LINUX.ORG.RU
ФорумAdmin

squid3 в прозрачном режиме без подмены сертификатов

 certificated, , squid. without,


0

4

Добрый день! Собрал конфигурацию по следующей статье: Настройка
ОС:

 uname -a
Linux proxy 3.16.0-4-686-pae #1 SMP Debian 3.16.7-ckt25-2 (2016-04-08) i686 GNU/Linux

Опции squid:
squid -v
Squid Cache: Version 3.5.17
Service Name: squid
Debian linux
configure options:  '--build=i586-linux-gnu' '--prefix=/usr' '--includedir=${prefix}/include' '--mandir=${prefix}/share/man' '--infodir=${prefix}/share/info' '--sysconfdir=/etc' '--localstatedir=/var' '--libexecdir=${prefix}/lib/squid3' '--srcdir=.' '--disable-maintainer-mode' '--disable-dependency-tracking' '--disable-silent-rules' 'BUILDCXXFLAGS=-g -O2 -fPIE -fstack-protector-strong -Wformat -Werror=format-security -fPIE -pie -Wl,-z,relro -Wl,-z,now' '--datadir=/usr/share/squid' '--sysconfdir=/etc/squid' '--libexecdir=/usr/lib/squid' '--mandir=/usr/share/man' '--enable-inline' '--disable-arch-native' '--enable-ssl' '--enable-ssl-crtd' '--enable-async-io=8' '--enable-storeio=ufs,aufs,diskd,rock' '--enable-removal-policies=lru,heap' '--enable-delay-pools' '--enable-cache-digests' '--enable-icap-client' '--enable-follow-x-forwarded-for' '--enable-auth-basic=DB,fake,getpwnam,LDAP,NCSA,NIS,PAM,POP3,RADIUS,SASL,SMB' '--enable-auth-digest=file,LDAP' '--enable-auth-negotiate=kerberos,wrapper' '--enable-auth-ntlm=fake,smb_lm' '--enable-external-acl-helpers=file_userip,kerberos_ldap_group,LDAP_group,session,SQL_session,time_quota,unix_group,wbinfo_group' '--enable-url-rewrite-helpers=fake' '--enable-eui' '--enable-esi' '--enable-icmp' '--enable-zph-qos' '--enable-ecap' '--disable-translation' '--with-openssl' '--with-swapdir=/var/spool/squid' '--with-logdir=/var/log/squid' '--with-pidfile=/var/run/squid.pid' '--with-filedescriptors=65536' '--with-large-files' '--with-default-user=proxy' '--enable-build-info=Debian linux' '--enable-linux-netfilter' 'build_alias=i586-linux-gnu' 'CFLAGS=-g -O2 -fPIE -fstack-protector-strong -Wformat -Werror=format-security -Wall' 'LDFLAGS=-fPIE -pie -Wl,-z,relro -Wl,-z,now' 'CPPFLAGS=-D_FORTIFY_SOURCE=2' 'CXXFLAGS=-g -O2 -fPIE -fstack-protector-strong -Wformat -Werror=format-security'

Настройки squid.conf:
acl localnet src 192.168.3.0/24 # RFC1918 possible internal network

acl SSL_ports port 443
acl Safe_ports port 80          # http
acl Safe_ports port 21          # ftp
acl Safe_ports port 443         # https
acl Safe_ports port 70          # gopher
acl Safe_ports port 210         # wais
acl Safe_ports port 1025-65535  # unregistered ports
acl Safe_ports port 280         # http-mgmt
acl Safe_ports port 488         # gss-http
acl Safe_ports port 591         # filemaker
acl Safe_ports port 777         # multiling http
acl CONNECT method CONNECT

http_access deny !Safe_ports
http_access deny CONNECT !SSL_ports
http_access allow localhost manager
http_access deny manager
http_access allow localnet
http_access allow localhost
http_access deny all

dns_nameservers 8.8.8.8
http_port 192.168.3.26:3128 options=NO_SSLv3:NO_SSLv2
http_port 192.168.3.26:3129 intercept options=NO_SSLv3:NO_SSLv2
https_port 192.168.3.26:3130 intercept ssl-bump options=ALL:NO_SSLv3:NO_SSLv2 connectionauth=off cert=/etc/squid/squidCA.pem

always_direct allow all
sslproxy_cert_error allow all
sslproxy_flags DONT_VERIFY_PEER

sslcrtd_program /usr/lib/squid/ssl_crtd -s /var/lib/ssl_db -M 4MB

Проверяем, чтобы squid слушал требуемые порты:
 netstat -pnatu
Active Internet connections (servers and established)
Proto Recv-Q Send-Q Local Address           Foreign Address         State       PID/Program name
tcp        0      0 0.0.0.0:111             0.0.0.0:*               LISTEN      386/rpcbind
tcp        0      0 0.0.0.0:22              0.0.0.0:*               LISTEN      394/sshd
tcp        0      0 192.168.3.26:3128       0.0.0.0:*               LISTEN      712/(squid-1)
tcp        0      0 192.168.3.26:3129       0.0.0.0:*               LISTEN      712/(squid-1)
tcp        0      0 192.168.3.26:3130       0.0.0.0:*               LISTEN      712/(squid-1)
tcp        0    464 192.168.3.26:22         192.168.3.106:33802     ESTABLISHED 458/0
tcp6       0      0 :::111                  :::*                    LISTEN      386/rpcbind
tcp6       0      0 :::22                   :::*                    LISTEN      394/sshd
udp        0      0 0.0.0.0:983             0.0.0.0:*                           386/rpcbind
udp        0      0 0.0.0.0:47700           0.0.0.0:*                           712/(squid-1)
udp        0      0 0.0.0.0:111             0.0.0.0:*                           386/rpcbind
udp6       0      0 :::47403                :::*                                712/(squid-1)
udp6       0      0 ::1:54690               ::1:60531               ESTABLISHED 714/(pinger)
udp6       0      0 :::983                  :::*                                386/rpcbind
udp6       0      0 :::111                  :::*                                386/rpcbind
udp6       0      0 ::1:60531               ::1:54690               ESTABLISHED 712/(squid-1)
Проверяю, что squid запущен:
service squid status
● squid.service - LSB: Squid HTTP Proxy version 3.x
   Loaded: loaded (/etc/init.d/squid)
   Active: active (running) since Ср 2016-05-11 18:19:49 MSK; 1min 17s ago
  Process: 816 ExecStop=/etc/init.d/squid stop (code=exited, status=0/SUCCESS)
  Process: 839 ExecStart=/etc/init.d/squid start (code=exited, status=0/SUCCESS)
 Main PID: 879 (squid)
   CGroup: /system.slice/squid.service
           ├─877 /usr/sbin/squid -YC -f /etc/squid/squid.conf
           ├─879 (squid-1) -YC -f /etc/squid/squid.conf
           ├─880 (logfile-daemon) /var/log/squid/access.log
           └─881 (pinger)

май 11 18:19:49 proxy squid[877]: Squid Parent: will start 1 kids
май 11 18:19:49 proxy squid[877]: Squid Parent: (squid-1) process 879 started
май 11 18:19:49 proxy squid[839]: Starting Squid HTTP Proxy: squid.
май 11 18:19:49 proxy systemd[1]: squid.service: Supervising process 879 which is not our child. We'll most likely not notice when it exits.


