SQUID3 не работают правила... как будто их и нет...

[AnrDaemon]

Текстовую информацию представляйте в виде текста.

[KyMappP]

Текстовую информацию представляйте в виде текста.

к серверу подключен был через PuTTY.... как от туда копировать инфу без понятия....
но факт остается фактом.... картинку можно открыть в полном размере и спокойно посмотреть выхлоп....

[fisher74]

копируется мышкой - просто выделяется и выделенное уже в буфере обмена. В путти ещё можно лог сессии настроить - очень удобно новичкам, если что-то накосячили и потеряли связь - можно понять, что было критичной ошибкой.
Пользователь решил продолжить мысль 22 Августа 2013, 16:27:46:Просмотрел бегло картинки....
Вы же говорили, что шлюз и прокси - разные железки...
Можете всё-таки описать структуру сети?
Пользователь решил продолжить мысль 22 Августа 2013, 16:32:42:и какие-то несостыковки
в скрипте загрузки првил у Вас

iptables -t nat -A PREROUTING -i p4p1 ! -d 192.168.2.0/24 -p tcp -m multiport --dport 80,8080 -j DNAT --to 192.168.2.4:3128

а в загруженных правилах

iptables -t nat -A PREROUTING -i p4p1 ! -d 192.168.2.0/24 -p tcp -m multiport --dport 80,8080 -j DNAT --t o 192.168.200.2:3128

[KyMappP]

Не стыковки, т.к. я попробовал сначала

Код: [Выделить]

iptables -t nat -A PREROUTING -i p4p1 ! -d 192.168.2.0/24 -p tcp -m multiport --dport 80,8080 -j DNAT --to 192.168.2.4:3128а потом

Код: [Выделить]

iptables -t nat -A PREROUTING -i p4p1 ! -d 192.168.2.0/24 -p tcp -m multiport --dport 80,8080 -j DNAT --t o 192.168.200.2:3128картинки выложил только из одной ситуации, но в обоих случаях не сработало...(

в общем структура сети такая:
есть шлюз (Win2k, не спрашивайте зачем он нужен...на нем висит софт который работает только на этой дырявой ОСи...) с 2 сетевыми, который смотрит 1 сетевой в интернет, а второй сетевой (ip второй 192.168.200.1) подключен к прокси серверу...

прокси сервер первой сетевой смотрит на шлюз и имеет ip 192.168.200.2, а второй сетевой смотрит в сеть компании и имеет ip 192.168.2.4

так же в сети компании есть свой днс Win2k3

В итоге что мы имеем:
После того как Вы поправили NAT

Код: [Выделить]

[code]iptables -t nat -A PREROUTING -i p4p1 ! -d 192.168.2.0/24 -p tcp -m multiport --dport 80,8080 -j DNAT --t o 192.168.200.2:3128[/code]
нат запустился без ошибок, значит 80,8080 были завернуты на кальмара, но:
с локальных машин пингуются сайты...
на https заходит
тимвивер, скайп т.п. запускаются... и с ними можно работать...
НО! именно на сайты по http не подключается.....

Из этого можно сделать вывод что возможно я в конфиге кальмара допустил ошибку, не могли бы Вы проверить?) буду премного благодарен)

[ArcFi]

KyMappP,

Код: [Выделить]

-A INPUT -i p4p1 -j ACCEPTЭто где у вас?

[fisher74]

нат запустился без ошибок, значит 80,8080 были завернуты на кальмара, но:

Ни хрена это не значит. Можкт быть и завёрнуты, но неведомо куда

Из этого можно сделать вывод что возможно я в конфиге кальмара допустил ошибку

Спешите делать выводы.
Как у клиента выглядит "именно на сайты по http не подключается"?
Выключать кальмара пробовали? Что меняется у клиента?
Логи кальмара смотрели? Он вообще работает? Или поперхнулся Вашим конфигом? (сам конфиг ещё не смотрел ибо лень)

[KyMappP]

KyMappP,

Код: [Выделить]

-A INPUT -i p4p1 -j ACCEPTЭто где у вас?

такого нет, в нате есть:

Код: [Выделить]

iptables -A INPUT -i lo -j ACCEPT

Как у клиента выглядит "именно на сайты по http не подключается"?

как будто нет интернета... подумал и выдал что невозможно отобразить стр.

Выключать кальмара пробовали? Что меняется у клиента?

Да действительно, я поспешил делать выводы... с включенным и отключенным кальмаром ситуация у клиента одна и та же...

блин даже без понятия в какую сторону капать(( вроде все сделал правильно...

[ArcFi]

такого нет

Добавляйте, проверяйте.
Я ж не просто так спросил.

[KyMappP]

Ситуация следующая:
на сайты в ru зоне заходит : ya.ru , mail.ru, на forum.ubuntu.ru долго думает но в итоге тоже пускает

при попытке зайти на сайте в com зоне думает несколько минут, а потом браузер выдает: на пример на youtube.com, google.com и т.д.

Код: [Выделить]

ERROR

The requested URL could not be retrieved

При получении URL http://www.youtube.com/ произошла следующая ошибка

Соединение с 2a00:1450:4010:c04::c7 не удалось

Система вернула: (110) Connection timed out

Удаленный узел или сеть недоступен. Повторите запрос позднее

Администратор Вашего кэша: webmaster.


Создано Fri, 23 Aug 2013 10:01:18 GMT на localhost (squid/3.1.20)
теперь точно NAT на кальмара завернут, т.к. когда отключаю кальмара, то отпадает интернет...

блин как такое может быть?) куда копать?

[ArcFi]

KyMappP, добавьте правила для выпрямления MTU.

[KyMappP]

KyMappP, добавьте правила для выпрямления MTU.

Не могли бы объяснить что это такое и с чем его едят?)
а вернее куда и какое правило добавить?

[fisher74]

Код: [Выделить]

sudo iptables -t mangle -A FORWARD -p tcp -m tcp --tcp-flags RST,SYN SYN -j TCPMSS --clamp-mss-to-pmtu

[ArcFi]

И для работы proxy на OUTPUT, вероятно, тоже.

[KyMappP]

Код: [Выделить]

sudo iptables -t mangle -A FORWARD -p tcp -m tcp --tcp-flags RST,SYN SYN -j TCPMSS --clamp-mss-to-pmtu

не чего не изменилось((

[ArcFi]

Код: [Выделить]

iptables -t mangle -A FORWARD -o p3p1 -p tcp -m tcp --tcp-flags SYN,RST SYN -m tcpmss --mss 1300:1500 -j TCPMSS --clamp-mss-to-pmtu
iptables -t mangle -A OUTPUT -o p3p1 -p tcp -m tcp --tcp-flags SYN,RST SYN -m tcpmss --mss 1300:1500 -j TCPMSS --clamp-mss-to-pmtu