SQUID3 не работают правила... как будто их и нет...

[KyMappP]

Здравствуйте, решил занятся разграничением прав, написал первое правило:
acl vkzlo dstdomain vk.com
acl vkzl dstdomain .vk.vom
http_access deny VKzlo
http_access allow all

но почему то он на него не как не реагирует... посмотрите в чем может быть ошибка?
п.с. побывал и другие, на та же самая история...

 вот конфиг squid:

Код: [Выделить]


acl manager proto cache_object
acl localhost src 127.0.0.1/32 ::1
acl to_localhost dst 127.0.0.0/8 0.0.0.0/32 ::1

acl localnet src 192.168.2.0/24 # RFC1918 possible internal network

acl SSL_ports port 443
acl Safe_ports port 80 # http
acl Safe_ports port 21 # ftp
acl Safe_ports port 443 # https
acl Safe_ports port 70 # gopher
acl Safe_ports port 210 # wais
acl Safe_ports port 1025-65535 # unregistered ports
acl Safe_ports port 280 # http-mgmt
acl Safe_ports port 488 # gss-http
acl Safe_ports port 591 # filemaker
acl Safe_ports port 777 # multiling http
acl CONNECT method CONNECT

# Only allow cachemgr access from localhost
http_access allow manager localhost
http_access deny manager

# Deny requests to certain unsafe ports
http_access deny !Safe_ports

# Deny CONNECT to other than secure SSL ports
http_access deny CONNECT !SSL_ports

# from where browsing should be allowed
http_access allow localnet
http_access allow localhost


acl vkzlo dstdomain vk.com
acl vkzl dstdomain .vk.vom
http_access deny VKzlo
http_access allow all

# And finally deny all other access to this proxy
http_access deny all

# Squid normally listens to port 3128
http_port 3128 transparent

# Leave coredumps in the first cache dir
coredump_dir /var/spool/squid3

ftp_passive on
ftp_telnet_protocol on

# Add any of your own refresh_pattern entries above these.
refresh_pattern ^ftp: 1440 20% 10080
refresh_pattern ^gopher: 1440 0% 1440
refresh_pattern -i (/cgi-bin/|\?) 0 0% 0
refresh_pattern (Release|Packages(.gz)*)$      0       20%     2880
# example lin deb packages
#refresh_pattern (\.deb|\.udeb)$   129600 100% 129600
refresh_pattern . 0 20% 4320

visible_hostname localhost

memory_pools on
memory_pools_limit 50 MB

nat:

Код: [Выделить]

#!/bin/sh

echo 1 > /proc/sys/net/ipv4/ip_forward

iptables -A INPUT -i lo -j ACCEPT

iptables -A FORWARD -i p4p1 -o p3p1 -j ACCEPT

iptables -t nat -A POSTROUTING -o p3p1 -s 192.168.2.0/24 -j MASQUERADE

iptables -A FORWARD -i p3p1 -m state --state ESTABLISHED,RELATED -j ACCEPT

iptables -A FORWARD -i p3p1 -o p4p1 -j REJECT

iptables -t nat -A PREROUTING -i p4p1 -d ! 192.168.2.0/24 -p tcp -m multiport --dport 80,8080 -j DNAT --t o 192.168.2.4:3128

[fisher74]

acl vkzlo dstdomain vk.com
acl vkzl dstdomain .vk.vom
http_access deny VKzlo
http_access allow all

но почему то он на него не как не реагирует... посмотрите в чем может быть ошибка?

А вЫ сАми нЕ вИдитЕ?

[KyMappP]

acl vkzlo dstdomain vk.com
acl vkzl dstdomain .vk.vom
http_access deny VKzlo
http_access allow all

но почему то он на него не как не реагирует... посмотрите в чем может быть ошибка?

А вЫ сАми нЕ вИдитЕ?

