Шлюз Интернета на базе Ubuntu-Server / Internet Connection Sharing + Squid

[DennisVV]

коллеги, помогите пожалуйста разобраться!
что не так у меня со squid.conf и с rc.local? вписывал все это на основе этого топика и видимо где-то перемудрил...
дело в том, что инет на клиентских машинах появляется только тогда, когда в браузере напрямую пропишешь шлюз 192.168.0.1 и порт 3128
хотя вроде пытался настроить прозрачный прокси
нужен именно прозраный прокси
сдается мне, что куда-то я что-то не туда заворачиваю правилами
на счет резонного замечания курить man iptables - курил! не дается мне пока это... не могу понять
поэтому прошу помощи по конкретной ситуации
заранее очень благодарен за помощь!

итак имеется:

ip статический 62.24.xx.xx

eth2 с адресом 62.24.xx.xx - смотрит в инет
eth2:1 - 192.168.0.1
eth1 - 192.168.0.2 - в локалку

собственно сам rc.local?

Код: [Выделить]

#!/bin/sh -e
iptables -t nat -F
iptables -t filter -F
iptables -t mangle -F
iptables -t nat -A PREROUTING -i eth1 -p tcp -d! 192.168.0.2 -m multiport --dport 80,8080 -j REDIRECT --to-ports 3128
iptables -t nat -A PREROUTING -i eth1 -p tcp -d! 192.168.0.0/255.255.255.0 -m multiport --dport 80,8080 -j REDIRECT --to-ports 3128
iptables -t nat -A POSTROUTING -o eth2 -j SNAT --to-source 62.24.xx.xx
iptables -P FORWARD DROP
iptables -A FORWARD -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
iptables -A FORWARD -m conntrack --ctstate NEW ! -i eth2 -j ACCEPT
iptables -t mangle -A FORWARD -p tcp --tcp-flags SYN,RST SYN -j TCPMSS --clamp-mss-to-pmtu
iptables -P INPUT DROP
iptables -A INPUT -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
iptables -A INPUT ! -i eth2 -j ACCEPT
iptables -A INPUT -p tcp -m multiport --dports 22,8888,447,110,25,10000,10100 -j ACCEPT
iptables -A INPUT -m tcp -p tcp --dport 1723 -j ACCEPT
iptables -A INPUT -p gre -j ACCEPT
iptables -A INPUT -i lo -j ACCEPT
echo 1 > /proc/sys/net/ipv4/ip_forward
exit 0

squid.conf

Код: [Выделить]

acl all src 0.0.0.0/0.0.0.0
acl manager proto cache_object
acl localhost src 127.0.0.1/255.255.255.255
acl our_networks src 192.168.0.0/24
acl to_localhost dst 127.0.0.0/8
acl SSL_ports port 443 # https
acl SSL_ports port 563 # snews
acl SSL_ports port 873 # rsync
acl Safe_ports port 80 # http
acl Safe_ports port 21 # ftp
acl Safe_ports port 443 # https
acl Safe_ports port 70 # gopher
acl Safe_ports port 210 # wais
acl Safe_ports port 1025-65535 # unregistered ports
acl Safe_ports port 280 # http-mgmt
acl Safe_ports port 488 # gss-http
acl Safe_ports port 591 # filemaker
acl Safe_ports port 777 # multiling http
acl Safe_ports port 631 # cups
acl Safe_ports port 873 # rsync
acl Safe_ports port 901 # SWAT
acl purge method PURGE
acl CONNECT method CONNECT
icp_access allow all
http_port 192.168.0.1:3128 transparent
hierarchy_stoplist cgi-bin ?
acl QUERY urlpath_regex cgi-bin \?
cache deny QUERY
refresh_pattern ^ftp:           1440    20%     10080
refresh_pattern ^gopher:        1440    0%      1440
refresh_pattern .               0       20%     4320
acl apache rep_header Server ^Apache
acl osyp_close src 192.168.0.202
acl osyp_close2 src 192.168.0.203
http_access allow our_networks
http_access allow manager localhost
http_access deny manager
http_access allow purge localhost
http_access deny purge
http_access deny !Safe_ports
http_access deny CONNECT !SSL_ports
http_access allow localhost
http_access deny osyp_close osyp_close2
http_access deny all
broken_vary_encoding allow apache
extension_methods REPORT MERGE MKACTIVITY CHECKOUT
cache_effective_user vdv
visible_hostname srv-e11
hosts_file /etc/hosts
coredump_dir /var/spool/squid
cache_effective_group vdv


[Mam(O)n]

eth2:1 - 192.168.0.1

Это зачем?

