[Comm] непонятки с прозрачным прокси (ALS4.0.1)

[Comm] непонятки с прозрачным прокси (ALS4.0.1)

[Alexander Yereschenko]

Доброе!

Раньше на шлюзовой машине стоял ALC3.0.4. Кроме всего прочего на ней был 
настроен прозрачный прокси. Сейчас понадобилось радикально переделать 
шлюзовую машину (и аппаратно в том числе), поэтому на простеньком железе 
(пень2,128М,3Гб) была собрана замена и на нее водружен ALT Server 4.0.1. 
Настройки делал с нуля, но по образцу со старой машины.
Порт честно перенаправляется:
=====
# iptables -L -n -t nat
Chain PREROUTING (policy ACCEPT)
target     prot opt source               destination
REDIRECT   tcp  --  0.0.0.0/0    0.0.0.0/0    tcp dpt:80 redir ports 3128
=====

В squid.conf тоже вроде все нужне вещи выставлены:
=====
httpd_accel_host virtual
httpd_accel_port 80
httpd_accel_with_proxy on
httpd_accel_uses_host_header on
=====

Когда из сетки пытаемся вылезти куда-нибудь по 80 порту, то имеем подобное:
=====
While trying to process the request: 
GET / HTTP/1.1
User-Agent: Mozilla/5.0 (compatible; Konqueror/3.5; Linux) KHTML/3.5.6 (like 
Gecko)
Accept: text/html, image/jpeg, image/png, text/*, image/*, */*
Accept-Encoding: x-gzip, x-deflate, gzip, deflate
Accept-Charset: utf-8, utf-8;q=0.5, *;q=0.5
Accept-Language: ru, en
Host: ya.ru
Connection: Keep-Alive

 The following error was encountered: 
 Invalid Request  
 Some aspect of the HTTP Request is invalid. Possible problems: 
Missing or unknown request method 
Missing URL 
Missing HTTP Identifier (HTTP/1.0) 
Request is too large 
Content-Length missing for POST or PUT requests 
Illegal character in hostname; underscores are not allowed 
=====

В логе вот так:
=====
.... TCP_DENIED/400 1663 GET error:invalid-request - NONE/- text/html
=====

Если в браузере выставить работу через этот прокси - то все нормально, т.е. не 
работает именно "прозрачный".

Подсунул squid старый конфиг  - то же самое....

Пока сетка живет без прозрачного прокси...

Где копать?

ЗЫ. Кстати, в squid.conf.default из комплекта ALS4.0.1 малова-то 
коментариев... По параметрам httpd_accel_*
 практически ничего и нет...
И через альтератор настройка прокси очень бедная.... практически никакая...

--
Alexander

Re: [Comm] непонятки с прозрачным прокси (ALS4.0.1)

[Motsyo Gennadi aka Drool]

	Ухты! Я думал что я один такой :-) Система desktop4+branch, симптомы 
точно те же, конфиги от 2.4 не подошли, сделал по документации из бранча 
- наблюдаю точно такую же картину. Самое интересное, что остальные 
программы (аськи, джабберы, irc, почта, даже консольный клиент ichat-а) 
работают нормально, проблем нет.

