* [Comm] IPTABLES problem again
@ 2003-01-06 21:51 Igor Solovyov
2003-01-07 21:05 ` Sergey A. Kolesnitchenko
0 siblings, 1 reply; 7+ messages in thread
From: Igor Solovyov @ 2003-01-06 21:51 UTC (permalink / raw)
To: Community
Hi All!
Почему-то не работает "прозрачное проксирование". Делаю так:
$IPT -t nat -A PREROUTING -p tcp --destination-port 80 -j REDIRECT --to-ports 8080
Набираю в мозилле www.mail.ru(или любой другой адрес), в ответ получаю:
ERROR
The requested URL could not be retrieved
While trying to retrieve the URL: /
The following error was encountered:
* Invalid URL
Some aspect of the requested URL is incorrect. Possible problems:
* Missing or incorrect access protocol (should be `http://'' or similar)
* Missing hostname
* Illegal double-escape in the URL-Path
* Illegal character in hostname; underscores are not allowed
Your cache administrator is webmaster.
Generated Mon, 06 Jan 2003 21:33:53 GMT by bgate.zkb.ru (Squid/2.4.STABLE6)
Где я мог лопухнуться?
(с ipchains все работало)
--
Best regards!
Igor Solovyov
System/Network administrator
JSC CB "Zlatkombank", Zlatoust, Russia
^ permalink raw reply [flat|nested] 7+ messages in thread
* Re: [Comm] IPTABLES problem again
2003-01-06 21:51 [Comm] IPTABLES problem again Igor Solovyov
@ 2003-01-07 21:05 ` Sergey A. Kolesnitchenko
2003-01-08 4:41 ` Igor Solovyov
0 siblings, 1 reply; 7+ messages in thread
From: Sergey A. Kolesnitchenko @ 2003-01-07 21:05 UTC (permalink / raw)
To: Igor Solovyov
IS> Generated Mon, 06 Jan 2003 21:33:53 GMT by bgate.zkb.ru (Squid/2.4.STABLE6)
IS> Где я мог лопухнуться?
IS> (с ipchains все работало)
Пакеты дошли до сквида, а вот сквид до сетки добраться имхо не смог.
Разрешение на хождение пакетов наружу (и-нет интерфес) смотрите с машины где сквид стоит.
--
Best regards,
Sergey mailto:sergey.ak@mtu-net.ru
^ permalink raw reply [flat|nested] 7+ messages in thread
* Re: [Comm] IPTABLES problem again
2003-01-07 21:05 ` Sergey A. Kolesnitchenko
@ 2003-01-08 4:41 ` Igor Solovyov
2003-01-08 4:52 ` Re[2]: " ASA
2003-01-08 5:01 ` Maxim.Savrilov
0 siblings, 2 replies; 7+ messages in thread
From: Igor Solovyov @ 2003-01-08 4:41 UTC (permalink / raw)
To: community
Hi!
On Wed, 8 Jan 2003 00:05:29 +0300
"Sergey A. Kolesnitchenko" <sergey.ak@mtu-net.ru> wrote:
> IS> Где я мог лопухнуться?
> IS> (с ipchains все работало)
> Пакеты дошли до сквида, а вот сквид до сетки добраться имхо не
> смог. Разрешение на хождение пакетов наружу (и-нет интерфес)
> смотрите с машины где сквид стоит.
Дело совсем не в этом, а в том, что заглянув в логи сквида, я увидел,
что запросы на него идут в искаженном виде. Например:
в браузере набран адрес: http://www.<что-нибудь>.ru/index.html
до сквида запрос доходит примерно так /index.html, на что он
и ругается. Т.е. каким-то образом отсекается все, что идет до /.
Вот характерная строчка из лога:
1041883177.378 7 192.168.63.18 NONE/400 1199 GET /db/news/msg.html?s=15&mid=3096555 - NONE/- -
начисто отрезан адрес, GET начинается сразу с /db/...
Бред какой-то. :-((
--
Best regards!
