ALT Linux Community general discussions
 help / color / mirror / Atom feed
From: "Владимир Гусев" <vova1971@narod.ru>
To: community@altlinux.ru
Subject: Re: [Comm] Squid из коробки Alt Linux Master 2.4
Date: Fri, 01 Apr 2005 15:39:49 +0400
Message-ID: <op.sojxcne6glg102@post.cnt.ru> (raw)
In-Reply-To: <200504011019.08620.combr@vesna.ru>

>   > Вы думаете, я не читал?:) И не только сам конфиг, но и тучу материалов
>> из сети...
>> Пишут все абсолютно по-разному, различные советы, различные строчки для
>> -t nat PREROUTING (перенаправление запросов 80-ого порта клиентов на
>> порт сквида), на любой вкус, и пока все попробуешь - голова кругом...
>
> Если вы хотите делать transparent proxy, то не достаточно поменять
> только те настройки, которые вы перечислили.
> Еще как минимум надо поменять:
> httpd_accel_host virtual
> httpd_accel_with_proxy on
> httpd_accel_uses_host_header on
> (Во всяком случаи так пишут во всех доках по transparent proxy)
>
> ну а iptables надо говорить что бы все запросы с 80 порта перенаправлял
> на 3128(порт на котором слушает сквид)
> iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 80 -j REDIRECT
> --to-port 3128
> в данном случаи eth0 это внутренний интерфейс

Вот мои squid.conf и /etc/sysconfig/iptables (хотя и прописывание напрямую не помогло - не работает сквид):

[root@gate squid]# cat squid.conf

# NETWORK OPTIONS
# -----------------------------------------------------------------------------

#Расположение прокси-сервера Squid

http_port 3128
icp_port 3130

# OPTIONS WHICH AFFECT THE NEIGHBOR SELECTION ALGORITHM
# -----------------------------------------------------------------------------

#Рекомендуется оставить включенными эти две строки.

acl QUERY urlpath_regex cgi-bin \?
no_cache deny QUERY

# OPTIONS WHICH AFFECT THE CACHE SIZE
# -----------------------------------------------------------------------------

cache_mem 32 MB
maximum_object_size 16384 KB
minimum_object_size 0 KB
maximum_object_size_in_memory 16 KB

ipcache_size 1024
ipcache_low 90
ipcache_high 95

fqdncache_size 1024
cache_replacement_policy lru
memory_replacement_policy lru


# LOGFILE PATHNAMES AND CACHE DIRECTORIES
# -----------------------------------------------------------------------------

cache_dir ufs /var/spool/squid 2048 16 256
cache_access_log /var/log/squid/access.log
cache_log /var/log/squid/cache.log
cache_store_log /var/log/squid/store.log
mime_table /etc/squid/mime.conf

log_mime_hdrs off
pid_filename /var/run/squid.pid
debug_options ALL,1
#client_netmask 255.255.255.0


# OPTIONS FOR EXTERNAL SUPPORT PROGRAMS
# -----------------------------------------------------------------------------

ftp_user user@moscow.postshop.ru
ftp_list_width 32
ftp_passive on
ftp_sanitycheck on
ftp_telnet_protocol on

#cache_dns_program /usr/lib/squid/dnsserver
#dns_children 7
#dns_retransmit_interval 5 seconds
#dns_timeout 2 minutes
#dns_defnames off

# первым указан 127.0.0.1 - так как запущен pdnsd
dns_nameservers 127.0.0.1 212.188.4.10

hosts_file /etc/hosts
diskd_program /usr/lib/squid/diskd
unlinkd_program /usr/lib/squid/unlinkd
pinger_program /usr/lib/squid/pinger


# OPTIONS FOR TUNING THE CACHE
# -----------------------------------------------------------------------------

wais_relay_port 0

request_header_max_size 10 KB

refresh_pattern ^ftp:           1440    20%     10080
refresh_pattern ^gopher:        1440    0%      1440
refresh_pattern .               0       20%     4320

quick_abort_min 16 KB
quick_abort_max 16 KB
quick_abort_pct 95
negative_ttl 3 minutes
positive_dns_ttl 6 hours
negative_dns_ttl 1 minute
range_offset_limit 0 KB

# TIMEOUTS
# -----------------------------------------------------------------------------

# ACCESS CONTROLS
# -----------------------------------------------------------------------------

acl postshop src 192.168.1.0/255.255.255.0
acl admin src 192.168.1.1 192.168.1.3 192.168.1.49
acl france src 192.168.1.4 192.168.1.9 192.168.1.19 192.168.1.54
acl localhost src 127.0.0.1/255.255.255.255
acl Safe_ports port 80 443 210 119 70 20 21 1025-65535
acl CONNECT method CONNECT
acl all src 0.0.0.0/0.0.0.0
http_access allow POSTSHOP
http_access allow localhost

http_access deny !Safe_ports
http_access deny CONNECT
http_access deny all

# ADMINISTRATIVE PARAMETERS
# -----------------------------------------------------------------------------

cache_effective_user squid
cache_effective_group squid

# OPTIONS FOR THE CACHE REGISTRATION SERVICE
# -----------------------------------------------------------------------------
#

# HTTPD-ACCELERATOR OPTIONS
# -----------------------------------------------------------------------------
httpd_accel_host virtual
httpd_accel_port 80
httpd_accel_with_proxy on
httpd_accel_uses_host_header on