Открываю браузер, явно прописываю прокси:порт, все работает.
А теперь нужно «завернуть» трафик с другого шлюза (он же и является натом) на данный прокси-сервер (network<->gateway<->proxy<->client).
gateway - 192.168.3.1
proxy - 192.168.3.26
client - 192.168.3.25
Политики iptables по умолчанию на прокси-сервере «разрешено все».
Прописываю правила на шлюзе в iptables:
iptables -t nat -A POSTROUTING -s 192.168.3.25 -p tcp -d 192.168.3.26 -j SNAT --to-source 192.168.3.1
iptables -t nat -A PREROUTING -s 192.168.3.25 -p tcp --dport 80 -j DNAT --to-destination 192.168.3.26:3129
iptables -t nat -A PREROUTING -s 192.168.3.25 -p tcp --dport 443 -j DNAT --to-destination 192.168.3.26:3130
iptables -A FORWARD -s 192.168.3.25 -d 192.168.3.26 -p tcp --dport 3129 -j ACCEPT
iptables -A FORWARD -s 192.168.3.25 -d 192.168.3.26 -p tcp --dport 3130 -j ACCEPT
Открываю браузер и вижу, что http сайты вообще не открываются и выдаются ошибки:
Запрошенный URL не может быть получен
В случае с https сайтами:
Ваше подключение не защищено
Иду смотреть в журналы, что пишет squid:
cat /var/log/squid/access.log
1462979111.346      0 192.168.3.1 TAG_NONE/400 5691 GET /171817/prepareCode?pfc=a&pfb=a&pt=b&pd=11&pw=3&pv=19&prr=&pdw=1280&pdh=1024&dl=http%3A//www.rambler.ru/&pr1=900888&random=254811&pr=661145&puid3=r1o&puid4=zb0&puid11=t7d&puid22=&puid33=aud35m_7_16:aud53_7m:aud53_8m:aud34_1m:aud42_2m:aud30_2m:aud45m3:aud8m1:aud42_4m:aud53_1m:aud48_3m:aud36m1:aud42_3m:aud47_2m:aud17m:aud53_13m:aud30_6m:aud16m:aud38m:aud9m3:aud53_2m:aud33_2m:aud42_1m:aud53_3m:aud14_7m&puid37=&puid38=&puid55=7h&puid56=9p&puid57=aud35m_7_16:aud53_7m:aud53_8m:aud34_1m:aud42_2m:aud30_2m:aud45m3:aud8m1:aud42_4m:aud53_1m:aud48_3m:aud36m1:aud42_3m:aud47_2m:aud17m:aud53_13m:aud30_6m:aud16m:aud38m:aud9m3:aud53_2m:aud33_2m:aud42_1m:aud53_3m:aud14_7m:poor:not_moscow:295&eid1=00000BBC5729B601B9DF64D901335701&p1=brhii&p2=exqr&pct=a&pfc=a&pfb=a&puid29=21&puid6=MAIN&puid59=1 - HIER_NONE/- text/html
1462979111.658      0 192.168.3.1 TAG_NONE/400 5677 GET /171817/prepareCode?pfc=a&pfb=a&pt=b&pd=11&pw=3&pv=19&prr=&pdw=1280&pdh=1024&dl=http%3A//www.rambler.ru/&pr1=740220&random=561181&pr=661145&puid3=r1o&puid4=zb0&puid11=t7d&puid22=&puid33=aud35m_7_16:aud53_7m:aud53_8m:aud34_1m:aud42_2m:aud30_2m:aud45m3:aud8m1:aud42_4m:aud53_1m:aud48_3m:aud36m1:aud42_3m:aud47_2m:aud17m:aud53_13m:aud30_6m:aud16m:aud38m:aud9m3:aud53_2m:aud33_2m:aud42_1m:aud53_3m:aud14_7m&puid37=&puid38=&puid55=7h&puid56=9p&puid57=aud35m_7_16:aud53_7m:aud53_8m:aud34_1m:aud42_2m:aud30_2m:aud45m3:aud8m1:aud42_4m:aud53_1m:aud48_3m:aud36m1:aud42_3m:aud47_2m:aud17m:aud53_13m:aud30_6m:aud16m:aud38m:aud9m3:aud53_2m:aud33_2m:aud42_1m:aud53_3m:aud14_7m:poor:not_moscow:295&eid1=00000BBC5729B601B9DF64D901335701&p1=bscpi&p2=ewzc&pct=a&puid29=21&puid54=0&puid6=MAIN&puid59=1 - HIER_NONE/- text/html
1462979111.767      0 192.168.3.1 TAG_NONE/400 5651 GET /171817/prepareCode?pfc=a&pfb=a&pt=b&pd=11&pw=3&pv=19&prr=&pdw=1280&pdh=1024&dl=http%3A//www.rambler.ru/&pr1=364107&random=860036&pr=661145&puid3=r1o&puid4=zb0&puid11=t7d&puid22=&puid33=aud35m_7_16:aud53_7m:aud53_8m:aud34_1m:aud42_2m:aud30_2m:aud45m3:aud8m1:aud42_4m:aud53_1m:aud48_3m:aud36m1:aud42_3m:aud47_2m:aud17m:aud53_13m:aud30_6m:aud16m:aud38m:aud9m3:aud53_2m:aud33_2m:aud42_1m:aud53_3m:aud14_7m&puid37=&puid38=&puid55=7h&puid56=9p&puid57=aud35m_7_16:aud53_7m:aud53_8m:aud34_1m:aud42_2m:aud30_2m:aud45m3:aud8m1:aud42_4m:aud53_1m:aud48_3m:aud36m1:aud42_3m:aud47_2m:aud17m:aud53_13m:aud30_6m:aud16m:aud38m:aud9m3:aud53_2m:aud33_2m:aud42_1m:aud53_3m:aud14_7m:poor:not_moscow:295&eid1=00000BBC5729B601B9DF64D901335701&p1=bsisl&p2=fdvd&pct=b&puid29=21&puid6=MAIN&puid59=1 - HIER_NONE/- text/html
1462979111.783      0 192.168.3.1 TAG_NONE/400 5651 GET /171817/prepareCode?pfc=a&pfb=a&pt=b&pd=11&pw=3&pv=19&prr=&pdw=1280&pdh=1024&dl=http%3A//www.rambler.ru/&pr1=789753&random=441698&pr=661145&puid3=r1o&puid4=zb0&puid11=t7d&puid22=&puid33=aud35m_7_16:aud53_7m:aud53_8m:aud34_1m:aud42_2m:aud30_2m:aud45m3:aud8m1:aud42_4m:aud53_1m:aud48_3m:aud36m1:aud42_3m:aud47_2m:aud17m:aud53_13m:aud30_6m:aud16m:aud38m:aud9m3:aud53_2m:aud33_2m:aud42_1m:aud53_3m:aud14_7m&puid37=&puid38=&puid55=7h&puid56=9p&puid57=aud35m_7_16:aud53_7m:aud53_8m:aud34_1m:aud42_2m:aud30_2m:aud45m3:aud8m1:aud42_4m:aud53_1m:aud48_3m:aud36m1:aud42_3m:aud47_2m:aud17m:aud53_13m:aud30_6m:aud16m:aud38m:aud9m3:aud53_2m:aud33_2m:aud42_1m:aud53_3m:aud14_7m:poor:not_moscow:295&eid1=00000BBC5729B601B9DF64D901335701&p1=bsixb&p2=fdvd&pct=b&puid29=21&puid6=MAIN&puid59=1 - HIER_NONE/- text/html
1462979111.784      0 192.168.3.1 TAG_NONE/400 3931 GET /hockey-2016/informer/desktop - HIER_NONE/- text/html
1462979111.837      0 192.168.3.1 TAG_NONE/400 4003 GET /V13a***R%3E*rambler_ru/ru/UTF-8/tmsec=rambler_head-new2/41809744 - HIER_NONE/- text/html
1462979111.838      0 192.168.3.1 TAG_NONE/400 3899 GET /analytics.js - HIER_NONE/- text/html
1462979111.839      0 192.168.3.1 TAG_NONE/400 5691 GET /171817/prepareCode?pfc=a&pfb=a&pt=b&pd=11&pw=3&pv=19&prr=&pdw=1280&pdh=1024&dl=http%3A//www.rambler.ru/&pr1=911686&random=682784&pr=661145&puid3=r1o&puid4=zb0&puid11=t7d&puid22=&puid33=aud35m_7_16:aud53_7m:aud53_8m:aud34_1m:aud42_2m:aud30_2m:aud45m3:aud8m1:aud42_4m:aud53_1m:aud48_3m:aud36m1:aud42_3m:aud47_2m:aud17m:aud53_13m:aud30_6m:aud16m:aud38m:aud9m3:aud53_2m:aud33_2m:aud42_1m:aud53_3m:aud14_7m&puid37=&puid38=&puid55=7h&puid56=9p&puid57=aud35m_7_16:aud53_7m:aud53_8m:aud34_1m:aud42_2m:aud30_2m:aud45m3:aud8m1:aud42_4m:aud53_1m:aud48_3m:aud36m1:aud42_3m:aud47_2m:aud17m:aud53_13m:aud30_6m:aud16m:aud38m:aud9m3:aud53_2m:aud33_2m:aud42_1m:aud53_3m:aud14_7m:poor:not_moscow:295&eid1=00000BBC5729B601B9DF64D901335701&p1=bqwcg&p2=exqv&pct=a&pfc=a&pfb=a&puid29=21&puid6=MAIN&puid59=1 - HIER_NONE/- text/html
1462979111.852      0 192.168.3.1 TAG_NONE/400 3899 GET /ru_RU/sdk.js - HIER_NONE/- text/html
1462979111.900      0 192.168.3.1 TCP_IMS_HIT/304 294 GET http://proxy:3128/squid-internal-static/icons/SN.png - HIER_NONE/- image/png
1462979111.979      0 192.168.3.1 TAG_NONE/400 3991 GET /sync2.302?pid=16&anket_id=vAsAAAG2KVfZZN%2b5AVczAQB%3d - HIER_NONE/- text/html
1462979112.072      0 192.168.3.1 TAG_NONE/400 3909 GET /0/9947/001001.htm - HIER_NONE/- text/html
1462979112.077      0 192.168.3.1 TAG_NONE/400 3977 GET /ban.ban?rn=11856425941&amp;op=8&amp;pg=9160 - HIER_NONE/- text/html
1462979112.077      0 192.168.3.1 TAG_NONE/400 3915 GET /gtm.js?id=GTM-KJBSQR - HIER_NONE/- text/html
1462979112.078      0 192.168.3.1 TAG_NONE/400 3907 GET /track/219567.gif - HIER_NONE/- text/html
1462979112.090      0 192.168.3.1 TAG_NONE/400 3907 GET /client/target.js - HIER_NONE/- text/html
1462979112.112      0 192.168.3.1 TCP_IMS_HIT/304 294 GET http://proxy:3128/squid-internal-static/icons/SN.png - HIER_NONE/- image/png
1462979114.248      0 192.168.3.1 TAG_NONE/400 5645 GET /171817/prepareCode?pfc=a&pfb=a&pt=b&pd=11&pw=3&pv=19&prr=&pdw=1280&pdh=1024&dl=http%3A//www.rambler.ru/&pr1=714229&random=452818&pr=661145&puid3=r1o&puid4=zb0&puid11=t7d&puid22=&puid33=aud35m_7_16:aud53_7m:aud53_8m:aud34_1m:aud42_2m:aud30_2m:aud45m3:aud8m1:aud42_4m:aud53_1m:aud48_3m:aud36m1:aud42_3m:aud47_2m:aud17m:aud53_13m:aud30_6m:aud16m:aud38m:aud9m3:aud53_2m:aud33_2m:aud42_1m:aud53_3m:aud14_7m&puid37=&puid38=&puid55=7h&puid56=9p&puid57=aud35m_7_16:aud53_7m:aud53_8m:aud34_1m:aud42_2m:aud30_2m:aud45m3:aud8m1:aud42_4m:aud53_1m:aud48_3m:aud36m1:aud42_3m:aud47_2m:aud17m:aud53_13m:aud30_6m:aud16m:aud38m:aud9m3:aud53_2m:aud33_2m:aud42_1m:aud53_3m:aud14_7m:poor:not_moscow:295&eid1=00000BBC5729B601B9DF64D901335701&p1=bquwr&p2=y&pct=c&puid29=21&puid6=MAIN&puid59=1 - HIER_NONE/- text/html
1462979114.945      0 192.168.3.1 TAG_NONE/400 3875 GET / - HIER_NONE/- text/html
1462979114.958      0 192.168.3.1 TCP_IMS_HIT/304 294 GET http://proxy:3128/squid-internal-static/icons/SN.png - HIER_NONE/- image/png
1462979114.966      0 192.168.3.1 TAG_NONE/400 3897 GET /favicon.ico - HIER_NONE/- text/html
1462979116.295      0 192.168.3.1 TAG_NONE/400 5701 GET /171817/prepareCode?pfc=a&pfb=a&pt=b&pd=11&pw=3&pv=19&prr=&pdw=1280&pdh=1024&dl=http%3A//www.rambler.ru/&pr1=174948&random=319057&pr=661145&puid3=r1o&puid4=zb0&puid11=t7d&puid22=&puid33=aud35m_7_16:aud53_7m:aud53_8m:aud34_1m:aud42_2m:aud30_2m:aud45m3:aud8m1:aud42_4m:aud53_1m:aud48_3m:aud36m1:aud42_3m:aud47_2m:aud17m:aud53_13m:aud30_6m:aud16m:aud38m:aud9m3:aud53_2m:aud33_2m:aud42_1m:aud53_3m:aud14_7m&puid37=&puid38=&puid55=7h&puid56=9p&puid57=aud35m_7_16:aud53_7m:aud53_8m:aud34_1m:aud42_2m:aud30_2m:aud45m3:aud8m1:aud42_4m:aud53_1m:aud48_3m:aud36m1:aud42_3m:aud47_2m:aud17m:aud53_13m:aud30_6m:aud16m:aud38m:aud9m3:aud53_2m:aud33_2m:aud42_1m:aud53_3m:aud14_7m:poor:not_moscow:295&eid1=00000BBC5729B601B9DF64D901335701&p1=bmdoj&p2=emhk&pct=a&puid23=&puid29=21&puid54=0&puid6=MAIN&puid59=1 - HIER_NONE/- text/html
