Ubuntu Server + Squid3 нужна помощ

[weerwolf]

ы сами-то смотрите, что выкладываете? Ничего не кажется странным?

Не правильно указанный адаптер я исправил:

Код: [Выделить]

root@Squid:~# iptables-save
# Generated by iptables-save v1.4.12 on Wed Apr  9 10:04:49 2014
*nat
:PREROUTING ACCEPT [1348:116561]
:INPUT ACCEPT [82:11627]
:OUTPUT ACCEPT [11:1547]
:POSTROUTING ACCEPT [1:60]
-A POSTROUTING -s 192.168.1.0/24 -o eth0 -j MASQUERADE
COMMIT
# Completed on Wed Apr  9 10:04:49 2014
# Generated by iptables-save v1.4.12 on Wed Apr  9 10:04:49 2014
*filter
:INPUT ACCEPT [365:39966]
:FORWARD ACCEPT [8038:2439829]
:OUTPUT ACCEPT [169:19854]
-A INPUT -i lo -j ACCEPT
-A FORWARD -i eth1 -o eth0 -j ACCEPT
-A FORWARD -i eth0 -o eth1 -j REJECT --reject-with icmp-port-unreachable
COMMIT
# Completed on Wed Apr  9 10:04:49 2014
К сожалению, что делать с reject-with icmp-port-unreachable я не знаю (вообще в Linuxе не специализируюсь).

[AnrDaemon]

Ничего не делать. Вас спрашивают, не кажется ли вам странным, что у вас отсутствует редирект на сквид.

[weerwolf]

Ничего не делать. Вас спрашивают, не кажется ли вам странным, что у вас отсутствует редирект на сквид.

Странно, что редиректа нет. Имеется такая строчка:

Код: [Выделить]

iptables -t nat -A PREROUTING -i eth1 -d ! 192.168.1.0/24 -p tcp -m multiport --dport 80,8080 -j REDIRECT --to-ports 3128

[AnrDaemon]

Никого не интересует, что там имеется у вас ГДЕ-ТО.
В текущих фильтрах этого правила нет.
Учитесь пользоваться прямыми инструментами (AKA iptables-save/-restore) для загрузки правил. Избежите подобных казусов в будущем.

[weerwolf]

Никого не интересует, что там имеется у вас ГДЕ-ТО.
В текущих фильтрах этого правила нет.
Учитесь пользоваться прямыми инструментами (AKA iptables-save/-restore) для загрузки правил. Избежите подобных казусов в будущем.

К сожалению данная команда вываливается с ошибкой: -bash: iptables-save/: Нет такого файла или каталога
Строка расположена тут: /etc/transparent_nat

[AnrDaemon]

(Нажмите, чтобы показать/скрыть)

[fisher74]

Имеется такая строчка:

Код: [Выделить]

iptables -t nat -A PREROUTING -i eth1 -d ! 192.168.1.0/24 -p tcp -m multiport --dport 80,8080 -j REDIRECT --to-ports 3128

Не пробовали эту команду ввести с терминала? (через sudo, конечно)
Уверен на 99%, что ошибка в положении !

[weerwolf]

Имеется такая строчка:

Код: [Выделить]

iptables -t nat -A PREROUTING -i eth1 -d ! 192.168.1.0/24 -p tcp -m multiport --dport 80,8080 -j REDIRECT --to-ports 3128

Не пробовали эту команду ввести с терминала? (через sudo, конечно)
Уверен на 99%, что ошибка в положении !

Пробовал. Ошибка: Bad argument `192.168.1.0/24' Try `iptables -h' or 'iptables --help' for more information.
Пользователь решил продолжить мысль 17 Апреля 2014, 12:27:53:Выполнил две команды:

Код: [Выделить]

iptables -t nat -A PREROUTING -i eth1 -p tcp --dport 80 -j REDIRECT --to-port 3128
и
iptables -t nat -A PREROUTING -i eth1 -p tcp --dport 8080 -j REDIRECT --to-port 3128

Вывод команды iptables-save:

Код: [Выделить]

root@Squid:~# iptables-save
# Generated by iptables-save v1.4.12 on Thu Apr 17 08:20:41 2014
*nat
:PREROUTING ACCEPT [90:9856]
:INPUT ACCEPT [1:68]
:OUTPUT ACCEPT [0:0]
:POSTROUTING ACCEPT [0:0]
-A PREROUTING -i eth1 -p tcp -m tcp --dport 80 -j REDIRECT --to-ports 3128
-A PREROUTING -i eth1 -p tcp -m tcp --dport 8080 -j REDIRECT --to-ports 3128
-A POSTROUTING -s 192.168.1.0/24 -o eth0 -j MASQUERADE
COMMIT
# Completed on Thu Apr 17 08:20:41 2014
# Generated by iptables-save v1.4.12 on Thu Apr 17 08:20:41 2014
*filter
:INPUT ACCEPT [600057:108368110]
:FORWARD ACCEPT [42648964:37697600757]
:OUTPUT ACCEPT [68334:9320487]
-A INPUT -i lo -j ACCEPT
-A FORWARD -i eth1 -o eth0 -j ACCEPT
-A FORWARD -i eth0 -o eth1 -j REJECT --reject-with icmp-port-unreachable
COMMIT
# Completed on Thu Apr 17 08:20:41 2014