#anonymize_headers deny User-Agent
#fake_user_agent Mozilla/5.0 (x11; U; Linux i686; en-US; rv:0.9.6+) Gecko/20011122

# MISCELLANEOUS
# -----------------------------------------------------------------------------

dns_testnames www.ru netscape.com internic.net nlanr.net

# DELAY POOL PARAMETERS (all require DELAY_POOLS compilation option)
# -----------------------------------------------------------------------------

acl magic_words1 url_regex -i 192.168
acl magic_words2 url_regex -i ftp .exe .mp3 .zip .rar .avi .mpeg .mpe .mpg .ram .rm .wav .mov

acl pshop time 09:00-18:00
acl adm time 00:01-23:59
acl fra time 09:00-22:00
delay_pools 2

delay_class 1 2
delay_parameters 1 -1/-1 -1/-1
delay_access 1 allow magic_words1

delay_class 2 2
delay_parameters 2 5000/150000 5000/120000
delay_access 2 allow pshop
delay_access 2 allow adm
delay_access 2 allow fra
delay_access 2 deny !pshop !adm !fra
delay_access 2 allow magic_words2

coredump_dir /var/spool/squid

***********************************************************

[root@gate squid]# iptables-save
# Generated by iptables-save v1.2.11 on Fri Apr  1 15:38:45 2005
*nat
:PREROUTING ACCEPT [143850:11458205]
:POSTROUTING ACCEPT [146:13122]
:OUTPUT ACCEPT [24:1298]
-A PREROUTING -s 192.168.1.49 -d 192.168.1.100 -p tcp -m tcp --dport 80 -j REDIRECT --to-ports 3128
-A POSTROUTING -s 192.168.1.0/255.255.255.0 -j SNAT --to-source 62.118.1.120
COMMIT
# Completed on Fri Apr  1 15:38:45 2005
# Generated by iptables-save v1.2.11 on Fri Apr  1 15:38:45 2005
*filter
:INPUT DROP [42407:6305210]
:FORWARD ACCEPT [2004050:920346225]
:OUTPUT ACCEPT [13345:4075017]
-A INPUT -i lo -j ACCEPT
-A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
-A INPUT -s 192.168.1.0/255.255.255.0 -d 192.168.1.100 -p tcp -m tcp --dport 22 -j ACCEPT
-A FORWARD -s 192.168.1.0/255.255.255.0 -i eth0 -j DROP
COMMIT
# Completed on Fri Apr  1 15:38:45 2005

(Примечание - -A PREROUTING -s 192.168.1.49 -d 192.168.1.100 -p tcp -m tcp --dport 80 -j REDIRECT --to-ports 3128  - это я пока тренируюсь на себе (192.168.1.49), шлюз - 192.168.1.100)

И ничего не работает - при насильном прописывании 192.168.1.100:3128 в броузер ничего не работает... при чистых настройках браузера но с строкой PREROUTING - работает в обход, напрямую...


-- 
С уважением, Владимир Гусев


  reply	other threads:[~2005-04-01 11:39 UTC|newest]

Thread overview: 15+ messages / expand[flat|nested]  mbox.gz  Atom feed  top
2005-03-31 19:27 Владимир Гусев
2005-04-01  5:19 ` Mike Lykov
2005-04-01  6:01   ` Владимир Гусев
2005-04-01  6:24     ` Маркелов Александр
2005-04-01 11:39       ` Владимир Гусев [this message]
2005-04-01 13:30         ` Alexey Borovskoy
2005-04-02 10:10           ` Владимир Гусев
2005-04-02 12:33             ` Alexey Borovskoy
2005-04-02 15:10               ` Владимир Гусев
2005-04-03 13:08                 ` Владимир Гусев
2005-04-04  2:17                 ` Re[2]: " Беляев В. Н.
2005-04-04  5:16                   ` Владимир Гусев
2005-04-01 10:45     ` Mike Lykov
2005-04-01 11:55   ` Владимир Гусев
2005-04-01 11:07 ` Andrey Rybak

Reply instructions:

You may reply publicly to this message via plain-text email
using any one of the following methods:

* Save the following mbox file, import it into your mail client,
  and reply-to-all from there: mbox

  Avoid top-posting and favor interleaved quoting:
  https://en.wikipedia.org/wiki/Posting_style#Interleaved_style

* Reply using the --to, --cc, and --in-reply-to
  switches of git-send-email(1):

  git send-email \
    --in-reply-to=op.sojxcne6glg102@post.cnt.ru \
    --to=vova1971@narod.ru \
    --cc=community@altlinux.ru \
    /path/to/YOUR_REPLY

  https://kernel.org/pub/software/scm/git/docs/git-send-email.html

* If your mail client supports setting the In-Reply-To header
  via mailto: links, try the mailto: link

ALT Linux Community general discussions

This inbox may be cloned and mirrored by anyone:

	git clone --mirror http://lore.altlinux.org/community/0 community/git/0.git

	# If you have public-inbox 1.1+ installed, you may
	# initialize and index your mirror using the following commands:
	public-inbox-init -V2 community community/ http://lore.altlinux.org/community \
		mandrake-russian@linuxteam.iplabs.ru community@lists.altlinux.org community@lists.altlinux.ru community@lists.altlinux.com
	public-inbox-index community

Example config snippet for mirrors.
Newsgroup available over NNTP:
	nntp://lore.altlinux.org/org.altlinux.lists.community


AGPL code for this site: git clone https://public-inbox.org/public-inbox.git