Alexander Yereschenko пишет:
> Доброе!
> 
> Раньше на шлюзовой машине стоял ALC3.0.4. Кроме всего прочего на ней был 
> настроен прозрачный прокси. Сейчас понадобилось радикально переделать 
> шлюзовую машину (и аппаратно в том числе), поэтому на простеньком железе 
> (пень2,128М,3Гб) была собрана замена и на нее водружен ALT Server 4.0.1. 
> Настройки делал с нуля, но по образцу со старой машины.
> Порт честно перенаправляется:
> =====
> # iptables -L -n -t nat
> Chain PREROUTING (policy ACCEPT)
> target     prot opt source               destination
> REDIRECT   tcp  --  0.0.0.0/0    0.0.0.0/0    tcp dpt:80 redir ports 3128
> =====
> 
> В squid.conf тоже вроде все нужне вещи выставлены:
> =====
> httpd_accel_host virtual
> httpd_accel_port 80
> httpd_accel_with_proxy on
> httpd_accel_uses_host_header on
> =====
> 
> Когда из сетки пытаемся вылезти куда-нибудь по 80 порту, то имеем подобное:
> =====
> While trying to process the request: 
> GET / HTTP/1.1
> User-Agent: Mozilla/5.0 (compatible; Konqueror/3.5; Linux) KHTML/3.5.6 (like 
> Gecko)
> Accept: text/html, image/jpeg, image/png, text/*, image/*, */*
> Accept-Encoding: x-gzip, x-deflate, gzip, deflate
> Accept-Charset: utf-8, utf-8;q=0.5, *;q=0.5
> Accept-Language: ru, en
> Host: ya.ru
> Connection: Keep-Alive
> 
>  The following error was encountered: 
>  Invalid Request  
>  Some aspect of the HTTP Request is invalid. Possible problems: 
> Missing or unknown request method 
> Missing URL 
> Missing HTTP Identifier (HTTP/1.0) 
> Request is too large 
> Content-Length missing for POST or PUT requests 
> Illegal character in hostname; underscores are not allowed 
> =====
> 
> В логе вот так:
> =====
> .... TCP_DENIED/400 1663 GET error:invalid-request - NONE/- text/html
> =====
> 
> Если в браузере выставить работу через этот прокси - то все нормально, т.е. не 
> работает именно "прозрачный".
> 
> Подсунул squid старый конфиг  - то же самое....
> 
> Пока сетка живет без прозрачного прокси...
> 
> Где копать?
> 
> ЗЫ. Кстати, в squid.conf.default из комплекта ALS4.0.1 малова-то 
> коментариев... По параметрам httpd_accel_*
>  практически ничего и нет...
> И через альтератор настройка прокси очень бедная.... практически никакая...
> 
> --
> Alexander
> _______________________________________________
> Community mailing list
> Community@lists.altlinux.org
> https://lists.altlinux.org/mailman/listinfo/community

Re: [Comm] непонятки с прозрачным прокси (ALS4.0.1)

[Grigory Batalov]

  У каждого пакета есть мэйнтейнер, по животрепещущим вопросам можно писать
персонально ему. А лучше вешать багу в багзилу.

  На вопрос в рассылку Вы, скорее всего, получите комментарии других
пользователей (иногда, впрочем, этого бывает достаточно).

  Squid поддерживаю я, пишите мне, указав версии старого и нового squid,
приложите старый и новый конфиг, старые и новые правила iptables. Если
уже заведена бага в багзиле, просто укажите её номер.

On Tue, 14 Aug 2007 18:59:05 +0300, Motsyo Gennadi aka Drool wrote:

> 	Ухты! Я думал что я один такой :-) Система desktop4+branch, симптомы 
> точно те же, конфиги от 2.4 не подошли, сделал по документации из бранча 
> - наблюдаю точно такую же картину. Самое интересное, что остальные 
> программы (аськи, джабберы, irc, почта, даже консольный клиент ichat-а) 
> работают нормально, проблем нет.
> 
> > Раньше на шлюзовой машине стоял ALC3.0.4. Кроме всего прочего на ней был 
> > настроен прозрачный прокси. Сейчас понадобилось радикально переделать 
> > шлюзовую машину (и аппаратно в том числе), поэтому на простеньком железе 
> > (пень2,128М,3Гб) была собрана замена и на нее водружен ALT Server 4.0.1. 
> > Настройки делал с нуля, но по образцу со старой машины.
> > Порт честно перенаправляется:
> > =====
> > # iptables -L -n -t nat
> > Chain PREROUTING (policy ACCEPT)
> > target     prot opt source               destination
> > REDIRECT   tcp  --  0.0.0.0/0    0.0.0.0/0    tcp dpt:80 redir ports 3128
> > =====
> > 
> > В squid.conf тоже вроде все нужне вещи выставлены:
> > =====
> > httpd_accel_host virtual
> > httpd_accel_port 80
> > httpd_accel_with_proxy on
> > httpd_accel_uses_host_header on
> > =====
> > 
> > Когда из сетки пытаемся вылезти куда-нибудь по 80 порту, то имеем подобное:
> > =====
> > While trying to process the request: 
> > GET / HTTP/1.1
> > User-Agent: Mozilla/5.0 (compatible; Konqueror/3.5; Linux) KHTML/3.5.6 (like 
> > Gecko)
> > Accept: text/html, image/jpeg, image/png, text/*, image/*, */*
> > Accept-Encoding: x-gzip, x-deflate, gzip, deflate
> > Accept-Charset: utf-8, utf-8;q=0.5, *;q=0.5
> > Accept-Language: ru, en
> > Host: ya.ru
> > Connection: Keep-Alive
> > 
> >  The following error was encountered: 
> >  Invalid Request  
> >  Some aspect of the HTTP Request is invalid. Possible problems: 
> > Missing or unknown request method 
> > Missing URL 
> > Missing HTTP Identifier (HTTP/1.0) 
> > Request is too large 
> > Content-Length missing for POST or PUT requests 
> > Illegal character in hostname; underscores are not allowed 
> > =====
> > 
> > В логе вот так:
> > =====
> > .... TCP_DENIED/400 1663 GET error:invalid-request - NONE/- text/html
> > =====
> > 
> > Если в браузере выставить работу через этот прокси - то все нормально, т.е. не 
> > работает именно "прозрачный".
> > 
> > Подсунул squid старый конфиг  - то же самое....
> > 
> > Пока сетка живет без прозрачного прокси...
> > 
> > Где копать?
> > 
> > ЗЫ. Кстати, в squid.conf.default из комплекта ALS4.0.1 малова-то 
> > коментариев... По параметрам httpd_accel_*
> >  практически ничего и нет...
> > И через альтератор настройка прокси очень бедная.... практически никакая...