1462979117.053      0 192.168.3.1 TAG_NONE/400 3875 GET / - HIER_NONE/- text/html
1462979117.064      0 192.168.3.1 TCP_IMS_HIT/304 294 GET http://proxy:3128/squid-internal-static/icons/SN.png - HIER_NONE/- image/png
1462979117.079      0 192.168.3.1 TAG_NONE/400 3897 GET /favicon.ico - HIER_NONE/- text/html
1462979119.768 118812 192.168.3.25 TCP_TUNNEL/200 1197 CONNECT www.google-analytics.com:443 - HIER_DIRECT/83.169.197.217 -
1462979119.768 119021 192.168.3.25 TCP_TUNNEL/200 1389 CONNECT fonts.gstatic.com:443 - HIER_DIRECT/37.29.1.45 -
1462979119.769 119236 192.168.3.25 TCP_TUNNEL/200 3851 CONNECT fonts.googleapis.com:443 - HIER_DIRECT/173.194.220.95 -
1462979119.770 112054 192.168.3.25 TCP_TUNNEL/200 417 CONNECT www.gstatic.com:443 - HIER_DIRECT/83.169.197.240 -
1462979119.773 112551 192.168.3.25 TCP_TUNNEL/200 4417 CONNECT pixel.rubiconproject.com:443 - HIER_DIRECT/62.67.193.85 -
1462979119.792 118747 192.168.3.25 TCP_TUNNEL/200 618 CONNECT safebrowsing.google.com:443 - HIER_DIRECT/83.169.197.213 -
1462979124.004      0 192.168.3.1 TAG_NONE/400 3875 GET / - HIER_NONE/- text/html
1462979124.113      0 192.168.3.1 TAG_NONE/400 3897 GET /favicon.ico - HIER_NONE/- text/html
1462979128.700      0 192.168.3.1 TAG_NONE/400 3875 GET / - HIER_NONE/- text/html
1462979128.816      0 192.168.3.1 TAG_NONE/400 3897 GET /favicon.ico - HIER_NONE/- text/html
1462979184.477    123 192.168.3.26 TCP_MISS/403 4565 GET http://ya.ru/ - HIER_NONE/- text/html
1462979184.477    174 192.168.3.1 TCP_MISS/403 4655 GET http://ya.ru/ - ORIGINAL_DST/192.168.3.26 text/html
1462979184.486      0 192.168.3.1 TCP_IMS_HIT/304 294 GET http://proxy:3128/squid-internal-static/icons/SN.png - HIER_NONE/- image/png
1462979184.514      0 192.168.3.26 TCP_MISS/403 4536 GET http://ya.ru/favicon.ico - HIER_NONE/- text/html
1462979184.514      0 192.168.3.1 TCP_MISS/403 4626 GET http://ya.ru/favicon.ico - ORIGINAL_DST/192.168.3.26 text/html
1462979187.144      0 192.168.3.26 TCP_MISS/403 5696 GET http://rambler.ru/ - HIER_NONE/- text/html
1462979187.144     51 192.168.3.1 TCP_MISS/403 5786 GET http://rambler.ru/ - ORIGINAL_DST/192.168.3.26 text/html
1462979187.154      0 192.168.3.1 TCP_IMS_HIT/304 294 GET http://proxy:3128/squid-internal-static/icons/SN.png - HIER_NONE/- image/png
1462979187.183      0 192.168.3.26 TCP_MISS/403 5672 GET http://rambler.ru/favicon.ico - HIER_NONE/- text/html
1462979187.183      0 192.168.3.1 TCP_MISS/403 5762 GET http://rambler.ru/favicon.ico - ORIGINAL_DST/192.168.3.26 text/html
1462979201.904      0 192.168.3.26 TCP_MISS/403 5696 GET http://rambler.ru/ - HIER_NONE/- text/html
1462979201.904      0 192.168.3.1 TCP_MISS/403 5786 GET http://rambler.ru/ - ORIGINAL_DST/192.168.3.26 text/html
1462979201.911      0 192.168.3.1 TCP_IMS_HIT/304 294 GET http://proxy:3128/squid-internal-static/icons/SN.png - HIER_NONE/- image/png
1462979201.919      0 192.168.3.26 TCP_MISS/403 5672 GET http://rambler.ru/favicon.ico - HIER_NONE/- text/html
1462979201.919      0 192.168.3.1 TCP_MISS/403 5762 GET http://rambler.ru/favicon.ico - ORIGINAL_DST/192.168.3.26 text/html
1462979502.811      0 192.168.3.26 TCP_MISS/403 5696 GET http://rambler.ru/ - HIER_NONE/- text/html
1462979502.811     46 192.168.3.1 TCP_MISS/403 5786 GET http://rambler.ru/ - ORIGINAL_DST/192.168.3.26 text/html
1462979502.819      0 192.168.3.1 TCP_IMS_HIT/304 294 GET http://proxy:3128/squid-internal-static/icons/SN.png - HIER_NONE/- image/png
1462979502.825      0 192.168.3.26 TCP_MISS/403 5672 GET http://rambler.ru/favicon.ico - HIER_NONE/- text/html
1462979502.825      1 192.168.3.1 TCP_MISS/403 5762 GET http://rambler.ru/favicon.ico - ORIGINAL_DST/192.168.3.26 text/html
1462979575.252      0 192.168.3.26 TCP_MISS/403 5696 GET http://rambler.ru/ - HIER_NONE/- text/html
1462979575.252      1 192.168.3.1 TCP_MISS/403 5786 GET http://rambler.ru/ - ORIGINAL_DST/192.168.3.26 text/html
1462979575.262      0 192.168.3.1 TCP_IMS_HIT/304 294 GET http://proxy:3128/squid-internal-static/icons/SN.png - HIER_NONE/- image/png
1462979575.269      0 192.168.3.26 TCP_MISS/403 5672 GET http://rambler.ru/favicon.ico - HIER_NONE/- text/html
1462979575.270      1 192.168.3.1 TCP_MISS/403 5762 GET http://rambler.ru/favicon.ico - ORIGINAL_DST/192.168.3.26 text/html
1462979581.993      0 192.168.3.26 TCP_MISS/403 4608 GET http://vk.com/ - HIER_NONE/- text/html
1462979581.993     29 192.168.3.1 TCP_MISS/403 4698 GET http://vk.com/ - ORIGINAL_DST/192.168.3.26 text/html
1462979582.005      0 192.168.3.1 TCP_MEM_HIT/200 13054 GET http://proxy:3128/squid-internal-static/icons/SN.png - HIER_NONE/- image/png
1462979582.109      0 192.168.3.26 TCP_MISS/403 4557 GET http://vk.com/favicon.ico - HIER_NONE/- text/html
1462979582.110      0 192.168.3.1 TCP_MISS/403 4647 GET http://vk.com/favicon.ico - ORIGINAL_DST/192.168.3.26 text/html
1462979672.229      0 192.168.3.26 TCP_MISS/403 4565 GET http://ya.ru/ - HIER_NONE/- text/html
1462979672.229     47 192.168.3.1 TCP_MISS/403 4655 GET http://ya.ru/ - ORIGINAL_DST/192.168.3.26 text/html
1462979672.240      0 192.168.3.26 TCP_MISS/403 4518 GET http://ya.ru/favicon.ico - HIER_NONE/- text/html
1462979672.240      0 192.168.3.1 TCP_MISS/403 4608 GET http://ya.ru/favicon.ico - ORIGINAL_DST/192.168.3.26 text/html
1462979720.305      0 192.168.3.26 TCP_MISS/403 4411 POST http://tools.google.com/service/update2? - HIER_NONE/- text/html
1462979720.306     47 192.168.3.1 TCP_MISS/403 4501 POST http://tools.google.com/service/update2? - ORIGINAL_DST/192.168.3.26 text/html
1462979720.313      0 192.168.3.26 TCP_MISS/403 4418 POST http://tools.google.com/service/update2? - HIER_NONE/- text/html
1462979720.313      1 192.168.3.1 TCP_MISS/403 4508 POST http://tools.google.com/service/update2? - ORIGINAL_DST/192.168.3.26 text/html
1462979754.809     18 192.168.3.26 TCP_MISS/403 4355 GET http://www.gstatic.com/generate_204 - HIER_NONE/- text/html
1462979754.809     73 192.168.3.1 TCP_MISS/403 4445 GET http://www.gstatic.com/generate_204 - ORIGINAL_DST/192.168.3.26 text/html
1462979808.998      2 192.168.3.26 TCP_MISS/403 4350 GET http://www.gstatic.com/generate_204 - HIER_NONE/- text/html
1462979809.002      9 192.168.3.1 TCP_MISS/403 4440 GET http://www.gstatic.com/generate_204 - ORIGINAL_DST/192.168.3.26 text/html
1462979905.456      0 192.168.3.26 TCP_MISS/403 4355 GET http://www.gstatic.com/generate_204 - HIER_NONE/- text/html
1462979905.457      1 192.168.3.1 TCP_MISS/403 4445 GET http://www.gstatic.com/generate_204 - ORIGINAL_DST/192.168.3.26 text/html
1462980009.389      0 192.168.3.26 TCP_MISS/403 4355 GET http://www.gstatic.com/generate_204 - HIER_NONE/- text/html
1462980009.390     53 192.168.3.1 TCP_MISS/403 4445 GET http://www.gstatic.com/generate_204 - ORIGINAL_DST/192.168.3.26 text/html
1462980038.332      0 192.168.3.26 TCP_MISS/403 4355 GET http://www.gstatic.com/generate_204 - HIER_NONE/- text/html
1462980038.332      1 192.168.3.1 TCP_MISS/403 4445 GET http://www.gstatic.com/generate_204 - ORIGINAL_DST/192.168.3.26 text/html
1462980161.842      0 192.168.3.26 TCP_MISS/403 4355 GET http://www.gstatic.com/generate_204 - HIER_NONE/- text/html
1462980161.842     45 192.168.3.1 TCP_MISS/403 4445 GET http://www.gstatic.com/generate_204 - ORIGINAL_DST/192.168.3.26 text/html
1462980167.823      0 192.168.3.26 TCP_MISS/403 4355 GET http://www.gstatic.com/generate_204 - HIER_NONE/- text/html
1462980167.823      0 192.168.3.1 TCP_MISS/403 4445 GET http://www.gstatic.com/generate_204 - ORIGINAL_DST/192.168.3.26 text/html
1462980240.967      0 192.168.3.26 TCP_MISS/403 4355 GET http://www.gstatic.com/generate_204 - HIER_NONE/- text/html
1462980240.967     47 192.168.3.1 TCP_MISS/403 4445 GET http://www.gstatic.com/generate_204 - ORIGINAL_DST/192.168.3.26 text/html
1462980251.115      0 192.168.3.26 TCP_MISS/403 4425 GET http://mail.ru/ - HIER_NONE/- text/html
1462980251.116     29 192.168.3.1 TCP_MISS/403 4515 GET http://mail.ru/ - ORIGINAL_DST/192.168.3.26 text/html
1462980251.125      0 192.168.3.1 TCP_MEM_HIT/200 13054 GET http://proxy:3128/squid-internal-static/icons/SN.png - HIER_NONE/- image/png
1462980251.225      0 192.168.3.26 TCP_MISS/403 4375 GET http://mail.ru/favicon.ico - HIER_NONE/- text/html
1462980251.226      0 192.168.3.1 TCP_MISS/403 4465 GET http://mail.ru/favicon.ico - ORIGINAL_DST/192.168.3.26 text/html
cat /var/log/squid/cache.log
2016/05/11 18:32:35 kid1| WARNING: Forwarding loop detected for:
GET /generate_204 HTTP/1.1
Host: www.gstatic.com
Pragma: no-cache
User-Agent: Mozilla/5.0 (Windows NT 5.1) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/49.0.2623.112 Safari/537.36
Accept-Encoding: gzip, deflate, sdch
Accept-Language: ru-RU,ru;q=0.8,en-US;q=0.6,en;q=0.4
Via: 1.1 proxy (squid/3.5.17)
X-Forwarded-For: 192.168.3.1
Cache-Control: no-cache
Connection: keep-alive