Igor Solovyov
System/Network administrator
JSC CB "Zlatkombank", Zlatoust, Russia
^ permalink raw reply [flat|nested] 7+ messages in thread
* Re[2]: [Comm] IPTABLES problem again
2003-01-08 4:41 ` Igor Solovyov
@ 2003-01-08 4:52 ` ASA
2003-01-08 5:20 ` Igor Solovyov
2003-01-08 5:01 ` Maxim.Savrilov
1 sibling, 1 reply; 7+ messages in thread
From: ASA @ 2003-01-08 4:52 UTC (permalink / raw)
To: Igor Solovyov
Hello Igor,
Wednesday, January 8, 2003, 8:41:53 AM, you wrote:
>> Пакеты дошли до сквида, а вот сквид до сетки добраться имхо не
>> смог. Разрешение на хождение пакетов наружу (и-нет интерфес)
>> смотрите с машины где сквид стоит.
IS> Дело совсем не в этом, а в том, что заглянув в логи сквида, я увидел,
IS> что запросы на него идут в искаженном виде. Например:
IS> в браузере набран адрес: http://www.<что-нибудь>.ru/index.html
IS> до сквида запрос доходит примерно так /index.html, на что он
IS> и ругается. Т.е. каким-то образом отсекается все, что идет до /.
IS> Вот характерная строчка из лога:
IS> 1041883177.378 7 192.168.63.18 NONE/400 1199 GET /db/news/msg.html?s=15&mid=3096555 - NONE/- -
IS> начисто отрезан адрес, GET начинается сразу с /db/...
IS> Бред какой-то. :-((
Это не бред, это HTTP.
читай RFC.
http://machine:80/resource означает - присоединиться к машине
machine по 80 порту и сказать ей GET /resource
Прокси-протокол отличается тем, что вместо этого подсоединяются
к прокси-серверу и говорят GET //machine:80/resource
Но у тебя браузер не знает, что ты его к прокси направляешь,
поэтому получается ерунда.
В частности, в ядре должна быть включена опция:
IP: transparent proxy support
За дальнейшим - RTFM
--
Best regards,
ASA mailto:llb@udm.ru
^ permalink raw reply [flat|nested] 7+ messages in thread
* Re: [Comm] IPTABLES problem again
2003-01-08 4:41 ` Igor Solovyov
2003-01-08 4:52 ` Re[2]: " ASA
@ 2003-01-08 5:01 ` Maxim.Savrilov
2003-01-08 5:21 ` Igor Solovyov
1 sibling, 1 reply; 7+ messages in thread
From: Maxim.Savrilov @ 2003-01-08 5:01 UTC (permalink / raw)
To: community
On Wed, 8 Jan 2003 09:41:53 +0500
Igor Solovyov <gosha@zkb.ru> wrote:
> Hi!
> On Wed, 8 Jan 2003 00:05:29 +0300
> "Sergey A. Kolesnitchenko" <sergey.ak@mtu-net.ru> wrote:
>
> > IS> Где я мог лопухнуться?
> > IS> (с ipchains все работало)
> > Пакеты дошли до сквида, а вот сквид до сетки добраться имхо не
> > смог. Разрешение на хождение пакетов наружу (и-нет интерфес)
> > смотрите с машины где сквид стоит.
>
> Дело совсем не в этом, а в том, что заглянув в логи сквида, я увидел,
> что запросы на него идут в искаженном виде. Например:
> в браузере набран адрес: http://www.<что-нибудь>.ru/index.html
> до сквида запрос доходит примерно так /index.html, на что он
> и ругается. Т.е. каким-то образом отсекается все, что идет до /.
> Вот характерная строчка из лога:
> 1041883177.378 7 192.168.63.18 NONE/400 1199 GET /db/news/msg.html?s=15&mid=3096555 - NONE/- -
>
> начисто отрезан адрес, GET начинается сразу с /db/...
> Бред какой-то. :-((
>
* httpd_accel_host virtual
* httpd_accel_port 80
* httpd_accel_with_proxy on
* httpd_accel_uses_host_header on
в конфиге точно есть?