-- 
 Grigory Batalov,
 ALT Linux Team

Re: [Comm] непонятки с прозрачным прокси (ALS4.0.1)

[Alexander Yereshenko]

Доброе!
В сообщении от Tuesday 14 August 2007 18:59:05 Motsyo Gennadi aka Drool 
написал(а):
> 	Ухты! Я думал что я один такой :-) Система desktop4+branch, симптомы
> точно те же, конфиги от 2.4 не подошли, сделал по документации из бранча
> - наблюдаю точно такую же картину. Самое интересное, что остальные
> программы (аськи, джабберы, irc, почта, даже консольный клиент ichat-а)
> работают нормально, проблем нет.


В Sysadmins@ ответили:
=============
В 4.0.1 Squid линейки 2.6, для него httpd_accel_* не нужны.
Необходимо и достаточно

http_port 3128 transparent


С уважением,    
Николай Фетисов

=============

Проверено - заработало...

--
Alexander

Re: [Comm] непонятки с прозрачным прокси (ALS4.0.1)

[Motsyo Gennadi aka Drool]

Alexander Yereshenko пишет:
> В Sysadmins@ ответили:
> =============
> В 4.0.1 Squid линейки 2.6, для него httpd_accel_* не нужны.
> Необходимо и достаточно
> 
> http_port 3128 transparent
> 
> =============
> 
> Проверено - заработало...

	Проверено - не заработало. Что-то где-то еще. Можно в личку конфиг сквида?

Re: [Comm] непонятки с прозрачным прокси (ALS4.0.1)

[Motsyo Gennadi aka Drool]

Grigory Batalov пишет:
>   У каждого пакета есть мэйнтейнер, по животрепещущим вопросам можно писать
> персонально ему. А лучше вешать багу в багзилу.
> 
>   На вопрос в рассылку Вы, скорее всего, получите комментарии других
> пользователей (иногда, впрочем, этого бывает достаточно).
> 
>   Squid поддерживаю я, пишите мне, указав версии старого и нового squid,
> приложите старый и новый конфиг, старые и новые правила iptables. Если
> уже заведена бага в багзиле, просто укажите её номер.

	Это не бага, а ньюансы конфигурирования нового сквида.
rpm -q squid
squid-2.6.STABLE13-alt1

	В личку ушел конфиг.

Re: [Comm] непонятки с прозрачным прокси (ALS4.0.1)

[Alexander Volkov]

On 2007-08-14 20:51:09 +0300, Motsyo Gennadi aka Drool wrote:
MGaD> Alexander Yereshenko пишет:
MGaD> > В Sysadmins@ ответили:
MGaD> > =============
MGaD> > В 4.0.1 Squid линейки 2.6, для него httpd_accel_* не нужны.
MGaD> > Необходимо и достаточно
MGaD> > 
MGaD> > http_port 3128 transparent
MGaD> > 
MGaD> > =============
MGaD> > 
MGaD> > Проверено - заработало...

MGaD> 	Проверено - не заработало. Что-то где-то еще. Можно в личку конфиг сквида?
Как это не заработало? Все пашет. Правило в PREROUTING добавлено?