2016/05/11 18:32:35| Pinger exiting.
2016/05/11 18:32:44 kid1| WARNING: Forwarding loop detected for:
GET /generate_204 HTTP/1.1
Host: www.gstatic.com
Pragma: no-cache
User-Agent: Mozilla/5.0 (Windows NT 5.1) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/49.0.2623.112 Safari/537.36
Accept-Encoding: gzip, deflate, sdch
Accept-Language: ru-RU,ru;q=0.8,en-US;q=0.6,en;q=0.4
Via: 1.1 proxy (squid/3.5.17)
X-Forwarded-For: 192.168.3.1
Cache-Control: no-cache
Connection: keep-alive


2016/05/11 18:33:00 kid1| WARNING: Forwarding loop detected for:
GET /generate_204 HTTP/1.1
Host: www.gstatic.com
Pragma: no-cache
User-Agent: Mozilla/5.0 (Windows NT 5.1) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/49.0.2623.112 Safari/537.36
Accept-Encoding: gzip, deflate, sdch
Accept-Language: ru-RU,ru;q=0.8,en-US;q=0.6,en;q=0.4
Via: 1.1 proxy (squid/3.5.17)
X-Forwarded-For: 192.168.3.1
Cache-Control: no-cache
Connection: keep-alive

Бьюсь об заклад, уже и не знаю, что делать, несколько дней пытался его заставить работать, но пока никак не получается. Может кто сталкивался с настройкой squid с похожими параметрами?



Последнее исправление: unkgsom (всего исправлений: 5)
Ответ на: комментарий от CeMKa

Данная статья как раз таки говорит о том, что в новой версии это можно обойти.

unkgsom
() автор топика
Ответ на: комментарий от CeMKa

Да и проблема, как видите, не только с этим. Даже http ресурсы не могут работать, для проверки брал чистый squid из коробки, без данных опций и завернул туда таким образом трафик по 80 порту, там оно работает, здесь - нет, вот и пытаюсь понять, в чем же причина...

unkgsom
() автор топика
Ответ на: комментарий от CeMKa

Может, но только по доменам(гугли SNI). URL-ы увидеть нельзя, но если нужно не пустить на определенный DNS-домен или группу доменов - сгодится.

Pinkbyte ★★★★★
()
Ответ на: комментарий от Pinkbyte

Нет, увы, нужна нормальная работа, главная цель всего этого - мониторинг трафика, понятное дело, что по беспроводным сетям раздавать сертификаты людям, плохо понимающим в этом, лишний геморрой. Приходится как-то выкручиваться. Хотел сделать заворот на прокси-сервер, там разрешить трафик прозрачно для пользователя, но увы, пока что-то не очень получается...

unkgsom
() автор топика
Ответ на: комментарий от unkgsom

Перехватывать HTTPS без подмены сертификата так чтобы на клиентских компьютерах никто ничего не заметил? Хм... В общем случае ничего. Учитывая что технология HTTPS задумывалась в том числе для защиты от перехвата.

