Здравствуйте, гость ( Вход | Регистрация )

IPB
 
Ответить в данную темуНачать новую тему
> squid 2.7 настройка прозрачным шлюзом
Doom
сообщение 30.8.2010, 14:47
Сообщение #1


Модератор
*

Группа: Пользователи
Сообщений: 23
Регистрация: 1.6.2010
Пользователь №: 202



схема:
инет-->

-->debian 5.0.4
eth0 Link encap:Ethernet HWaddr 08:00:27:4f:ea:55
inet addr:192.168.0.201 Bcast:192.168.0.255 Mask:255.255.255.0
inet6 addr: fe80::a00:27ff:fe4f:ea55/64 Scope:Link
UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1
RX packets:840 errors:0 dropped:0 overruns:0 frame:0
TX packets:531 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:1000
RX bytes:641355 (626.3 KiB) TX bytes:79007 (77.1 KiB)

eth1 Link encap:Ethernet HWaddr 08:00:27:b5:ca:3e
inet addr:192.168.56.102 Bcast:192.168.56.255 Mask:255.255.255.0
inet6 addr: fe80::a00:27ff:feb5:ca3e/64 Scope:Link
UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1
RX packets:15 errors:0 dropped:0 overruns:0 frame:0
TX packets:54 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:1000
RX bytes:1964 (1.9 KiB) TX bytes:7894 (7.7 KiB)

lo Link encap:Local Loopback
inet addr:127.0.0.1 Mask:255.0.0.0
inet6 addr: ::1/128 Scope:Host
UP LOOPBACK RUNNING MTU:16436 Metric:1
RX packets:426 errors:0 dropped:0 overruns:0 frame:0
TX packets:426 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:0
RX bytes:613805 (599.4 KiB) TX bytes:613805 (599.4 KiB)
где:
192.168.56.0 локалка
192.168.0.201 со шлюзом 1912.168.0.10 даёт инет

стоит: squid
с прописыванием настроек в прокси эксплорера клиентов -- инет блогополучно есть

очень хочется:
чтоб был шлюз БЕЗ прописывания настроек.
причём именно через squid для подсчёта трафика

P.S. dhсp3 стоит и адреса раздавать не проблема

p.P.S
вот это (http://www.opennet.ru/openforum/vsluhforumID12/6356.html) крутил вертел - не работает

Заранее спасибо.
Перейти в начало страницы
 
+Цитировать сообщение
Voyaka
сообщение 30.8.2010, 14:49
Сообщение #2


Новичок
*

Группа: Пользователи
Сообщений: 15
Регистрация: 10.8.2010
Пользователь №: 253



клиентам так же отдавать адрес шлюза и DNS серверов
Перейти в начало страницы
 
+Цитировать сообщение
Voyaka
сообщение 30.8.2010, 14:50
Сообщение #3


Новичок
*

Группа: Пользователи
Сообщений: 15
Регистрация: 10.8.2010
Пользователь №: 253



клиентам так же отдавать адрес шлюза и DNS серверов
Перейти в начало страницы
 
+Цитировать сообщение
Doom
сообщение 30.8.2010, 14:51
Сообщение #4


Модератор
*

Группа: Пользователи
Сообщений: 23
Регистрация: 1.6.2010
Пользователь №: 202



Цитата
клиентам так же отдавать адрес шлюза и DNS серверов


прописывал и руками и через dhcp -- шлюз и днс 19.168.56.102
без толку

судя по всему нуно:
1) завернуть порт 80 прероутином на порт 3128 сквида

команда типа:
iptables -t nat -A PREROUTING -s 192.168.56.0/255.255.255.0 -d ! 192.168.56.102 -p tcp -m multiport --dport 80,81,82,83,88,8000,8001,8002,8080,8081 -j REDIRECT --to-port 3128

проглатывает без ошибок
НО
сканирование портов этого интерфейса показывает, что он их НЕ открывает и НЕ ждёт запроса чтоб его редиректить