--
 Regards, Alexander

Re: [Comm] непонятки с прозрачным прокси (ALS4.0.1)

[Motsyo Gennadi aka Drool]

[-- Attachment #1: Type: text/plain, Size: 659 bytes --]

Alexander Volkov пишет:
> On 2007-08-14 20:51:09 +0300, Motsyo Gennadi aka Drool wrote:
> MGaD> Alexander Yereshenko пишет:
> MGaD> > В Sysadmins@ ответили:
> MGaD> > =============
> MGaD> > В 4.0.1 Squid линейки 2.6, для него httpd_accel_* не нужны.
> MGaD> > Необходимо и достаточно
> MGaD> > 
> MGaD> > http_port 3128 transparent
> MGaD> > 
> MGaD> > =============
> MGaD> > 
> MGaD> > Проверено - заработало...
> 
> MGaD> 	Проверено - не заработало. Что-то где-то еще. Можно в личку конфиг сквида?
> Как это не заработало? Все пашет. Правило в PREROUTING добавлено?

	Может что там накосячил? Но ведь остальное (почтовики etc) работают. 
Скрипт в аттаче.

[-- Attachment #2: nat --]
[-- Type: text/plain, Size: 697 bytes --]

#!/bin/sh

# chkconfig: 2345 13 89
# description: NAT
. /etc/init.d/functions

case "$1" in
	start)
		
		echo -n "Starting NAT: "
			iptables -t nat -A PREROUTING -p tcp -d 0/0 --dport www -i ppp0 -j DNAT --to 192.168.1.14:3128 \
			&& iptables -t nat -A PREROUTING -p tcp -d 0/0 --dport www -i ppp0 -j DNAT --to 192.168.2.1:3128 \
			&& echo 1 > /proc/sys/net/ipv4/ip_forward \
			&& iptables -t nat -A POSTROUTING -s 192.168.2.0/24 -o eth0 -j MASQUERADE \
			&& success
		echo
		;;
	stop)
		echo -n "Stopping NAT: "
			echo 0 > /proc/sys/net/ipv4/ip_forward && success
		echo
		;;
	restart)
		$0 stop
		$0 start
		;;
	*)
		echo "Usage: nat {start|stop|restart}"
		exit 1
		;;
esac

exit $RETVAL

Re: [Comm] непонятки с прозрачным прокси (ALS4.0.1)

[Alexander Volkov]

On 2007-08-15 11:44:19 +0300, Motsyo Gennadi aka Drool wrote:
MGaD> Alexander Volkov пишет:
MGaD> >On 2007-08-14 20:51:09 +0300, Motsyo Gennadi aka Drool wrote:
MGaD> >MGaD> Alexander Yereshenko пишет:
MGaD> >MGaD> > В Sysadmins@ ответили:
MGaD> >MGaD> > =============
MGaD> >MGaD> > В 4.0.1 Squid линейки 2.6, для него httpd_accel_* не нужны.
MGaD> >MGaD> > Необходимо и достаточно
MGaD> >MGaD> > 
MGaD> >MGaD> > http_port 3128 transparent
MGaD> >MGaD> > 
MGaD> >MGaD> > =============
MGaD> >MGaD> > 
MGaD> >MGaD> > Проверено - заработало...
MGaD> >
MGaD> >MGaD> 	Проверено - не заработало. Что-то где-то еще. Можно в личку 
MGaD> >конфиг сквида?
MGaD> >Как это не заработало? Все пашет. Правило в PREROUTING добавлено?
MGaD> 
MGaD> 	Может что там накосячил? Но ведь остальное (почтовики etc) работают. 
MGaD> Скрипт в аттаче.

GaD> 		echo -n "Starting NAT: "
MGaD> 			iptables -t nat -A PREROUTING -p tcp -d 0/0 --dport www -i ppp0 -j DNAT --to 192.168.1.14:3128 \
MGaD> 			&& iptables -t nat -A PREROUTING -p tcp -d 0/0 --dport www -i ppp0 -j DNAT --to 192.168.2.1:3128 \
Ну, обычно делается -j REDIRECT в случае локальной системы.
У Вас что-то сильно сложнее? squid на localhost не висит?

MGaD> 			&& echo 1 > /proc/sys/net/ipv4/ip_forward \
MGaD> 			&& iptables -t nat -A POSTROUTING -s 192.168.2.0/24 -o eth0 -j MASQUERADE \
MGaD> 			&& success

--
 Regards, Alexander

Re: [Comm] непонятки с прозрачным прокси (ALS4.0.1)

[Alexander Yereschenko]

Доброе!
В сообщении от 15 августа 2007 Motsyo Gennadi aka Drool написал(a):
> >
> > MGaD> 	Проверено - не заработало. Что-то где-то еще. Можно в личку конфиг
> > сквида? Как это не заработало? Все пашет. Правило в PREROUTING добавлено?
>
> 	Может что там накосячил? Но ведь остальное (почтовики etc) работают.

