iptables + squid = invalid URL

0

1

eth0 - интернет, eth1 - сеть.

Почему-то строчка

iptables -t nat -A PREROUTING -i eth1 -s 192.168.0.0/16 -p tcp --dport 80 -j REDIRECT --to-port 3128

Выдает сообщение от сквида invalid URL.

Форвардинг включается:

echo 1 > /proc/sys/net/ipv4/ip_forward

iptables -A INPUT -i lo -j ACCEPT

iptables -A FORWARD -i eth1 -o eth0 -j ACCEPT

iptables -t nat -A POSTROUTING -o eth0 -s 192.168.0.0/24 -j MASQUERADE 

iptables -A FORWARD -i eth0 -m state --state ESTABLISHED,RELATED -j ACCEPT

iptables -A FORWARD -i eth0 -o eth1 -j REJECT

iptables -t nat -A PREROUTING -p udp --dport 53 -j DNAT --to-destination 192.168.0.3

Пробовал

iptables -t nat -A PREROUTING -i eth1 -s 192.168.0.0/16 -p tcp --dport 80 -j DNAT --to-destination 192.168.0.3:3128

тоже самое.

ЧЯДНТ?

Ссылка

←	стресс тестирование wifi сети

soft raid извлечение sta diska

→

не совсем понятно чего ты хочешь добиться, нет логов сквида и нет полной картины iptables. что например у тебя в OUTPUT ?

Badman ★
(21.03.13 13:59:39 MSK)

Ответ на: комментарий от Badman 21.03.13 13:59:39 MSK

Делаю прозрачный прокси. В iptables я только вышеуказанный форвардинг оставил.

1363860609.605      0 192.168.0.220 NONE/400 3508 GET / - NONE/- text/html
1363860609.677      0 192.168.0.220 NONE/400 3536 GET /Artwork/SN.png - NONE/- text/html
1363860609.691      0 192.168.0.220 NONE/400 3530 GET /favicon.ico - NONE/- text/html
1363860609.734      0 192.168.0.220 NONE/400 3530 GET /favicon.ico - NONE/- text/html
1363860611.309      0 192.168.0.246 NONE/400 3700 GET /cgi-bin/counters?mac=1&gamescnt=1&JSONP_call=__PHJSONPCallback_382&rnd=1363860582931 - NONE/- text/html
1363860617.217      0 192.168.0.220 NONE/400 3694 GET /T/88/QQMmM9Ol44QFlbxi4aF-ACUQsCg8kYgkmAqwluQma0U4o0pnB5vqwjJd0I5NzMPmBUNgrKv-TV4sf9Ni45oKGw== - NONE/- text/html
1363860617.218      0 192.168.0.220 NONE/400 3508 GET / - NONE/- text/html
1363860617.242      0 192.168.0.220 NONE/400 3536 GET /Artwork/SN.png - NONE/- text/html
1363860617.259      0 192.168.0.220 NONE/400 3530 GET /favicon.ico - NONE/- text/html
1363860617.263      0 192.168.0.220 NONE/400 3530 GET /favicon.ico - NONE/- text/html
1363860619.006      0 192.168.0.182 NONE/400 3750 GET /cgi-bin/counters?mac=1&gamescnt=1&Login=kazppr%40mail.ru&JSONP_call=__PHJSONPCallback_2&rnd=1363860616716 - NONE/- text/html
1363860619.827      0 192.168.0.152 NONE/400 3662 GET /api/getplayingtrackinfo.php?station_id=68&short=1&typechannel=channel - NONE/- text/html

AlexVIP ★
(21.03.13 14:12:51 MSK) автор топика

Ответ на: комментарий от AlexVIP 21.03.13 14:12:51 MSK

Выложи squid.conf и все правила iptables

edyard
(21.03.13 14:18:47 MSK)

Ответ на: комментарий от AlexVIP 21.03.13 14:12:51 MSK

что-то я ошибок не увидел в логах сквида

Badman ★
(21.03.13 14:22:11 MSK)

Ссылка

Зачем эти правила и форвардинг, если делаешь проксю?

iptables -A FORWARD -i eth1 -o eth0 -j ACCEPT
iptables -t nat -A POSTROUTING -o eth0 -s 192.168.0.0/24 -j MASQUERADE

Зачем это я вообще не понял:

iptables -A FORWARD -i eth0 -o eth1 -j REJECT

В конфиге кальмара какие настройки? И лучше всё-таки посмотреть полный вывод iptables, включая политики.

shell-script ★★★★★
(21.03.13 14:22:16 MSK)

Ответ на: комментарий от shell-script 21.03.13 14:22:16 MSK

Форвардит для других программ, iptables хочу закрыть все лишние порты и отредиктить 80 и 443 порты.

iptables -A FORWARD -i eth0 -o eth1 -j REJECT это запрет со внешней во внутреннюю ходить.

AlexVIP ★
(21.03.13 14:26:33 MSK) автор топика

Ответ на: комментарий от edyard 21.03.13 14:18:47 MSK

Чистый iptables сейчас, только правила сверху.

Squid3 конфиг стандартный бубунтушный, кроме разкомментирования localnet.

AlexVIP ★
(21.03.13 14:28:24 MSK) автор топика

Ссылка

Ответ на: комментарий от AlexVIP 21.03.13 14:26:33 MSK

iptables -A FORWARD -i eth0 -o eth1 -j REJECT это запрет со внешней во внутреннюю ходить.

Но у тебя же нет NAT'а снаружи внутрь. Зачем ставить лишнее правило?

Ты так и не ответил про политики iptables.

Squid3 конфиг стандартный бубунтушный, кроме разкомментирования localnet.

transparent включил в http_port?

Блин, неужели всё придётся клещами вытягивать? Я вот, например, даже не догадываюсь, чего там в бубунте могли напихать в стандартный конфиг. Неужели так тяжело выложить информацию, которая поможет помочь тебе в решении твоей же проблемы? :)

shell-script ★★★★★
(21.03.13 14:33:10 MSK)

Ответ на: комментарий от shell-script 21.03.13 14:33:10 MSK

Я же написал, форвардинг нужен для софта отличного от браузеров.

Все http_port поменял, работает без проблем, спс.

AlexVIP ★
(21.03.13 14:37:48 MSK) автор топика

Ссылка

Ответ на: комментарий от AlexVIP 21.03.13 14:26:33 MSK

443 порт не работает :) Прокси не может расковырять SSL.

AlexVIP ★
(21.03.13 14:51:48 MSK) автор топика

Ответ на: комментарий от AlexVIP 21.03.13 14:51:48 MSK

А смысл заворачивать 443 порт на прокси, у вас всё равно по нему идёт шифрованные данные, так что их кэширование нецелесообразно.

kostik87 ★★★★★
(21.03.13 15:43:31 MSK)

Ответ на: комментарий от kostik87 21.03.13 15:43:31 MSK

Не в кешировании дело, вундеркинды завелись с проксями.

AlexVIP ★
(21.03.13 16:17:25 MSK) автор топика

Ссылка

Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.

←	стресс тестирование wifi сети

Admin

soft raid извлечение sta diska

→

Похожие темы