Форум русскоязычного сообщества Ubuntu


Увидели сообщение с непонятной ссылкой, спам, непристойность или оскорбление?
Воспользуйтесь ссылкой «Сообщить модератору» рядом с сообщением!

Автор Тема: bridge+squid  (Прочитано 686 раз)

0 Пользователей и 1 Гость просматривают эту тему.

Оффлайн kolesov

  • Автор темы
  • Участник
  • *
  • Сообщений: 190
    • Просмотр профиля
bridge+squid
« : 28 Декабрь 2013, 17:05:35 »
Доброго всем времени суток!

Не могу разобраться со следующей проблемой - нужно фильтровать web трафик пользователей с помощью squid. Роутер уже есть и настроен, его трогать нельзя.
Имею мост:
root@bridge:~# ifconfig
br0       Link encap:Ethernet  HWaddr 1c:7e:e5:26:3e:9d
          inet addr:xx.xx.xx.xx  Bcast:xx.xx.xx.xx  Mask:255.255.255.0
          inet6 addr: fe80::1e7e:e5ff:fe26:3e9d/64 Scope:Link
          UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1
          RX packets:3893 errors:0 dropped:560 overruns:0 frame:0
          TX packets:157 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:0
          RX bytes:242435 (242.4 KB)  TX bytes:23905 (23.9 KB)

eth0      Link encap:Ethernet  HWaddr 1c:7e:e5:26:3e:9d
          inet6 addr: fe80::1e7e:e5ff:fe26:3e9d/64 Scope:Link
          UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1
          RX packets:12168 errors:0 dropped:0 overruns:0 frame:0
          TX packets:5926 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:1000
          RX bytes:10478119 (10.4 MB)  TX bytes:697165 (697.1 KB)

eth1      Link encap:Ethernet  HWaddr 1c:7e:e5:26:41:92
          UP BROADCAST MULTICAST  MTU:1500  Metric:1
          RX packets:5826 errors:0 dropped:0 overruns:0 frame:0
          TX packets:10102 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:1000
          RX bytes:713347 (713.3 KB)  TX bytes:10318780 (10.3 MB)

lo        Link encap:Локальная петля (Loopback)
          inet addr:127.0.0.1  Mask:255.0.0.0
          inet6 addr: ::1/128 Scope:Host
          UP LOOPBACK RUNNING  MTU:16436  Metric:1
          RX packets:196 errors:0 dropped:0 overruns:0 frame:0
          TX packets:196 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:0
          RX bytes:14920 (14.9 KB)  TX bytes:14920 (14.9 KB)
Заворачиваю трафик на него следующими командами:
ebtables -t broute -A BROUTING -p IPv4 --ip-protocol 6 \
        --ip-destination-port 80 -j redirect --redirect-target ACCEPT
iptables -t nat -A PREROUTING -i br0 -p tcp --dport 80 \
        -j REDIRECT --to-port 3128
вообще делаю по этой инструкции: http://freecode.com/articles/configuring-a-transparent-proxywebcache-in-a-bridge-using-squid-and-ebtables

Упираюсь в то, что SQuid блокирует все страницы и никуда не пускает. Сеть и Инет на ПК за мостом есть.
Помогите плз разобраться.
« Последнее редактирование: 29 Декабрь 2013, 12:11:35 от kolesov »

Оффлайн fisher74

  • Заслуженный пользователь
  • Старожил
  • *
  • Сообщений: 13750
    • Просмотр профиля
Re: bridge+squid
« Ответ #1 : 29 Декабрь 2013, 01:11:23 »
То есть кальмар блокирует трафик и Вы считаете, что его конфиг здесь не при чём и нам его показывать смысла нет. Да?

