Добро пожаловать, Гость. Пожалуйста, войдите или зарегистрируйтесь.
14 Август 2018, 13:17:21
Новости:

Страниц: [1]   Вниз
Печать
Автор Тема: появилась проблема с прозрачным прокси  (Прочитано 22198 раз)
0 Пользователей и 1 Гость смотрят эту тему.
igro
Новичок
*

Карма: +1/-0
Offline Offline

Сообщений: 33


« : 29 Октябрь 2012, 10:33:01 »

сам squid работает и если вручную настраивать браузер то норм.
проблема появляется когда пытаюсь завернуть 80 порт на 3128.
вот все правила которые есть на сервере:

# Generated by iptables-save v1.4.4 on Sat Mar 17 13:41:47 2012
*mangle
:PREROUTING ACCEPT [0:0]
:INPUT ACCEPT [0:0]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]
:POSTROUTING ACCEPT [0:0]
COMMIT
# Completed on Sat Mar 17 13:41:47 2012
# Generated by iptables-save v1.4.4 on Sat Mar 17 13:41:47 2012
*nat
:OUTPUT ACCEPT [0:0]
:PREROUTING ACCEPT [0:0]
:POSTROUTING ACCEPT [0:0]
-A POSTROUTING -o eth0 -j MASQUERADE
-A PREROUTING -p tcp -m tcp -d 213.129.63.13 --dport 5551 -j DNAT --to-destination 192.168.0.55:3389
-A PREROUTING -p tcp -m tcp -d 192.168.0.55 -i eth0 --dport 3389 -j REDIRECT
-A PREROUTING -p tcp -m tcp -d 213.129.63.13 --dport 44344 -j DNAT --to-destination 192.168.0.2:3389
-A PREROUTING -p tcp -m tcp -d 192.168.0.2 -i eth0 --dport 3389 -j REDIRECT
-A OUTPUT -p tcp -m tcp -o eth0 --sport 25
-A PREROUTING -p tcp -m tcp -d 213.129.63.13 --dport 1240 -j DNAT --to-destination 192.168.0.188:1240
-A PREROUTING -p tcp -m tcp -d 192.168.0.188 -i eth0 --dport 1240 -j REDIRECT
-A PREROUTING -p tcp -m tcp -d 213.129.63.13 --dport 1111 -j DNAT --to-destination 192.168.0.188:1111
-A PREROUTING -p tcp -m tcp -d 192.168.0.188 -i eth0 --dport 1111 -j REDIRECT
-A PREROUTING -p tcp -m tcp -d 213.129.63.13 --dport 1239 -j DNAT --to-destination 192.168.0.188:1239
-A PREROUTING -p tcp -m tcp -d 192.168.0.188 -i eth0 --dport 1239 -j REDIRECT
-A PREROUTING -p udp -m udp -d 213.129.63.13 --dport 1240 -j DNAT --to-destination 192.168.0.188:1240
-A PREROUTING -p udp -m udp -d 192.168.0.188 -i eth0 --dport 1240 -j REDIRECT
-A PREROUTING -p udp -m udp -d 213.129.63.13 --dport 1111 -j DNAT --to-destination 192.168.0.188:1111
-A PREROUTING -p udp -m udp -d 192.168.0.188 -i eth0 --dport 1111 -j REDIRECT
-A PREROUTING -p udp -m udp -d 213.129.63.13 --dport 1239 -j DNAT --to-destination 192.168.0.188:1239
-A PREROUTING -p udp -m udp -d 192.168.0.188 -i eth0 --dport 1239 -j REDIRECT
-A PREROUTING -p tcp -m tcp -d 213.129.63.13 --dport 5555 -j ACCEPT
-A OUTPUT -p tcp -m tcp -o eth0 --sport 5555 -j ACCEPT
