Форум русскоязычного сообщества Ubuntu


Считаете, что Ubuntu недостаточно дружелюбна к новичкам?
Помогите создать новое Руководство для новичков!

Автор Тема: Шлюз Интернета на базе Ubuntu-Server / Internet Connection Sharing + Squid  (Прочитано 521410 раз)

0 Пользователей и 1 Гость просматривают эту тему.

Оффлайн Banzay

  • Любитель
  • *
  • Сообщений: 62
    • Просмотр профиля
Помогите плиз настроить прозрачность прокси, уже измучался :'(. есть 2 интерфейса и оба статические, на одном висит инет (eth1 - 192.168.0.1) на втором - локальная сеть (eth0 - 192.168.1.1). при попытке выставить правило (iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 80 -j REDIRECT --to-ports 3128)
выдает в браузере клиента ошибку, но если выставить в  прокси 192.168.1.1:3128, то все проходит нормально.
В сквиде прописано 192.168.1.1:3128 transparent

iptables

# Generated by iptables-save v1.3.6 on Thu May 22 14:47:44 2008
*mangle
:PREROUTING ACCEPT [493:47297]
:INPUT ACCEPT [307:28275]
:FORWARD ACCEPT [186:19022]
:OUTPUT ACCEPT [307:28875]
:POSTROUTING ACCEPT [493:47897]
COMMIT
# Completed on Thu May 22 14:47:44 2008
# Generated by iptables-save v1.3.6 on Thu May 22 14:47:44 2008
*filter
:INPUT ACCEPT [307:28275]
:FORWARD ACCEPT [186:19022]
:OUTPUT ACCEPT [307:28875]
COMMIT
# Completed on Thu May 22 14:47:44 2008
# Generated by iptables-save v1.3.6 on Thu May 22 14:47:44 2008
*nat
:PREROUTING ACCEPT [0:0]
:POSTROUTING ACCEPT [1:60]
:OUTPUT ACCEPT [1:60]
-A PREROUTING -i eth1 -p tcp -m tcp --dport 80 -j REDIRECT --to-ports 3128
-A POSTROUTING -o eth0 -j MASQUERADE
-A POSTROUTING -o ppp+ -j MASQUERADE
COMMIT
# Completed on Thu May 22 14:47:44 2008
Семь бед один reset
------------------------------
Это было неизбежно

Оффлайн Vadim Bilalov

  • Автор темы
  • Любитель
  • *
  • Сообщений: 56
    • Просмотр профиля
Какая ошибка в браузере? И что в логах сквида?
« Последнее редактирование: 22 Мая 2008, 22:09:20 от Vadim Bilalov »

Оффлайн vplusplus

  • Новичок
  • *
  • Сообщений: 1
    • Просмотр профиля
А кто сравнивал squid 3.0 со старым squid 2.6? Имеет ли смысл на первый переходить при работающем втором? Сеть, что естественно, небольшая и домашняя.

Оффлайн Banzay

  • Любитель
  • *
  • Сообщений: 62
    • Просмотр профиля
ошибка : access denied
access.log не пишет ничего
Семь бед один reset
------------------------------
Это было неизбежно

Оффлайн Banzay

  • Любитель
  • *
  • Сообщений: 62
    • Просмотр профиля
сори напутал... squid 3
access.log:

1211611161.394    554 192.168.1.15 TCP_MISS/200 5223 GET http://r.mail.ru/b4188951.jpg tania NONE/- image/jpeg
1211611162.940   1543 192.168.1.15 TCP_MISS/200 3221 GET http://r.mail.ru/b4152437.jpg tania NONE/- image/jpeg
1211611163.438    498 192.168.1.15 TCP_MISS/200 7157 GET http://r.mail.ru/b4188957.jpg tania NONE/- image/jpeg
1211611163.542    102 192.168.1.15 TCP_MISS/200 732 GET http://r.mail.ru/b3906285.gif tania NONE/- image/gif
1211611163.573   3191 192.168.1.15 TCP_MISS/200 3993 GET http://r.mail.ru/b4161139.jpg tania DIRECT/194.67.57.154 image/jpeg
1211611163.599     55 192.168.1.15 TCP_MISS/200 730 GET http://r.mail.ru/b3906286.gif tania NONE/- image/gif
1211611163.705    128 192.168.1.15 TCP_MISS/200 719 GET http://r.mail.ru/b3906287.gif tania NONE/- image/gif
1211611163.744    140 192.168.1.15 TCP_MISS/200 721 GET http://r.mail.ru/b3906288.gif tania NONE/- image/gif
1211611164.091   3710 192.168.1.15 TCP_MISS/200 2284 GET http://r.mail.ru/b4160720.jpg tania DIRECT/194.67.57.171 image/jpeg
1211611166.422   6040 192.168.1.15 TCP_MISS/200 2745 GET http://r.mail.ru/b4231056.jpg tania DIRECT/194.67.57.170 image/jpeg