спасибо тут я вижу... но для меня важность регистра это что то новое) недавно с форточек слез)

но, применялись и другие правила... правильно написанные...но так же не работали... есть большое подозрение что он не отрабатывает в NATе вот на эту строку:

Код: [Выделить]

iptables -t nat -A PREROUTING -i p4p1 -d ! 192.168.2.0/24 -p tcp -m multiport --dport 80,8080 -j DNAT --t o 192.168.2.4:3128
где в ней ошибка?) ткните носом)) еще лучше дать правильный вариант, а я сделаю работу над ошибками))
сеть: 192.168.2.0
прокси сервер: 192.168.2.4

[AnrDaemon]

Ошибка в DNAT
Должно быть REDIRECT

[fisher74]

Я бы не сказал, что это ошибка. Ведь не озвучено является шлюз этим самым прокси сервером. Но даже если совмещает эти функции, то применение DNAT вместо REDIRECT больше плохой почерк.

А чтобы проверить работает редирект или нет, достаточно просто выключить кальмара

Код: [Выделить]

sudo service squid3 stophttp у клиентов должен отвалиться.

[KyMappP]

Я бы не сказал, что это ошибка. Ведь не озвучено является шлюз этим самым прокси сервером. Но даже если совмещает эти функции, то применение DNAT вместо REDIRECT больше плохой почерк.

А чтобы проверить работает редирект или нет, достаточно просто выключить кальмара

Код: [Выделить]

sudo service squid3 stophttp у клиентов должен отвалиться.

согласен, моя ошибка в том что забыл сказать, что шлюз стоит на отдельной машине и они с прокси связаны отдельной сетью компьютер-компьютер: адрес шлюза 192.168.200.1 , адрес прокси 192.168.200.2

в итоге мне нужно в NAT изменить строку таким образом?

Код: [Выделить]

iptables -t nat -A PREROUTING -i p4p1 -d ! 192.168.2.0/24 -p tcp -m multiport --dport 80,8080 -j DNAT --t o 192.168.200.1:3128Пользователь решил продолжить мысль 22 Августа 2013, 12:37:16:Проверил, итоги:


и когда стоит

Код: [Выделить]

iptables -t nat -A PREROUTING -i p4p1 -d ! 192.168.2.0/24 -p tcp -m multiport --dport 80,8080 -j DNAT --t o 192.168.2.4:3128и когда

Код: [Выделить]

iptables -t nat -A PREROUTING -i p4p1 -d ! 192.168.2.0/24 -p tcp -m multiport --dport 80,8080 -j DNAT --t o 192.168.200.1:3128
При запуске NATa выдает ошибку: Bad argument "192.168.2.0/24"

И при отключении кальмара:

Код: [Выделить]

sudo service squid3 stopинтернет продолжает работать у пользователей...

[fisher74]

iptables -t nat -A PREROUTING -i p4p1 ! -d 192.168.2.0/24 -p tcp -m multiport --dport 80,8080 -j DNAT --t o 192.168.200.2:3128

[ArcFi]

fisher74, тут ещё:

--t o

[fisher74]

я думаю это просто перенос строки в терминале так нам отобразился

[KyMappP]

iptables -t nat -A PREROUTING -i p4p1 ! -d 192.168.2.0/24 -p tcp -m multiport --dport 80,8080 -j DNAT --t o 192.168.200.2:3128

Bad argument "192.168.2.0/24"
iptables v1.4.12: unknown option "--t"

да во всех гайдах пишут что нужно заворачивать так:

Код: [Выделить]

iptables -t nat -A PREROUTING -i p4p1 [color=red]-d ![/color] 192.168.2.0/24 -p tcp -m multiport --dport 80,8080 -j DNAT --t o 192.168.200.2:3128

Даже не знаю что и думать(((

[ArcFi]

да во всех гайдах пишут...

Исправил:
https://help.ubuntu.ru/wiki/sharing_internet?&#%D0%BF%D1%80%D0%BE%D0%BA%D1%81%D0%B8-%D1%81%D0%B5%D1%80%D0%B2%D0%B5%D1%80_squid

[fisher74]

гайды могут протухнуть по версии iptables, так как

Код: [Выделить]

$iptables -V
iptables 1.4.4                                                     IPTABLES(8)
$man iptables
...
       [!] -s, --source address[/mask]
...
              A  "!"  argument before the address specification inverts the sense of the address.
              The flag --src is an alias for this option.

       [!] -d, --destination address[/mask]
              Destination specification.  See the description of  the  -s  (source)  flag  for  a
              detailed description of the syntax.  The flag --dst is an alias for this option.

