From: "Владимир Гусев" <vova1971@narod.ru>
To: community@altlinux.ru
Subject: Re: [Comm] Squid из коробки Alt Linux Master 2.4
Date: Fri, 01 Apr 2005 15:39:49 +0400
Message-ID: <op.sojxcne6glg102@post.cnt.ru> (raw)
In-Reply-To: <200504011019.08620.combr@vesna.ru>
> > Вы думаете, я не читал?:) И не только сам конфиг, но и тучу материалов
>> из сети...
>> Пишут все абсолютно по-разному, различные советы, различные строчки для
>> -t nat PREROUTING (перенаправление запросов 80-ого порта клиентов на
>> порт сквида), на любой вкус, и пока все попробуешь - голова кругом...
>
> Если вы хотите делать transparent proxy, то не достаточно поменять
> только те настройки, которые вы перечислили.
> Еще как минимум надо поменять:
> httpd_accel_host virtual
> httpd_accel_with_proxy on
> httpd_accel_uses_host_header on
> (Во всяком случаи так пишут во всех доках по transparent proxy)
>
> ну а iptables надо говорить что бы все запросы с 80 порта перенаправлял
> на 3128(порт на котором слушает сквид)
> iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 80 -j REDIRECT
> --to-port 3128
> в данном случаи eth0 это внутренний интерфейс
Вот мои squid.conf и /etc/sysconfig/iptables (хотя и прописывание напрямую не помогло - не работает сквид):
[root@gate squid]# cat squid.conf
# NETWORK OPTIONS
# -----------------------------------------------------------------------------
#Расположение прокси-сервера Squid
http_port 3128
icp_port 3130
# OPTIONS WHICH AFFECT THE NEIGHBOR SELECTION ALGORITHM
# -----------------------------------------------------------------------------
#Рекомендуется оставить включенными эти две строки.
acl QUERY urlpath_regex cgi-bin \?
no_cache deny QUERY
# OPTIONS WHICH AFFECT THE CACHE SIZE
# -----------------------------------------------------------------------------
cache_mem 32 MB
maximum_object_size 16384 KB
minimum_object_size 0 KB
maximum_object_size_in_memory 16 KB
ipcache_size 1024
ipcache_low 90
ipcache_high 95
fqdncache_size 1024
cache_replacement_policy lru
memory_replacement_policy lru
# LOGFILE PATHNAMES AND CACHE DIRECTORIES
# -----------------------------------------------------------------------------
cache_dir ufs /var/spool/squid 2048 16 256
cache_access_log /var/log/squid/access.log
cache_log /var/log/squid/cache.log
cache_store_log /var/log/squid/store.log
mime_table /etc/squid/mime.conf
log_mime_hdrs off
pid_filename /var/run/squid.pid
debug_options ALL,1
#client_netmask 255.255.255.0
# OPTIONS FOR EXTERNAL SUPPORT PROGRAMS
# -----------------------------------------------------------------------------
ftp_user user@moscow.postshop.ru
ftp_list_width 32
ftp_passive on
ftp_sanitycheck on
ftp_telnet_protocol on
#cache_dns_program /usr/lib/squid/dnsserver
#dns_children 7
#dns_retransmit_interval 5 seconds
#dns_timeout 2 minutes
#dns_defnames off
# первым указан 127.0.0.1 - так как запущен pdnsd
dns_nameservers 127.0.0.1 212.188.4.10
hosts_file /etc/hosts
diskd_program /usr/lib/squid/diskd
unlinkd_program /usr/lib/squid/unlinkd
pinger_program /usr/lib/squid/pinger
# OPTIONS FOR TUNING THE CACHE
# -----------------------------------------------------------------------------
wais_relay_port 0
request_header_max_size 10 KB
refresh_pattern ^ftp: 1440 20% 10080
refresh_pattern ^gopher: 1440 0% 1440
refresh_pattern . 0 20% 4320
quick_abort_min 16 KB
quick_abort_max 16 KB
quick_abort_pct 95
negative_ttl 3 minutes
positive_dns_ttl 6 hours
negative_dns_ttl 1 minute
range_offset_limit 0 KB
# TIMEOUTS
# -----------------------------------------------------------------------------
# ACCESS CONTROLS
# -----------------------------------------------------------------------------
acl postshop src 192.168.1.0/255.255.255.0
acl admin src 192.168.1.1 192.168.1.3 192.168.1.49
acl france src 192.168.1.4 192.168.1.9 192.168.1.19 192.168.1.54
acl localhost src 127.0.0.1/255.255.255.255
acl Safe_ports port 80 443 210 119 70 20 21 1025-65535
acl CONNECT method CONNECT
acl all src 0.0.0.0/0.0.0.0
http_access allow POSTSHOP
http_access allow localhost
http_access deny !Safe_ports
http_access deny CONNECT
http_access deny all
# ADMINISTRATIVE PARAMETERS
# -----------------------------------------------------------------------------
cache_effective_user squid
cache_effective_group squid
# OPTIONS FOR THE CACHE REGISTRATION SERVICE
# -----------------------------------------------------------------------------
#
# HTTPD-ACCELERATOR OPTIONS
# -----------------------------------------------------------------------------
httpd_accel_host virtual
