Форум русскоязычного сообщества Ubuntu


Увидели сообщение с непонятной ссылкой, спам, непристойность или оскорбление?
Воспользуйтесь ссылкой «Сообщить модератору» рядом с сообщением!

Автор Тема: Один сайт пустить в обход Squid  (Прочитано 2191 раз)

0 Пользователей и 1 Гость просматривают эту тему.

Оффлайн shtoff

  • Автор темы
  • Новичок
  • *
  • Сообщений: 7
    • Просмотр профиля
Один сайт пустить в обход Squid
« : 06 Май 2014, 16:03:51 »
Здравствуйте!

Имеется полностью рабочий рутер на Ubuntu 10.04, Squid работает в прозрачном режиме, так же работает Dansguardian для фильтрации по нехорошим словам. При запуске рутера стартует следующий скрипт:
---
#!/bin/sh
echo 1> /proc/sys/net/ipv4/ip_forward
iptables -A INPUT -i lo -j ACCEPT
iptables -A FORWARD -i eth1 -o eth0 -j ACCEPT
iptables -t nat -A POSTROUTING -o eth0 -s 192.168.1.0/24 -j MASQUERADE
iptables -A FORWARD -i eth0 -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A FORWARD -i eth0 -o eth1 -j REJECT
iptables -t nat - A PREROUTING -i eth1 -d ! 192.168.1.0/24 -p tcp -m multiport --dport 80,8080 -j DNAT --to 192.168.1.9:8081
---
Все работало как надо до тех пор, пока не вырисовался один сайт на Sharepoint, который отказывается принимать авторизацию пока клиент ходит из-за Squid`a. Требуется запустить все локальные компы на конкретный IP адрес в интете напрямую минуя Squid.
Поначитавшись всякого я добавил пятой строкой iptables -A FORWARD -p tcp -i eth1 -d xxx.xxx.xxx.xxx -j ACCEPT и предпоследней строкой iptables -t nat -A PREROUTING -d xxx.xxx.xxx.xxx/32 -i eth0 -p tcp -j ACCEPT.
И не работает. Проверял, отключая Squid - сайт не открывается. Пожалуйста, помогите сделать.
« Последнее редактирование: 06 Май 2014, 16:17:30 от shtoff »

Оффлайн AnrDaemon

  • Заслуженный пользователь
  • Старожил
  • *
  • Сообщений: 25967
    • Просмотр профиля
Re: Один сайт пустить в обход Squid
« Ответ #1 : 06 Май 2014, 19:01:20 »
Показывайте
iptables-save
(А работать и не могло, так как вы добавили.)
Хотите получить помощь? Потрудитесь представить запрошенную информацию в полном объёме.

Прежде чем [Отправить], нажми [Просмотр] и прочти собственное сообщение. Сам-то понял, что написал?…

Оффлайн shtoff

  • Автор темы
  • Новичок
  • *
  • Сообщений: 7
    • Просмотр профиля
Re: Один сайт пустить в обход Squid
« Ответ #2 : 06 Май 2014, 21:33:23 »
# Generated by iptables-save v1.4.4 on Tue May  6 21:15:39 2014
*nat
:PREROUTING ACCEPT [26297:1969646]
:POSTROUTING ACCEPT [16773:1020025]
:OUTPUT ACCEPT [16773:1020025]
-A PREROUTING -d 31.200.206.190/32 -i eth0 -p tcp -j ACCEPT
-A PREROUTING ! -d 192.168.1.0/24 -i eth1 -p tcp -m multiport --dports 80,8080 -j DNAT --to-destination 192.168.1.9:8081
-A POSTROUTING -s 192.168.1.0/24 -o eth0 -j MASQUERADE
COMMIT
# Completed on Tue May  6 21:15:39 2014
# Generated by iptables-save v1.4.4 on Tue May  6 21:15:39 2014
*filter
:INPUT ACCEPT [1305273:1235840308]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [862306:2176859318]
-A INPUT -i lo -j ACCEPT
-A FORWARD -i eth1 -o eth0 -j ACCEPT
-A FORWARD -d 31.200.206.190/32 -i eth1 -p tcp -j ACCEPT
-A FORWARD -i eth0 -m state --state RELATED,ESTABLISHED -j ACCEPT
-A FORWARD -i eth0 -o eth1 -j REJECT --reject-with icmp-port-unreachable
COMMIT
# Completed on Tue May  6 21:15:39 2014