Но вообще есть варианты. sslstrip например

Pinkbyte ★★★★★
()
Ответ на: комментарий от Pinkbyte

Тогда наверное будет проще смотреть куда-нибудь в сторону iptables+netflow для мониторинга трафика и хранения логов в удобочитаемом виде, а с этим вообще «не париться».

unkgsom
() автор топика

TCP_MISS/403

Попробовать явно прописать разрешение для src 192.168.3.26

iptables -t nat -A POSTROUTING -s 192.168.3.25 -p tcp -d 192.168.3.26 -j SNAT --to-source 192.168.3.1

Мне это правило чем-то не нравится (но чем - не могу сказать)))

В примерах там просто маскарад

Kuzz ★★★
()
Ответ на: комментарий от Kuzz

Да оно мне тоже особо-то и не нравится, но по другому как? форвардинг на проксе включен, с маскарадом тоже пробовал и отдельным сорцом для ip, не работает все равно... т.е перенаправление идет так, если идут запросы от такого-то клиента к шлюзу, то заворачивать трафик идущий к шлюзу на проксю, разрешить прохождение трафика, т.к сама прокся тоже за натом, то и потом сказать, что трафик идущий через проксю по такому порту и от такого-то клиента заворачивать на шлюз - последнее как раз таки возможно и вызывает проблему, но тогда бы это правило не работало на предыдущих версиях, как-тогда перенаправление трафика должно осуществляться ? вообще непонятно.

unkgsom
() автор топика
Ответ на: комментарий от unkgsom

1462980251.225 0 192.168.3.26 TCP_MISS/403 4375 GET http://mail.ru/favicon.ico - HIER_NONE/- text/html
1462980251.226 0 192.168.3.1 TCP_MISS/403 4465 GET http://mail.ru/favicon.ico - ORIGINAL_DST/192.168.3.26 text/html

Тот же запрос пришел от шлюза. Это как раз «WARNING: Forwarding loop detected for:»
Добавить в самое начало.

iptables -t nat -A PREROUTING -s 192.168.3.26 -p tcp --dport 80 -j ACCEPT
iptables -t nat -A PREROUTING -s 192.168.3.26 -p tcp --dport 443 -j ACCEPT 

Kuzz ★★★
()
Ответ на: комментарий от Kuzz

Т.е, к тем правилам, которые я прописал выше еще добавить эти два правила? Если так сделать, работать не будет...

unkgsom
() автор топика

iptables -t nat -A PREROUTING -s 192.168.3.25 -p tcp --dport 80 -j DNAT --to-destination 192.168.3.26:3129
iptables -t nat -A PREROUTING -s 192.168.3.25 -p tcp --dport 443 -j DNAT --to-destination 192.168.3.26:3130

А зачем все пакеты заворачивать на прокси?
Нужны же только SYN

iptables -t nat -A PREROUTING -s 192.168.3.25 -p tcp --dport 80 -m state --state new -j DNAT --to-destination 192.168.3.26:3129
iptables -t nat -A PREROUTING -s 192.168.3.25 -p tcp --dport 443 -m state --state new -j DNAT --to-destination 192.168.3.26:3130

DiMoN ★★★
()
Последнее исправление: DiMoN (всего исправлений: 1)
Ответ на: комментарий от unkgsom

я как-то слышал, что у MS на этот случай (естественно мирной корпоративной подмены сертификатов) есть какая-то централизованная отуплялка встроенного в винду SSL, включающаяся в настройках домена. сам не шарю.

t184256 ★★★★★
()
Ответ на: комментарий от unkgsom

Затупил и посчитал что клиент - .26

А если вообще убрать правило POSTROUTING?

я как-то слышал, что у MS на этот случай (естественно мирной корпоративной подмены сертификатов) есть какая-то централизованная отуплялка встроенного в винду SSL, включающаяся в настройках домена. сам не шарю.

Active directory групповыми политиками позволяет добавить в системное хранилище сертификатов что-то свое.
Хром и новая опера используют его, а для лиса есть дополнение, для работы с ГП.

Kuzz ★★★
()
Ответ на: комментарий от Kuzz

Это есть, использую такое, но для прозрачного прокси для wi-fi сеток и мобильных устройств это не пойдет...

iptables -t nat -A PREROUTING -s 192.168.3.26 -p tcp --dport 80 -j ACCEPT
iptables -t nat -A PREROUTING -s 192.168.3.26 -p tcp --dport 443 -j ACCEPT 
iptables -t nat -A PREROUTING -s 192.168.3.25 -p tcp --dport 80 -m state --state new -j DNAT --to-destination 192.168.3.26:3129
iptables -t nat -A PREROUTING -s 192.168.3.25 -p tcp --dport 443 -m state --state new -j DNAT --to-destination 192.168.3.26:3130
Показываю правила
iptables -L -t nat --line-numbers
Chain PREROUTING (policy ACCEPT)
num  target     prot opt source               destination
1    DNAT       tcp  --  192.168.3.25         anywhere            tcp dpt:https state NEW to:192.168.3.17:3130
2    DNAT       tcp  --  192.168.3.25         anywhere            tcp dpt:www state NEW to:192.168.3.17:3129
3    ACCEPT     tcp  --  192.168.3.17         anywhere            tcp dpt:https
4    ACCEPT     tcp  --  192.168.3.17         anywhere            tcp dpt:www
5    NAT_PREROUTING_CHAIN  all  --  anywhere             anywhere
6    POST_NAT_PREROUTING_CHAIN  all  --  anywhere             anywhere

Chain POSTROUTING (policy ACCEPT)
num  target     prot opt source               destination
1    MASQUERADE  all  --  anywhere             192.168.3.17
2    TCPMSS     tcp  --  anywhere             anywhere            tcp flags:SYN,RST/SYN TCPMSS clamp to PMTU
3    TCPMSS     tcp  --  anywhere             anywhere            tcp flags:SYN,RST/SYN TCPMSS clamp to PMTU
4    NAT_POSTROUTING_CHAIN  all  --  anywhere             anywhere
5    MASQUERADE  all  --  192.168.3.0/24      !192.168.3.0/24
6    MASQUERADE  all  --  192.168.3.0/24      !192.168.3.0/24
7    POST_NAT_POSTROUTING_CHAIN  all  --  anywhere             anywhere

Chain OUTPUT (policy ACCEPT)
num  target     prot opt source               destination

Chain NAT_POSTROUTING_CHAIN (1 references)
num  target     prot opt source               destination

Chain NAT_PREROUTING_CHAIN (1 references)
num  target     prot opt source               destination

Chain POST_NAT_POSTROUTING_CHAIN (1 references)
num  target     prot opt source               destination

Chain POST_NAT_PREROUTING_CHAIN (1 references)
num  target     prot opt source               destination

unkgsom
() автор топика
Ответ на: комментарий от unkgsom

Ах, да, в первых правилах я 26 апийшник у прокси на 17 сменил, так что все маршруты переписаны на 17. Но сути не меняет

iptables -L -t mangle --line-numbers
Chain PREROUTING (policy ACCEPT)
num  target     prot opt source               destination
1    TOS        tcp  --  anywhere             anywhere            tcp dpt:ftp-data TOS set Maximize-Throughput
2    TOS        tcp  --  anywhere             anywhere            tcp dpt:ftp TOS set Minimize-Delay
3    TOS        tcp  --  anywhere             anywhere            tcp dpt:ssh TOS set Minimize-Delay
4    TOS        tcp  --  anywhere             anywhere            tcp dpt:telnet TOS set Minimize-Delay
5    TOS        tcp  --  anywhere             anywhere            tcp dpt:smtp TOS set Minimize-Delay
6    TOS        udp  --  anywhere             anywhere            udp dpt:domain TOS set Minimize-Delay
7    TOS        tcp  --  anywhere             anywhere            tcp dpt:bootps TOS set Minimize-Delay
8    TOS        tcp  --  anywhere             anywhere            tcp dpt:www TOS set Maximize-Throughput
9    TOS        tcp  --  anywhere             anywhere            tcp dpt:pop3 TOS set Maximize-Throughput
10   TOS        tcp  --  anywhere             anywhere            tcp dpt:auth TOS set Minimize-Delay
11   TOS        tcp  --  anywhere             anywhere            tcp dpt:ntp TOS set Minimize-Delay
12   TOS        tcp  --  anywhere             anywhere            tcp dpt:imap2 TOS set Maximize-Throughput
13   TOS        tcp  --  anywhere             anywhere            tcp dpt:https TOS set Maximize-Throughput
14   TOS        tcp  --  anywhere             anywhere            tcp dpt:imaps TOS set Maximize-Throughput
15   TOS        tcp  --  anywhere             anywhere            tcp dpt:pop3s TOS set Maximize-Throughput
16   TOS        tcp  --  anywhere             anywhere            tcp dpt:socks TOS set Minimize-Delay
26   TOS        tcp  --  anywhere             anywhere            tcp dpts:x11:6063 TOS set Maximize-Throughput

Chain INPUT (policy ACCEPT)
num  target     prot opt source               destination