А вот такое где-то присутствует (собственно сам перехват)?

iptables -t nat -A PREROUTING -p tcp  --dport 80  -i ethXXX -j REDIRECT 
--to-ports 3128


--
Alexander

Re: [Comm] непонятки с прозрачным прокси (ALS4.0.1)

[Motsyo Gennadi aka Drool]

Alexander Volkov пишет:
> GaD> 		echo -n "Starting NAT: "
> MGaD> 			iptables -t nat -A PREROUTING -p tcp -d 0/0 --dport www -i ppp0 -j DNAT --to 192.168.1.14:3128 \
> MGaD> 			&& iptables -t nat -A PREROUTING -p tcp -d 0/0 --dport www -i ppp0 -j DNAT --to 192.168.2.1:3128 \
> Ну, обычно делается -j REDIRECT в случае локальной системы.
> У Вас что-то сильно сложнее? squid на localhost не висит?

	У шлюза IP динамический, работает через ADSL-соединение, к нему 
подключаются на ppp0.

> MGaD> 			&& echo 1 > /proc/sys/net/ipv4/ip_forward \
> MGaD> 			&& iptables -t nat -A POSTROUTING -s 192.168.2.0/24 -o eth0 -j MASQUERADE \
> MGaD> 			&& success

Re: [Comm] непонятки с прозрачным прокси (ALS4.0.1)

[Motsyo Gennadi aka Drool]

Alexander Yereschenko пишет:
> Доброе!
> В сообщении от 15 августа 2007 Motsyo Gennadi aka Drool написал(a):
>>> MGaD> 	Проверено - не заработало. Что-то где-то еще. Можно в личку конфиг
>>> сквида? Как это не заработало? Все пашет. Правило в PREROUTING добавлено?
>> 	Может что там накосячил? Но ведь остальное (почтовики etc) работают.
> 
> А вот такое где-то присутствует (собственно сам перехват)?
> 
> iptables -t nat -A PREROUTING -p tcp  --dport 80  -i ethXXX -j REDIRECT 
> --to-ports 3128

	Из документации (docs-proxy_squid-kirill-050321-alt2):
===============================================================
“Прозрачный” доступ:
...
Команда iptables, перенаправляющая HTTP-запросы к внешним серверам на 
порт Squid может, например, выглядеть так:
# iptables -t NAT -A PREROUTING -d ! адрес_самого_сервера \
         -i внутренний_сетевой_интерфейс -p tcp -m tcp --dport 80 \
-j REDIRECT --to-ports 3128

Или так:

# iptables -t nat -A PREROUTING -p tcp -d 0/0 --dport www \
-i внутренний_сетевой_интерфейс -j DNAT \
--to локальный_адрес_на_котором_слушает_прокси:3128

Настройка squid.conf при этом использует обратное проксирование, 
описанное ниже. Как сказано в документации по Squid, для организации 
прозрачного прокси достаточно добавить в squid.conf строку
http_port 80 transparent
===============================================================
	Вот по этой доке и сделал...

Re: [Comm] непонятки с прозрачным прокси (ALS4.0.1)

[Alexander Yereschenko]

Доброе!
В сообщении от 15 августа 2007 Motsyo Gennadi aka Drool написал(a):

> 	Из документации (docs-proxy_squid-kirill-050321-alt2):
> ===============================================================
> “Прозрачный” доступ:
> ...
> Команда iptables, перенаправляющая HTTP-запросы к внешним серверам на
> порт Squid может, например, выглядеть так:
> # iptables -t NAT -A PREROUTING -d ! адрес_самого_сервера \
>          -i внутренний_сетевой_интерфейс -p tcp -m tcp --dport 80 \
> -j REDIRECT --to-ports 3128
>
> Или так:
>
> # iptables -t nat -A PREROUTING -p tcp -d 0/0 --dport www \
> -i внутренний_сетевой_интерфейс -j DNAT \
> --to локальный_адрес_на_котором_слушает_прокси:3128
>
> Настройка squid.conf при этом использует обратное проксирование,
> описанное ниже. Как сказано в документации по Squid, для организации
> прозрачного прокси достаточно добавить в squid.conf строку
> http_port 80 transparent
> ===============================================================
> 	Вот по этой доке и сделал...

Или я что-то не понимаю, или где-то описка.
Перенаправляют для сквида на порт 3128, а слушает он порт 80 , и понятное 
дело, ничего не слышит....



--
Alexander