Шлюз Интернета на базе Ubuntu-Server / Internet Connection Sharing + Squid

[tdm]

если поправить в сквиде то так:

http_port 8080 eth1 

или как?

[fisher74]

В squid.conf всё написано. И даже с примерами.

[tdm]

спасибо.
посмотрел и нашел.
делать надо так:

http_port ип_внутренней_сет.карточки:8080

надеюсь, что прав. еще не проверил, т.к. люди работают, а в рабочее время эксперименты не ставлю.
Пользователь решил продолжить мысль 24 Мая 2011, 22:46:27:проверил, работает!
Только мне теперь не понятно: почему ни в одном копипасте это не указано, хоть кто-то бы дописал.

[fizik4]

настроил Squid как прозрачный прокси. Прописал правила для iptables. В локалке есть только http. Как теперь заставить другие протоколы работать? Пробовал прописывать iptables для портов 20 и 21 (ftp) (по аналогии с 80 портом перенаправлял их на 3128), все равно ftp не работает.
Можно ли с помощью сквида вести статистику не только http, но и например torrent-клиентов?

[fisher74]

Код: [Выделить]

grep -v ^# /etc/squid*/squid.conf | sed '/^$/d'
sudo iptables-saveи под спойлер, естественно

[fizik4]

squid.conf:

(Нажмите, чтобы показать/скрыть)

root@server:/home/vitaly# grep -v ^# /etc/squid/squid.conf | sed '/^$/d'
acl all src all
acl manager proto cache_object
acl localhost src 127.0.0.1/32
acl to_localhost dst 127.0.0.0/8 0.0.0.0/32
acl localnet src 10.0.0.0/8   # RFC1918 possible internal network
acl localnet src 172.16.0.0/12   # RFC1918 possible internal network
acl localnet src 192.168.0.0/24   # RFC1918 possible internal network
acl SSL_ports port 443      # https
acl SSL_ports port 563      # snews
acl SSL_ports port 873      # rsync
acl Safe_ports port 80      # http
acl Safe_ports port 21      # ftp
acl Safe_ports port 20      #мой ftp порт
acl Safe_ports port 443      # https
acl Safe_ports port 70      # gopher
acl Safe_ports port 210      # wais
acl Safe_ports port 1025-65535   # unregistered ports
acl Safe_ports port 280      # http-mgmt
acl Safe_ports port 488      # gss-http
acl Safe_ports port 591      # filemaker
acl Safe_ports port 777      # multiling http
acl Safe_ports port 631      # cups
acl Safe_ports port 873      # rsync
acl Safe_ports port 901      # SWAT
acl purge method PURGE
acl CONNECT method CONNECT
http_access allow manager localhost
http_access deny manager
http_access allow purge localhost
http_access deny purge
http_access deny !Safe_ports
http_access deny CONNECT !SSL_ports
http_access allow localnet
http_access allow localhost
http_access allow Safe_ports
http_access deny all
icp_access allow localnet
icp_access deny all
http_port 3128 transparent
hierarchy_stoplist cgi-bin ?
access_log /var/log/squid/access.log squid
refresh_pattern ^ftp:      1440   20%   10080
refresh_pattern ^gopher:   1440   0%   1440
refresh_pattern -i (/cgi-bin/|\?) 0   0%   0
refresh_pattern (Release|Packages(.gz)*)$   0   20%   2880
refresh_pattern .      0   20%   4320
acl shoutcast rep_header X-HTTP09-First-Line ^ICY.[0-9]
upgrade_http0.9 deny shoutcast
acl apache rep_header Server ^Apache
broken_vary_encoding allow apache
extension_methods REPORT MERGE MKACTIVITY CHECKOUT
 cache_effective_user proxy
hosts_file /etc/hosts
coredump_dir /var/spool/squid

iptables:

(Нажмите, чтобы показать/скрыть)

root@server:/home/vitaly# iptables-save
# Generated by iptables-save v1.4.10 on Sun Jul 10 11:41:24 2011
*filter
:INPUT DROP [0:0]
:FORWARD DROP [0:0]
:OUTPUT ACCEPT [677:214224]
-A INPUT -i lo -j ACCEPT
-A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
-A INPUT ! -i eth1 -m state --state NEW -j ACCEPT
-A FORWARD -i eth1 -o eth0 -m state --state RELATED,ESTABLISHED -j ACCEPT
-A FORWARD -i eth0 -o eth1 -j ACCEPT
-A FORWARD -i eth1 -o eth0 -j REJECT --reject-with icmp-port-unreachable
COMMIT
# Completed on Sun Jul 10 11:41:24 2011
# Generated by iptables-save v1.4.10 on Sun Jul 10 11:41:24 2011
*nat
:PREROUTING ACCEPT [39:2239]
:INPUT ACCEPT [30:1777]
:OUTPUT ACCEPT [28:1758]
:POSTROUTING ACCEPT [0:0]
-A PREROUTING ! -d 192.168.0.0/24 -i eth0 -p tcp -m multiport --dports 80,8080 -j DNAT --to-destination 192.168.0.100:3128
-A POSTROUTING -o eth1 -j MASQUERADE
COMMIT
# Completed on Sun Jul 10 11:41:24 2011

сейчас в локалке есть и http, и ftp и т.д.
но через squid идет только http, верно?
как учитывать остальной трафик - допустим, те же торрент-качалки

[AnrDaemon]

fprobe ?

