[Comm] squid transparenr proxy

[Comm] squid transparenr proxy

[Igor Shevchenko]

Hello community,
  Запарился уже смертельно. bog.pp.ru и подобные не помогают.
  Хочется transparent proxy на squid и iptables. Читал доки, сделал
  так(На выходе из локалки ,на роутере на АЛМ 2.4):
  в squid.conf:
http_port 3128
httpd_accel_host virtual
httpd_accel_port 80
httpd_accel_with_proxy on
httpd_accel_uses_host_header on

в iptables добавил:
iptables -t nat -A PREROUTING -i eth1 -d ! 192.168.3.0/24 -p tcp
--destination-port 80 -j REDIRECT --to-ports 3128

И не работает. Что можно попробовать?

ЗЫ. в cache.log не понимаю двух строк:
sendto FD 12:(1) Operation not permitted
ipcCreate: CHILD: hello write test failed
Особенно напрягает вторая. С чем это может быть связано?

-- 
Best regards,
 Igor                          mailto:ishevchenko@emdev.ru

Re: [Comm] squid transparenr proxy

[Olvin]

Igor Shevchenko wrote:
>   Запарился уже смертельно. bog.pp.ru и подобные не помогают.
>   Хочется transparent proxy на squid и iptables. Читал доки, сделал
>   так(На выходе из локалки ,на роутере на АЛМ 2.4):
>   в squid.conf:
> http_port 3128
> httpd_accel_host virtual
> httpd_accel_port 80
> httpd_accel_with_proxy on
> httpd_accel_uses_host_header on
> 
> в iptables добавил:
> iptables -t nat -A PREROUTING -i eth1 -d ! 192.168.3.0/24 -p tcp
> --destination-port 80 -j REDIRECT --to-ports 3128
> 
> И не работает. Что можно попробовать?

iptables -t nat -A PREROUTING -s 10.1.0.0/16 -i eth1 -p tcp -m tcp 
--dport 80 -j REDIRECT --to-ports 3128

Работает. Три внутренних сети вида 10.1.X.0/24

Re[2]: [Comm] squid transparenr proxy

[Igor Shevchenko]

Hello Olvin,

Monday, March 28, 2005, 12:20:39 PM, you wrote:

> Igor Shevchenko wrote:
>>   Запарился уже смертельно. bog.pp.ru и подобные не помогают.
>>   Хочется transparent proxy на squid и iptables. Читал доки, сделал
>>   так(На выходе из локалки ,на роутере на АЛМ 2.4):
>>   в squid.conf:
>> http_port 3128
>> httpd_accel_host virtual
>> httpd_accel_port 80
>> httpd_accel_with_proxy on
>> httpd_accel_uses_host_header on
>> 
>> в iptables добавил:
>> iptables -t nat -A PREROUTING -i eth1 -d ! 192.168.3.0/24 -p tcp
>> --destination-port 80 -j REDIRECT --to-ports 3128
>> 
>> И не работает. Что можно попробовать?

> iptables -t nat -A PREROUTING -s 10.1.0.0/16 -i eth1 -p tcp -m tcp 
> --dport 80 -j REDIRECT --to-ports 3128
Ни фига не помогает:(
Может дело в том, что squid на роутере с маскарадингом?

-- 
Best regards,
 Igor                            mailto:ishevchenko@emdev.ru

Re: [Comm] squid transparenr proxy

[Мар'ян Петришин]

