squid+dansguardian+sarg

[fisher74]

показывайте правила полностью

[maslonax]

iptables -F
iptables -t nat -F
iptables -P FORWARD DROP
iptables -A FORWARD -p tcp --dport 53 -j ACCEPT
iptables -A FORWARD -p udp --dport 53 -j ACCEPT
iptables -t nat -A PREROUTING -s 192.168.0.0/16 -p tcp --dport 80 -j REDIRECT --to-destination 192.168.121.151:8081
iptables -t nat -A PREROUTING -s 192.168.0.0/16 -p tcp --dport 8080 -j REDIRECT --to-destination 192.168.121.151:8081
iptables -t nat -A POSTROUTING -o p2p1 -j MASQUERADE
 iptables-save
# Generated by iptables-save v1.4.12 on Wed Mar  5 16:43:38 2014
*nat
:PREROUTING ACCEPT [2681:297039]
:INPUT ACCEPT [86:10144]
:OUTPUT ACCEPT [67:4932]
:POSTROUTING ACCEPT [67:4932]
COMMIT
# Completed on Wed Mar  5 16:43:38 2014
# Generated by iptables-save v1.4.12 on Wed Mar  5 16:43:38 2014
*filter
:INPUT ACCEPT [603:58446]
:FORWARD DROP [2814:209287]
:OUTPUT ACCEPT [324:34904]
-A FORWARD -p tcp -m tcp --dport 53 -j ACCEPT
-A FORWARD -p udp -m udp --dport 53 -j ACCEPT
COMMIT
# Completed on Wed Mar  5 16:43:38 2014

[fisher74]

Вы сами не видите проблему?

Не пробовали в терминале ввести???

Код: [Выделить]

iptables -t nat -A PREROUTING -s 192.168.0.0/16 -p tcp --dport 80 -j REDIRECT --to-destination 192.168.121.151:8081

[maslonax]

iptables -t nat -A PREROUTING -s 192.168.0.0/16 -p tcp --dport 80 -j REDIRECT --to-destination 192.168.121.151:8081

iptables v1.4.12: unknown option "--to-destination"
Try `iptables -h' or 'iptables --help' for more information.

[fisher74]

и?....
Пользователь решил продолжить мысль 05 Марта 2014, 14:13:36:Подсказка в первой строчке, даже по ссылке идти не надо

[maslonax]

т.е. если я вас правильно понял то надо вместо

iptables -t nat -A PREROUTING -s 192.168.0.0/16 -p tcp --dport 80 -j REDIRECT --to-destination 192.168.121.151:8081
iptables -t nat -A PREROUTING -s 192.168.0.0/16 -p tcp --dport 8080 -j REDIRECT --to-destination 192.168.121.151:8081

прописать на скидку:

iptables -A PREROUTING -i p4p1 -p tcp -m multiport --dports 80,8080 -j REDIRECT --to-ports 8081

и в итоге получится типо того:

iptables -F
iptables -t nat -F
iptables -P FORWARD DROP
iptables -A FORWARD -p tcp --dport 53 -j ACCEPT
iptables -A FORWARD -p udp --dport 53 -j ACCEPT
iptables -A PREROUTING -i p4p1 -p tcp -m multiport --dports 80,8080 -j REDIRECT --to-ports 8081
iptables -t nat -A POSTROUTING -o p2p1 -j MASQUERADE

?

[fisher74]

Можно и так. Правда я Вам предлагал только узнать параметр действия REDIRECT, но сделанное изменение условия тоже правильно

[maslonax]

сегодня прописал как выше указано, ребут проверяю пропускает:
iptables -L:

(Нажмите, чтобы показать/скрыть)

target     prot opt source               destination

Chain FORWARD (policy ACCEPT)
target     prot opt source               destination
ACCEPT     tcp  --  anywhere             anywhere             tcp dpt:domain
ACCEPT     udp  --  anywhere             anywhere             udp dpt:domain

Chain OUTPUT (policy ACCEPT)
target     prot opt source               destination

iptables-save

(Нажмите, чтобы показать/скрыть)

# Generated by iptables-save v1.4.12 on Thu Mar  6 09:20:05 2014
*nat
:PREROUTING ACCEPT [7615:1092183]
:INPUT ACCEPT [985:134296]
:OUTPUT ACCEPT [359:22868]
:POSTROUTING ACCEPT [1893:112880]
COMMIT
# Completed on Thu Mar  6 09:20:05 2014
# Generated by iptables-save v1.4.12 on Thu Mar  6 09:20:05 2014
*filter
:INPUT ACCEPT [2867:308776]
:FORWARD ACCEPT [24715:2682472]
:OUTPUT ACCEPT [1052:115509]
-A FORWARD -p tcp -m tcp --dport 53 -j ACCEPT
-A FORWARD -p udp -m udp --dport 53 -j ACCEPT
COMMIT
# Completed on Thu Mar  6 09:20:05 2014

при попытке просто вести:

iptables -A PREROUTING -i p4p1 -p tcp -m multiport --dports 80,8080 -j REDIRECT --to-ports 8081

выдает:

iptables: No chain/target/match by that name.