Chain FORWARD (policy ACCEPT)
num  target     prot opt source               destination
1    TCPMSS     tcp  --  anywhere             anywhere            tcp flags:SYN,RST/SYN tcpmss match 1400:65495 TCPMSS clamp to PMTU

Chain OUTPUT (policy ACCEPT)
num  target     prot opt source               destination
1    TOS        tcp  --  anywhere             anywhere            tcp dpt:ftp-data TOS set Maximize-Throughput
2    TOS        tcp  --  anywhere             anywhere            tcp dpt:ftp TOS set Minimize-Delay
3    TOS        tcp  --  anywhere             anywhere            tcp dpt:ssh TOS set Minimize-Delay
4    TOS        tcp  --  anywhere             anywhere            tcp dpt:telnet TOS set Minimize-Delay
5    TOS        tcp  --  anywhere             anywhere            tcp dpt:smtp TOS set Minimize-Delay
6    TOS        udp  --  anywhere             anywhere            udp dpt:domain TOS set Maximize-Throughput
7    TOS        tcp  --  anywhere             anywhere            tcp dpt:bootps TOS set Minimize-Delay
8    TOS        tcp  --  anywhere             anywhere            tcp dpt:www TOS set Maximize-Throughput
9    TOS        tcp  --  anywhere             anywhere            tcp dpt:pop3 TOS set Maximize-Throughput
10   TOS        tcp  --  anywhere             anywhere            tcp dpt:auth TOS set Minimize-Delay
11   TOS        tcp  --  anywhere             anywhere            tcp dpt:ntp TOS set Minimize-Delay
12   TOS        tcp  --  anywhere             anywhere            tcp dpt:imap2 TOS set Maximize-Throughput
13   TOS        tcp  --  anywhere             anywhere            tcp dpt:https TOS set Maximize-Throughput
14   TOS        tcp  --  anywhere             anywhere            tcp dpt:imaps TOS set Maximize-Throughput
15   TOS        tcp  --  anywhere             anywhere            tcp dpt:pop3s TOS set Maximize-Throughput
16   TOS        tcp  --  anywhere             anywhere            tcp dpt:socks TOS set Minimize-Delay
26   TOS        tcp  --  anywhere             anywhere            tcp dpts:x11:6063 TOS set Maximize-Throughput
18   TOS        tcp  --  anywhere             anywhere            tcp dpt:ftp-data TOS set Maximize-Throughput
19   TOS        tcp  --  anywhere             anywhere            tcp dpt:ftp TOS set Minimize-Delay
20   TOS        tcp  --  anywhere             anywhere            tcp dpt:ssh TOS set Minimize-Delay
21   TOS        tcp  --  anywhere             anywhere            tcp dpt:telnet TOS set Minimize-Delay
22   TOS        tcp  --  anywhere             anywhere            tcp dpt:smtp TOS set Minimize-Delay
23   TOS        udp  --  anywhere             anywhere            udp dpt:domain TOS set Maximize-Throughput
24   TOS        tcp  --  anywhere             anywhere            tcp dpt:bootps TOS set Minimize-Delay
25   TOS        tcp  --  anywhere             anywhere            tcp dpt:www TOS set Maximize-Throughput
26   TOS        tcp  --  anywhere             anywhere            tcp dpt:pop3 TOS set Maximize-Throughput
27   TOS        tcp  --  anywhere             anywhere            tcp dpt:auth TOS set Minimize-Delay
28   TOS        tcp  --  anywhere             anywhere            tcp dpt:ntp TOS set Minimize-Delay
29   TOS        tcp  --  anywhere             anywhere            tcp dpt:imap2 TOS set Maximize-Throughput
30   TOS        tcp  --  anywhere             anywhere            tcp dpt:https TOS set Maximize-Throughput
31   TOS        tcp  --  anywhere             anywhere            tcp dpt:imaps TOS set Maximize-Throughput
32   TOS        tcp  --  anywhere             anywhere            tcp dpt:pop3s TOS set Maximize-Throughput
33   TOS        tcp  --  anywhere             anywhere            tcp dpt:socks TOS set Minimize-Delay
34   TOS        tcp  --  anywhere             anywhere            tcp dpts:x11:6063 TOS set Maximize-Throughput

Chain POSTROUTING (policy ACCEPT)
num  target     prot opt source               destination

unkgsom
() автор топика
Ответ на: комментарий от unkgsom
iptables -L -t filter
Chain INPUT (policy DROP)
num  target     prot opt source               destination
1    BASE_INPUT_CHAIN  all  --  anywhere             anywhere
2    INPUT_CHAIN  all  --  anywhere             anywhere
3    HOST_BLOCK_SRC  all  --  anywhere             anywhere
4    SPOOF_CHK  all  --  anywhere             anywhere
5    VALID_CHK  all  --  anywhere             anywhere
6    EXT_INPUT_CHAIN !icmp --  anywhere             anywhere            state NEW
7    EXT_INPUT_CHAIN  icmp --  anywhere             anywhere            state NEW limit: avg 60/sec burst 100
8    EXT_ICMP_FLOOD_CHAIN  icmp --  anywhere             anywhere            state NEW
9    VALID_CHK  all  --  anywhere             anywhere
10   EXT_INPUT_CHAIN !icmp --  anywhere             anywhere            state NEW
11   EXT_INPUT_CHAIN  icmp --  anywhere             anywhere            state NEW limit: avg 60/sec burst 100
12   EXT_ICMP_FLOOD_CHAIN  icmp --  anywhere             anywhere            state NEW
13   INT_INPUT_CHAIN  all  --  anywhere             anywhere
14   POST_INPUT_CHAIN  all  --  anywhere             anywhere
15   LOG        all  --  anywhere             anywhere            limit: avg 1/sec burst 5 LOG level info prefix `AIF:Dropped INPUT packet: '
16   DROP       all  --  anywhere             anywhere

Chain FORWARD (policy DROP)
num  target     prot opt source               destination
1    BASE_FORWARD_CHAIN  all  --  anywhere             anywhere
2    TCPMSS     tcp  --  anywhere             anywhere            tcp flags:SYN,RST/SYN TCPMSS clamp to PMTU
3    TCPMSS     tcp  --  anywhere             anywhere            tcp flags:SYN,RST/SYN TCPMSS clamp to PMTU
4    FORWARD_CHAIN  all  --  anywhere             anywhere
5    HOST_BLOCK_SRC  all  --  anywhere             anywhere
6    HOST_BLOCK_DST  all  --  anywhere             anywhere
7    EXT_FORWARD_IN_CHAIN  all  --  anywhere             anywhere
8    EXT_FORWARD_OUT_CHAIN  all  --  anywhere             anywhere
9    EXT_FORWARD_IN_CHAIN  all  --  anywhere             anywhere
10   EXT_FORWARD_OUT_CHAIN  all  --  anywhere             anywhere
11   INT_FORWARD_IN_CHAIN  all  --  anywhere             anywhere
12   INT_FORWARD_OUT_CHAIN  all  --  anywhere             anywhere
13   SPOOF_CHK  all  --  anywhere             anywhere
14   ACCEPT     all  --  anywhere             anywhere
15   LAN_INET_FORWARD_CHAIN  all  --  anywhere             anywhere
16   LAN_INET_FORWARD_CHAIN  all  --  anywhere             anywhere
17   POST_FORWARD_CHAIN  all  --  anywhere             anywhere
18   LOG        all  --  anywhere             anywhere            limit: avg 1/min burst 3 LOG level info prefix `AIF:Dropped FORWARD packet: '
19   DROP       all  --  anywhere             anywhere
20   ACCEPT     tcp  --  192.168.3.25         192.168.3.17        tcp dpt:3129
21   ACCEPT     tcp  --  192.168.3.25         192.168.3.17        tcp dpt:3129
22   ACCEPT     tcp  --  192.168.3.25         192.168.3.17        tcp dpt:icpv2

Chain OUTPUT (policy DROP)
num  target     prot opt source               destination
1    BASE_OUTPUT_CHAIN  all  --  anywhere             anywhere
2    TCPMSS     tcp  --  anywhere             anywhere            tcp flags:SYN,RST/SYN TCPMSS clamp to PMTU
3    TCPMSS     tcp  --  anywhere             anywhere            tcp flags:SYN,RST/SYN TCPMSS clamp to PMTU
4    OUTPUT_CHAIN  all  --  anywhere             anywhere
5    HOST_BLOCK_DST  all  --  anywhere             anywhere
6    LOG        all  -f  anywhere             anywhere            limit: avg 3/min burst 5 LOG level info prefix `AIF:Fragment packet: '
7    DROP       all  -f  anywhere             anywhere
8    EXT_OUTPUT_CHAIN  all  --  anywhere             anywhere
9    EXT_OUTPUT_CHAIN  all  --  anywhere             anywhere
10   INT_OUTPUT_CHAIN  all  --  anywhere             anywhere
11   POST_OUTPUT_CHAIN  all  --  anywhere             anywhere
12   ACCEPT     all  --  anywhere             anywhere

Chain BASE_FORWARD_CHAIN (1 references)
num  target     prot opt source               destination
1    ACCEPT     all  --  anywhere             anywhere            state ESTABLISHED
2    ACCEPT     tcp  --  anywhere             anywhere            state RELATED tcp dpts:1024:65535
3    ACCEPT     udp  --  anywhere             anywhere            state RELATED udp dpts:1024:65535
4    ACCEPT     icmp --  anywhere             anywhere            state RELATED
5    ACCEPT     all  --  anywhere             anywhere

