Форум русскоязычного сообщества Ubuntu


Следите за новостями русскоязычного сообщества Ubuntu в Twitter-ленте @ubuntu_ru_loco

Автор Тема: Поддерживает ли Squid 3.5.12 прозрачную функцию?  (Прочитано 1817 раз)

0 Пользователей и 1 Гость просматривают эту тему.

Оффлайн OptionBase

  • Автор темы
  • Участник
  • *
  • Сообщений: 202
    • Просмотр профиля
Всем привет!
Подскажите, кто в курсе, поддерживает ли Squid 3.5.12 прозрачный прокси?
Второй день не могу настроить прозрачность.
Погуглил и нашел, что именно версия 3.5.10 и выше не поддерживает. Нужно делать индивидуальную сборку...


п.с. В принципе для офисных машин не проблема настроить непрозрачный в браузере, а вот что делать с мобильными, которые клиенты компании, заходят в офис пару раз в неделю, подключаются к вай-фай с телефонов или планшетов и через час выходят из офиса?

Оффлайн AnrDaemon

  • Заслуженный пользователь
  • Старожил
  • *
  • Сообщений: 26055
    • Просмотр профиля
нашел, что именно версия 3.5.10 и выше не поддерживает
http://www.squid-cache.org/Versions/v3/3.5/squid-3.5.10-RELEASENOTES.html
Покажите, где она что не поддерживает?
Хотите получить помощь? Потрудитесь представить запрошенную информацию в полном объёме.

Прежде чем [Отправить], нажми [Просмотр] и прочти собственное сообщение. Сам-то понял, что написал?…

Оффлайн OptionBase

  • Автор темы
  • Участник
  • *
  • Сообщений: 202
    • Просмотр профиля
у меня в логах, вот такая информация:
sudo cat /var/log/squid/cache.log
(Нажмите, чтобы показать/скрыть)
погуглил ошибки, нашел инфу что не поддерживает, возможно что то не до конца понял, но почти все статьи были о том, как собрать самостоятельно версию с поддержкой прозрачности...

хорошо, но почему тогда неработает?

вот конфиг кальмара:
sudo nano /etc/squid/squid.conf
(Нажмите, чтобы показать/скрыть)

вот настройки iptables
(Нажмите, чтобы показать/скрыть)

вот вывод iptables
sudo iptables -t nat -L
(Нажмите, чтобы показать/скрыть)


чего нехватает?

Оффлайн AnrDaemon

  • Заслуженный пользователь
  • Старожил
  • *
  • Сообщений: 26055
    • Просмотр профиля
Вы уже определитесь, itercept или redirect.
Хотите получить помощь? Потрудитесь представить запрошенную информацию в полном объёме.

Прежде чем [Отправить], нажми [Просмотр] и прочти собственное сообщение. Сам-то понял, что написал?…

Оффлайн OptionBase

  • Автор темы
  • Участник
  • *
  • Сообщений: 202
    • Просмотр профиля
прошу прощения, перелопатил все что можно, но так и не понял что вы имели ввиду

раньше всегда в настройках iptables указывал redirect
в конфиге кальмара intercept

Пользователь добавил сообщение 08 Июнь 2016, 22:15:04:
выполняю squid -k parse
получаю:
(Нажмите, чтобы показать/скрыть)

Пользователь добавил сообщение 08 Июнь 2016, 23:49:34:
добавил в конфиг строку http_port 3129 и все заработало
причем именно порт 3129, потому что если добавить 3128 - в логах появляется ошибка, что порт уже используется

понять бы, в чем была проблема и на что влияет добавление в конфиг строки http_port 3129 - было бы счастье!
« Последнее редактирование: 08 Июнь 2016, 23:49:34 от OptionBase »

Оффлайн EvgenNsk

  • Участник
  • *
  • Сообщений: 131
    • Просмотр профиля
Если требуется, чтобы кальмар умел работать как в обычном, так и в прозрачном режиме, то придется для сквида задействовать 2 порта.
В моих конфигах директива http_port выглядит примерно так:

http_port 192.168.0.1:3128
http_port 192.168.0.1:3129 intercept

Ну в списках ACL, разумеется, не забываем разрешить работу для сети 192.168.0.0.24, если ранее это не было сделано.

Ну как бы все. Теперь заворачиваем транзитный траффик адресованный на удаленные http на свой прокси.
Строчка типовая, тыщщу раз на форуме мелькала, и гуглится с первого раза:

iptables -t nat -A PREROUTING -i $LAN_IF ! -d $LAN_NET -p tcp -m multiport --dport 80,8080 -j DNAT --to 192.168.0.1:3129
где $LAN_IF - это псевдоним сетевки, смотрящий собственно в сеть 192.168.0.1, а $LAN_NET = 192.168.0.0/24

Также, если у Вас NetFilter ограничивает траффик со стороны $LAN_IF, то не забудьте для $LAN_IF прописать разрешающее правило на доступ к портам TCP\3128 и TCP\3129 в цепочке INPUT, а то ведь правило в таблице nat честно отработает, а затем пакет упрется рогами в запрещалки из таблицы filter  и ничего не заработает.

Если Вы делаете все это, и у Вас не работает - значит причина не здесь, а где-то в другом: запрещающие правила NetFilter, криворукая настройка ACL и т.д.


Оффлайн fisher74

  • Заслуженный пользователь
  • Старожил
  • *
  • Сообщений: 13750
    • Просмотр профиля
Если требуется, чтобы кальмар умел работать как в обычном, так и в прозрачном режиме, то придется для сквида задействовать 2 порта.
Вы это сами придумали или кто подсказал?

добавил в конфиг строку http_port 3129 и все заработало
а нужно было просто убрать адрес
Цитировать
http_port 192.168.0.1:3128 intercept
Принимаю благодарности в WMR и WMZ на кошельки:
R158160676909 и Z313280060764

Оффлайн OptionBase

  • Автор темы
  • Участник
  • *
  • Сообщений: 202
    • Просмотр профиля
спасибо парни, что заглянули в ветку

вобщем получается так:
если в конфиге два порта, то все работает, если один и без адреса, то не работает.

вот мой конфиг только с одним портом, срециально,ради эксперимента, закомментил все остальное:
sudo nano /etc/squid/squid.conf
(Нажмите, чтобы показать/скрыть)


а вот логи после рестарта службы:
sudo cat /var/log/squid/cache.log
(Нажмите, чтобы показать/скрыть)


сам непонимаю, в чем дело
полгода назад поднимал Сквид с одним портом, с адресом и intercept, все работало
а недавно переустановил ос, поставил 16.04, заметил, что Сквид теперь находится не в папке /etc/squid3 а в папке /etc/squid и прошлый конфиг не работает...
Но конфиг это ерунда по сравнению с тем, что я непонимаю на что влияет второй прот в конфиге, и почему без второго порта Сквид не работает...

Оффлайн EvgenNsk

  • Участник
  • *
  • Сообщений: 131
    • Просмотр профиля
Вы это сами придумали или кто подсказал?
Ни то, ни другое.

а нужно было просто убрать адрес
Цитировать
http_port 192.168.0.1:3128 intercept
Да, это для случаев, когда не требуется ограничивать работу сквида в контексте имеющихся интерфейсов.

 

Страница сгенерирована за 0.064 секунд. Запросов: 25.