From mboxrd@z Thu Jan 1 00:00:00 1970 Return-Path: X-Comment: RFC 2476 MSA function at mx18.yandex.ru logged sender identity as: vova1971 Date: Fri, 01 Apr 2005 15:39:49 +0400 From: =?koi8-r?B?98zBxMnNydIg59XTxdc=?= To: community@altlinux.ru Subject: Re: =?koi8-r?B?W0NvbW1dIFNxdWlkIMnaIMvP0s/Cy8kgQWx0IExpbnV4IE1hc3RlciAyLjQ=?= References: <200504011019.08620.combr@vesna.ru> <424CE92C.4030005@13.net.ru> Content-Type: text/plain; format=flowed; delsp=yes; charset=koi8-r MIME-Version: 1.0 Content-Transfer-Encoding: 8bit Message-ID: In-Reply-To: <200504011019.08620.combr@vesna.ru> User-Agent: Opera M2(BETA2)/8.0 (Linux, build 987) X-BeenThere: community@altlinux.ru X-Mailman-Version: 2.1.5 Precedence: list Reply-To: community@altlinux.ru List-Id: Mailing list for ALT Linux users List-Unsubscribe: , List-Archive: List-Post: List-Help: List-Subscribe: , X-List-Received-Date: Fri, 01 Apr 2005 11:43:23 -0000 Archived-At: List-Archive: List-Post: > > Вы думаете, я не читал?:) И не только сам конфиг, но и тучу материалов >> из сети... >> Пишут все абсолютно по-разному, различные советы, различные строчки для >> -t nat PREROUTING (перенаправление запросов 80-ого порта клиентов на >> порт сквида), на любой вкус, и пока все попробуешь - голова кругом... > > Если вы хотите делать transparent proxy, то не достаточно поменять > только те настройки, которые вы перечислили. > Еще как минимум надо поменять: > httpd_accel_host virtual > httpd_accel_with_proxy on > httpd_accel_uses_host_header on > (Во всяком случаи так пишут во всех доках по transparent proxy) > > ну а iptables надо говорить что бы все запросы с 80 порта перенаправлял > на 3128(порт на котором слушает сквид) > iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 80 -j REDIRECT > --to-port 3128 > в данном случаи eth0 это внутренний интерфейс Вот мои squid.conf и /etc/sysconfig/iptables (хотя и прописывание напрямую не помогло - не работает сквид): [root@gate squid]# cat squid.conf # NETWORK OPTIONS # ----------------------------------------------------------------------------- #Расположение прокси-сервера Squid http_port 3128 icp_port 3130 # OPTIONS WHICH AFFECT THE NEIGHBOR SELECTION ALGORITHM # ----------------------------------------------------------------------------- #Рекомендуется оставить включенными эти две строки. acl QUERY urlpath_regex cgi-bin \? no_cache deny QUERY # OPTIONS WHICH AFFECT THE CACHE SIZE # ----------------------------------------------------------------------------- cache_mem 32 MB maximum_object_size 16384 KB minimum_object_size 0 KB maximum_object_size_in_memory 16 KB ipcache_size 1024 ipcache_low 90 ipcache_high 95 fqdncache_size 1024 cache_replacement_policy lru memory_replacement_policy lru # LOGFILE PATHNAMES AND CACHE DIRECTORIES # ----------------------------------------------------------------------------- cache_dir ufs /var/spool/squid 2048 16 256 cache_access_log /var/log/squid/access.log cache_log /var/log/squid/cache.log cache_store_log /var/log/squid/store.log mime_table /etc/squid/mime.conf log_mime_hdrs off pid_filename /var/run/squid.pid debug_options ALL,1 #client_netmask 255.255.255.0 # OPTIONS FOR EXTERNAL SUPPORT PROGRAMS # ----------------------------------------------------------------------------- ftp_user user@moscow.postshop.ru ftp_list_width 32 ftp_passive on ftp_sanitycheck on ftp_telnet_protocol on #cache_dns_program /usr/lib/squid/dnsserver #dns_children 7 #dns_retransmit_interval 5 seconds #dns_timeout 2 minutes #dns_defnames off # первым указан 127.0.0.1 - так как запущен pdnsd dns_nameservers 127.0.0.1 212.188.4.10 hosts_file /etc/hosts diskd_program /usr/lib/squid/diskd unlinkd_program /usr/lib/squid/unlinkd pinger_program /usr/lib/squid/pinger # OPTIONS FOR TUNING THE CACHE # ----------------------------------------------------------------------------- wais_relay_port 0 request_header_max_size 10 KB refresh_pattern ^ftp: 1440 20% 10080 refresh_pattern ^gopher: 1440 0% 1440 refresh_pattern . 