Компьютерный форум NoWa.cc
Правила Форума
редакция от 29.01.2013
Портал .::2Baksa.Net::. Трекер BRODIM.COM Фильмы HD Онлайн Форум вебкам моделей
Вернуться   Компьютерный форум NoWa.cc > Операционные системы > UNIX, Linux, MacOs для PC и другие ОС

Уважаемые пользователи nowa.cc и 2baksa.net. У нас сложилось тяжелое финансовое положение. Мы работаем для вас вот уже более 12 лет
и теперь вынуждены просить о помощи. Окажите посильную поддержку проектам. Мы очень надеемся на вас. Реквизиты для переводов ниже.
Webmoney Webmoney Z826074280762 Webmoney R087294265364 Webmoney U051530505194 Webmoney E804621616710
PayPal E-mail для связи / to Contact E-mail для связи по вопросу помощи / to Contact : E-mail для связи / to Contact
Кошелек для вашей помощи Yandex 410013204813773
Yandex Спасибо за поддержку!

Российский интернет-шлюз: контроль трафика, DLP, антивирус, fail2ban, прокси-сервер, шифрование данных, https-фильтрация. Сертификат ФСТЭК

загрузка...
Ответ
 
Опции темы Language
Старый 13.04.2010, 12:53   #1
Пользователь
 
Пол:Мужской
Регистрация: 16.01.2008
Сообщений: 152
Репутация: 7
По умолчанию Iptables & Squid - не перенаправляется трафик

Есть прокси-сервер на Debian, по идее весь исходящий http-трафик на порт 80 должен перенаправляться на порт сквида 3128 силами iptables. Но этого не получается - инет на клиентских машинах не пашет до тех пор, пока в браузере прямо не напишешь адрес и порт прокси. Локальная сеть 10.0.0.0/24 на eth1, внешняя на eth0. Конфиг iptables привожу ниже. Чего не хватает?

*nat
:PREROUTING ACCEPT [223:25545]
:POSTROUTING ACCEPT [6:812]
:OUTPUT ACCEPT [6:812]
-A PREROUTING -s 10.0.0.0/24 -p tcp -m tcp --dport 80 -j REDIRECT --to-ports 3128
-A POSTROUTING -s 10.0.0.0/24 -o eth0 -j SNAT --to-source 192.168.10.1
COMMIT
*filter
:INPUT DROP [198:23292]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [4:576]
-A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
-A INPUT -i lo -j ACCEPT
-A INPUT -s 10.0.0.0/24 -i eth1 -j ACCEPT
COMMIT
axl_kane вне форума
 
Ответить с цитированием Вверх
Надежный китайский посредник Taobao.com


Реклама: gv-n1050d5-2gdледовое шоу плющенко 2018 схема залаКомоды С ящикомдетский матрас 160 на 60 на3 ценавегас люксор цены


Старый 13.04.2010, 13:38   #2
Revent
Пользователь
 
Пол:Мужской
Регистрация: 15.12.2006
Сообщений: 37
Репутация: 4
По умолчанию Re: Iptables & Squid - не перенаправляется трафик

/etc/sysctl.conf параметр net.ipv4.ip_forward = 1(если нету вписать ручками) перезагрузиться ну или sysctl -w и все должно заработать
Revent вне форума
 
Ответить с цитированием Вверх
Старый 13.04.2010, 13:51   #3
DoubleSpace
ViP
 
Пол:Мужской
Регистрация: 02.06.2006
Адрес: Украина
Сообщений: 3,325
Репутация: 935
По умолчанию Re: Iptables & Squid - не перенаправляется трафик

А в squid изменения настройки вы делали?
http_port 192.168.1.1:3128 transparent
DoubleSpace вне форума
 
Ответить с цитированием Вверх
Старый 13.04.2010, 14:25   #4
axl_kane
Пользователь
 
Пол:Мужской
Регистрация: 16.01.2008
Сообщений: 152
Репутация: 7
По умолчанию Re: Iptables & Squid - не перенаправляется трафик

sysctl.conf отредактирован

http_port 3128 transparent - без указания ip сервера, по идее и так работать должен
axl_kane вне форума
 
Ответить с цитированием Вверх
Старый 13.04.2010, 15:07   #5
Revent
Пользователь
 
Пол:Мужской
Регистрация: 15.12.2006
Сообщений: 37
Репутация: 4
По умолчанию Re: Iptables & Squid - не перенаправляется трафик

lsmod | grep ip покажи

и вот эти правила в iptables для форвардинга нужны
-A FORWARD -s 10.0.0.0/24 -i eth1 -j ACCEPT
-A FORWARD -d 10.0.0.0/24 -i eth1 -j ACCEPT
-A FORWARD -o eth1 -j DROP
-A FORWARD -o eth0 -j DROP