[DennisVV]

eth2:1 - 192.168.0.1

Это зачем?

дык типа чтобы шлюз прописать на клиентских машинах
неправильно?

[Mam(O)n]

Клиенты же на eth1 сидят? Там и прописывай 192.168.0.1 вместо 192.168.0.2

[DennisVV]

192.168.0.1 вместо 192.168.0.2

так, это понял
а остальное? неужели все правильно?

[Mam(O)n]

Чтобы ответить однозначно, нужно не инициализационные скрипты смотреть, а рабочие дампы таблиц. Т.е.

Код: [Выделить]

sudo iptables-save
sysctl net.ipv4.ip_forward


[dj--alex]

подскажите можно ли Ubuntu сделать не просто сервером раздачи интернета
а ещё и кэшировать все отосланные за сутки пакеты, чтобы если скачать 1 файл на 1-й машине
то чтобы со второй машины файл с этого же адреса скачался мгновенно с сервера?

[fisher74]

Этим и занимается кэширующий прокси-сервер squid. Правда правила кэширования несколько отличаются и задаются в его конфиге

[MAKAPOH]

А как сделать чтобы squid не выдавал в заголовках запросов что это прокси?)

[Щурин Юрий Евгеньевич]

Доброго дня всем!

Для кого-то, возможно, обычный вопрос:

При включении прозрачного прокси на squid скорость падает до 1-1.5 МБит/сек при внешке в 5 МБит.
Процессор не загружен и на 20%. Есть подозрение, что непосппевает жеский диск за кешированием (прокся собиралась из "ненужного хлама").
При выключенном squid не работает контекстная фильтрация (squidguard) и учет http трафика ...
Просто отключение контекстной фильтрации скорости не прибавляет ...
Вопрос как можно это победить (отключением кеша или еще как-то)?
На данный момент для полной скорости вынужден отключать squid.

Заранее спасибо.

[roma333]

Попробуйте кэш отключить

[AnrDaemon]

А как сделать чтобы squid не выдавал в заголовках запросов что это прокси?)

Прочитать документацию? Или хотя бы конфиги.

[dj--alex]

странно
сайты я могу посещать с проски  а вот обновиться теперь невозмжно... ((

W: Не удалось получить http://archive.ubuntu.com/ubuntu/dists/lucid/Release.gpg  Не удаётся соединиться с 171.219.8.1:8080 (171.219.8.1). - connect (111: В соединении отказано)

W: Не удалось получить http://archive.ubuntu.com/ubuntu/dists/lucid/main/i18n/Translation-ru.bz2  Невозможно соединиться с 171.219.8.1: 8080:

W: Некоторые индексные файлы не скачались, они были проигнорированы или вместо них были использованы старые версии

убрал проски - всё пучком

[shiften]

перечитал все 75 страниц по этой теме, но никак не могу заставить squid фильтровать некоторые сайты...
Есть 2 сети, не могу настроить фильтры в локальную сеть для squid. установил последнюю версию с помощью apt-get install, настроил натирование, добавил правило перенаправления портов 80 и 8080 в наш файервол. но такое ощущение что squid не отрабатывает правила. В конфиге оставил все по умолчанию, добавил только эти строки:

http_port 3128 transparent
visible_hostname server-institut
 
acl Our_net src 192.168.3.0/24
acl block url_regex -i "/etc/squid/block.txt"   # создал соотв файл где блочу например сайт vkontakte
 
http_access deny Our_net block
http_access allow Our_net
 
http_access deny all

Но всеравно из локальной сети открываются страницы перечисленные в файле block. Пробовал делать deny сети Our_net, пропускает все, а должно заблочить. не пойму в чем дело...

[roma333]

странно
сайты я могу посещать с проски  а вот обновиться теперь невозмжно... ((

W: Не удалось получить http://archive.ubuntu.com/ubuntu/dists/lucid/Release.gpg  Не удаётся соединиться с 171.219.8.1:8080 (171.219.8.1). - connect (111: В соединении отказано)

W: Не удалось получить http://archive.ubuntu.com/ubuntu/dists/lucid/main/i18n/Translation-ru.bz2  Невозможно соединиться с 171.219.8.1: 8080:

W: Некоторые индексные файлы не скачались, они были проигнорированы или вместо них были использованы старые версии

убрал проски - всё пучком

Авторизация есть?