE/- tex$
1375367255.300      0 10.100.11.100 TCP_DENIED/403 3930 GET http://www.google.ru/ - NONE/- text/html
1375367255.308      0 10.100.11.100 TCP_DENIED/403 3879 GET http://www.squid-cache.org/Artwork/SN.png - NONE/- tex$
1375367532.348      0 10.100.11.100 TCP_DENIED/403 3772 GET http://www.google.ru/ - NONE/- text/html
1375367532.351      0 10.100.11.100 TCP_DENIED/403 3879 GET http://www.squid-cache.org/Artwork/SN.png - NONE/- tex$


не могу понять.. что мне надо подправить в acl-ках.. и надо ли что то настраивать в iptables для того что бы все правильно ходило куда надо..

ЗЫ само собой eth0 на проксике настроен правильно и смотрит на циску...
Пользователь решил продолжить мысль 01 Августа 2013, 19:53:30:вот еще чего нашел в логах:

Код: [Выделить]

2013/08/01 18:34:00| Swap maxSize 0 + 262144 KB, estimated 20164 objects
2013/08/01 18:34:00| Target number of buckets: 1008
2013/08/01 18:34:00| Using 8192 Store buckets
2013/08/01 18:34:00| Max Mem  size: 262144 KB
2013/08/01 18:34:00| Max Swap size: 0 KB
2013/08/01 18:34:00| Using Least Load store dir selection
2013/08/01 18:34:00| Current Directory is /
2013/08/01 18:34:00| storeDirWriteCleanLogs: Starting...
2013/08/01 18:34:00|   Finished.  Wrote 0 entries.
2013/08/01 18:34:00|   Took 0.00 seconds (  0.00 entries/sec).


FATAL: No port defined



Squid Cache (Version 3.1.19): Terminated abnormally.
CPU Usage: 0.048 seconds = 0.016 user + 0.032 sys
Maximum Resident Size: 48400 KB
Page faults with physical i/o: 0
Memory usage for squid via mallinfo():
        total space in arena:    1716 KB
        Ordinary blocks:         1658 KB     54 blks
        Small blocks:               0 KB      1 blks
        Holding blocks:         26652 KB      9 blks
        Free Small blocks:          0 KB
        Free Ordinary blocks:      57 KB
        Total in use:           28310 KB 1650%
        Total free:                58 KB 3%


[tagilchanin]

Если попробовать настроить squid на вышестоящую cisco как на parent proxy?