подскажите цепочку iptables для прозрачного прокси

0

0

есть 2 сетевухи-одна для внутренней сети другая для инета

хочу не меняя настроек у пользователя (работает через роутер- т.е.

шлюз и днс один адрес) установить прозрачный прокси

ядро 2.6.24.5 squid 3.0 stable 9 iptables- 1.4

настроил squid.conf- главное http_port ip ineta:3128 transparent

dns_namesrevers - ip dns

resolv.conf-namesarver ip dns

пробовал с разными цепочками iptables

1- проброс 53 порта udp на 3128

iptables -t nat -A PREROUTIG -p udp 192.168.... --dport 53 -j

DNAT --to-destination ip ineta : 3128

2-iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 80 -j REDIRECT --to-port 3128

Ни с одной неработает.т.е explorer не отвечает

что я пропустил или что не так

в инете вего много по этим настройкам, но мне нужет самый простой

вариант для начала работы прокси, а дольше разберусь и добавлю

все остальное

Ссылка

←	Exim Unrouteable address

[debian] информация о пакетах

→

Для iptables необходимо и достаточно
iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 80 -j REDIRECT --to-port 3128
(вариант с DNAT нужен только если прокси на другом компе).

А вот без этих настроек сквида прозрачное проскирование может и не работать
httpd_accel_host virtual
httpd_accel_port 80
httpd_accel_with_proxy on
httpd_accel_uses_host_header on

nnz ★★★★
(10.11.09 15:24:45 MSK)

А http_port не трогай. Все работает с дефолтными настройками.

nnz ★★★★
(10.11.09 15:26:05 MSK)

Ссылка

Ответ на: комментарий от nnz 10.11.09 15:24:45 MSK

в версии 2.5 httpd_accel эти опции есть в squid.conf а у меня

их нет вероятно достаточно опция - transparent и еще д.б. стартован bind или нет ?

valery
(10.11.09 16:47:12 MSK) автор топика

Ответ на: комментарий от valery 10.11.09 16:47:12 MSK

Ну возможно.
Тогда вопрос: на каком интерфейсе какой айпишник висит и через какой интерфейс входит трафик из локалки?

>и еще д.б. стартован bind или нет ?

Да, желательно его запустить, правильно настроив forwarders.

nnz ★★★★
(10.11.09 17:33:13 MSK)

Ответ на: комментарий от nnz 10.11.09 17:33:13 MSK

eth0 -внутренняя сеть

valery
(11.11.09 09:55:27 MSK) автор топика

Ответ на: комментарий от nnz 10.11.09 17:33:13 MSK

добавил forwarders перезапустил бинд при проверке-

dig дает-recursion requested but not available а nslookup

проходит

по named.conf- нужна запись zone "localhost" или нет

valery
(11.11.09 11:47:29 MSK) автор топика

Ответ на: комментарий от valery 11.11.09 11:47:29 MSK

В качестве forwarders должны выступать DNS-сервера провайдера, которые гарантированно поддерживают рекурсию.

Также рекурсия может быть запрещена в конфиге намеда. В этом случае

acl "trusted_networks" {
    127.0.0.1;
    # Впиши сюда свою подсеть с маской
    192.168.0.0/16; # Например
};

и в начало блока options добавляешь allow-recursion { trusted_networks; };

nnz ★★★★
(11.11.09 16:19:28 MSK)

Ссылка

Ответ на: комментарий от valery 11.11.09 09:55:27 MSK

>eth0 -внутренняя сеть

Кальмар на его айпишнике висит?

nnz ★★★★
(11.11.09 16:20:24 MSK)

Ответ на: комментарий от nnz 11.11.09 16:20:24 MSK

на eth0 висит вся внутренняя сеть

ip из eth0 д.б. шлюзом и днс для

выхода в инет пользователем через eth1

valery
(11.11.09 17:07:17 MSK) автор топика

Ссылка

Squid - это HTTP и FTP_OVER_HTTP прокси. Заворачивать 53/udp, smtp, pop, imap на него нельзя. Да и что ты там кэшировать собрался? :)

Deleted
(11.11.09 17:25:27 MSK)

Ссылка

Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.

←	Exim Unrouteable address

Admin

[debian] информация о пакетах

→

Похожие темы