tania - это пользователь, который проходит авторизацию, принудительно указав 192.168.1.1:3128 в браузере...
Семь бед один reset
------------------------------
Это было неизбежно

Оффлайн Banzay

  • Любитель
  • *
  • Сообщений: 62
    • Просмотр профиля
   Скорее всего проблема в самом squd3, погуглив нашел похожую проблему на opennet, вроде как надо собрать его с ключем --enable-ipfw-transparent, но что-то нет желания все по новой мутить, дабы имеется связка с SAMS.
   Может у кого какие идеи есть? :-\
Семь бед один reset
------------------------------
Это было неизбежно

Оффлайн Banzay

  • Любитель
  • *
  • Сообщений: 62
    • Просмотр профиля
Семь бед один reset
------------------------------
Это было неизбежно

Оффлайн hardir

  • Участник
  • *
  • Сообщений: 124
  • open source рулит
    • Просмотр профиля
    • маленький блог бедного программера
Во млин. Всё перепробывал. Ничего не работает. Всякие
iptables -t nat -A PREROUTING -p tcp -m tcp -d 192.168.0.190 --dport 80 -j DNAT --to-destination 192.168.0.202:3128
непонятно где сеть, где инет. Да и Nat этот никогда не работал у меня. Можно как-нить без nat? чтоб прописал проксю в маздай IE и чтоб всё работало?

Ситуация такая:

Есть ДВЕ сети. В первой:

Машина 1 (ip 10.1.2.10)
имеет доступ в и-нет ч/з Adsl модем. У неё две карточки и на ней стоит маздай. Одна  карточка(192.168.1.1) слушает модем, другая (10.1.2.10) смотрит в локальную сеть 1. На машине стоит userGate который раздаёт инет по порту 8080. Т.е. во всех клиентах прописан прокси в браузере 10.1.2.10:8080 и всё гуд.

Машина 2 (eth0 10.1.2.122 смотрит в локальную сеть 1; eth1 192.168.0.2 смотрит в ЛВС 2)
на этой машине стоит Xubuntu 804 и Squid. В /etc/squid/squid.conf прописал:
http_port 8080
cache_dir ufs /var/spool/squid 100 16 256
acl our_networks src 192.168.0.0/24
http_access allow our_networks
visible_hostname proxy.obshaga
и выполнил

iptables -t nat -A PREROUTING -i eth0 -d ! 192.168.0.0/24 -p tcp -m multiport --dport 80,8080 -j DNAT --to 10.1.2.10:8080

На машинах в ЛС 2 прописал в настройках IE 192.168.0.2:8080

Не работает. Что я сделал не так?

Оффлайн Nesmit

  • Старожил
  • *
  • Сообщений: 1296
    • Просмотр профиля

Ситуация такая:

Есть ДВЕ сети. В первой:

Машина 1 (ip 10.1.2.10)
имеет доступ в и-нет ч/з Adsl модем. У неё две карточки и на ней стоит маздай. Одна  карточка(192.168.1.1) слушает модем, другая (10.1.2.10) смотрит в локальную сеть 1. На машине стоит userGate который раздаёт инет по порту 8080. Т.е. во всех клиентах прописан прокси в браузере 10.1.2.10:8080 и всё гуд.