куда копать?
Перейти в начало страницы
 
+Цитировать сообщение
Voyaka
сообщение 30.8.2010, 14:53
Сообщение #5


Новичок
*

Группа: Пользователи
Сообщений: 15
Регистрация: 10.8.2010
Пользователь №: 253



покажите iptables-save и grep http_port squid.conf
Перейти в начало страницы
 
+Цитировать сообщение
Doom
сообщение 30.8.2010, 14:54
Сообщение #6


Модератор
*

Группа: Пользователи
Сообщений: 23
Регистрация: 1.6.2010
Пользователь №: 202



Цитата
покажите iptables-save и grep http_port squid.conf



debian:~# iptables-save
# Generated by iptables-save v1.4.2 on Sat Aug 28 16:13:51 2010
*nat
:PREROUTING ACCEPT [0:0]
:POSTROUTING ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]
-A PREROUTING -s 192.168.56.0/24 -d ! 192.168.56.102/32 -p tcp -m multiport --dports 80,81,82,83,88,8000,8001,8002,8080,8081 -j REDIRECT --to-ports 3128
COMMIT
# Completed on Sat Aug 28 16:13:51 2010

http_port 3128 transparent

squid разумеется запущен
ибо прописывая вручную прокси сразу ловится инет -- в логах отображается, так что его точно даёт сквид

P.S. браузер не может найти DNS разрешения имён.. ибо начинает перебор
(возможно поможет)
Перейти в начало страницы
 
+Цитировать сообщение
Voyaka
сообщение 30.8.2010, 14:56
Сообщение #7


Новичок
*

Группа: Пользователи
Сообщений: 15
Регистрация: 10.8.2010
Пользователь №: 253



Цитата
# Completed on Sat Aug 28 16:13:51 2010

http_port 3128 transparent

squid разумеется запущен
ибо прописывая вручную прокси сразу ловится инет -- в логах отображается, так что его точно даёт сквид

P.S. браузер не может найти DNS разрешения имён.. ибо начинает перебор
(возможно поможет)



так а DNS сервер на 192.168.56.102 есть и запущен?

попробуйте в браузере обратиться по ip.

Name: opennet.ru
Address: 77.234.201.242
Перейти в начало страницы
 
+Цитировать сообщение
Doom
сообщение 30.8.2010, 14:59
Сообщение #8


Модератор
*

Группа: Пользователи
Сообщений: 23
Регистрация: 1.6.2010
Пользователь №: 202



Цитата
так а DNS сервер на 192.168.56.102 есть и запущен?

попробуйте в браузере обратиться по ip.

Name: opennet.ru
Address: 77.234.201.242




нету DNS
про написанном прокси -- он ессено находит и по айпи и по dns имени

при чистом шлюзе без прокси --- адреса не резолвит-- по айпишнику во внешку тоже не идёт
Перейти в начало страницы
 
+Цитировать сообщение
Voyaka
сообщение 30.8.2010, 15:02
Сообщение #9


Новичок
*

Группа: Пользователи
Сообщений: 15
Регистрация: 10.8.2010
Пользователь №: 253



Цитата
нету DNS
про написанном прокси -- он ессено находит и по айпи и по dns имени

при чистом шлюзе без прокси --- адреса не резолвит-- по айпишнику во внешку тоже не идёт


при этом разрешением имен занимается прокси и если у него в конфиге не указано каким dns серверами пользоваться , он берет их из resolv.conf

Цитата
при чистом шлюзе без прокси --- адреса не резолвит-- по айпишнику во внешку тоже не идёт


что бы без прокси (прописанного или прозрачного) нужен еще SNAT.
и разрешить пересылку
echo 1 > "/proc/sys/net/ipv4/ip_forward"

проверьте по ip с прозрачным прокси, если не заработает попробуйте изменить правило в iptables на
iptables -t nat -I PREROUTING -s 192.168.56.0/255.255.255.0 -d ! 192.168.56.102 -p tcp -m multiport --dport 80,81,82,83,88,8000,8001,8002,8080,8081 -j DNAT --to 192.168.56.102:3128

подымайте кеширующий dns там ничего сложного или клиентам отдавайте dns провайдера и делайте SNAT для этих пакетов, но это по моему хуже.
Перейти в начало страницы
 
+Цитировать сообщение
Doom
сообщение 30.8.2010, 15:03
Сообщение #10


Модератор
*

Группа: Пользователи
Сообщений: 23
Регистрация: 1.6.2010
Пользователь №: 202



поднял dnsmasq
прописал dhcp-range
резолв какой положено
рестарт

айпишники резолвит -- но инета нету

добавил вот это:
iptables -t nat -A PREROUTING -i eth1 -d ! 192.168.56.0/255.255.255.0 -p tcp -m multiport --dport 80,8080 -j DNAT --to 192.168.0.201:3128

и вуаля

кому подробности --пишите мылом
stim@amik.ru
Перейти в начало страницы
 
+Цитировать сообщение

Ответить в данную темуНачать новую тему
1 чел. читают эту тему (гостей: 1, скрытых пользователей: 0)
Пользователей: 0

 

Текстовая версия Сейчас: 8.12.2019, 4:22