Форум русскоязычного сообщества Ubuntu


За новостями русскоязычного сообщества и Ubuntu в целом можно следить на нашей страничке в Google+

Автор Тема: Сквид на отдельной машине. iptables.  (Прочитано 466 раз)

0 Пользователей и 1 Гость просматривают эту тему.

Оффлайн vet_fbi

  • Автор темы
  • Любитель
  • *
  • Сообщений: 53
    • Просмотр профиля
Сквид на отдельной машине. iptables.
« : 27 Октябрь 2016, 10:48:26 »
Дорого времени суток, друзья.

Помогите решить задачку: В сети ве машины:
1. UbuntuServer14.04. На ней NAT+DHCP+BIND. Работает в качестве роутера
2. UbuntuServer14.04. На ней не прозрачный SQUID3.
Юзвери должны ходить в инет через сервер со сквидом.

В итоге юзверь ломится на сквид, проходит авторизацию но странички не открывает и пишет ошибку ERR_CONNECTION_TIMEOUT

Я так понимаю, что нужно править iptables. Пробовал много правил и уже запарился. Помогите, пожалуйста понять что к чему.
Нужно настраивать iptables на сервере со сквидом?

Предыдущие пост:

https://forum.ubuntu.ru/index.php?topic=281904.0


Конфиг роутера:

etc/nat:
(Нажмите, чтобы показать/скрыть)

iptables-save:
(Нажмите, чтобы показать/скрыть)

Конфиг сквида:
squid.conf:
(Нажмите, чтобы показать/скрыть)
« Последнее редактирование: 28 Октябрь 2016, 09:58:49 от vet_fbi »

Оффлайн vet_fbi

  • Автор темы
  • Любитель
  • *
  • Сообщений: 53
    • Просмотр профиля
Re: Сквид на отдельной машине. iptables.
« Ответ #1 : 28 Октябрь 2016, 10:49:33 »
Никто не знает что ли?

Пробовал прописывать на роутере нечто подобное взятое из другого форума:
iptables -t nat -A PREROUTING -p tcp -s $i d 0/0 --dport 80 -j DNAT --to 192.168.140.1:3128
iptables -t nat -A POSTROUTING -s $POSAD_LAN -d 192.168.140.1 -j SNAT --to $POSAD_LOCAL_IP
iptables -A FORWARD -s $POSAD_LAN -d 192.168.140.1 -p tcp --dport 3128 -j ACCEPT

безрезультатно.

Оффлайн theurs

  • Активист
  • *
  • Сообщений: 457
    • Просмотр профиля
Re: Сквид на отдельной машине. iptables.
« Ответ #2 : 28 Октябрь 2016, 11:47:55 »
На компьютере со сквидом интернет работает? при чем тут iptables вобще.

ping mail.ru
wget mail.ru что показывают

Оффлайн vet_fbi

  • Автор темы
  • Любитель
  • *
  • Сообщений: 53
    • Просмотр профиля
Re: Сквид на отдельной машине. iptables.
« Ответ #3 : 28 Октябрь 2016, 12:08:23 »
theurs,

Во вложении.

Оффлайн theurs

  • Активист
  • *
  • Сообщений: 457
    • Просмотр профиля
Re: Сквид на отдельной машине. iptables.
« Ответ #4 : 28 Октябрь 2016, 12:37:07 »
Выхлоп из консоли в пдф файле это эпично. :2funny:

Там видно что ping работает нормально а wget нет. Значит проблема на другом компе где шлюз.

Зачем там строчка?
iptables -A FORWARD -i eth1 -p tcp --dport 80 -j REJECT
она запрещает пересылать пакеты пришедшие из eth1 и направленные на tcp порт 80
Если тебе надо запретить всем кроме компа со сквидом ходить через 80 порт то правило должно выглядеть как то так
-i !192.168.0.1 -p tcp --dport 80 -j REJECT
то есть пакеты пришедшие с любого адреса кроме компа со сквидом получают отказ

Если юзеры должны ходить в интернет через непрозрачный сквид тогда зачем на шлюзе написано?
iptables -t nat -A PREROUTING -s 192.168.0.0/24 -p tcp -m multiport --dport 80,8080,443 -j DNAT --to 192.168.0.2:3128
« Последнее редактирование: 28 Октябрь 2016, 12:57:00 от theurs »

Оффлайн vet_fbi

  • Автор темы
  • Любитель
  • *
  • Сообщений: 53
    • Просмотр профиля
Re: Сквид на отдельной машине. iptables.
« Ответ #5 : 28 Октябрь 2016, 13:45:19 »
theurs,

Цитировать
Выхлоп из консоли в пдф файле это эпично
А как его еще оттуда достать?)

Строчку ptables -A FORWARD -i eth1 -p tcp --dport 80 -j REJECT
Извиняюсь. Забыл убрать. Она там на самом деле не нужна, т.к. вместо нее отрабатывает правило, которое указано вами ниже.

Строчка iptables -t nat -A PREROUTING -s 192.168.0.0/24 -p tcp -m multiport --dport 80,8080,443 -j DNAT --to 192.168.0.2:3128
А как по другому перенаправить трафик на сервер со сквидом? В предыдущей теме там указано. см. ссылку



Оффлайн AnrDaemon

  • Заслуженный пользователь
  • Старожил
  • *
  • Сообщений: 26066
    • Просмотр профиля
Re: Сквид на отдельной машине. iptables.
« Ответ #6 : 28 Октябрь 2016, 14:46:49 »
А как его еще оттуда достать?
Текстом, обычным текстом.
Хотите получить помощь? Потрудитесь представить запрошенную информацию в полном объёме.

Прежде чем [Отправить], нажми [Просмотр] и прочти собственное сообщение. Сам-то понял, что написал?…

Оффлайн theurs

  • Активист
  • *
  • Сообщений: 457
    • Просмотр профиля
Re: Сквид на отдельной машине. iptables.
« Ответ #7 : 28 Октябрь 2016, 17:02:02 »
А как по другому перенаправить трафик на сервер со сквидом? В предыдущей теме там указано. см. ссылку
Зачем перенаправлять трафик на сервер со сквидом? Если трафик перенаправляется на сквид значит сквид должен работать в прозрачном режиме.
Но в данном случае он вообще работать никак не будет потому что шлюз не дает компу со сквидом вообще ничего скачать по 80 порту(это видно по выхлопу команды wget mail.ru).

Пользователь добавил сообщение 28 Октябрь 2016, 17:03:02:
Текстом, обычным текстом.
Можно и картинкой, а вот картинка внутри пдф файла это уже что то очень странное.

Оффлайн AnrDaemon

  • Заслуженный пользователь
  • Старожил
  • *
  • Сообщений: 26066
    • Просмотр профиля
Re: Сквид на отдельной машине. iptables.
« Ответ #8 : 28 Октябрь 2016, 17:13:50 »
Текст - картинкой? Разве что кордампы… Во всех остальных случаях текст, пожалуйста, в виде текста.
Хотите получить помощь? Потрудитесь представить запрошенную информацию в полном объёме.

Прежде чем [Отправить], нажми [Просмотр] и прочти собственное сообщение. Сам-то понял, что написал?…

Оффлайн vet_fbi

  • Автор темы
  • Любитель
  • *
  • Сообщений: 53
    • Просмотр профиля
Re: Сквид на отдельной машине. iptables.
« Ответ #9 : 31 Октябрь 2016, 11:18:34 »

 

Страница сгенерирована за 0.057 секунд. Запросов: 25.