P.S. А судя по дате статьи Вы ещё и некрофил... )))
« Последнее редактирование: 29 Декабрь 2013, 01:13:24 от fisher74 »
Принимаю благодарности в WMR и WMZ на кошельки:
R158160676909 и Z313280060764

Оффлайн kolesov

  • Автор темы
  • Участник
  • *
  • Сообщений: 190
    • Просмотр профиля
Re: bridge+squid
« Ответ #2 : 29 Декабрь 2013, 11:44:57 »
а новые статьи на эту тему, что удалось найти, есть копипаста этой. ну как-то так.
на данный момент конфиг такой (решил разбираться с ним постепенно):
http_port ip_br0:3128

acl allowed_hosts src my_network/24
acl localhost src 127.0.0.1/255.255.255.255
acl SSL_ports port 443 563
acl all src 0.0.0.0/0.0.0.0
http_access allow allowed_hosts
http_access deny all
в данный момент squid говорит, что не может разрешить доменные имена.
где в таком случае лучше указать DNS-ки?
« Последнее редактирование: 29 Декабрь 2013, 11:50:10 от kolesov »

Оффлайн AnrDaemon

  • Заслуженный пользователь
  • Старожил
  • *
  • Сообщений: 27663
    • Просмотр профиля
Re: bridge+squid
« Ответ #3 : 29 Декабрь 2013, 11:58:38 »
В настройках сети.
Хотите получить помощь? Потрудитесь представить запрошенную информацию в полном объёме.

Прежде чем [Отправить], нажми [Просмотр] и прочти собственное сообщение. Сам-то понял, что написал?…

Оффлайн kolesov

  • Автор темы
  • Участник
  • *
  • Сообщений: 190
    • Просмотр профиля
Re: bridge+squid
« Ответ #4 : 29 Декабрь 2013, 12:19:24 »
я разные варианты пробовал, пока остановился на том, что здесь указано:
http://simpleguysinfo.blogspot.ru/2008/01/ubuntu-710-bridge-transparent-proxy.html
т.е. изменил /etc/rc.local, вот так:
#!/bin/sh -e
#
# rc.local
#
# This script is executed at the end of each multiuser runlevel.
# Make sure that the script will "exit 0" on success or any other
# value on error.
#
# In order to enable or disable this script just change the execution
# bits.
#
# By default this script does nothing.

brctl addbr br0
ifconfig eth0 0.0.0.0 promisc up
ifconfig eth1 0.0.0.0 promisc up
brctl addif br0 eth0
brctl addif br0 eth1
ip link set br0 up
ip addr add br0_ip/24 brd + dev br0
route add default gw gateway_ip dev br0
exit 0
в интерфейсах соответственно только:
auto lo
iface lo inet loopback

в этом случае где мне прописывать nameserver?
« Последнее редактирование: 29 Декабрь 2013, 12:23:24 от kolesov »

Оффлайн AnrDaemon

  • Заслуженный пользователь
  • Старожил
  • *
  • Сообщений: 27663
    • Просмотр профиля
Re: bridge+squid
« Ответ #5 : 29 Декабрь 2013, 13:35:02 »
Простите, что вам помешало прописать мост в interfaces?...
Хотите получить помощь? Потрудитесь представить запрошенную информацию в полном объёме.

Прежде чем [Отправить], нажми [Просмотр] и прочти собственное сообщение. Сам-то понял, что написал?…

Оффлайн kolesov

  • Автор темы
  • Участник
  • *
  • Сообщений: 190
    • Просмотр профиля
Re: bridge+squid
« Ответ #6 : 29 Декабрь 2013, 14:02:44 »
сомнение что будет понято это: + dev br0

Оффлайн koshev

  • Старожил
  • *
  • Сообщений: 1708
  • חתול המדען
    • Просмотр профиля
Re: bridge+squid
« Ответ #7 : 29 Декабрь 2013, 14:25:44 »
Будет понятно.
OpenWrt 19.07

Оффлайн kolesov

  • Автор темы
  • Участник
  • *
  • Сообщений: 190
    • Просмотр профиля
Re: bridge+squid
« Ответ #8 : 29 Декабрь 2013, 15:12:02 »
такой интерфэйсес, вместо скрипта в /etc/rc.local будет правильным?
# This file describes the network interfaces available on your system
# and how to activate them. For more information, see interfaces(5).