Машина 2 (eth0 10.1.2.122 смотрит в локальную сеть 1; eth1 192.168.0.2 смотрит в ЛВС 2)
на этой машине стоит Xubuntu 804 и Squid. В /etc/squid/squid.conf прописал:

1. Кажется ты хочешь сделать каскадный прокси. Т.е. пустить через UserGate свой Squid. Тогда тебе нужно еще почитать документацию в сторону настроек каскада.
кажется параметр cache_peer  нужно покрутить, если не ошибаюсь.
2. С натом получится только, если у клиентов прописывать прокси 10.1.2.10:8080 ну и конечно же включить нат указав интерфейс с ip 10.1.2.122.
3. Никаких сквидов, sudo apt-get install ipmasq, указываешь порт прокси 10.1.2.122:8080, спишь спокойно.

PS: решения на выбор. В 3м варианте, если что снесешь пакет командой sudo apt-get remove ipmasq. Все вернется обратно.

Оффлайн hardir

  • Участник
  • *
  • Сообщений: 124
  • open source рулит
    • Просмотр профиля
    • маленький блог бедного программера
У ipmasq даже нет параметра, похожего на прокси.
#ipmasq 10.1.2.122:8080
ничего не дало.
Насчёт каскадного прокси - ща погуглю :-)

Оффлайн good

  • Новичок
  • *
  • Сообщений: 5
    • Просмотр профиля
ребята, такой вот вопрос - как реально сделать так что бы можно было мониторить какой юзер сколько и когда и за какое время чего выкачал и т.п. ? И как определённому юзеру отрубить доступ к сайтам каким-либо ? Подскажите пожалуйста. Заранее благодарю.

Оффлайн Nesmit

  • Старожил
  • *
  • Сообщений: 1296
    • Просмотр профиля
У ipmasq даже нет параметра, похожего на прокси.
#ipmasq 10.1.2.122:8080
ничего не дало.
Насчёт каскадного прокси - ща погуглю :-)
Ты не понял, это название пакета, который нужно установить  :) Причем я дал полную строку, скопируй и вставь в консоль.

Оффлайн Nesmit

  • Старожил
  • *
  • Сообщений: 1296
    • Просмотр профиля
ребята, такой вот вопрос - как реально сделать так что бы можно было мониторить какой юзер сколько и когда и за какое время чего выкачал и т.п. ? И как определённому юзеру отрубить доступ к сайтам каким-либо ? Подскажите пожалуйста. Заранее благодарю.
Sams (ищи на форуме описание установки).... На opennet.ru полно статей о сквиде и других программ отличных от sams'a
http://www.opennet.ru/search.shtml?method=and&format=builtin-long&config=htdig&restrict=&exclude=&words=squid+auth

Оффлайн hardir

  • Участник
  • *
  • Сообщений: 124
  • open source рулит
    • Просмотр профиля
    • маленький блог бедного программера
Ты не понял, это название пакета, который нужно установить  :) Причем я дал полную строку, скопируй и вставь в консоль.
Ну так естессно я его установил :-)
Может подскажеш с какими параметрами его стартонуть?
В общем задачу излагаю подругому:
Надо на машине с xubuntu перенаправлять все запросы с 192.168.0.2:8080 на 10.1.2.10:8080
И желательно с возможностью контроля скорости соединения юзверей и с запретами на опр. сайты (но это уже другая тема)

Устонавливал какой-то там iprouter или чё-то в этом роде - сеть ваще перестала работать. Пришлось удалять ентого гада.

Оффлайн Nesmit

  • Старожил
  • *
  • Сообщений: 1296
    • Просмотр профиля
никак. он сам по себе работает.
Ставишь этот пакет, у тебя сразу включается нат, и указываешь пользователям прописать у себя первичный прокси.
>>И желательно с возможностью контроля скорости соединения юзверей и с запретами на опр. сайты (но это уже другая тема)
ты прав.
>>Устонавливал какой-то там iprouter или чё-то в этом роде - сеть ваще перестала работать. Пришлось удалять ентого гада.
Незнаючи, все гады. На кого не взгляни, думать нужно перед тем как ставишь или хотя-бы у гугла спросить что за программа и нах она тебе нужна.

 

Страница сгенерирована за 0.02 секунд. Запросов: 21.