Chain BASE_INPUT_CHAIN (1 references)
num  target     prot opt source               destination
1    ACCEPT     all  --  anywhere             anywhere            state ESTABLISHED
2    ACCEPT     tcp  --  anywhere             anywhere            state RELATED tcp dpts:1024:65535
3    ACCEPT     udp  --  anywhere             anywhere            state RELATED udp dpts:1024:65535
4    ACCEPT     icmp --  anywhere             anywhere            state RELATED
5    ACCEPT     all  --  anywhere             anywhere

Chain BASE_OUTPUT_CHAIN (1 references)
num  target     prot opt source               destination
1    ACCEPT     all  --  anywhere             anywhere            state ESTABLISHED
2    ACCEPT     all  --  anywhere             anywhere

Chain DMZ_FORWARD_IN_CHAIN (0 references)
num  target     prot opt source               destination

Chain DMZ_FORWARD_OUT_CHAIN (0 references)
num  target     prot opt source               destination

Chain DMZ_INET_FORWARD_CHAIN (0 references)
num  target     prot opt source               destination

Chain DMZ_INPUT_CHAIN (0 references)
num  target     prot opt source               destination

Chain DMZ_LAN_FORWARD_CHAIN (0 references)
num  target     prot opt source               destination

Chain DMZ_OUTPUT_CHAIN (0 references)
num  target     prot opt source               destination

Chain EXT_BROADCAST_CHAIN (1 references)
num  target     prot opt source               destination
1    LOG        tcp  --  anywhere             anywhere            tcp dpts:0:1023 limit: avg 6/min burst 2 LOG level info prefix `AIF:PRIV TCP broadcast: '
2    LOG        udp  --  anywhere             anywhere            udp dpts:0:1023 limit: avg 6/min burst 2 LOG level info prefix `AIF:PRIV UDP broadcast: '
3    LOG        tcp  --  anywhere             anywhere            tcp dpts:1024:65535 limit: avg 6/min burst 2 LOG level info prefix `AIF:UNPRIV TCP broadcast: '
4    LOG        udp  --  anywhere             anywhere            udp dpt:1024 limit: avg 6/min burst 2 LOG level info prefix `AIF:UNPRIV UDP broadcast: '
5    DROP       all  --  anywhere             anywhere


unkgsom
() автор топика
Ответ на: комментарий от unkgsom
Chain EXT_FORWARD_IN_CHAIN (2 references)
num  target     prot opt source               destination
1    VALID_CHK  all  --  anywhere             anywhere
2    RESERVED_NET_CHK  all  --  anywhere             anywhere

Chain EXT_FORWARD_OUT_CHAIN (2 references)
num  target     prot opt source               destination

Chain EXT_ICMP_FLOOD_CHAIN (2 references)
num  target     prot opt source               destination
1    LOG        icmp --  anywhere             anywhere            icmp destination-unreachable limit: avg 12/hour burst 1 LOG level info prefix `AIF:ICMP-unreachable flood: '
2    POST_INPUT_DROP_CHAIN  icmp --  anywhere             anywhere            icmp destination-unreachable
3    LOG        icmp --  anywhere             anywhere            icmp time-exceeded limit: avg 12/hour burst 1 LOG level info prefix `AIF:ICMP-time-exceeded fld: '
4    POST_INPUT_DROP_CHAIN  icmp --  anywhere             anywhere            icmp time-exceeded
5    LOG        icmp --  anywhere             anywhere            icmp parameter-problem limit: avg 12/hour burst 1 LOG level info prefix `AIF:ICMP-param-problem fld: '
6    POST_INPUT_DROP_CHAIN  icmp --  anywhere             anywhere            icmp parameter-problem
7    LOG        icmp --  anywhere             anywhere            icmp echo-request limit: avg 12/hour burst 1 LOG level info prefix `AIF:ICMP-request(ping) fld: '
8    POST_INPUT_DROP_CHAIN  icmp --  anywhere             anywhere            icmp echo-request
9    LOG        icmp --  anywhere             anywhere            icmp echo-reply limit: avg 12/hour burst 1 LOG level info prefix `AIF:ICMP-reply(pong) flood: '
10   POST_INPUT_DROP_CHAIN  icmp --  anywhere             anywhere            icmp echo-reply
11   LOG        icmp --  anywhere             anywhere            icmp source-quench limit: avg 12/hour burst 1 LOG level info prefix `AIF:ICMP-source-quench fld: '
12   POST_INPUT_DROP_CHAIN  icmp --  anywhere             anywhere            icmp source-quench
13   LOG        icmp --  anywhere             anywhere            limit: avg 12/hour burst 1 LOG level info prefix `AIF:ICMP(other) flood: '
14   POST_INPUT_DROP_CHAIN  icmp --  anywhere             anywhere

Chain EXT_INPUT_CHAIN (4 references)
num  target     prot opt source               destination
1    LOG        tcp  --  anywhere             anywhere            tcp dpt:0 limit: avg 6/hour burst 1 LOG level info prefix `AIF:Port 0 OS fingerprint: '
2    LOG        udp  --  anywhere             anywhere            udp dpt:0 limit: avg 6/hour burst 1 LOG level info prefix `AIF:Port 0 OS fingerprint: '
3    POST_INPUT_DROP_CHAIN  tcp  --  anywhere             anywhere            tcp dpt:0
4    POST_INPUT_DROP_CHAIN  udp  --  anywhere             anywhere            udp dpt:0
5    LOG        tcp  --  anywhere             anywhere            tcp spt:0 limit: avg 6/hour burst 5 LOG level info prefix `AIF:TCP source port 0: '
6    LOG        udp  --  anywhere             anywhere            udp spt:0 limit: avg 6/hour burst 5 LOG level info prefix `AIF:UDP source port 0: '
7    POST_INPUT_DROP_CHAIN  tcp  --  anywhere             anywhere            tcp spt:0
8    POST_INPUT_DROP_CHAIN  udp  --  anywhere             anywhere            udp spt:0
9    ACCEPT     udp  --  anywhere             anywhere            udp spt:bootps dpt:bootpc
10   RESERVED_NET_CHK  all  --  anywhere             anywhere
11   ACCEPT     icmp --  anywhere             anywhere            icmp echo-request limit: avg 20/sec burst 100
12   LOG        tcp  --  anywhere             anywhere            tcp dpts:1024:65535 flags:!FIN,SYN,RST,ACK/SYN limit: avg 3/min burst 5 LOG level info prefix `AIF:Stealth scan? (UNPRIV): '
13   LOG        tcp  --  anywhere             anywhere            tcp dpts:0:1023 flags:!FIN,SYN,RST,ACK/SYN limit: avg 3/min burst 5 LOG level info prefix `AIF:Stealth scan? (PRIV): '
14   POST_INPUT_DROP_CHAIN  tcp  --  anywhere             anywhere            tcp flags:!FIN,SYN,RST,ACK/SYN
15   EXT_BROADCAST_CHAIN  all  --  anywhere             255.255.255.255
16   EXT_MULTICAST_CHAIN  all  --  anywhere             base-address.mcast.net/4
17   LOG        tcp  --  anywhere             anywhere            tcp dpts:0:1023 limit: avg 6/min burst 2 LOG level info prefix `AIF:PRIV TCP packet: '
18   LOG        udp  --  anywhere             anywhere            udp dpts:0:1023 limit: avg 6/min burst 2 LOG level info prefix `AIF:PRIV UDP packet: '
19   LOG        tcp  --  anywhere             anywhere            tcp dpts:1024:65535 limit: avg 6/min burst 2 LOG level info prefix `AIF:UNPRIV TCP packet: '
20   LOG        udp  --  anywhere             anywhere            udp dpts:1024:65535 limit: avg 6/min burst 2 LOG level info prefix `AIF:UNPRIV UDP packet: '
21   LOG        igmp --  anywhere             anywhere            limit: avg 1/min burst 5 LOG level info prefix `AIF:IGMP packet: '
22   POST_INPUT_CHAIN  all  --  anywhere             anywhere
23   LOG        icmp --  anywhere             anywhere            icmp !echo-request limit: avg 12/hour burst 1 LOG level info prefix `AIF:ICMP-other: '
24   POST_INPUT_DROP_CHAIN  tcp  --  anywhere             anywhere
25   POST_INPUT_DROP_CHAIN  udp  --  anywhere             anywhere
17   POST_INPUT_DROP_CHAIN  igmp --  anywhere             anywhere
27   POST_INPUT_DROP_CHAIN  icmp --  anywhere             anywhere
28   LOG        all  --  anywhere             anywhere            limit: avg 1/min burst 5 LOG level info prefix `AIF:Other connect: '
29   POST_INPUT_DROP_CHAIN  all  --  anywhere             anywhere

