bridge+squid

[kolesov]

Доброго всем времени суток!

Не могу разобраться со следующей проблемой - нужно фильтровать web трафик пользователей с помощью squid. Роутер уже есть и настроен, его трогать нельзя.
Имею мост:

Код: [Выделить]

root@bridge:~# ifconfig
br0       Link encap:Ethernet  HWaddr 1c:7e:e5:26:3e:9d
          inet addr:xx.xx.xx.xx  Bcast:xx.xx.xx.xx  Mask:255.255.255.0
          inet6 addr: fe80::1e7e:e5ff:fe26:3e9d/64 Scope:Link
          UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1
          RX packets:3893 errors:0 dropped:560 overruns:0 frame:0
          TX packets:157 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:0
          RX bytes:242435 (242.4 KB)  TX bytes:23905 (23.9 KB)

eth0      Link encap:Ethernet  HWaddr 1c:7e:e5:26:3e:9d
          inet6 addr: fe80::1e7e:e5ff:fe26:3e9d/64 Scope:Link
          UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1
          RX packets:12168 errors:0 dropped:0 overruns:0 frame:0
          TX packets:5926 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:1000
          RX bytes:10478119 (10.4 MB)  TX bytes:697165 (697.1 KB)

eth1      Link encap:Ethernet  HWaddr 1c:7e:e5:26:41:92
          UP BROADCAST MULTICAST  MTU:1500  Metric:1
          RX packets:5826 errors:0 dropped:0 overruns:0 frame:0
          TX packets:10102 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:1000
          RX bytes:713347 (713.3 KB)  TX bytes:10318780 (10.3 MB)

lo        Link encap:Локальная петля (Loopback)
          inet addr:127.0.0.1  Mask:255.0.0.0
          inet6 addr: ::1/128 Scope:Host
          UP LOOPBACK RUNNING  MTU:16436  Metric:1
          RX packets:196 errors:0 dropped:0 overruns:0 frame:0
          TX packets:196 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:0
          RX bytes:14920 (14.9 KB)  TX bytes:14920 (14.9 KB)
Заворачиваю трафик на него следующими командами:

Код: [Выделить]

ebtables -t broute -A BROUTING -p IPv4 --ip-protocol 6 \
        --ip-destination-port 80 -j redirect --redirect-target ACCEPT

Код: [Выделить]

iptables -t nat -A PREROUTING -i br0 -p tcp --dport 80 \
        -j REDIRECT --to-port 3128вообще делаю по этой инструкции: http://freecode.com/articles/configuring-a-transparent-proxywebcache-in-a-bridge-using-squid-and-ebtables

Упираюсь в то, что SQuid блокирует все страницы и никуда не пускает. Сеть и Инет на ПК за мостом есть.
Помогите плз разобраться.

[fisher74]

То есть кальмар блокирует трафик и Вы считаете, что его конфиг здесь не при чём и нам его показывать смысла нет. Да?

P.S. А судя по дате статьи Вы ещё и некрофил... )))

[kolesov]

а новые статьи на эту тему, что удалось найти, есть копипаста этой. ну как-то так.
на данный момент конфиг такой (решил разбираться с ним постепенно):

Код: [Выделить]

http_port ip_br0:3128

acl allowed_hosts src my_network/24
acl localhost src 127.0.0.1/255.255.255.255
acl SSL_ports port 443 563
acl all src 0.0.0.0/0.0.0.0
http_access allow allowed_hosts
http_access deny all
в данный момент squid говорит, что не может разрешить доменные имена.
где в таком случае лучше указать DNS-ки?

[AnrDaemon]

В настройках сети.