httpd_accel_port 80
httpd_accel_with_proxy on
httpd_accel_uses_host_header on
#anonymize_headers deny User-Agent
#fake_user_agent Mozilla/5.0 (x11; U; Linux i686; en-US; rv:0.9.6+) Gecko/20011122
# MISCELLANEOUS
# -----------------------------------------------------------------------------
dns_testnames www.ru netscape.com internic.net nlanr.net
# DELAY POOL PARAMETERS (all require DELAY_POOLS compilation option)
# -----------------------------------------------------------------------------
acl magic_words1 url_regex -i 192.168
acl magic_words2 url_regex -i ftp .exe .mp3 .zip .rar .avi .mpeg .mpe .mpg .ram .rm .wav .mov
acl pshop time 09:00-18:00
acl adm time 00:01-23:59
acl fra time 09:00-22:00
delay_pools 2
delay_class 1 2
delay_parameters 1 -1/-1 -1/-1
delay_access 1 allow magic_words1
delay_class 2 2
delay_parameters 2 5000/150000 5000/120000
delay_access 2 allow pshop
delay_access 2 allow adm
delay_access 2 allow fra
delay_access 2 deny !pshop !adm !fra
delay_access 2 allow magic_words2
coredump_dir /var/spool/squid
***********************************************************
[root@gate squid]# iptables-save
# Generated by iptables-save v1.2.11 on Fri Apr 1 15:38:45 2005
*nat
:PREROUTING ACCEPT [143850:11458205]
:POSTROUTING ACCEPT [146:13122]
:OUTPUT ACCEPT [24:1298]
-A PREROUTING -s 192.168.1.49 -d 192.168.1.100 -p tcp -m tcp --dport 80 -j REDIRECT --to-ports 3128
-A POSTROUTING -s 192.168.1.0/255.255.255.0 -j SNAT --to-source 62.118.1.120
COMMIT
# Completed on Fri Apr 1 15:38:45 2005
# Generated by iptables-save v1.2.11 on Fri Apr 1 15:38:45 2005
*filter
:INPUT DROP [42407:6305210]
:FORWARD ACCEPT [2004050:920346225]
:OUTPUT ACCEPT [13345:4075017]
-A INPUT -i lo -j ACCEPT
-A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
-A INPUT -s 192.168.1.0/255.255.255.0 -d 192.168.1.100 -p tcp -m tcp --dport 22 -j ACCEPT
-A FORWARD -s 192.168.1.0/255.255.255.0 -i eth0 -j DROP
COMMIT
# Completed on Fri Apr 1 15:38:45 2005
(Примечание - -A PREROUTING -s 192.168.1.49 -d 192.168.1.100 -p tcp -m tcp --dport 80 -j REDIRECT --to-ports 3128 - это я пока тренируюсь на себе (192.168.1.49), шлюз - 192.168.1.100)
И ничего не работает - при насильном прописывании 192.168.1.100:3128 в броузер ничего не работает... при чистых настройках браузера но с строкой PREROUTING - работает в обход, напрямую...
--
С уважением, Владимир Гусев
next prev parent reply other threads:[~2005-04-01 11:39 UTC|newest]
Thread overview: 15+ messages / expand[flat|nested] mbox.gz Atom feed top
2005-03-31 19:27 Владимир Гусев
2005-04-01 5:19 ` Mike Lykov
2005-04-01 6:01 ` Владимир Гусев
2005-04-01 6:24 ` Маркелов Александр
2005-04-01 11:39 ` Владимир Гусев [this message]
2005-04-01 13:30 ` Alexey Borovskoy
2005-04-02 10:10 ` Владимир Гусев
2005-04-02 12:33 ` Alexey Borovskoy
2005-04-02 15:10 ` Владимир Гусев
2005-04-03 13:08 ` Владимир Гусев
2005-04-04 2:17 ` Re[2]: " Беляев В. Н.
2005-04-04 5:16 ` Владимир Гусев
2005-04-01 10:45 ` Mike Lykov
2005-04-01 11:55 ` Владимир Гусев
2005-04-01 11:07 ` Andrey Rybak
Reply instructions:
You may reply publicly to this message via plain-text email
using any one of the following methods:
* Save the following mbox file, import it into your mail client,
and reply-to-all from there: mbox
Avoid top-posting and favor interleaved quoting:
https://en.wikipedia.org/wiki/Posting_style#Interleaved_style
* Reply using the --to, --cc, and --in-reply-to
switches of git-send-email(1):
git send-email \
--in-reply-to=op.sojxcne6glg102@post.cnt.ru \
--to=vova1971@narod.ru \
--cc=community@altlinux.ru \
/path/to/YOUR_REPLY
https://kernel.org/pub/software/scm/git/docs/git-send-email.html
* If your mail client supports setting the In-Reply-To header
via mailto: links, try the mailto: link
ALT Linux Community general discussions
This inbox may be cloned and mirrored by anyone:
git clone --mirror http://lore.altlinux.org/community/0 community/git/0.git
# If you have public-inbox 1.1+ installed, you may
# initialize and index your mirror using the following commands:
public-inbox-init -V2 community community/ http://lore.altlinux.org/community \
mandrake-russian@linuxteam.iplabs.ru community@lists.altlinux.org community@lists.altlinux.ru community@lists.altlinux.com
public-inbox-index community
Example config snippet for mirrors.
Newsgroup available over NNTP:
nntp://lore.altlinux.org/org.altlinux.lists.community
AGPL code for this site: git clone https://public-inbox.org/public-inbox.git