Сквида все равно не блокирует сайты. Остановил Сквиду - инет есть. Что я делаю не так?
Пользователь решил продолжить мысль 17 Апреля 2014, 12:51:06:С последней проблемой разобрался. В конфигах Сквида сделал вот так:

Код: [Выделить]

http_access allow biz_hours
http_access deny bad_url
http_access allow localnet
http_access deny all

Теперь одна проблема осталась - Сквида все блочит только при условии, что прописаны параметры прокси в настройках на компьютере пользователя.
В настройках Сквиды включена прозрачность:

Код: [Выделить]

http_port 3128 transparentно это не работает. Что может быть?

[fisher74]

Пробовал. Ошибка: ...

Уверен на 99%, что ошибка в положении !

Пользователь решил продолжить мысль 17 Апреля 2014, 16:54:40:

iptables -t nat -A PREROUTING -i eth1 ! -d ! 192.168.1.0/24 -p tcp -m multiport --dport 80,8080 -j REDIRECT --to-ports 3128

Пользователь решил продолжить мысль 17 Апреля 2014, 16:58:34:и в студию со шлюза и клиента
ip a;ip r

[weerwolf]

iptables -t nat -A PREROUTING -i eth1 ! -d ! 192.168.1.0/24 -p tcp -m multiport --dport 80,8080 -j REDIRECT --to-ports 3128

После того как была выполнена эта команда произошло странное - полностью легла локальная сеть (компьютеры пользователей, AD, DNS, Exchange). Ни с одной из машин не было выхода в интернет (кроме шлюза Juniper с IP 192.168.1.1), как я писал в начале темы Сквид смотрит в интернет через 192.168.1.10 (маска 255.255.255.0, шлюз 192.168.1.1), а в локалку через 192.168.1.11(маска 255.255.255.0). Могла ли приведенная выше команда вызвать такое?

и в студию со шлюза и клиента
ip a;ip r

В данный момент выполнить эти команды не могу, так как машину со сквидой пришлось временно выключить, а на DHCP всех пользователей пустить через 192.168.1.1

[fisher74]

Эта команда как раз делает, то что Вы хотели, а именно заворачивает запросы  http-траффика от клиентов сети 192.168.1.0/24 на прокси сервер.
Под "легла сеть" Вы имели ввиду пропал интернет или ещё что-то?

[weerwolf]

Эта команда как раз делает, то что Вы хотели, а именно заворачивает запросы  http-траффика от клиентов сети 192.168.1.0/24 на прокси сервер.
Под "легла сеть" Вы имели ввиду пропал интернет или ещё что-то?

И интернет пропал и локальные пользователи перестали видеть почтовый сервер.
Подскажите такой вопрос - как указать диапазон адресов с которых заворачивать прокси, а именно нужно сделать чтобы через прокси ходили только адреса 192.168.1.50 - 192.168.1.254. Пробовал в этой команде указывать через тире, как обычно - не работает. У нас есть сервисы которые не должны ходить через прокси, как раз на первых 50 адресах они и находятся.

[fisher74]

Вы бы хоть одним глазком заглянули в Iptables Tutorial, раз уж вынуждены пользоваться этим инструментом. А то так и будете хромать на обе ноги при администрировании шлюза.
Условие по исходящему адресу определяется параметром -s(ource-address)

[weerwolf]

Вы бы хоть одним глазком заглянули в Iptables Tutorial, раз уж вынуждены пользоваться этим инструментом. А то так и будете хромать на обе ноги при администрировании шлюза.

К сожалению, в данном случае, я больше по Windows, а устанавливать Сквиду пришлось из-за жадности начальства (не хотят покупать TMG, UserGate и иже с ними).

Условие по исходящему адресу определяется параметром -s(ource-address)

Если Вас не затруднит, покажите, пожалуйста, рабочий пример (т.е. как проброс будет выглядеть с этим параметром).

-s(ource-address)

Я извиняюсь за глупый вопрос, а здесь нет ошибки?

[insiki]

Источник (source)
-s
Назначение (destination)
-d

Не поленись, поищи мануалы и примеры по IPTABLES.