[kolesov]

я разные варианты пробовал, пока остановился на том, что здесь указано:
http://simpleguysinfo.blogspot.ru/2008/01/ubuntu-710-bridge-transparent-proxy.html
т.е. изменил /etc/rc.local, вот так:

Код: [Выделить]

#!/bin/sh -e
#
# rc.local
#
# This script is executed at the end of each multiuser runlevel.
# Make sure that the script will "exit 0" on success or any other
# value on error.
#
# In order to enable or disable this script just change the execution
# bits.
#
# By default this script does nothing.

brctl addbr br0
ifconfig eth0 0.0.0.0 promisc up
ifconfig eth1 0.0.0.0 promisc up
brctl addif br0 eth0
brctl addif br0 eth1
ip link set br0 up
ip addr add br0_ip/24 brd + dev br0
route add default gw gateway_ip dev br0
exit 0
в интерфейсах соответственно только:

Код: [Выделить]

auto lo
iface lo inet loopback

в этом случае где мне прописывать nameserver?

[AnrDaemon]

Простите, что вам помешало прописать мост в interfaces?...

[kolesov]

сомнение что будет понято это: + dev br0

[koshev]

Будет понятно.

[kolesov]

такой интерфэйсес, вместо скрипта в /etc/rc.local будет правильным?

Код: [Выделить]

# This file describes the network interfaces available on your system
# and how to activate them. For more information, see interfaces(5).

# The loopback network interface
auto lo
iface lo inet loopback

auto eth0
iface eth0 inet manual

auto eth1
iface eth1 inet manual


auto br0
iface br0 inet static
address 192.168.11.5
network 192.168.11.0
netmask 255.255.255.192
broadcast 192.168.11.63
bridge-ports eth0 eth1
nameserver xx.xx.xx.xx 8.8.8.8
ip addr add 192.168.11.5/24 brd + dev br0
up route add default gw 192.168.11.1 dev br0

[fisher74]

https://forum.ubuntu.ru/index.php?topic=58492.0

[koshev]

Код: (text) [Выделить]

auto br0
iface br0 inet static
address 192.168.11.5
network 192.168.11.0
netmask 255.255.255.192
broadcast 192.168.11.63
bridge-ports eth0 eth1
nameserver xx.xx.xx.xx 8.8.8.8
ip addr add 192.168.11.5/24 brd + dev br0
up route add default gw 192.168.11.1 dev br0

Код: (text) [Выделить]

auto br0
iface br0 inet static
      address 192.168.11.5
      netmask 255.255.255.192
      gateway 192.168.11.1
      bridge-ports eth0 eth1
      bridge_stp off
      dns-nameservers xx.xx.xx.xx 8.8.8.8

[kolesov]

KT315, спасибо! буду пробовать.

если Вас не затруднит, можете пояснить, почему без маршрута? (меня самого удивило в инструкциях что бриджевый трафик маршрутизируется..)
и этой строки:

Код: [Выделить]

ip addr add 192.168.11.5/24 brd + dev br0? я не совсем понимаю ее значение...

[koshev]

Маршрут на сеть генерируется ядром. Тем же ядром генерируется broadcast и network, и, если они отличны от RFC, то задаются отдельно, случай крайне редкий.
Команда ip addr add (ip a a) — добавление адреса на интерфейс с автоматически генерируемым broadcast (см. выше).

[kolesov]

KT315, спасибо.

теперь целый день бьюсь со сквидом (впервые столкнулся) и не могу разобраться с последовательностью расстановки ACL (понимаю, что тема избита)..

вобщем мне надо иметь три группы: Admins, management, all_users.
Admins - нет ограничений; management - браузинг любой, ограничение на скачивание файлов; all_users - ограничение браузинга, запрет скачивания файлов.
пока хочу просто разобраться с веб-фильтрами.

Код: [Выделить]

http_port 172.хх.хх.151:3128 transparent

http_access allow localnet
acl localhost src 127.0.0.1/255.255.255.255
acl SSL_ports port 443 563
acl all src 0.0.0.0/0.0.0.0


acl All_users src 172.хх.хх.1-172.хх.хх.244/255.255.255.0
http_access allow All_users

acl Management src 172.хх.хх.245-172.хх.хх.254/255.255.255.0
http_access allow Management

acl Admins src 172.хх.хх.114/255.255.255.255
acl Bad_sites dstdomain vk.com
http_access Bad_sites Admins deny
http_access allow Admins

http_access allow All_users
http_access deny all

в этом конфиге пытаюсь запретить доступ к Vk.com 114 ПК, в результате http на этом компе вообще не работает.