Chain EXT_MULTICAST_CHAIN (1 references)
num  target     prot opt source               destination
1    LOG        tcp  --  anywhere             anywhere            tcp dpts:0:1023 limit: avg 6/min burst 2 LOG level info prefix `AIF:PRIV TCP multicast: '
2    LOG        udp  --  anywhere             anywhere            udp dpts:0:1023 limit: avg 6/min burst 2 LOG level info prefix `AIF:PRIV UDP multicast: '
3    LOG        tcp  --  anywhere             anywhere            tcp dpts:1024:65535 limit: avg 6/min burst 2 LOG level info prefix `AIF:UNPRIV TCP multicast: '
4    LOG        udp  --  anywhere             anywhere            udp dpt:1024 limit: avg 6/min burst 2 LOG level info prefix `AIF:UNPRIV UDP multicast: '
5    LOG        icmp --  anywhere             anywhere            icmp !echo-request limit: avg 12/hour burst 1 LOG level info prefix `AIF:ICMP-multicast-other: '
6    DROP       all  --  anywhere             anywhere

Chain EXT_OUTPUT_CHAIN (2 references)
num  target     prot opt source               destination

Chain FORWARD_CHAIN (1 references)
num  target     prot opt source               destination

Chain HOST_BLOCK_DROP (0 references)
num  target     prot opt source               destination
1    LOG        all  --  anywhere             anywhere            limit: avg 1/min burst 1 LOG level info prefix `AIF:Blocked host(s): '
2    DROP       all  --  anywhere             anywhere

Chain HOST_BLOCK_DST (2 references)
num  target     prot opt source               destination

Chain HOST_BLOCK_SRC (2 references)
num  target     prot opt source               destination

Chain INET_DMZ_FORWARD_CHAIN (0 references)
num  target     prot opt source               destination

Chain INPUT_CHAIN (1 references)
num  target     prot opt source               destination

Chain INT_FORWARD_IN_CHAIN (1 references)
num  target     prot opt source               destination

Chain INT_FORWARD_OUT_CHAIN (1 references)
num  target     prot opt source               destination

Chain INT_INPUT_CHAIN (1 references)
num  target     prot opt source               destination
1    DROP       icmp --  anywhere             anywhere            icmp echo-request
2    ACCEPT     all  --  anywhere             anywhere
unkgsom
() автор топика
Ответ на: комментарий от unkgsom
Chain INT_OUTPUT_CHAIN (1 references)
num  target     prot opt source               destination

Chain LAN_INET_FORWARD_CHAIN (2 references)
num  target     prot opt source               destination
1    ACCEPT     icmp --  anywhere             anywhere            icmp echo-request limit: avg 20/sec burst 100
2    DROP       icmp --  anywhere             anywhere            icmp echo-request
3    ACCEPT     all  --  anywhere             anywhere

Chain OUTPUT_CHAIN (1 references)
num  target     prot opt source               destination

Chain POST_FORWARD_CHAIN (1 references)
num  target     prot opt source               destination

Chain POST_INPUT_CHAIN (2 references)
num  target     prot opt source               destination

Chain POST_INPUT_DROP_CHAIN (28 references)
num  target     prot opt source               destination
1    DROP       all  --  anywhere             anywhere

Chain POST_OUTPUT_CHAIN (1 references)
num  target     prot opt source               destination

Chain RESERVED_NET_CHK (2 references)
num  target     prot opt source               destination
1    LOG        all  --  10.0.0.0/8           anywhere            limit: avg 1/min burst 1 LOG level info prefix `AIF:IPv4 Private address: '
2    LOG        all  --  172.16.0.0/12        anywhere            limit: avg 1/min burst 1 LOG level info prefix `AIF:IPv4 Private address: '
3    LOG        all  --  192.168.0.0/16       anywhere            limit: avg 1/min burst 1 LOG level info prefix `AIF:IPv4 Private address: '
4    LOG        all  --  link-local/16        anywhere            limit: avg 1/min burst 1 LOG level info prefix `AIF:IPv4 Link-local address: '
5    LOG        all  --  base-address.mcast.net/24  anywhere            limit: avg 1/min burst 1 LOG level info prefix `AIF:IPv4 Multicast address: '
6    LOG        all  --  239.0.0.0/24         anywhere            limit: avg 1/min burst 1 LOG level info prefix `AIF:IPv4 Multicast address: '

Chain SPOOF_CHK (2 references)
num  target     prot opt source               destination
1    RETURN     all  --  192.168.3.0/24       anywhere
2    LOG        all  --  192.168.3.0/24       anywhere            limit: avg 3/min burst 5 LOG level info prefix `AIF:Spoofed packet: '
3    POST_INPUT_DROP_CHAIN  all  --  192.168.3.0/24       anywhere
4    RETURN     all  --  anywhere             anywhere

Chain VALID_CHK (3 references)
num  target     prot opt source               destination
1    LOG        tcp  --  anywhere             anywhere            tcp flags:FIN,SYN,RST,PSH,ACK,URG/FIN,PSH,URG limit: avg 3/min burst 5 LOG level info prefix `AIF:Stealth XMAS scan: '
2    LOG        tcp  --  anywhere             anywhere            tcp flags:FIN,SYN,RST,PSH,ACK,URG/FIN,SYN,RST,ACK,URG limit: avg 3/min burst 5 LOG level info prefix `AIF:Stealth XMAS-PSH scan: '
3    LOG        tcp  --  anywhere             anywhere            tcp flags:FIN,SYN,RST,PSH,ACK,URG/FIN,SYN,RST,PSH,ACK,URG limit: avg 3/min burst 5 LOG level info prefix `AIF:Stealth XMAS-ALL scan: '
4    LOG        tcp  --  anywhere             anywhere            tcp flags:FIN,SYN,RST,PSH,ACK,URG/FIN limit: avg 3/min burst 5 LOG level info prefix `AIF:Stealth FIN scan: '
5    LOG        tcp  --  anywhere             anywhere            tcp flags:SYN,RST/SYN,RST limit: avg 3/min burst 5 LOG level info prefix `AIF:Stealth SYN/RST scan: '
6    LOG        tcp  --  anywhere             anywhere            tcp flags:FIN,SYN/FIN,SYN limit: avg 3/min burst 5 LOG level info prefix `AIF:Stealth SYN/FIN scan?: '
7    LOG        tcp  --  anywhere             anywhere            tcp flags:FIN,SYN,RST,PSH,ACK,URG/NONE limit: avg 3/min burst 5 LOG level info prefix `AIF:Stealth Null scan: '
8    POST_INPUT_DROP_CHAIN  tcp  --  anywhere             anywhere            tcp flags:FIN,SYN,RST,PSH,ACK,URG/FIN,PSH,URG
9    POST_INPUT_DROP_CHAIN  tcp  --  anywhere             anywhere            tcp flags:FIN,SYN,RST,PSH,ACK,URG/FIN,SYN,RST,ACK,URG
10   POST_INPUT_DROP_CHAIN  tcp  --  anywhere             anywhere            tcp flags:FIN,SYN,RST,PSH,ACK,URG/FIN,SYN,RST,PSH,ACK,URG
11   POST_INPUT_DROP_CHAIN  tcp  --  anywhere             anywhere            tcp flags:FIN,SYN,RST,PSH,ACK,URG/FIN
12   POST_INPUT_DROP_CHAIN  tcp  --  anywhere             anywhere            tcp flags:SYN,RST/SYN,RST
13   POST_INPUT_DROP_CHAIN  tcp  --  anywhere             anywhere            tcp flags:FIN,SYN/FIN,SYN
14   POST_INPUT_DROP_CHAIN  tcp  --  anywhere             anywhere            tcp flags:FIN,SYN,RST,PSH,ACK,URG/NONE
15   LOG        tcp  --  anywhere             anywhere            tcp option=64 limit: avg 3/min burst 1 LOG level info prefix `AIF:Bad TCP flag(64): '
16   LOG        tcp  --  anywhere             anywhere            tcp option=128 limit: avg 3/min burst 1 LOG level info prefix `AIF:Bad TCP flag(128): '
17   POST_INPUT_DROP_CHAIN  tcp  --  anywhere             anywhere            tcp option=64
18   POST_INPUT_DROP_CHAIN  tcp  --  anywhere             anywhere            tcp option=128
19   POST_INPUT_DROP_CHAIN  all  --  anywhere             anywhere            state INVALID
20   LOG        all  -f  anywhere             anywhere            limit: avg 3/min burst 1 LOG level warning prefix `AIF:Fragment packet: '
21   DROP       all  -f  anywhere             anywhere
unkgsom
() автор топика
Ответ на: комментарий от unkgsom

1 MASQUERADE all  — anywhere 192.168.3.17 Убрал как и советовали, если так сделать, то сайты вообще не загружаются, страница пытается загрузится бесконечно...

unkgsom
() автор топика
Ответ на: комментарий от Pinkbyte

Да ну.. ))) уверены? Sslbump..Режим «server-first», при котором вначале осуществляется соединение с целевым сервером, а потом создаётся защищённое соединение между клиентом и прокси.

anonymous
()
Ответ на: комментарий от anonymous

Уверен - я в таком режиме настраивал. При этом на клиенте нужно зарегистрировать CA сквида, так как тот будет выписывать фиктивные сертификаты для защищенной связи с клиентом. Бесшовно не получится. А вариант с выскакиванием warning про подмену сертификата на каждый SSL-сайт - не смешной

Pinkbyte ★★★★★
()
Последнее исправление: Pinkbyte (всего исправлений: 1)
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.