«прозрачный» прокси выдает connection refused

0

0

Есть сервер со squid настроенным как transparent proxy. До вчерашнего дня все работало, сегодня браузеры стали получать connection refused. Если правило REDIRECT в iptables убрать и вручную указать прокси в настройках браузера, то все нормально. В логах squid пусто, пакеты похоже отбрасываются фаерволлом. В какую сторону копать?

-A PREROUTING -i eth1 -p tcp -m tcp --dport 80 -j REDIRECT --to-ports 3128 
-A PREROUTING -i eth1 -p tcp -m tcp --dport 8080 -j REDIRECT --to-ports 3128

На сервере две сетевухи - одна в интернет (eth0), другая в локалку с двумя ипишниками (eth1 и eth1:1)

Ссылка

←	Portsentry

Шейпер и IPDSLAM умирает днём!

→

А connection refused - страница сквидовая, или нет?
Апдейтов не было? Может изменился конфиг сквида или конфиг фаерволла изменился?

В общем, мало информации.
wgetpaste /etc/squid/squid.conf
iptables -L -nv | wgetpaste
iptables -L -nv -t nat | wgetpaste

Ну и скрин страницы в браузере.

CyberTribe ★★
(26.04.10 11:08:21 MSD)

фаер перенастраивал ?

MikeDM ★★★★★
(26.04.10 11:13:46 MSD)

Ответ на: комментарий от CyberTribe 26.04.10 11:08:21 MSD

> А connection refused - страница сквидовая, или нет?

нет, гуглхромовское сообщение

http://pastebin.com/5pj73Y0p - конфиг сквида

http://pastebin.com/30DgEDGK - правила iptables

Ну и скрин страницы в браузере.

сейчас не выйдет. Я пока убрал эти два правила и оставил один голый SNAT, а то юзеры без инета не могут ;)

JB ★★★★★
(26.04.10 11:23:55 MSD) автор топика

Ответ на: комментарий от MikeDM 26.04.10 11:13:46 MSD

нет конечно, он у меня с момента установки не менялся, а это было более года назад. Дистрибутив Debian Lenny если что

JB ★★★★★
(26.04.10 11:24:48 MSD) автор топика

Ссылка

Ответ на: комментарий от JB 26.04.10 11:23:55 MSD

В iptables всё явно в порядке.

Сквид не обновляли? Смущают вот эти 2 строки в конфиге:

http_port 127.0.0.1:3128
http_port 192.168.1.111:3128 transparent

Если их держать на разных портах? Мешать не должно, но кроме этого ничего интересного не видно.

CyberTribe ★★
(26.04.10 11:30:08 MSD)

Ответ на: комментарий от CyberTribe 26.04.10 11:30:08 MSD

> Сквид не обновляли?

судя по кешу apt в феврале апдейт был

Если их держать на разных портах? Мешать не должно, но кроме этого ничего интересного не видно.

попробую убрать первую строчку

JB ★★★★★
(26.04.10 11:33:50 MSD) автор топика

Ответ на: комментарий от JB 26.04.10 11:33:50 MSD

>судя по кешу apt в феврале апдейт был
возможно после этого сквид вот только вчера был перезапущен?

CyberTribe ★★
(26.04.10 11:35:11 MSD)

Ответ на: комментарий от CyberTribe 26.04.10 11:35:11 MSD

> возможно после этого сквид вот только вчера был перезапущен?

в дебиане при обновлении службы она перезапускается

JB ★★★★★
(26.04.10 11:45:51 MSD) автор топика

Ссылка

оплатите $100 в кассу и можете ставить RESOLVED :)

Somewho ★★
(26.04.10 12:28:12 MSD)

Ответ на: комментарий от Somewho 26.04.10 12:28:12 MSD

и да, ресолв заключался в добавлении -s $LAN_IP_RANGE

Somewho ★★
(26.04.10 12:29:02 MSD)

Ответ на: комментарий от Somewho 26.04.10 12:29:02 MSD

да, Somewho подсказал правильное решение - вместо -i правильнее указывать -s

JB ★★★★★
(26.04.10 12:32:44 MSD) автор топика

Ответ на: комментарий от JB 26.04.10 12:32:44 MSD

правильней и то и то указывать :)

Somewho ★★
(26.04.10 12:34:48 MSD)

Ссылка

Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.

←	Portsentry

Admin

Шейпер и IPDSLAM умирает днём!

→

Похожие темы