Шлюз Интернета на базе Ubuntu-Server / Internet Connection Sharing + Squid

[Kucha]

Для всей этой директории я поменял права доступа на пользователя nobody, группу на nogroup

[Nesmit]

зачем 

[Kucha]

А что не надо было и вообще это проблема помешает мне клиентам выйти в интернет
Ну не могу с клиентской машины выйти в интернет хоть убей подскажите в чем может причина быть
Плиззз...

[tierpunk]

Всем доброго времени суток, у меня вот такие вот проблемы. Ковыряюсь с ними уже не первую неделю.
1 Не могу до конца настроить прозрачную проксю
2 Не блокируються баннеры
3 Кеш создаеться только тогда когда указан прокси в браузере
4 Нужно сделать так что бы все что не попало в прокси дропилось iptablesом.

Настроен маскарадинг есть 2 сетевухи eth0 локальная сеть, eth1 интернет, так же поднять dhcp3-server всем раздаються адреса с основным шлюзом и днсками.

Вот мои конфиги.

http_port 192.168.100.1:3128 transparent
icp_port 0
acl QUERY urlpath_regex cgi-bin /?
cache_swap_low 80
cache_swap_high 90
minimum_object_size 0 KB
maximum_object_size 4090 MB
maximum_object_size_in_memory 4 MB
cache_mem 512 MB
cache_dir ufs /home/tester/cache 40960 16 256
cache_access_log /var/log/squid/access.log
cache_log /var/log/squid/cache.log
cache_store_log /var/log/squid/store.log
logfile_rotate 10
ftp_user kb88@bk.ru
ftp_list_width 256
ftp_passive on
ftp_sanitycheck on
dns_nameservers 10.7.3.40
acl server src 192.168.100.1-192.168.100.9/255.255.255.255
acl director src 192.168.100.10-192.168.100.49/255.255.255.255
acl class src 192.168.100.50-192.168.100.250/255.255.255.255

acl all src 0.0.0.0/0.0.0.0
acl manager proto cache_object
acl localhost src 127.0.0.1/255.255.255.255
acl to_localhost dst 127.0.0.0/8
acl SSL_ports port 443      # https
acl SSL_ports port 563      # snews
acl SSL_ports port 873      # rsync
acl Safe_ports port 80      # http
acl Safe_ports port 21      # ftp
acl Safe_ports port 443      # https
acl Safe_ports port 70      # gopher
acl Safe_ports port 210      # wais
acl Safe_ports port 1025-65535   # unregistered ports
acl Safe_ports port 280      # http-mgmt
acl Safe_ports port 488      # gss-http
acl Safe_ports port 591      # filemaker
acl Safe_ports port 777      # multiling http
acl Safe_ports port 631      # cups
acl Safe_ports port 873      # rsync
acl Safe_ports port 901      # SWAT
acl purge method PURGE
acl CONNECT method CONNECT

http_access allow manager localhost
http_access deny manager
http_access allow purge localhost
http_access deny purge
http_access deny !Safe_ports
http_access deny CONNECT !SSL_ports

acl nobanners src 0/0
acl banners url_regex "/home/tester/banners.acl"
no_cache deny QUERY nobanners banners
http_access deny nobanners banners
#deny_info http://192.168.100.1/empty.jpg banners
http_access deny all
cache_mgr kb88@bk.ru

# Generated by iptables-save v1.3.6 on Thu Dec  6 16:12:53 2007
*filter
:INPUT ACCEPT [185233:153168125]
:FORWARD ACCEPT [137236:78941395]
:OUTPUT ACCEPT [104956:58187708]
COMMIT
# Completed on Thu Dec  6 16:12:53 2007
# Generated by iptables-save v1.3.6 on Thu Dec  6 16:12:53 2007
*nat
:PREROUTING ACCEPT [54242:7369739]
:POSTROUTING ACCEPT [535:25366]
:OUTPUT ACCEPT [1295:72602]
-A PREROUTING -i eth0 -p tcp -m tcp --dport 21 -j REDIRECT --to-ports 3128
-A PREROUTING -i eth0 -p tcp -m tcp --dport 80 -j REDIRECT --to-ports 3128
-A POSTROUTING -o eth1 -j MASQUERADE
COMMIT
# Completed on Thu Dec  6 16:12:53 2007
# Generated by iptables-save v1.3.6 on Thu Dec  6 16:12:53 2007
*mangle
:PREROUTING ACCEPT [356340:236323517]
:INPUT ACCEPT [185233:153168125]
:FORWARD ACCEPT [137236:78941395]
:OUTPUT ACCEPT [104956:58187708]
:POSTROUTING ACCEPT [242213:137130607]
COMMIT
# Completed on Thu Dec  6 16:12:53 2007

ps я прочитал почти все 16 страниц нашел некоторые советы которые мне помогли, но на некоторые вопросы я или не нашел ответа, или вариант решения проблемы не дал результатов.

И вот еще одна новая проблема =(, пробовал донастроить это все но теперь когда прокси указанна он выдает вот это, а если прокси не указанна в браузере то все нормально!

