Proxy/NAT

posmotret · Отправлено: **15:59, 27-07-2011** | #11

freese, в том и соль что бы ничего не протягивать и по минимум настроек у клиентов...сейчас мой сервер в качестве шлюза всем дает инет...но у меня не получается завернуть трафик на squid...делаю так:

Код:

#! /bin/sh
#
INET="eth0"
INETIP="192.168.0.111"
case "$1" in
  start)
  iptables --flush
# доступ пользователя "proxy" через Squid - uid "proxy" - 13
# если в вашем случае другой, то поменяйте его
iptables -t nat -A POSTROUTING -o $INET ! -d 192.168.0.0/24 -j SNAT --to-source $INETIP
iptables -t nat -A OUTPUT -m owner --uid-owner 13 -j ACCEPT
iptables -t nat -A OUTPUT -p tcp --dport 80 -j REDIRECT --to-port 3128
# Отбрасываем HTTPS-трафик
iptables -t filter -A OUTPUT -m owner --uid-owner 13 -j ACCEPT
iptables -t filter -A OUTPUT -p tcp --dport 443 -j REJECT
echo "1" > /proc/sys/net/ipv4/ip_forward

    echo "старт прозрачного проксирования"
    ;;
  stop)
    iptables --flush
    iptables --table nat --flush
    echo "отмена прозрачного проксирования"
    ;;
  *)
    echo "скрипт используйте так: iptables_proxy.script {start|stop}"
    exit 1
    ;;
esac
exit 0

в логе squid access.log пусто...телнетом на порт 3128 зацепиться не могу...

P.S. странное дело...когда начинал все это думал научусь, разберусь...а сейчас такое ощущение что не понимаю еще больше чем до этого

posmotret · Отправлено: **16:34, 27-07-2011** | #12

freese, да в том и соль что бы ничего не тянуть и настраивать по минимуму

freese · Конфигурация компьютера

posmotret,
настройки SQUID`а (squid.conf):
редактировал?
должно быть так

Цитата:

httpd_accel_host virtual
httpd_accel_port 80
httpd_accel_single_host off
httpd_accel_with_proxy on
httpd_accel_uses_host_header on

posmotret · Отправлено: **16:55, 27-07-2011** | #14

freese,
редактировал, но у меня сейчас до squid дело не ходит...сейчас я в такой ситуации:
прописав у клиентов шлюзом адрес сервера

Код:

Подключение по локальной сети 2 - Ethernet адаптер:

        DNS-суффикс этого подключения . . :
        Описание  . . . . . . . . . . . . : Realtek RTL8168/8111
thernet NIC
        Физический адрес. . . . . . . . . : 00-18-F3-02-F7-A7
        Dhcp включен. . . . . . . . . . . : нет
        IP-адрес  . . . . . . . . . . . . : 192.168.0.53
        Маска подсети . . . . . . . . . . : 255.255.255.0
        Основной шлюз . . . . . . . . . . : 192.168.0.111
        DNS-серверы . . . . . . . . . . . : 8.8.8.8

клиенты получают инет:

Код:

C:\Documents and Settings\user>tracert www.ya.ru

Трассировка маршрута к ya.ru [87.250.251.3]
с максимальным числом прыжков 30:

  1    <1 мс    <1 мс    <1 мс  192.168.0.111
  2     1 ms    27 ms    27 ms  95.71.104.1
  3    29 ms    29 ms    30 ms  10.203.43.1
  4    31 ms    32 ms    31 ms  77.51.254.214
  5    37 ms    32 ms    35 ms  77.51.254.213
^C

странички открываются
на сервере:

Код:

 sudo iptables -L
Chain INPUT (policy ACCEPT)
target     prot opt source               destination

Chain FORWARD (policy ACCEPT)
target     prot opt source               destination

Chain OUTPUT (policy ACCEPT)
target     prot opt source               destination

конфиг squid:

Код:

hierarchy_stoplist cgi-bin ?
acl QUERY urlpath_regex cgi-bin \?
no_cache deny QUERY

hosts_file /etc/hosts

acl all src 0.0.0.0/0.0.0.0
acl manager proto cache_object
acl localhost src 127.0.0.1/255.255.255.255
acl inet src 192.168.0.111
acl LocalNet src 192.168.0.0/24
acl incom dst 192.168.0.111
acl lh src 127.0.0.1

http_access allow LocalNet
http_access deny all


# Опции прозрачного перенаправления:
always_direct allow all
http_port 192.168.0.111:3128 transparent

# Эффективные пользователь/группа
cache_effective_user proxy
cache_effective_group proxy

access_log /var/log/squid/access.log squid

icp_access allow all
cache_mgr mail@linuxforchildren.com

forwarded_for off
coredump_dir /var/spool/squid

Проверяю открытые порты:

Код:

 netcat -v -w 4 -z 192.168.0.111 1-1023 | grep succeed
srvdwb.sumzr [192.168.0.111] 445 (microsoft-ds) open
srvdwb.sumzr [192.168.0.111] 139 (netbios-ssn) open
srvdwb.sumzr [192.168.0.111] 111 (sunrpc) open
srvdwb.sumzr [192.168.0.111] 22 (ssh) open

и его (порта 3128) нет среди открытых

соответственно телнетом тоже не могу на него зацепиться...squid стартует без сообщений об ошибках

и еще если же я запускаю вот этот скрипт:

Код:

#! /bin/sh
#
INET="eth0"
INETIP="192.168.0.111"
case "$1" in
  start)
  iptables --flush
# доступ пользователя "proxy" через Squid - uid "proxy" - 13
# если в вашем случае другой, то поменяйте его
iptables -t nat -A POSTROUTING -o $INET ! -d 192.168.0.0/24 -j SNAT --to-source $INETIP
iptables -t nat -A OUTPUT -m owner --uid-owner 13 -j ACCEPT
iptables -t nat -A OUTPUT -p tcp --dport 80 -j REDIRECT --to-port 3128
# Отбрасываем HTTPS-трафик
iptables -t filter -A OUTPUT -m owner --uid-owner 13 -j ACCEPT
iptables -t filter -A OUTPUT -p tcp --dport 443 -j REJECT
echo "1" > /proc/sys/net/ipv4/ip_forward

    echo "старт прозрачного проксирования"
    ;;
  stop)
    iptables --flush
    iptables --table nat --flush
    echo "отмена прозрачного проксирования"
    ;;
  *)
    echo "скрипт используйте так: iptables_proxy.script {start|stop}"
    exit 1
    ;;
esac
exit 0

то трассировка маршрута у клиента становиться такая:

Код:

C:\Documents and Settings\user>tracert www.ya.ru

Трассировка маршрута к ya.ru [87.250.251.3]
с максимальным числом прыжков 30:

  1    <1 мс    <1 мс    <1 мс  192.168.0.111
  2     1 ms     1 ms    <1 мс  192.168.0.1
  3    27 ms    27 ms    27 ms  95.71.104.1
  4    37 ms    58 ms    30 ms  10.203.43.1
^C

и перестают открываться веб страницы на сервере, хотя пинги и трасировка с сервера идут, а у клиента работает все