[fisher74]

squid.conf:

(Нажмите, чтобы показать/скрыть)

...
acl Safe_ports port 21      # ftp
...
http_access deny !Safe_ports
...
http_access allow Safe_ports
../

iptables:

(Нажмите, чтобы показать/скрыть)

root@server:/home/vitaly# iptables-save
..
-A PREROUTING ! -d 192.168.0.0/24 -i eth0 -p tcp -m multiport --dports 80,8080 -j DNAT --to-destination 192.168.0.100:3128
...

сейчас в локалке есть и http, и ftp и т.д.
но через squid идет только http, верно?

Через squid-то и ftp траффик должен ходить, но только в таблесах про него ничего нет, а значит прозрачности нет.
А вот про выделенное цветом - поясните, что имелось ввиду? При чём тут ftp в локалке?

[fizik4]

fprobe ?

спасибо, посмотрю.
 

squid.conf:

(Нажмите, чтобы показать/скрыть)

...
acl Safe_ports port 21      # ftp
...
http_access deny !Safe_ports
...
http_access allow Safe_ports
../

iptables:

(Нажмите, чтобы показать/скрыть)

root@server:/home/vitaly# iptables-save
..
-A PREROUTING ! -d 192.168.0.0/24 -i eth0 -p tcp -m multiport --dports 80,8080 -j DNAT --to-destination 192.168.0.100:3128
...

сейчас в локалке есть и http, и ftp и т.д.
но через squid идет только http, верно?

Через squid-то и ftp траффик должен ходить, но только в таблесах про него ничего нет, а значит прозрачности нет.
А вот про выделенное цветом - поясните, что имелось ввиду? При чём тут ftp в локалке?

"ftp в локалке" - имеется в виду доступ к ftp-серверам в интернете. я проверял просто - пытался загрузить что-нибудь с ftp-сервера сайта журнала "радио". заворачивал на сквид порты 20 и 21, но это не помогло. Собственно, все это делалось с целью учета трафика - чтобы одной системой, например самсом, считать весь трафик. Насколько я понимаю, самс просто считывает логи сквида - соответственно, если трафик не проходит через сквид, самс его не учитывает.

[fisher74]

"ftp в локалке" - имеется в виду доступ к ftp-серверам в интернете.

Могучий русский язык бывает страшен.
Старайтесь пользоваться фразами, значение которых знаете наверняка, а то начинаете вводить в заблуждение собеседников.

заворачивал на сквид порты 20 и 21

Что-то я этого не заметил по правилам iptables
Самое простое проверить работает squid с ftp или нет - настроить браузер на клиенте на работу через прокси (не опираясь на прозрачность) и сходить на ftp того же "Радио". Если всё ОК - значит точно в таблесах недокурили.

[Maulder]

Скажите как открыть в squid-е что бы запускались javascript-ы.??

[fisher74]

А они разве не по http передаются?

[Maulder]

да по hppt а если быть точнее то есть там форма и кнопочка  так вот эта кнопочка не работает...а если я 80 порт заворачиваю на примую минуя прокси...то все работает... куда копать.?

[onmode]

всем доброго дня. поставил сервер 10.04, на него squid, теперь сквид надо настроить  ; вот пример, squid  - 192.168.20.100:3128, пользователи в сети User1 (192.168.20.5), User2 (192.168.20.6), User3 (192.168.20.7), User4 (192.168.20., нужно чтоб эти пользователи ходили в интернет через сквид при ограничении скорости по 10Кбай/с. Гляньте, так правильно?:

acl workgroup src 192.168.20.2/24
http_port 192.168.20.100:3128
http_access allow workgroup
http_access deny all
acl User1 src 192.168.45.5
acl User2 src 192.168.45.6
acl User3 src 192.168.45.7
acl User4 src 192.168.45.8
http_access allow User1
http_access allow User2
http_access allow User3
http_access allow User4
http_access deny all
delay_pools 1
acl User1 src 192.168.20.5
acl User2 src 192.168.20.6
acl User3 src 192.168.20.7
acl User4 src 192.168.20.8
delay_class 1 1
delay_parameters 2 10000/10000
delay_access 2 allow User1
delay_access 2 allow User2
delay_access 2 allow User3
delay_access 2 allow User4
delay_access 2 deny all

[gavru]

Есть вариант немного проще http://traffpro.ru позволяет иметь два провайдера и более, резервировать каналы, аварийно переключать при падении одно из них и так далее. Плюс много вкусностей по учёту и детализации, встроенный шейпер, файрвол, контроль, и так далее.