Это уже с добавленными строчками, IP сайта, на кототрый надо пустить юзеров напрямую, 31.200.206.190

Оффлайн AnrDaemon

  • Заслуженный пользователь
  • Старожил
  • *
  • Сообщений: 25967
    • Просмотр профиля
Re: Один сайт пустить в обход Squid
« Ответ #3 : 06 Май 2014, 22:28:58 »
Должно работать. По крайней мере, не должно попадать на сквид. (В чём можно убедиться, просмотрев логи прокси).
Хотите получить помощь? Потрудитесь представить запрошенную информацию в полном объёме.

Прежде чем [Отправить], нажми [Просмотр] и прочти собственное сообщение. Сам-то понял, что написал?…

Оффлайн shtoff

  • Автор темы
  • Новичок
  • *
  • Сообщений: 7
    • Просмотр профиля
Re: Один сайт пустить в обход Squid
« Ответ #4 : 06 Май 2014, 23:12:56 »
Я в Linux профан, подскажите, пожалуйста, где и как смотеть.
И, кстати, я так понимаю, на локальной машине должен быть прописан только шлюз, прокси в браузере указывать не надо?

Пользователь решил продолжить мысль 07 Май 2014, 10:05:12:
В принципе, можно упростить задачу. Подскажите, пожалуйста, как мне сделать, чтобы определенные IP из локалки ходили в интернет минуя Squid.
« Последнее редактирование: 07 Май 2014, 10:05:12 от shtoff »

Оффлайн AnrDaemon

  • Заслуженный пользователь
  • Старожил
  • *
  • Сообщений: 25967
    • Просмотр профиля
Re: Один сайт пустить в обход Squid
« Ответ #5 : 07 Май 2014, 16:31:09 »
Именно так и сделать.
Поставить им ACCEPT перед направлением трафика на squid.
Хотите получить помощь? Потрудитесь представить запрошенную информацию в полном объёме.

Прежде чем [Отправить], нажми [Просмотр] и прочти собственное сообщение. Сам-то понял, что написал?…

Оффлайн shtoff

  • Автор темы
  • Новичок
  • *
  • Сообщений: 7
    • Просмотр профиля
Re: Один сайт пустить в обход Squid
« Ответ #6 : 07 Май 2014, 21:26:27 »
Должно работать. По крайней мере, не должно попадать на сквид. (В чём можно убедиться, просмотрев логи прокси).
Посмотрел логи, в логах вот такое: TCP_MISS/401 742 GET http://31.200.206.190/my - DIRECT/31.200.206.190
Попробовал сделать так: iptables -I FORWARD -s 192.168.1.160 -j ACCEPT - ничего не изменилось.

Оффлайн AnrDaemon

  • Заслуженный пользователь
  • Старожил
  • *
  • Сообщений: 25967
    • Просмотр профиля
Re: Один сайт пустить в обход Squid
« Ответ #7 : 07 Май 2014, 21:37:00 »
Явно что-то не так или не туда вставляете.
По отдельно взятому правилу ничего сказать нельзя.
Вообще, ваши правила выглядят очень странно.
Поищите по форуму, куча примеров и заготовок на все случаи жизни.
Хотите получить помощь? Потрудитесь представить запрошенную информацию в полном объёме.

Прежде чем [Отправить], нажми [Просмотр] и прочти собственное сообщение. Сам-то понял, что написал?…

Оффлайн shtoff

  • Автор темы
  • Новичок
  • *
  • Сообщений: 7
    • Просмотр профиля
Re: Один сайт пустить в обход Squid
« Ответ #8 : 09 Май 2014, 12:11:00 »
Явно что-то не так или не туда вставляете.
По отдельно взятому правилу ничего сказать нельзя.
Вообще, ваши правила выглядят очень странно.
Поищите по форуму, куча примеров и заготовок на все случаи жизни.
А что странного в моих (вовсе и не моих, а взятых из заготовок) правилах? Все работает как надо уже очень долгое время.
Ну и по отдельно взятому правилу уже подсказали :) -i eth1 и все запело.

 

Страница сгенерирована за 0.087 секунд. Запросов: 24.