Последний раз редактировалось Revent; 13.04.2010 в 15:14..
Revent вне форума
 
Ответить с цитированием Вверх
Старый 13.04.2010, 15:11   #6
axl_kane
Пользователь
 
Пол:Мужской
Регистрация: 16.01.2008
Сообщений: 152
Репутация: 7
По умолчанию Re: Iptables & Squid - не перенаправляется трафик

ipt_REDIRECT 1760 1
iptable_nat 4680 1
nf_nat 15576 2 ipt_REDIRECT,iptable_nat
nf_conntrack_ipv4 12268 4 iptable_nat,nf_nat
nf_conntrack 55540 4 xt_state,iptable_nat,nf_nat,nf_conntrack_ipv4
iptable_filter 2624 1
ip_tables 10160 2 iptable_nat,iptable_filter
x_tables 13284 5 xt_state,ipt_REDIRECT,xt_tcpudp,iptable_nat,ip_tab les
ipv6 235396 10

Последний раз редактировалось axl_kane; 13.04.2010 в 15:13..
axl_kane вне форума
 
Ответить с цитированием Вверх
Старый 13.04.2010, 15:18   #7
Revent
Пользователь
 
Пол:Мужской
Регистрация: 15.12.2006
Сообщений: 37
Репутация: 4
По умолчанию Re: Iptables & Squid - не перенаправляется трафик

тут все норм форвардинг добавь по идее должно хватить

Ну и соответственно не забываем шлюз на клиентах вписывать
Revent вне форума
 
Ответить с цитированием Вверх
Старый 13.04.2010, 16:48   #8
axl_kane
Пользователь
 
Пол:Мужской
Регистрация: 16.01.2008
Сообщений: 152
Репутация: 7
По умолчанию Re: Iptables & Squid - не перенаправляется трафик

не пашет, даже после добавления FORWARD

*filter
:INPUT DROP [1:28]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [371:40236]
-A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
-A INPUT -i lo -j ACCEPT
-A INPUT -p tcp -m tcp --dport 22 -j ACCEPT
-A INPUT -s 10.0.0.0/24 -i eth1 -j ACCEPT
-A FORWARD -s 10.0.0.0/24 -i eth1 -j ACCEPT
-A FORWARD -d 10.0.0.0/24 -i eth1 -j ACCEPT
-A FORWARD -o eth1 -j DROP
-A FORWARD -o eth0 -j DROP
COMMIT

*nat
:PREROUTING ACCEPT [22:2822]
:POSTROUTING ACCEPT [5:335]
:OUTPUT ACCEPT [5:335]
-A PREROUTING -s 10.0.0.0/24 -p tcp -m tcp --dport 80 -j REDIRECT --to-ports 3128
-A POSTROUTING -s 10.0.0.0/24 -o eth0 -j SNAT --to-source 192.168.10.1
COMMIT
axl_kane вне форума
 
Ответить с цитированием Вверх
Старый 14.04.2010, 07:41   #9
Revent
Пользователь
 
Пол:Мужской
Регистрация: 15.12.2006
Сообщений: 37
Репутация: 4
По умолчанию Re: Iptables & Squid - не перенаправляется трафик

попробуй эту строчку
-A PREROUTING -s 10.0.0.0/24 -p tcp -m tcp --dport 80 -j REDIRECT --to-ports 3128
заменить на
-A PREROUTING -i eth1 -p tcp -m tcp --dport 80 -j REDIRECT --to-ports 3128

ну и политику INPUT в ACCEPT, проще потом закрыть входящие соединения
Revent вне форума
 
Ответить с цитированием Вверх
Старый 14.04.2010, 08:40   #10
ivan_i_
Старожил
 
Пол:Мужской
Регистрация: 13.03.2009
Сообщений: 1,005
Репутация: 2767
По умолчанию Re: Iptables & Squid - не перенаправляется трафик

Я бы оставил одного клиента и на определённые строчки поставил бы -j LOG плюс tcpdump - сразу станет что куда и почему идёт. Бывает поподаются логические ошибки, которые сразу и не заметишь.
ivan_i_ вне форума
 
Ответить с цитированием Вверх
Старый 14.04.2010, 12:33   #11
axl_kane
Пользователь
 
Пол:Мужской
Регистрация: 16.01.2008
Сообщений: 152
Репутация: 7
По умолчанию Re: Iptables & Squid - не перенаправляется трафик

Цитата:
Сообщение от Revent Посмотреть сообщение
попробуй эту строчку
-A PREROUTING -s 10.0.0.0/24 -p tcp -m tcp --dport 80 -j REDIRECT --to-ports 3128
заменить на
-A PREROUTING -i eth1 -p tcp -m tcp --dport 80 -j REDIRECT --to-ports 3128