ERROR
The requested URL could not be retrieved

While trying to retrieve the URL: http://ziza.ru/2007/12/10/iz_seti.html

The following error was encountered:

    * Access Denied.

      Access control configuration prevents your request from being allowed at this time. Please contact your service provider if you feel this is incorrect.

Your cache administrator is kb88@bk.ru.
Generated Mon, 10 Dec 2007 18:12:30 GMT by b1tch.local (squid/2.6.STABLE14)

[hangover]

iptables -t nat -A PREROUTING -i eth0 -p tcp -m multiport --dport 80,443,8080 -j DNAT --to 192.168.0.1:3128

Вообще, не стоит, по-моему, https проксировать - страницы будут недоступны (если squid собран без поддежки ssl).

[Kucha]

Ребята помогите плиз меня этот прокси скоро в могилу загонит. Я всё уже испробовал по вашим советам, но безрезультатно.
1.установил Ubuntu6.06
2.установил через синаптик squid 2.6.STABLE12
3.установил две сетевые карты:eth0-локальная сеть(IP:192.168.1.7;Mask:255.255.255.0),eth1-интернет(ip:192.168.0.2;Mask:255.255.255.252;Шлюз:192.168.0.1)(ADSL-modem)
4.настроил сквид(мой конфиг):
http_port 192.168.1.7:8080
hierarchy_stoplist cgi-bin ?
acl QUERY urlpath_regex cgi-bin \?
no_cache deny QUERY
cache_mem 16 MB
cache_dir ufs /var/spool/squid 100 16 256
cache_access_log /var/log/squid/access.log
cache_log /var/log/squid/cache.log
cache_store_log /var/log/squid/store.log
client_netmask 255.255.255.0
dns_nameservers 212.120.160.139 212.120.160.130
hosts_file /etc/hosts
refresh_pattern ^ftp:      1440   20%   10080
refresh_pattern ^gopher:   1440   0%   1440
refresh_pattern .      0   20%   4320
acl all src 0.0.0.0/0.0.0.0
acl manager proto cache_object
acl localhost src 127.0.0.1/255.255.255.255
acl to_localhost dst 127.0.0.0/8
acl SSL_ports port 443 563   # https, snews
acl SSL_ports port 873      # rsync
acl Safe_ports port 80      # http
acl Safe_ports port 21      # ftp
acl Safe_ports port 443 563   # https, snews
acl Safe_ports port 70      # gopher
acl Safe_ports port 210      # wais
acl Safe_ports port 1025-65535   # unregistered ports
acl Safe_ports port 280      # http-mgmt
acl Safe_ports port 488      # gss-http
acl Safe_ports port 591      # filemaker
acl Safe_ports port 777      # multiling http
acl Safe_ports port 631      # cups
acl Safe_ports port 873      # rsync
acl Safe_ports port 901      # SWAT
acl CONNECT method CONNECT
acl our_networks src 192.168.1.0/24
http_access allow our_networks
http_access allow manager localhost
http_access deny manager
http_access deny !Safe_ports
http_access deny CONNECT !SSL_ports
http_access allow localhost
http_access deny all
http_reply_access allow all
icp_access allow all
cache_mgr pop@mail.ru
cache_effective_user nobody
cache_effective_group nogroup
visible_hostname proxy.localdomain
И вот с тех пор всё пытаюсь с клиентских выйти в интернет и всё без полезно.........
Помогите не мог бы кто написть правильную последовательность действий и указать в чём моя ошибка...

Всем буду блогадарен!!!!!!!И низкий поклон!!!!!!!!

[tierpunk]

Ребята помогите плиз меня этот прокси скоро в могилу загонит. Я всё уже испробовал по вашим советам, но безрезультатно.

И вот с тех пор всё пытаюсь с клиентских выйти в интернет и всё без полезно.........
Помогите не мог бы кто написть правильную последовательность действий и указать в чём моя ошибка...

Всем буду блогадарен!!!!!!!И низкий поклон!!!!!!!!

Я сам не могу свою настроить но попробую помочь, ты прокси в браузере указываешь? echo 1 > /proc/sys/net/ipv4/ip_forward делаешь? маскарадинг поднят?

[hangover]

begemot
Squid из официальных репозиториев НЕ поддерживает SSL, батенька. Не вводите народ в заблуждение. Сам попался на это как-то раз...

[Kucha]

Я сам не могу свою настроить но попробую помочь, ты прокси в браузере указываешь? echo 1 > /proc/sys/net/ipv4/ip_forward делаешь? маскарадинг поднят?
[/quote]
НЕТ прокси в браузере не указываю и маскарадинг не поднят поэтому я у вас и прошу помощи

[anghei]

Вопрос такого характера:
1)стоит Ubuntu 7.04
2)решил поставить squid из сырцов (со squid-cache.org)
3)поставить то поставил, только вот если squid не установлен из официального репозитария Ubuntu, то система его не видит
теперь собственно вопрос: где прописывается сквид при установке? я имею ввиду не его рабочие папки (/usr/local/squid не знает только ребенок), а про то как его распознает система?