# The loopback network interface
auto lo
iface lo inet loopback

auto eth0
iface eth0 inet manual

auto eth1
iface eth1 inet manual


auto br0
iface br0 inet static
address 192.168.11.5
network 192.168.11.0
netmask 255.255.255.192
broadcast 192.168.11.63
bridge-ports eth0 eth1
nameserver xx.xx.xx.xx 8.8.8.8
ip addr add 192.168.11.5/24 brd + dev br0
up route add default gw 192.168.11.1 dev br0

Оффлайн fisher74

  • Заслуженный пользователь
  • Старожил
  • *
  • Сообщений: 13750
    • Просмотр профиля
Re: bridge+squid
« Ответ #9 : 29 Декабрь 2013, 15:24:38 »
Принимаю благодарности в WMR и WMZ на кошельки:
R158160676909 и Z313280060764

Оффлайн koshev

  • Старожил
  • *
  • Сообщений: 1708
  • חתול המדען
    • Просмотр профиля
Re: bridge+squid
« Ответ #10 : 29 Декабрь 2013, 18:47:51 »
Код: (text) [Выделить]
auto br0
iface br0 inet static
address 192.168.11.5
network 192.168.11.0
netmask 255.255.255.192
broadcast 192.168.11.63
bridge-ports eth0 eth1
nameserver xx.xx.xx.xx 8.8.8.8
ip addr add 192.168.11.5/24 brd + dev br0
up route add default gw 192.168.11.1 dev br0
Код: (text) [Выделить]
auto br0
iface br0 inet static
      address 192.168.11.5
      netmask 255.255.255.192
      gateway 192.168.11.1
      bridge-ports eth0 eth1
      bridge_stp off
      dns-nameservers xx.xx.xx.xx 8.8.8.8
OpenWrt 19.07

Оффлайн kolesov

  • Автор темы
  • Участник
  • *
  • Сообщений: 190
    • Просмотр профиля
Re: bridge+squid
« Ответ #11 : 29 Декабрь 2013, 21:27:52 »
KT315, спасибо! буду пробовать.

если Вас не затруднит, можете пояснить, почему без маршрута? (меня самого удивило в инструкциях что бриджевый трафик маршрутизируется..)
и этой строки: ip addr add 192.168.11.5/24 brd + dev br0? я не совсем понимаю ее значение...
« Последнее редактирование: 29 Декабрь 2013, 21:39:36 от kolesov »

Оффлайн koshev

  • Старожил
  • *
  • Сообщений: 1708
  • חתול המדען
    • Просмотр профиля
Re: bridge+squid
« Ответ #12 : 30 Декабрь 2013, 00:25:07 »
Маршрут на сеть генерируется ядром. Тем же ядром генерируется broadcast и network, и, если они отличны от RFC, то задаются отдельно, случай крайне редкий.
Команда ip addr add (ip a a) — добавление адреса на интерфейс с автоматически генерируемым broadcast (см. выше).
OpenWrt 19.07

Оффлайн kolesov

  • Автор темы
  • Участник
  • *
  • Сообщений: 190
    • Просмотр профиля
Re: bridge+squid
« Ответ #13 : 30 Декабрь 2013, 17:25:28 »
KT315, спасибо.

теперь целый день бьюсь со сквидом (впервые столкнулся) и не могу разобраться с последовательностью расстановки ACL (понимаю, что тема избита)..

вобщем мне надо иметь три группы: Admins, management, all_users.
Admins - нет ограничений; management - браузинг любой, ограничение на скачивание файлов; all_users - ограничение браузинга, запрет скачивания файлов.
пока хочу просто разобраться с веб-фильтрами.
http_port 172.хх.хх.151:3128 transparent

http_access allow localnet
acl localhost src 127.0.0.1/255.255.255.255
acl SSL_ports port 443 563
acl all src 0.0.0.0/0.0.0.0


acl All_users src 172.хх.хх.1-172.хх.хх.244/255.255.255.0
http_access allow All_users

acl Management src 172.хх.хх.245-172.хх.хх.254/255.255.255.0
http_access allow Management

acl Admins src 172.хх.хх.114/255.255.255.255
acl Bad_sites dstdomain vk.com
http_access Bad_sites Admins deny
http_access allow Admins

http_access allow All_users
http_access deny all

в этом конфиге пытаюсь запретить доступ к Vk.com 114 ПК, в результате http на этом компе вообще не работает.


« Последнее редактирование: 30 Декабрь 2013, 17:31:43 от kolesov »

 

Страница сгенерирована за 0.086 секунд. Запросов: 25.