ну и политику INPUT в ACCEPT, проще потом закрыть входящие соединения

не помогло, попутно нашел глюк, из-за которого падает сеть - после попытки перегрузить сеть командой /etc/init.d/networking restart в ifstate пропадают все сетевые интерфейсы кроме lo, и машина выпадает из сети, пока не перезагрузишь ее.
axl_kane вне форума
 
Ответить с цитированием Вверх
Старый 14.04.2010, 14:15   #12
ivan_i_
Старожил
 
Пол:Мужской
Регистрация: 13.03.2009
Сообщений: 1,005
Репутация: 2767
По умолчанию Re: Iptables & Squid - не перенаправляется трафик

А если так
-A PREROUTING -i eth1 -p tcp --dport 80 -j REDIRECT --to-port 3128

Т.е. я к тому что зачем нам совпадения -m если мы уже выбрали протокол tcp
ivan_i_ вне форума
 
Ответить с цитированием Вверх
Старый 14.04.2010, 15:24   #13
axl_kane
Пользователь
 
Пол:Мужской
Регистрация: 16.01.2008
Сообщений: 152
Репутация: 7
По умолчанию Re: Iptables & Squid - не перенаправляется трафик

все равно нет
axl_kane вне форума
 
Ответить с цитированием Вверх
Старый 14.04.2010, 17:02   #14
ivan_i_
Старожил
 
Пол:Мужской
Регистрация: 13.03.2009
Сообщений: 1,005
Репутация: 2767
По умолчанию Re: Iptables & Squid - не перенаправляется трафик

С другого форума, если это не поможет то точно -j LOG и tcpdump...

Свершилось! Не прошло и года, как говорится...
В общем, коротко:

в squid.conf:
http_port 3128 transparent

apt-get install dnsmasq

Код:

iptables -t nat -A PREROUTING -i eth0 -p tcp -m multiport --dport 80,8080 -j DNAT --to 192.168.0.1:3128

eth0 - карта с IP внутренней сети, а 192.168.0.1 - внутренний адрес шлюза.
После "
Код:

-i eth0

" можно ещё прибавить "
Код:

-d ! 192.168.0.0/24

", чтобы переправлять на порт 3128 запросы клиентов, адресованные именно ЗА пределы сети 192.168.0.0/24.

Так что, проблема была, в основном, в праАвиле iptables. Вот что значит бездумно копировать примеры всяких "советчиков"...

Итого
iptables -t nat -A PREROUTING -i eth0 -d ! 192.168.0.0/24 -p tcp -m multiport --dport 80,8080 -j DNAT --to 192.168.0.1:3128
ivan_i_ вне форума
 
Ответить с цитированием Вверх
Старый 15.04.2010, 10:41   #15
axl_kane
Пользователь
 
Пол:Мужской
Регистрация: 16.01.2008
Сообщений: 152
Репутация: 7
По умолчанию Re: Iptables & Squid - не перенаправляется трафик

да, есть контакт, заработало
axl_kane вне форума
 
Ответить с цитированием Вверх
Ответ
 Уважаемые пользователи портала 2BakSa.NeT и форума NoWa.cc !

  Рады Вам сообщить, что у нас открылся Torrent трекер >> BRODIM.COM

  Приглашаем вас принять участие в обмене полезной информацией,

  и ждем от вас поддержки в создании новых раздач.

Опции темы

Похожие темы
Тема Автор Раздел Ответов Последнее сообщение
iptables в Windows alderman Фаерволы 6 29.04.2011 22:49
Iptables и syslog 2Casp UNIX, Linux, MacOs для PC и другие ОС 1 19.06.2009 11:07
не стартует iptables -Segmentation fault elitegroup UNIX, Linux, MacOs для PC и другие ОС 2 13.02.2008 11:59
Iptables: Invalid argument erm_hools Вопросы и проблемы 3 06.01.2007 12:59

Ваши права в разделе
Вы не можете создавать новые темы
Вы не можете отвечать в темах
Вы не можете прикреплять вложения
Вы не можете редактировать свои сообщения

BB коды Вкл.
Смайлы Вкл.
[IMG] код Вкл.
HTML код Выкл.

Быстрый переход


Текущее время: 16:22. Часовой пояс GMT +3.


Rambler's Top100
Copyright ©2004 - 2017 2Baksa.Net

Powered by vBulletin® Version 3.8.9
Copyright ©2000 - 2017, vBulletin Solutions, Inc. Перевод: zCarot
Время генерации страницы 0.17298 секунды с 10 запросами