Выпустить пользователя без прокси сервера

0

1

Имеется в сети компьютер. Его нужно выпустить в интернет мимо squid, что бы не указывать настройки proxy сервера. И нужно обрезать скорость этому компьютеру. Установлен squid на debian Подскажите пожалуйста как сделать

acl localnet src 192.168.5.0/24 
acl Admins_Unlim src "/etc/squid/admin_speed.txt"
acl Users_Speed src "/etc/squid/users_speed.txt"
acl Allowed_IPs src "/etc/squid/good_ip.txt"
acl SSL_ports port 443
acl Safe_ports port 80          # http
acl Safe_ports port 21          # ftp
acl Safe_ports port 443         # https
acl Safe_ports port 70          # gopher
acl Safe_ports port 210         # wais
acl Safe_ports port 1025-65535  # unregistered ports
acl Safe_ports port 280         # http-mgmt
acl Safe_ports port 488         # gss-http
acl Safe_ports port 591         # filemaker
acl Safe_ports port 777         # multiling http
acl Safe_ports port 88		#Доступ на tp-link
acl Safe_ports port 22		#Доступ по ssh
acl Safe_ports port 3391	
acl Safe_ports port 3389	
acl CONNECT method CONNECT
http_access deny !Safe_ports
http_access deny CONNECT !SSL_ports
http_access allow localhost manager
http_access deny manager
http_access deny to_localhost
http_access allow Allowed_IPs
http_access allow localnet
http_access allow localhost
http_access deny all
delay_access 1 allow Admin_Unlim
delay_access 1 deny all
delay_access 2 allow Users_Speed
delay_access 2 deny all
delay_parameters 1 512000/512000
delay_parameters 2 256000/256000
http_port 3128
coredump_dir /var/squid/cache
refresh_pattern ^ftp:           1440    20%     10080
refresh_pattern ^gopher:        1440    0%      1440
refresh_pattern -i (/cgi-bin/|\?) 0     0%      0
refresh_pattern .               0       20%     4320
dns_v4_first on
shutdown_lifetime 1 seconds

Вывод iptables

root@srv:/etc/squid3# iptables -L -n -v
root@srv:~# iptables -L -n -v
Chain INPUT (policy ACCEPT 70M packets, 89G bytes)
 pkts bytes target     prot opt in     out     source               destination

Chain FORWARD (policy ACCEPT 1385K packets, 107M bytes)
 pkts bytes target     prot opt in     out     source               destination
23089 1971K ACCEPT     tcp  --  eth1   eth0    0.0.0.0/0            192.168.5.251        tcp dpt:3389

Chain OUTPUT (policy ACCEPT 61M packets, 35G bytes)
 pkts bytes target     prot opt in     out     source               destination

Ссылка

←	Не понимаю как задать маршрут..

извлечь подстроку egrep/sed/etc...

→

Первый вопрос сводится к «у меня есть прокси-сервер, подскажите, пожалуйста, как его не использовать?»

t184256 ★★★★★
(26.11.18 14:57:03 MSK)

Ответ на: комментарий от t184256 26.11.18 14:57:03 MSK

Без удаления squid нельзя это сделать? Просто нужно скорость резать,и логи смотреть, и контроль доступа к сайтам.

kot488
(26.11.18 15:27:10 MSK) автор топика

Ответ на: комментарий от kot488 26.11.18 15:27:10 MSK

Просто нужно скорость резать,и логи смотреть, и контроль доступа к сайтам.

Нет, одновременно использовать и не использовать прокси не выйдет.

Сходи разберись, чего ты на самом деле хочешь, потом расскажешь.

t184256 ★★★★★
(26.11.18 15:53:23 MSK)

Ссылка

Ответ на: комментарий от kot488 26.11.18 15:27:10 MSK

Скорость резать - iptables Логи смотреть - какие-то другие софтины Контроль доступа к сайтам - iptables

momi
(26.11.18 16:17:33 MSK)

Ссылка

Предполагается что автор знает разницу между NAT и proxy. Средствами чистого iptables «нужно скорость резать,и логи смотреть, и контроль доступа к сайтам.» не добиться. Если цель стоит именно не вписывать прокси в клиента то есть transparent proxy или WPAD. Иначе придётся минимум шейпить трафик через tc, aclы настраивать через ipset, а логи собирать из транзитного трафика вообще непонятно как.

Mike_RM ★
(26.11.18 17:37:01 MSK)

Ответ на: комментарий от Mike_RM 26.11.18 17:37:01 MSK

Именно нужно не вписывать прокси на этом компьютере, и еще планируется использование мобильных устройств

kot488
(26.11.18 18:49:58 MSK) автор топика

Ответ на: комментарий от kot488 26.11.18 18:49:58 MSK

http://linuxway.ru/poleznoe/squid-nastrojka-prozrachnogo-proksi/

Правило с DNAT обычно лишнее, зачем его переписывают из мануала в мануал не очень понятно.

Mike_RM ★
(26.11.18 19:21:24 MSK)

Ответ на: комментарий от Mike_RM 26.11.18 19:21:24 MSK

Но таким образом он станет прозрачным для всех. А нужно для определенного ип(

kot488
(26.11.18 19:34:35 MSK) автор топика

Ответ на: комментарий от kot488 26.11.18 19:34:35 MSK

Редирект в iptables для нужного ip самостоятельно сможете сделать?

Mike_RM ★
(26.11.18 19:36:38 MSK)

Ответ на: комментарий от Mike_RM 26.11.18 19:36:38 MSK

Если мне склероз не изменяет, то у вас squid не является шлюзом. В этом случае нужно использовать правило с DNAT вместо REDIRECT.

Mike_RM ★
(26.11.18 19:40:26 MSK)

Ответ на: комментарий от Mike_RM 26.11.18 19:40:26 MSK

squid сейчас как раз шлюз

kot488
(26.11.18 19:50:58 MSK) автор топика

Ответ на: комментарий от kot488 26.11.18 19:50:58 MSK

Ну ставьте REDIRECT с ключом -s на нужный IP. Советую задуматься об адресации в сети при появлении мобильных клиентов (в идеале сегментировать в отдельную подсеть/vlan). Иначе костыли появятся в виде -m iprange .

Mike_RM ★
(26.11.18 19:58:17 MSK)

Ссылка

Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.

←	Не понимаю как задать маршрут..

Admin

извлечь подстроку egrep/sed/etc...

→

Похожие темы