squid+dansguardian+sarg

[maslonax]

Добрый день, помогите донастроить.
Вся связка работает, прописав правило:
iptables -F
iptables -t nat -F
iptables -t nat -A PREROUTING -s 192.168.121.151 -p tcp --dport 80 -j ACCEPT
iptables -t nat -A PREROUTING -s 192.168.121.151 -p tcp --dport 8080 -j ACCEPT
iptables -t nat -A PREROUTING -p tcp --dport 80 -j DNAT --to-destination 192.168.121.151:8081
iptables -t nat -A PREROUTING -p tcp --dport 8080 -j DNAT --to-destination 192.168.121.151:8081
iptables -t nat -A POSTROUTING -j MASQUERADE
все пользователи сразу идут через dansguardian, без необходимости прописывания на каждом компе в настройках браузера прокси dansguarda, но проблема стала в следующем когда sarg формирует отчет за день он отображает только внешний интерфейс шлюза, т.е. вместо ip пользаков он отображает что шлюз на этих сайтах бывает.
Так же еще вопрос как запинать squid или sarg чтоб помимо сайтов считал скачкивание?
Если нужен какой нить выхлоп говорите, выкину.

[fisher74]

выкину.

Лучше кривые правила выкиньте

iptables -t nat -A PREROUTING -s 192.168.121.151 -p tcp --dport 80 -j ACCEPT
iptables -t nat -A PREROUTING -s 192.168.121.151 -p tcp --dport 8080 -j ACCEPT

Для фильтрации трафика нужно использовать таблицу... внимание, неожиданно... filter, а не nat
У тому же не думаю, что есть логичное объяснение их назначения.

iptables -t nat -A PREROUTING -s LAN_NET -p tcp --dport 80 -j DNAT --to-destination 192.168.121.151:8081
iptables -t nat -A PREROUTING -s LAN_NET -p tcp --dport 8080 -j DNAT --to-destination 192.168.121.151:8081
iptables -t nat -A POSTROUTING -o WAN_IF -j MASQUERADE

найдите различия сами и подставьте свои значения
Если 192.168.121.151 и есть обсуждаемая машина, то рекомендую DNAT заменить на REDIRECT

[maslonax]

Подставляю вместо LAN_NET - внутренний интерфейс карточки (p4p1), вместо WAN_IF внешний интерфейс (p2p1), ребут проверяю заблокированные сайты открываются, прописываю прокси дансгуарда сайты блокируются, далее дописываю вместо DNAT на REDIRECT ребут проверяю тоже самое, использую filter, а не nat ребут проверяю тоже самое. В чем рамс?

[fisher74]

вместо LAN_NET - внутренний интерфейс карточки (p4p1)
А нужно сетку писать, а не интерфейс

использую filter, а не nat ребут проверяю тоже самое.

Как используете и что "тоже самое"?
Вы можете показывать результирующие правила, а не команды, которыми Вы ломаете свою систему?

[maslonax]

/etc/rc.local
iptables -F
iptables -t nat -F
iptables -t nat -A PREROUTING -s 192.168.121.151 -p tcp --dport 80 -j ACCEPT
iptables -t nat -A PREROUTING -s 192.168.121.151 -p tcp --dport 8080 -j ACCEPT
iptables -t nat -A PREROUTING -s 192.168.121.151 -p tcp --dport 80 -j REDIRECT --to-destination 192.168.121.151:8081
iptables -t nat -A PREROUTING -s 192.168.121.151 -p tcp --dport 8080 -j REDIRECT --to-destination 192.168.121.151:8081
iptables -t nat -A POSTROUTING -o 192.168.121.150 -j MASQUERADE

iptables-save
# Generated by iptables-save v1.4.12 on Wed Mar  5 09:52:50 2014
*nat
:PREROUTING ACCEPT [4617:886511]
:INPUT ACCEPT [492:69290]
:OUTPUT ACCEPT [159:11599]
:POSTROUTING ACCEPT [1721:172846]
-A PREROUTING -s 192.168.121.151/32 -p tcp -m tcp --dport 80 -j ACCEPT
-A PREROUTING -s 192.168.121.151/32 -p tcp -m tcp --dport 8080 -j ACCEPT
COMMIT
# Completed on Wed Mar  5 09:52:50 2014
# Generated by iptables-save v1.4.12 on Wed Mar  5 09:52:50 2014
*filter
:INPUT ACCEPT [4490:433037]
:FORWARD ACCEPT [36879:2941066]
:OUTPUT ACCEPT [681:74460]
COMMIT
# Completed on Wed Mar  5 09:52:50 2014

iptables -nvL
Chain INPUT (policy ACCEPT 4643 packets, 448K bytes)
 pkts bytes target     prot opt in     out     source               destination