Igor Shevchenko wrote:
> Hello Olvin,
> 
> Monday, March 28, 2005, 12:20:39 PM, you wrote:
> 
> 
>>Igor Shevchenko wrote:
>>
>>>  Запарился уже смертельно. bog.pp.ru и подобные не помогают.
>>>  Хочется transparent proxy на squid и iptables. Читал доки, сделал
>>>  так(На выходе из локалки ,на роутере на АЛМ 2.4):
>>>  в squid.conf:
>>>http_port 3128
>>>httpd_accel_host virtual
>>>httpd_accel_port 80
>>>httpd_accel_with_proxy on
>>>httpd_accel_uses_host_header on
>>>
>>>в iptables добавил:
>>>iptables -t nat -A PREROUTING -i eth1 -d ! 192.168.3.0/24 -p tcp
>>>--destination-port 80 -j REDIRECT --to-ports 3128
>>>
>>>И не работает. Что можно попробовать?
> 
> 
>>iptables -t nat -A PREROUTING -s 10.1.0.0/16 -i eth1 -p tcp -m tcp 
>>--dport 80 -j REDIRECT --to-ports 3128
> 
> Ни фига не помогает:(
> Может дело в том, что squid на роутере с маскарадингом?
> 

Строчки реально работающие.
А можно конфиг вашего файрвола?

[Comm] squid transparenr proxy - more info

[Igor Shevchenko]

Hello Мар'ян,

Monday, March 28, 2005, 10:10:58 PM, you wrote:

> Строчки реально работающие.
> А можно конфиг вашего файрвола?
  Ситуция такая:
  запускаю сквид: service squid start
  в squid.conf:
>>>http_port 3128
>>>httpd_accel_host virtual
>>>httpd_accel_port 80
>>>httpd_accel_with_proxy on
>>>httpd_accel_uses_host_header on
  плюс
iptables -t nat -A PREROUTING -i eth1 -d ! 192.168.3.0/24 -p tcp--destination-port 80 -j REDIRECT --to-ports 3128

трафик с/на 80 и 3128 порты пропускается
полностью(INPUT,OUTPUT,FORWARD - всё ACCEPT).
Пытаюсь загрузить страницу из локалки - не грузится.

При попытке service squid restart получаю service squid is not
running, хотя на ps -aux|grep squid получаю три процесса:
root(...)/usr/sbin/squid -D
squid(...)(squid) -D
squid(...)(unlinkd)

В логах:
cache.log:
2005/04/05 19:07:05| Starting Squid Cache version 2.5.STABLE6 for i586-alt-linux-gnu...
2005/04/05 19:07:05| Process ID 4748
2005/04/05 19:07:05| With 16384 file descriptors available
2005/04/05 19:07:05| DNS Socket created at 0.0.0.0, port 1139, FD 4
2005/04/05 19:07:05| Adding nameserver 192.168.2.1 from /etc/resolv.conf
2005/04/05 19:07:05| User-Agent logging is disabled.
2005/04/05 19:07:05| Unlinkd pipe opened on FD 9
2005/04/05 19:07:05| Swap maxSize 102400 KB, estimated 7876 objects
2005/04/05 19:07:05| Target number of buckets: 393
2005/04/05 19:07:05| Using 8192 Store buckets
2005/04/05 19:07:05| Max Mem  size: 32768 KB
2005/04/05 19:07:05| Max Swap size: 102400 KB
2005/04/05 19:07:05| Local cache digest enabled; rebuild/rewrite every 3600/3600 sec
2005/04/05 19:07:05| Rebuilding storage in /var/spool/squid (DIRTY)
2005/04/05 19:07:05| Using Least Load store dir selection
2005/04/05 19:07:05| Set Current Directory to /var/spool/squid
2005/04/05 19:07:05| Loaded Icons.
2005/04/05 19:07:05| Accepting HTTP connections at 0.0.0.0, port 3128, FD 10.
2005/04/05 19:07:05| Accepting SNMP messages on port 3401, FD 11.
2005/04/05 19:07:05| WCCP Disabled.
2005/04/05 19:07:05| sendto FD 12: (1) Operation not permitted
2005/04/05 19:07:05| ipcCreate: CHILD: hello write test failed

syslog/alert:
Apr  5 19:01:55 skunk (squid): Cannot open HTTP Port
Apr  5 19:02:09 skunk last message repeated 4 times
Apr  5 19:02:09 skunk squid[4550]: Exiting due to repeated, frequent failures

При этом на 80 порту никто не висит, тот же apache просто не стоит.
Что можно попробовать?
-- 
Best regards,
 Igor                            mailto:ishevchenko@emdev.ru