^ permalink raw reply [flat|nested] 7+ messages in thread
* Re: Re[2]: [Comm] IPTABLES problem again
2003-01-08 4:52 ` Re[2]: " ASA
@ 2003-01-08 5:20 ` Igor Solovyov
0 siblings, 0 replies; 7+ messages in thread
From: Igor Solovyov @ 2003-01-08 5:20 UTC (permalink / raw)
To: community
Hi!
On Wed, 8 Jan 2003 08:52:21 +0400
ASA <llb@udm.ru> wrote:
> IS> начисто отрезан адрес, GET начинается сразу с /db/...
> IS> Бред какой-то. :-((
>
> Это не бред, это HTTP.
> читай RFC.
> http://machine:80/resource означает - присоединиться к машине
> machine по 80 порту и сказать ей GET /resource
>
> Прокси-протокол отличается тем, что вместо этого подсоединяются
> к прокси-серверу и говорят GET //machine:80/resource
> Но у тебя браузер не знает, что ты его к прокси направляешь,
> поэтому получается ерунда.
> В частности, в ядре должна быть включена опция:
> IP: transparent proxy support
> За дальнейшим - RTFM
Нет. Это все-таки полный бред и в ядре все включено, поскольку
без iptables, через ipchains все прекрасно работало. Точнее и
сейчас работает, поскольку iptables пришлось пока "опустить".
--
Best regards!
Igor Solovyov
System/Network administrator
JSC CB "Zlatkombank", Zlatoust, Russia
^ permalink raw reply [flat|nested] 7+ messages in thread
* Re: [Comm] IPTABLES problem again
2003-01-08 5:01 ` Maxim.Savrilov
@ 2003-01-08 5:21 ` Igor Solovyov
0 siblings, 0 replies; 7+ messages in thread
From: Igor Solovyov @ 2003-01-08 5:21 UTC (permalink / raw)
To: community
Hi!
On Wed, 8 Jan 2003 11:01:51 +0600
Maxim.Savrilov@socenter.ru wrote:
> > начисто отрезан адрес, GET начинается сразу с /db/...
> > Бред какой-то. :-((
> >
> * httpd_accel_host virtual
>
> * httpd_accel_port 80
>
> * httpd_accel_with_proxy on
>
> * httpd_accel_uses_host_header on
>
> в конфиге точно есть?
Я же говорю, что такая фигня стала при переходе на iptables,
с ipchains все работает прекрасно. :-((
--
Best regards!
Igor Solovyov
System/Network administrator
JSC CB "Zlatkombank", Zlatoust, Russia
^ permalink raw reply [flat|nested] 7+ messages in thread
end of thread, other threads:[~2003-01-08 5:21 UTC | newest]
Thread overview: 7+ messages (download: mbox.gz / follow: Atom feed)
-- links below jump to the message on this page --
2003-01-06 21:51 [Comm] IPTABLES problem again Igor Solovyov
2003-01-07 21:05 ` Sergey A. Kolesnitchenko
2003-01-08 4:41 ` Igor Solovyov
2003-01-08 4:52 ` Re[2]: " ASA
2003-01-08 5:20 ` Igor Solovyov
2003-01-08 5:01 ` Maxim.Savrilov
2003-01-08 5:21 ` Igor Solovyov
ALT Linux Community general discussions
This inbox may be cloned and mirrored by anyone:
git clone --mirror http://lore.altlinux.org/community/0 community/git/0.git
# If you have public-inbox 1.1+ installed, you may
# initialize and index your mirror using the following commands:
public-inbox-init -V2 community community/ http://lore.altlinux.org/community \
mandrake-russian@linuxteam.iplabs.ru community@lists.altlinux.org community@lists.altlinux.ru community@lists.altlinux.com
public-inbox-index community
Example config snippet for mirrors.
Newsgroup available over NNTP:
nntp://lore.altlinux.org/org.altlinux.lists.community
AGPL code for this site: git clone https://public-inbox.org/public-inbox.git