[Imstranger]

2 hangover

в офиц. репозиториях Ubuntu Gutsy  - Squid_2.6.14-1ubuntu2 - по умолчанию поддерживает ssl, у меня Гатси-сервер автоматом вытянула пакеты openssl и  ssl-cert. Возможно предыдущие релизы не поддерживали.

2 Kucha

может вам тогда пока снести сквид или удалить из автозапуска, сделать пока гейт обычным способом без прокси, и потихоньку разобраться со сквидом (например, на другой машине). по_крайней мере хоть нэт будет на машинах. В любом случае неоходимо либо настраивать прокси в браузерах (при настройках как в вашем листинге), либо делать прокси прозрачным:

http_port 192.168.001.007:xxxx transparent

Маскарадинг можете сделать хотябы так:

# iptables -A POSTROUTING -t nat -j MASQUERADE
# sh -c "echo 1 > /proc/sys/net/ipv4/ip_forward"

да и вообще, может вам 7.10 поставить? все-таки все новые версии пакетов сваливают именно туда. 7.10 сервер работает по_моему просто зашибись

[Zp]

Ребята помогите плиз меня этот прокси скоро в могилу загонит. Я всё уже испробовал по вашим советам, но безрезультатно.
1.установил Ubuntu6.06
2.установил через синаптик squid 2.6.STABLE12
3.установил две сетевые карты:eth0-локальная сеть(IP:192.168.1.7;Mask:255.255.255.0),eth1-интернет(ip:192.168.0.2;Mask:255.255.255.252;Шлюз:192.168.0.1)(ADSL-modem)
4.настроил сквид(мой конфиг):
http_port 192.168.1.7:8080
hierarchy_stoplist cgi-bin ?
acl QUERY urlpath_regex cgi-bin \?
no_cache deny QUERY
cache_mem 16 MB
cache_dir ufs /var/spool/squid 100 16 256
cache_access_log /var/log/squid/access.log
cache_log /var/log/squid/cache.log
cache_store_log /var/log/squid/store.log
client_netmask 255.255.255.0
dns_nameservers 212.120.160.139 212.120.160.130
hosts_file /etc/hosts
refresh_pattern ^ftp:      1440   20%   10080
refresh_pattern ^gopher:   1440   0%   1440
refresh_pattern .      0   20%   4320
acl all src 0.0.0.0/0.0.0.0
acl manager proto cache_object
acl localhost src 127.0.0.1/255.255.255.255
acl to_localhost dst 127.0.0.0/8
acl SSL_ports port 443 563   # https, snews
acl SSL_ports port 873      # rsync
acl Safe_ports port 80      # http
acl Safe_ports port 21      # ftp
acl Safe_ports port 443 563   # https, snews
acl Safe_ports port 70      # gopher
acl Safe_ports port 210      # wais
acl Safe_ports port 1025-65535   # unregistered ports
acl Safe_ports port 280      # http-mgmt
acl Safe_ports port 488      # gss-http
acl Safe_ports port 591      # filemaker
acl Safe_ports port 777      # multiling http
acl Safe_ports port 631      # cups
acl Safe_ports port 873      # rsync
acl Safe_ports port 901      # SWAT
acl CONNECT method CONNECT
acl our_networks src 192.168.1.0/24
http_access allow our_networks
http_access allow manager localhost
http_access deny manager
http_access deny !Safe_ports
http_access deny CONNECT !SSL_ports
http_access allow localhost
http_access deny all
http_reply_access allow all
icp_access allow all
cache_mgr pop@mail.ru
cache_effective_user nobody
cache_effective_group nogroup
visible_hostname proxy.localdomain
И вот с тех пор всё пытаюсь с клиентских выйти в интернет и всё без полезно.........
Помогите не мог бы кто написть правильную последовательность действий и указать в чём моя ошибка...

Всем буду блогадарен!!!!!!!И низкий поклон!!!!!!!!

удали все из конфига оставь только эти правила

http_port 192.168.1.7:8080
acl our_networks src 192.168.1.0/24
http_access allow our_networks

если заработает то добавляй по одному правилу и смотри где ошибся...

[hangover]

Возможно предыдущие релизы не поддерживали.

Да, видимо. У меня на шлюзе Feisty.

[Kucha]

Вот в чём проблема запускаю
su proxy /usr/local/squid/bin/squid -z
и такая фигня
su: invalid option -- z
Usage: su [OPTS] [-] [username [ARGS]]
        -       make this a login shell
        -c, --command=<command>
                pass command to the invoked shell using its -c
                option
        -m, -p, --preserve-environment
                do not reset environment variables, and keep the
                same shell
        -s, --shell=<shell>
                use shell instead of the default in /etc/passwd
как лечить

[LoVinG]

Вот в чём проблема запускаю
su proxy /usr/local/squid/bin/squid -z
и такая фигня
su: invalid option -- z
Usage: su [OPTS] [-] [username [ARGS]]
        -       make this a login shell
        -c, --command=<command>
                pass command to the invoked shell using its -c
                option
        -m, -p, --preserve-environment
                do not reset environment variables, and keep the
                same shell
        -s, --shell=<shell>
                use shell instead of the default in /etc/passwd
как лечить

не su а sudojavascript:void(0);