-A PREROUTING -p tcp -m tcp -d 213.129.63.13 --dport 443 -j ACCEPT
-A PREROUTING -p tcp -m tcp -d 213.129.63.13 --dport 5900 -j ACCEPT
-A OUTPUT -p tcp -m tcp -o eth0 --sport 5900 -j ACCEPT
-A OUTPUT -p tcp -m tcp -o eth0 --sport 20 -j ACCEPT
-A OUTPUT -p tcp -m tcp -o eth0 --sport 21 -j ACCEPT
-A OUTPUT -p tcp -m tcp -o eth0 --sport 50000:51000 -j ACCEPT
-A POSTROUTING -o eth1 -j MASQUERADE
-A POSTROUTING -p tcp -m tcp -d 213.129.63.13 --dport 5555 -j ACCEPT
-A PREROUTING -i lo -j ACCEPT
-A PREROUTING -i eth2 -j ACCEPT
-A OUTPUT -o lo -j ACCEPT
-A POSTROUTING -p tcp -m tcp -d 213.129.63.13 --dport 5900 -j ACCEPT
-A OUTPUT -p tcp -m tcp -o eth0 --sport 80 -j ACCEPT
-A PREROUTING -p gre -i eth0 -j ACCEPT
-A PREROUTING -p icmp -j ACCEPT
-A POSTROUTING -o lo -j ACCEPT
-A PREROUTING -i pptp -j ACCEPT
-A PREROUTING -p tcp -m tcp -d 213.129.63.13 -i eth0 --dport 1723 -j DNAT --to-destination 192.168.0.1:1723
-A PREROUTING -p tcp -m tcp -d 192.168.0.1 --dport 1723 -j REDIRECT
-A PREROUTING -p tcp -m tcp -d 213.129.63.13 --dport 445 -j ACCEPT
-A PREROUTING -p tcp -m tcp -d 213.129.63.13 --dport 5555 -j ACCEPT
-A PREROUTING -p tcp -m tcp -d 213.129.63.13 --dport 5552 -j DNAT --to-destination 192.168.0.2:3389
-A PREROUTING -p tcp -m tcp -d 192.168.0.2 -i eth0 --dport 3389 -j REDIRECT
-A PREROUTING -p tcp -m tcp -d 213.129.63.13 --dport 5553 -j DNAT --to-destination 192.168.0.3:5553
-A PREROUTING -p tcp -m tcp -d 192.168.0.3 -i eth0 --dport 3389 -j REDIRECT
-A PREROUTING -p tcp -m tcp -d 213.129.63.13 --dport 5557 -j DNAT --to-destination 192.168.0.191:22
-A PREROUTING -p tcp -m tcp -d 192.168.0.191 -i eth0 --dport 22 -j REDIRECT
-A PREROUTING -p tcp -m tcp -d 213.129.63.13 --dport 20:21 -j ACCEPT
-A PREROUTING -p tcp -m tcp -d 213.129.63.13 --dport 50000:51000 -j ACCEPT
-A PREROUTING -p tcp -m tcp -d 213.129.63.13 --dport 5556 -j DNAT --to-destination 192.168.0.2:22
-A PREROUTING -p udp -m udp -d 192.168.0.2 -i eth0 --dport 22 -j REDIRECT
-A PREROUTING -p tcp -m tcp -d 213.129.63.13 --dport 20:21 -j ACCEPT
-A PREROUTING -p tcp -m tcp -d 213.129.63.13 --dport 50000:51000 -j ACCEPT
-A PREROUTING -p tcp -m tcp -d 213.129.63.13 --dport 8080 -j ACCEPT
-A POSTROUTING -p gre -j ACCEPT
-A PREROUTING -p tcp -m tcp -d 213.129.63.13 --dport 6666 -j DNAT --to-destination 192.168.0.85:3389
-A PREROUTING -p tcp -m tcp -d 192.168.0.85 -i eth0 --dport 3389 -j REDIRECT
-A PREROUTING -p tcp -m tcp -d 213.129.63.13 --dport 80 -j ACCEPT
# Forward HTTP connections to Squid proxy
-A PREROUTING -p tcp -m tcp -i eth2 --dport 80 -j REDIRECT --to-ports 3128

