Шлюз Интернета на базе Ubuntu-Server / Internet Connection Sharing + Squid

[Nesmit]

а демон то работает?

Поменяй местами строчки, кажется сначала разрешают, потом запрещают оставшееся.Точно не помню, но по умолчанию так

acl our_networks src 89.163.135.374 # мой IP
http_access allow our_networds
http_access deny all

[1999]

Да, демон работает
Щас попробовал - все то же самое
Может быть стоит как-то указать IP сервера в самой онфигурации squid?

[Nesmit]

а лог что говорит об этом?

[phh]

когда ты заходишь в интернет используя SQUID, то что пишет браузер? мол не может открыть страницу или Доступ запрещён? или что то другое?
опиши если смогу помогу, я через это проходи уже и ещё какая версия SQUID?

[AxCel]

Здравствуйте господа ))
Стоит сервер на базе Debian Lenny 5.0 там крутится сквид(Squid Cache: Version 2.7.STABLE6). Произведена его базовая настройка под прозрачное проксировиние. Почему то не хочет работать редирект в iptables ((
Собственно прописывается команда в разных вариациях:
от:
iptables -t nat -A PREROUTING -s 192.168.0.0/24 -i eth1 -d ! 192.168.0.0/24 -p tcp -m multiport --dport 21,22,25,80,110,143,443,5190,8080 -j DNAT --to 192.168.2.99:3128
и до:
iptables -t nat -A PREROUTING -s 192.168.0.0/24 -p tcp --dport 80 -j REDIRECT --to-ports 3128

192.168.2.99 - eth0 - внешний ip
192.168.0.1 - eth1 - локальный ip

если прокси прописать прокси вручную в браузере - все чудесно...
может кто уже сталкивался

в момент, когда должен работать редирект, tcpdump по порту 3128 молчит, в условиях работы браузера через прописанный прокси - куча данных... Отсюда вывод, что лажа где то в iptables... Мучусь уже 3й день... перечитал кучу инфы... и везде у всех эта строка работает, а меня нет (((

[ffsdmad]

Здравствуйте господа ))
Стоит сервер на базе Debian Lenny 5.0 там крутится сквид(Squid Cache: Version 2.7.STABLE6). Произведена его базовая настройка под прозрачное проксировиние. Почему то не хочет работать редирект в iptables ((
Собственно прописывается команда в разных вариациях:
от:
iptables -t nat -A PREROUTING -s 192.168.0.0/24 -i eth1 -d ! 192.168.0.0/24 -p tcp -m multiport --dport 21,22,25,80,110,143,443,5190,8080 -j DNAT --to 192.168.2.99:3128
и до:
iptables -t nat -A PREROUTING -s 192.168.0.0/24 -p tcp --dport 80 -j REDIRECT --to-ports 3128

192.168.2.99 - eth0 - внешний ip
192.168.0.1 - eth1 - локальный ip

если прокси прописать прокси вручную в браузере - все чудесно...
может кто уже сталкивался

в момент, когда должен работать редирект, tcpdump по порту 3128 молчит, в условиях работы браузера через прописанный прокси - куча данных... Отсюда вывод, что лажа где то в iptables... Мучусь уже 3й день... перечитал кучу инфы... и везде у всех эта строка работает, а меня нет (((

ну во первых

head /etc/squid/squid.conf
http_port 3128 transparent

во вторых

iptables -t nat -A PREROUTING  -i eth1 -p tcp -m tcp --dport 80 -j REDIRECT --to-ports 3128

проксировать https сейчас не советую, почему то FF3 стал плохо так работать
и ещё, смотри логи сквида. туда что нить сыплется от транспарент юзеров?

[AxCel]

http_port 3128 transparent - прописано
убил старые правила, прописал:
iptables -t nat -A PREROUTING  -i eth1 -p tcp -m tcp --dport 80 -j REDIRECT --to-ports 3128

траф до прокси почему то просто не доходит... куда идет - не понятно... ((
могу выложить логи сквида...

[ffsdmad]

http_port 3128 transparent - прописано
убил старые правила, прописал:
iptables -t nat -A PREROUTING  -i eth1 -p tcp -m tcp --dport 80 -j REDIRECT --to-ports 3128

траф до прокси почему то просто не доходит... куда идет - не понятно... ((
могу выложить логи сквида...

Код: [Выделить]

sysctl net.ipv4.ip_forward
net.ipv4.ip_forward = 1

[AxCel]

Код: [Выделить]

sysctl net.ipv4.ip_forward
net.ipv4.ip_forward = 1

прописано в rc.local (echo "1" > /proc/sys/net/ipv4/ip_forward)
проверил еще раз, таки 1...

[AxCel]

Наконец то нашел проблему )) С командой iptables все в порядке )) Как оказалось у меня просто запросы на днс сервер к нему не доходили (или не доходили ответы от него) Завтра подниму днс на серваке локально. В теории все должно зароботать )))

[AxCel]

поднял днс, все сразу стало на свои места ))

теперь возникла следующая проблема... даже две:
1. Если  перенаправлять на сквид 443й порт, то мозила говорит ssl_error_rx_record_too_long, а эксплоурер вообще не грузит страницы (( При этом если пустить браузер через прокси принудительно (не прозрачно) все работает...
2. Проблема схожа, не хочет прозрачно проксироваться порт 5190 (icq) Квипа просто не хочет подключаться и просит проверить сетевые настройки... Мож кто знает как это можно решить

[Nesmit]

1. ssl не проксируется! т.е. в может и не работать в прозрачном режиме.
2. И не будет нужно принудительно прописывать в клиентах прокси сервер.

[MadKox]

2 AxCel но при этом ^^^ можно настроить проброс нужного мимо сквида.

Для этого в iptables нужно сначала это принять (в таблице filter), а затем перехватить до того, как они уйдут в сквид (в таблице nat).

Вообще, как не раз уже замечали, прозрачный squid = http only (ну почти всегда).

ЗЫ а https не проксируется потому что не кешируется... а не кешируется, потому, что нет смысла - все равно зашифрован  Если без прозрачного режима - можно через squid сделать проброс, но разницы особой кроме учета трафика через логи squid'а нет. А насчет трафика - % https трафика исчезающе мал по сравнению с http трафиком (по крайней мере у меня)...

[AxCel]

Ну пока так и делаю ) 443 порт ходит мимо сквида ))
а 5190 тоже не кешируется ася ведь тоже прозрачно ходить не хочет(пока что ходит рядом с 443м)...

[MadKox]

Страшное тайно: ася умеет работать через 443-й порт