LINUX.ORG.RU
ФорумAdmin

IPTables для Squid

 ,


0

1

Помогите, пожалуйста, разобраться почему не перенаправляются запросы в Squid. Если ручками прописываю проксю в браузере, то все работает, а прозрачно не работает :( 

#!/usr/bin/env bash

export IPT="iptables"

# WAN 1
export WAN=ppp0
export WAN_IP=ххх.ххх.ххх.ххх

# Local
export LAN1=br0
export LAN1_IP_RANGE=192.168.88.0/24

# Flush rules
$IPT -F
$IPT -X
$IPT -t nat -F
$IPT -t nat -X
$IPT -t mangle -F
$IPT -t mangle -X
$IPT -P INPUT ACCEPT
$IPT -P FORWARD ACCEPT
$IPT -P OUTPUT ACCEPT

# Deny all
#$IPT -P INPUT DROP
#$IPT -P OUTPUT DROP
#$IPT -P FORWARD DROP

# Allow local
$IPT -A INPUT -i lo -j ACCEPT
$IPT -A INPUT -i $LAN1 -j ACCEPT
$IPT -A OUTPUT -o lo -j ACCEPT
$IPT -A OUTPUT -o $LAN1 -j ACCEPT

# Allow ping
$IPT -A INPUT -p icmp --icmp-type echo-reply -j ACCEPT
$IPT -A INPUT -p icmp --icmp-type destination-unreachable -j ACCEPT
$IPT -A INPUT -p icmp --icmp-type time-exceeded -j ACCEPT
$IPT -A INPUT -p icmp --icmp-type echo-request -j ACCEPT

$IPT -t nat -I PREROUTING 1 -p tcp --dport 3030 -j DNAT --to-destination 192.168.88.241:3389

$IPT -A INPUT -i ppp+ -j ACCEPT
$IPT -A OUTPUT -o ppp+ -j ACCEPT

$IPT -F FORWARD
$IPT -A FORWARD -j ACCEPT

iptables -t nat -A PREROUTING -i $LAN1 -p tcp --dport 80 -j REDIRECT --to-ports 3128
iptables -t nat -A PREROUTING -i $LAN1 -p tcp --dport 443 -j REDIRECT --to-ports 3129

$IPT -A POSTROUTING -t nat -o ppp+ -j MASQUERADE

На всякий случай конфиг Squid 4.6 

acl all src all
acl office src 192.168.88.1-192.168.88.200/255.255.255.0
acl serv2019 src 192.168.1.241/32

acl SSL_ports port 443
acl CONNECT method CONNECT

acl Safe_ports port 80
acl Safe_ports port 21 # http
acl Safe_ports port 443 # ftp
acl Safe_ports port 70 # https
acl Safe_ports port 210 # gopher
acl Safe_ports port 1025-65535 # wais
acl Safe_ports port 280 # unregistered ports
acl Safe_ports port 488 # http-mgmt
acl Safe_ports port 591 # gss-http
acl Safe_ports port 777 # filemaker

http_access deny !Safe_ports
http_access deny CONNECT !SSL_ports

http_access allow localhost
http_access allow office
http_access allow serv2019

http_access deny all

http_port 192.168.88.250:3128
#http_port 192.168.88.250:3129 intercept
http_port 192.168.88.250:3129 ssl-bump generate-host-certificates=on dynamic_cert_mem_cache_size=4MB cert=/etc/squid/ssl/squidca.pem


#acl nosslintercept ssl::server_name "/etc/squid/sites_nossl.txt"
acl step1 at_step SslBump1

ssl_bump peek step1
ssl_bump bump all

sslcrtd_program /usr/lib/squid/security_file_certgen -s /var/lib/ssl_db -M 4MB

dns_nameservers 8.8.8.8

refresh_pattern ^ftp:		1440	20%	10080
refresh_pattern ^gopher:	1440	0%	1440
refresh_pattern -i (/cgi-bin/|\?) 0	0%	0
refresh_pattern .		0	20%	4320

Перенаправлять трафик нужно на те порты, которые у squid'а сконфигурены как ″intercept″.

Отдельно посмотрите счётчики ваших правил в iptables, если они не нулевые, значит правила срабатывают. Если нулевые, значит что-то не так с условиями.

mky ★★★★★
()
Ответ на: комментарий от mky

как-то не видно вообще этих правил. Я наверное что-то не так делаю =)

 $ iptables -nvL
Chain INPUT (policy ACCEPT 37515 packets, 20M bytes)
 pkts bytes target     prot opt in     out     source               destination
    0     0 ACCEPT     all  --  lo     *       0.0.0.0/0            0.0.0.0/0
  379 46526 ACCEPT     all  --  br0    *       0.0.0.0/0            0.0.0.0/0
    0     0 ACCEPT     icmp --  *      *       0.0.0.0/0            0.0.0.0/0            icmptype 0
    0     0 ACCEPT     icmp --  *      *       0.0.0.0/0            0.0.0.0/0            icmptype 3
    0     0 ACCEPT     icmp --  *      *       0.0.0.0/0            0.0.0.0/0            icmptype 11
    0     0 ACCEPT     icmp --  *      *       0.0.0.0/0            0.0.0.0/0            icmptype 8
  136  8661 ACCEPT     all  --  ppp+   *       0.0.0.0/0            0.0.0.0/0

Chain FORWARD (policy ACCEPT 90 packets, 65577 bytes)
 pkts bytes target     prot opt in     out     source               destination
 4292 2179K ACCEPT     all  --  *      *       0.0.0.0/0            0.0.0.0/0

Chain OUTPUT (policy ACCEPT 44 packets, 1760 bytes)
 pkts bytes target     prot opt in     out     source               destination
    0     0 ACCEPT     all  --  *      lo      0.0.0.0/0            0.0.0.0/0
  309  244K ACCEPT     all  --  *      br0     0.0.0.0/0            0.0.0.0/0
  138 16900 ACCEPT     all  --  *      ppp+    0.0.0.0/0            0.0.0.0/0
darksmoke
() автор топика
Ответ на: комментарий от darksmoke

"-t nat", по умолчанию таюлтица filter. Или ″iptables-save -c″.

mky ★★★★★
()

С прозрачности в кальмаре жуткие проблемы. Даже не дергайся. :)

Bootmen ☆☆☆
()

Ты сейчас занят дико бессмысленной задачей, решение которой принесет тебе только борьбу с глюками и боль.

Чем раньше ты на это забьешь болт, тем больше времени и нервных клеток сохранится для нужных или хотя бы прикольных дел.

thesis ★★★★★
()
Ответ на: комментарий от thesis

Чем раньше ты на это забьешь болт

Эт точно! прямой проброс в Инет решит все...

Bootmen ☆☆☆
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.
Admin