Chain FORWARD (policy ACCEPT 39387 packets, 3116K bytes)
 pkts bytes target     prot opt in     out     source               destination

Chain OUTPUT (policy ACCEPT 716 packets, 79520 bytes)
 pkts bytes target     prot opt in     out     source               destination

192.168.121.151 - внутреняя сеть
192.168.121.150 - инэт, временно настроено пока делается шлюз, после настройки перенастроиться на провайдера

[fisher74]

*nat
...
-A PREROUTING -s 192.168.121.151/32 -p tcp -m tcp --dport 80 -j ACCEPT
-A PREROUTING -s 192.168.121.151/32 -p tcp -m tcp --dport 8080 -j ACCEPT

LAN_NET и LAN_IF - разные по сути

[maslonax]

так все таки что надо сделать чтобы в отчетах sarg показывал пользователей где они лазили а не якобы что шлюз лазил по сайтам?

[fisher74]

Вы редирект настроили?

[maslonax]

DNAT на REDIRECT сменил и -s LAN_NET прописал в правиле, перезагружаю шлюз проверяю с пользовательского компа зайти на заблокированный сайт и сайт спокойно открывается

[fisher74]

Придётся открытым текстом: потому что Вы указали в качестве LAN_NET адрес интерфейса, а не сети. Разницу знаете, надеюсь.

[maslonax]

сл ситуация прописав
iptables -F
iptables -t nat -F
iptables -t nat -A PREROUTING -s 192.168.121.151 -p tcp --dport 80 -j ACCEPT
iptables -t nat -A PREROUTING -s 192.168.121.151 -p tcp --dport 8080 -j ACCEPT
iptables -t nat -A PREROUTING -s 192.168.0.0/16 -p tcp --dport 80 -j DNAT --to-destination 192.168.121.151:8081
iptables -t nat -A PREROUTING -s 192.168.0.0/16 -p tcp --dport 8080 -j DNAT --to-destination 192.168.121.151:8081
iptables -t nat -A POSTROUTING -o p2p1 -j MASQUERADE

в отчетах получаю вместо внешнего интерфейса шлюза (192.168.121.150) теперь 127.0.0.1 localhost

iptables-save
# Generated by iptables-save v1.4.12 on Wed Mar  5 15:20:25 2014
*nat
:PREROUTING ACCEPT [26675:4857103]
:INPUT ACCEPT [8855:674178]
:OUTPUT ACCEPT [15694:976560]
:POSTROUTING ACCEPT [7015:478137]
-A PREROUTING -s 192.168.121.151/32 -p tcp -m tcp --dport 80 -j ACCEPT
-A PREROUTING -s 192.168.121.151/32 -p tcp -m tcp --dport 8080 -j ACCEPT
-A PREROUTING -s 192.168.0.0/16 -p tcp -m tcp --dport 80 -j DNAT --to-destination 192.168.121.151:8081
-A PREROUTING -s 192.168.0.0/16 -p tcp -m tcp --dport 8080 -j DNAT --to-destination 192.168.121.151:8081
-A POSTROUTING -o p2p1 -j MASQUERADE
COMMIT
# Completed on Wed Mar  5 15:20:25 2014
# Generated by iptables-save v1.4.12 on Wed Mar  5 15:20:25 2014
*filter
:INPUT ACCEPT [707774:685042680]
:FORWARD ACCEPT [1015714:702611097]
:OUTPUT ACCEPT [821425:698962008]
COMMIT
# Completed on Wed Mar  5 15:20:25 2014

Пользователь решил продолжить мысль 05 Марта 2014, 12:40:10:если DNAT меняю на REDIRECT перезагружаюсь пробую зайти на запрещенный сайт пропускает

[fisher74]

Уберите это

iptables -t nat -A PREROUTING -s 192.168.121.151 -p tcp --dport 80 -j ACCEPT
-A PREROUTING -s 192.168.121.151 -p tcp --dport 8080 -j ACCEPT

-A PREROUTING -s 192.168.0.0/16 -p tcp --d...

У Вас реально такая большая сеть?

Пользователь решил продолжить мысль 05 Марта 2014, 12:45:13:

если DNAT меняю на REDIRECT перезагружаюсь пробую зайти на запрещенный сайт пропускает

А если вместе с

Код: [Выделить]

sudo iptables -P FORWARD DROP?

[maslonax]

прописав sudo iptables -P FORWARD DROP интернет на пользовательских компах пропал

[fisher74]

Видимо у Вас DNS-запросы через провайдера идут...

Код: [Выделить]

sudo iptables -A FORWARD -p tcp --dport 53 -j ACCEPT
sudo iptables -A FORWARD -p udp --dport 53 -j ACCEPTГрубо, конечно, но DNS-запросы пропустит

[maslonax]

прописав все равно интернет у пользователей не появился