0 20% 4320 quick_abort_min 16 KB quick_abort_max 16 KB quick_abort_pct 95 negative_ttl 3 minutes positive_dns_ttl 6 hours negative_dns_ttl 1 minute range_offset_limit 0 KB # TIMEOUTS # ----------------------------------------------------------------------------- # ACCESS CONTROLS # ----------------------------------------------------------------------------- acl postshop src 192.168.1.0/255.255.255.0 acl admin src 192.168.1.1 192.168.1.3 192.168.1.49 acl france src 192.168.1.4 192.168.1.9 192.168.1.19 192.168.1.54 acl localhost src 127.0.0.1/255.255.255.255 acl Safe_ports port 80 443 210 119 70 20 21 1025-65535 acl CONNECT method CONNECT acl all src 0.0.0.0/0.0.0.0 http_access allow POSTSHOP http_access allow localhost http_access deny !Safe_ports http_access deny CONNECT http_access deny all # ADMINISTRATIVE PARAMETERS # ----------------------------------------------------------------------------- cache_effective_user squid cache_effective_group squid # OPTIONS FOR THE CACHE REGISTRATION SERVICE # ----------------------------------------------------------------------------- # # HTTPD-ACCELERATOR OPTIONS # ----------------------------------------------------------------------------- httpd_accel_host virtual httpd_accel_port 80 httpd_accel_with_proxy on httpd_accel_uses_host_header on #anonymize_headers deny User-Agent #fake_user_agent Mozilla/5.0 (x11; U; Linux i686; en-US; rv:0.9.6+) Gecko/20011122 # MISCELLANEOUS # ----------------------------------------------------------------------------- dns_testnames www.ru netscape.com internic.net nlanr.net # DELAY POOL PARAMETERS (all require DELAY_POOLS compilation option) # ----------------------------------------------------------------------------- acl magic_words1 url_regex -i 192.168 acl magic_words2 url_regex -i ftp .exe .mp3 .zip .rar .avi .mpeg .mpe .mpg .ram .rm .wav .mov acl pshop time 09:00-18:00 acl adm time 00:01-23:59 acl fra time 09:00-22:00 delay_pools 2 delay_class 1 2 delay_parameters 1 -1/-1 -1/-1 delay_access 1 allow magic_words1 delay_class 2 2 delay_parameters 2 5000/150000 5000/120000 delay_access 2 allow pshop delay_access 2 allow adm delay_access 2 allow fra delay_access 2 deny !pshop !adm !fra delay_access 2 allow magic_words2 coredump_dir /var/spool/squid *********************************************************** [root@gate squid]# iptables-save # Generated by iptables-save v1.2.11 on Fri Apr 1 15:38:45 2005 *nat :PREROUTING ACCEPT [143850:11458205] :POSTROUTING ACCEPT [146:13122] :OUTPUT ACCEPT [24:1298] -A PREROUTING -s 192.168.1.49 -d 192.168.1.100 -p tcp -m tcp --dport 80 -j REDIRECT --to-ports 3128 -A POSTROUTING -s 192.168.1.0/255.255.255.0 -j SNAT --to-source 62.118.1.120 COMMIT # Completed on Fri Apr 1 15:38:45 2005 # Generated by iptables-save v1.2.11 on Fri Apr 1 15:38:45 2005 *filter :INPUT DROP [42407:6305210] :FORWARD ACCEPT [2004050:920346225] :OUTPUT ACCEPT [13345:4075017] -A INPUT -i lo -j ACCEPT -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT -A INPUT -s 192.168.1.0/255.255.255.0 -d 192.168.1.100 -p tcp -m tcp --dport 22 -j ACCEPT -A FORWARD -s 192.168.1.0/255.255.255.0 -i eth0 -j DROP COMMIT # Completed on Fri Apr 1 15:38:45 2005 (Примечание - -A PREROUTING -s 192.168.1.49 -d 192.168.1.100 -p tcp -m tcp --dport 80 -j REDIRECT --to-ports 3128 - это я пока тренируюсь на себе (192.168.1.49), шлюз - 192.168.1.100) И ничего не работает - при насильном прописывании 192.168.1.100:3128 в броузер ничего не работает... при чистых настройках браузера но с строкой PREROUTING - работает в обход, напрямую... -- С уважением, Владимир Гусев