Пользователь решил продолжить мысль 06 Марта 2014, 07:06:28:если так прописать:

iptables -t nat -A PREROUTING -i p4p1 -p tcp -m multiport --dports 80,8080 -j REDIRECT --to-ports 8081

то ошибке не выдает. сохранился ребтнул пробую открыть сайт, не открывается.
iptables -F
iptables -t nat -F
iptables -P FORWARD DROP
iptables -A FORWARD -p tcp --dport 53 -j ACCEPT
iptables -A FORWARD -p udp --dport 53 -j ACCEPT
iptables -t nat -A PREROUTING -i p4p1 -p tcp -m multiport --dports 80,8080 -j REDIRECT --to-ports 8081
iptables -t nat -A POSTROUTING -o p2p1 -j MASQUERADE

(Нажмите, чтобы показать/скрыть)

iptables-save
# Generated by iptables-save v1.4.12 on Thu Mar  6 10:05:39 2014
*nat
:PREROUTING ACCEPT [7835:1222633]
:INPUT ACCEPT [1343:149245]
:OUTPUT ACCEPT [1045:65701]
:POSTROUTING ACCEPT [481:30515]
-A PREROUTING -i p4p1 -p tcp -m multiport --dports 80,8080 -j REDIRECT --to-ports 8081
-A POSTROUTING -o p2p1 -j MASQUERADE
COMMIT
# Completed on Thu Mar  6 10:05:39 2014
# Generated by iptables-save v1.4.12 on Thu Mar  6 10:05:39 2014
*filter
:INPUT ACCEPT [440:302729]
:FORWARD DROP [4:828]
:OUTPUT ACCEPT [481:306432]
-A FORWARD -p tcp -m tcp --dport 53 -j ACCEPT
-A FORWARD -p udp -m udp --dport 53 -j ACCEPT
COMMIT
# Completed on Thu Mar  6 10:05:39 2014

(Нажмите, чтобы показать/скрыть)

iptables -L
Chain INPUT (policy ACCEPT)
target     prot opt source               destination

Chain FORWARD (policy DROP)
target     prot opt source               destination
ACCEPT     tcp  --  anywhere             anywhere             tcp dpt:domain
ACCEPT     udp  --  anywhere             anywhere             udp dpt:domain

Chain OUTPUT (policy ACCEPT)
target     prot opt source               destination

[fisher74]

Да, извините назначение в таблицу nat упустил.
В последнем выхлопе iptables-save всё как надо.

По поводу отсутствия трафика:
При открытии сайта, какая ошибка выходит?
Кто ошибку генерит? Сам браузер или прокси?
Если браузер натравить на прокси-порт 8081, что происходит? на 3128?
Покажите вывод команд на клиенте (в Windowsх команда идентична):

Код: [Выделить]

nslookup ya.ru
nslookup ya.ru 8.8.8.8

[maslonax]

хм интернет заработал но заметно медленнее, при прописывание в браузере порта 8081 либо 3128 интернет работает должным образом "летает", ах да почему то когда не прописан порт в браузере некоторые страницы не корректно открываются к примеру ngs.ru открывается только верхняя часть сайта т.е. где навигация, а google вообще не открывается.
И да sarg начал отображать какой пользователь где какие сайты посещал, вот только терь другая проблема вылезла.
Без прописи в браузере:

(Нажмите, чтобы показать/скрыть)

nslookup ya.ru:
╤хЁтхЁ:  UnKnown
Address:  192.168.121.151

Не заслуживающий доверия
╚ь :     ya.ru
Addresses:  213.180.204.3
          93.158.134.3
          213.180.193.3

nslookup ya.ru 8.8.8.8:
DNS request timed out.
    timeout was 2 seconds.
╤хЁтхЁ:  UnKnown
Address:  8.8.8.8

DNS request timed out.
    timeout was 2 seconds.
DNS request timed out.
    timeout was 2 seconds.
DNS request timed out.
    timeout was 2 seconds.
DNS request timed out.
    timeout was 2 seconds.
*** Превышено время ожидания запроса UnKnown

при прописывании 3128 либо 8081:

(Нажмите, чтобы показать/скрыть)

C:\Users\iya>nslookup ya.ru
DNS request timed out.
    timeout was 2 seconds.
╤хЁтхЁ:  UnKnown
Address:  192.168.121.151

Не заслуживающий доверия ответ:
╚ь :     ya.ru
Addresses:  213.180.193.3
          93.158.134.3
          213.180.204.3


C:\Users\iya>nslookup ya.ru 8.8.8.8
DNS request timed out.
    timeout was 2 seconds.
╤хЁтхЁ:  UnKnown
Address:  8.8.8.8

DNS request timed out.
    timeout was 2 seconds.
DNS request timed out.
    timeout was 2 seconds.
DNS request timed out.
    timeout was 2 seconds.
DNS request timed out.
    timeout was 2 seconds.
*** Превышено время ожидания запроса UnKnown

[fisher74]

У Вас DNS-сервер на этом шлюзе тупит, а на гуглоднсы почему-то вообще прохода нет.
На шлюзе покажите nslookup ya.ru

[maslonax]

nslookup ya.ru
Server:         127.0.0.1
Address:        127.0.0.1#53

Non-authoritative answer:
Name:   ya.ru
Address: 213.180.193.3
Name:   ya.ru
Address: 213.180.204.3
Name:   ya.ru
Address: 93.158.134.3

Пользователь решил продолжить мысль 06 Марта 2014, 11:25:32:хм что самое странное sarg в отчетах показал 1 ип длительность нахождения в инете 15 мин и дальше пошел опять показывать что только 127.0.0.1 сидит в интернете.
Пользователь решил продолжить мысль 07 Марта 2014, 07:57:54:даже так при таких правилах в iptables:
iptables -P FORWARD DROP
iptables -A FORWARD -p tcp --dport 53 -j ACCEPT
iptables -A FORWARD -p udp --dport 53 -j ACCEPT
сайты типа http открываются а вот https броет

[fisher74]

естественно. Нужно понимать, что кальмар в прозрачном режиме без бубна работает только в http, поэтому https либо nat, либо бубуны... либо отказ от прозрачности

[maslonax]

а при помощи бубна что необходимо или достоверную инфу? ubuntu 12.04 squid 3

[fisher74]

Никогда этим не занимался, так как проще было nat поднять.
Попробуйте поиском по ключевым словам "squid https подмена сертификата"