Заметьте позицию знака инверсии критерия

И...

Код: [Выделить]

$iptables -V
iptables v1.2.9
$man iptables
....
       -d, --destination [!] address[/mask]
              Destination  specification.  See the description of
              the -s (source) flag for a detailed description  of
              the  syntax.   The  flag --dst is an alias for this
              option.
...

А про ошибку -t уже выше писали.

[KyMappP]

огромное спасибо люди добрые за помощь!
поправил как Вы сказали, в итоге:
пинг с локальных машин на внешние адреса идет...
на https заходит
тимвивер, т.п. запускаются...
НО! именно на сайты по http не подключается..... в чем может быть проблема?(

Вот нынешние данные NAT и сквида....
Посмотрите пожалуйста, может в сквиде ошибка?

NAT: запустился без ошибок...

Код: [Выделить]

#!/bin/sh

echo 1 > /proc/sys/net/ipv4/ip_forward

iptables -A INPUT -i lo -j ACCEPT

iptables -A FORWARD -i p4p1 -o p3p1 -j ACCEPT

iptables -t nat -A POSTROUTING -o p3p1 -s 192.168.2.0/24 -j MASQUERADE

iptables -A FORWARD -i p3p1 -m state --state ESTABLISHED,RELATED -j ACCEPT

iptables -A FORWARD -i p3p1 -o p4p1 -j REJECT

iptables -t nat -A PREROUTING -i p4p1 ! -d 192.168.2.0/24 -p tcp -m multiport --dport 80,8080 -j DNAT --t o 192.168.2.4:3128


squid.conf

Код: [Выделить]

acl manager proto cache_object
acl localhost src 127.0.0.1/32 ::1
acl to_localhost dst 127.0.0.0/8 0.0.0.0/32 ::1
acl localnet src 192.168.2.0/24
# Example rule allowing access from your local networks.
# Adapt to list your (internal) IP networks from where browsing
# should be allowed
#acl localnet src 10.0.0.0/8 # RFC1918 possible internal network
#acl localnet src 172.16.0.0/12 # RFC1918 possible internal network
#acl localnet src 192.168.0.0/16 # RFC1918 possible internal network
#acl localnet src fc00::/7       # RFC 4193 local private network range
#acl localnet src fe80::/10      # RFC 4291 link-local (directly plugged) machines

acl SSL_ports port 443
acl Safe_ports port 80 # http
acl Safe_ports port 21 # ftp
acl Safe_ports port 443 # https
acl Safe_ports port 70 # gopher
acl Safe_ports port 210 # wais
acl Safe_ports port 1025-65535 # unregistered ports
acl Safe_ports port 280 # http-mgmt
acl Safe_ports port 488 # gss-http
acl Safe_ports port 591 # filemaker
acl Safe_ports port 777 # multiling http
acl CONNECT method CONNECT

# Only allow cachemgr access from localhost
http_access allow manager localhost
http_access deny manager

# Deny requests to certain unsafe ports
http_access deny !Safe_ports

# Deny CONNECT to other than secure SSL ports
http_access deny CONNECT !SSL_ports

http_access allow localnet
http_access allow localhost

# And finally deny all other access to this proxy
http_access deny all

# Squid normally listens to port 3128
http_port 3128 transparent
#
# Uncomment and adjust the following to add a disk cache directory.
cache_dir ufs /var/spool/squid3 8192 32 256

# Leave coredumps in the first cache dir
coredump_dir /var/spool/squid3

ftp_passive on
ftp_telnet_protocol on

# Add any of your own refresh_pattern entries above these.
refresh_pattern ^ftp: 1440 20% 10080
refresh_pattern ^gopher: 1440 0% 1440
refresh_pattern -i (/cgi-bin/|\?) 0 0% 0
refresh_pattern (Release|Packages(.gz)*)$      0       20%     2880
# example lin deb packages
#refresh_pattern (\.deb|\.udeb)$   129600 100% 129600
refresh_pattern . 0 20% 4320


[ArcFi]

KyMappP,

Код: [Выделить]

ip a ; ip r ; sudo iptables-save ; sudo ss -lnpt | grep 3128?

[KyMappP]