COMMIT
# Completed on Sat Mar 17 13:41:47 2012
# Generated by iptables-save v1.4.4 on Sat Mar 17 13:41:47 2012
*filter
:FORWARD ACCEPT [0:0]
:INPUT ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]
-A INPUT -p tcp -m state -s 192.168.0.191 --dport 25 --state NEW -j ACCEPT
-A INPUT -p tcp -m state --dport 25 --state NEW -j DROP
-A OUTPUT -p tcp -m state -d 192.168.0.191 --sport 25 --state NEW -j ACCEPT
-A OUTPUT -p tcp -m state --dport 25 --state NEW -j DROP
COMMIT
# Completed on Sat Mar 17 13:41:47 2012

а это то что вижу в access.log:
0 192.168.0.95 TCP_DENIED/403 3636 CONNECT 85.25.20.109:443 - NONE/- text/html

ходил к 95 компу там в браузере не указан прокси причем показывает в логах только 192.168.0.95 из 50 пк.
раньше работало пока тех. поддержка торговой площадки не посоветовали отключить редирект для проверки.
в syslog вообще не записывается ничего что относилось бы к squid и iptables.
в чем может быть проблема?
p.s. установлен nginx который проксирует 80 и 443 порты в локалку с внешки.
« Последнее редактирование: 29 Октябрь 2012, 10:36:34 от igro » Записан
igro
Новичок
*

Карма: +1/-0
Offline Offline

Сообщений: 33


« Ответ #1 : 08 Февраль 2013, 18:50:46 »

Все еще актуально!
пробовал поиграться с галочками в вебмине в меню сквида port redirection setup - не помогло.
iptables -t nat -A PREROUTING -p tcp --dport 80 -j REDIRECT --to-ports 3128 тоже не срабатывает.

конфиг сквида:
http_port 3128 transparent
icp_port 0
htcp_port 0

dead_peer_timeout 0 seconds
acl QUERY urlpath_regex cgi-bin \\?
no_cache deny QUERY
cache_mem 64 MB
maximum_object_size 100 MB
minimum_object_size 0 KB
cache_dir ufs /var/spool/squid 5000 16 256
request_body_max_size 0
refresh_pattern ^http: 0 0% 0 override-expire
negative_ttl 1 minutes
range_offset_limit 0 KB
read_timeout 5 minutes
request_timeout 60 seconds
half_closed_clients off
cache_effective_user proxy
cache_effective_group proxy
access_log /var/log/squid/access.log squid
cache_log /var/log/squid/cache.log squid
cache_store_log /var/log/squid/store.log squid
pid_filename /var/run/squid.pid

acl manager proto cache_object
acl localhost src 127.0.0.1
acl clients src 192.168.0.0/255.255.255.0
acl all src 0.0.0.0/0.0.0.0
acl SSL_ports port 443
acl Safe_ports port 80
acl CONNECT method CONNECT

http_access allow manager
http_access allow localhost
http_access allow clients
http_access deny manager
http_access deny !Safe_ports
http_access deny CONNECT !SSL_ports
http_access deny all


tcpdump -i eth3 dst port 3128 тоже ничего не показывает.

может ли мешать фронтенд веб-сервера редиректу 80 порта с локалки на сквид?
« Последнее редактирование: 08 Февраль 2013, 18:58:19 от igro » Записан
igro
Новичок
*

Карма: +1/-0
Offline Offline

Сообщений: 33


« Ответ #2 : 14 Февраль 2013, 08:42:53 »

проблема была в правилах.
так работает:
-A POSTROUTING -o eth0 -j MASQUERADE
-A PREROUTING -i eth3 -p tcp --dport 80 -j REDIRECT --to-ports 3128
Записан
Страниц: [1]   Вверх
Печать
 
Перейти в:  

Powered by SMF 1.1.21 | SMF © 2006-2009, Simple Machines

Страница сгенерирована за 0.073 секунд. Запросов: 20.