Прозрачный прокси

Проблемы установки, настройки и работы Правильной Операционной Системы

Модератор: terminus

Правила форума
Убедительная просьба юзать теги [cоde] при оформлении листингов.
Сообщения не оформленные должным образом имеют все шансы быть незамеченными.
shurilla
рядовой
Сообщения: 49
Зарегистрирован: 2006-02-08 21:23:46

Прозрачный прокси

Непрочитанное сообщение shurilla » 2006-03-08 10:41:08

Доброго времени суток
Тут возникла проблемма при настройке прозрачного прокси сам прокси работает когда прописываеш жеско а вот при перенапровлении выдает

Код: Выделить всё

(ERROR
The requested URL could not be retrieved

--------------------------------------------------------------------------------

While trying to retrieve the URL: / 

The following error was encountered: 

Invalid URL 
Some aspect of the requested URL is incorrect. Possible problems: 

Missing or incorrect access protocol (should be `http://'' or similar) 
Missing hostname 
Illegal double-escape in the URL-Path 
Illegal character in hostname; underscores are not allowed 
Your cache administrator is webmaster. 



--------------------------------------------------------------------------------

Generated Wed, 08 Mar 2006 07:32:51 GMT by rout (squid/2.5.STABLE12) )
в d iptebles вроде все прописал

Код: Выделить всё

(# Generated by iptables-save v1.2.11 on Wed Mar  8 10:09:42 2006
*nat
:PREROUTING ACCEPT [33:6324]
:POSTROUTING ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]
-A PREROUTING -d 192.168.3.220 -p tcp -m tcp --dport 3055 -j DNAT --to-destination 192.168.0.3:3050 
-A PREROUTING -p tcp -m tcp --dport 80 -j REDIRECT --to-ports 3128 
-A PREROUTING -p tcp -m tcp --dport 21 -j REDIRECT --to-ports 3128 
-A POSTROUTING -s 192.168.0.0/255.255.255.0 -j MASQUERADE 
COMMIT
# Completed on Wed Mar  8 10:09:42 2006
# Generated by iptables-save v1.2.11 on Wed Mar  8 10:09:42 2006
*mangle
:PREROUTING ACCEPT [40:6955]
:INPUT ACCEPT [20:2759]
:FORWARD ACCEPT [14:2986]
:OUTPUT ACCEPT [5:248]
:POSTROUTING ACCEPT [9:746]
COMMIT
# Completed on Wed Mar  8 10:09:42 2006
# Generated by iptables-save v1.2.11 on Wed Mar  8 10:09:42 2006
*filter
:INPUT DROP [16:2567]
:FORWARD DROP [10:2488]
:OUTPUT ACCEPT [5:248]
-A INPUT -p tcp -m tcp --dport 20 -j ACCEPT 
-A INPUT -p tcp -m tcp --dport 21 -j ACCEPT 
-A INPUT -s 192.168.0.0/255.255.255.0 -p tcp -m tcp --dport 3128 -j ACCEPT 
-A INPUT -i lo -j ACCEPT 
-A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT 
-A INPUT -p tcp -m tcp --dport 22 -j ACCEPT 
-A FORWARD -s 192.168.0.0/255.255.255.0 -p tcp -m tcp --dport 53 -j ACCEPT 
-A FORWARD -s 192.168.0.0/255.255.255.0 -p udp -m udp --dport 53 -j ACCEPT 
-A FORWARD -s 192.168.0.0/255.255.255.0 -p tcp -m tcp --dport 25 -j ACCEPT 
-A FORWARD -s 192.168.0.0/255.255.255.0 -p tcp -m tcp --dport 110 -j ACCEPT 
-A FORWARD -d 192.168.3.220 -p tcp -m tcp --dport 3055 -j ACCEPT 
-A FORWARD -m state --state RELATED,ESTABLISHED -j ACCEPT 
-A FORWARD -s 192.168.0.0/255.255.255.0 -p icmp -m icmp --icmp-type 8 -j ACCEPT 
-A OUTPUT -o lo -j ACCEPT 
COMMIT
# Completed on Wed Mar  8 10:09:42 2006
)
Хотелось узнать в чем проблемма

Хостинговая компания Host-Food.ru
Хостинг HostFood.ru
 

Услуги хостинговой компании Host-Food.ru

Хостинг HostFood.ru

Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/

Аватара пользователя
Alex Keda
стреляли...
Сообщения: 35465
Зарегистрирован: 2004-10-18 14:25:19
Откуда: Made in USSR
Контактная информация:

Непрочитанное сообщение Alex Keda » 2006-03-08 12:22:27

Код: Выделить всё

httpd_accel_host virtual
httpd_accel_port 80
httpd_accel_uses_host_header on
В когфиге сквида - тебе помогут.
Убей их всех! Бог потом рассортирует...

shurilla
рядовой
Сообщения: 49
Зарегистрирован: 2006-02-08 21:23:46

прозрачный проки

Непрочитанное сообщение shurilla » 2006-03-08 13:08:12

Большое спасибо все заработало

Roman
мл. сержант
Сообщения: 108
Зарегистрирован: 2006-01-22 15:51:57
Откуда: Россия

Непрочитанное сообщение Roman » 2006-03-18 19:03:41

Конфиги Squid и Firewall взяты у с этого сайта у lissyar'ы, две строки из rc.firewall
.......
${FwCMD} add fwd 127.0.0.1,3128 tcp from ${NetIn}/${NetMask} to any 80 via ${LanOut}
......
${FwCMD} add deny ip from any to any
При выходе в Интернет почему-то половина пакетов проходит через Squid( вернее уходит туда) а вторая половина "застревает" в "${FwCMD} add deny ip from any to any" и в итоге нет интернета :((( В чем дело может кто нибудь знает ???

Аватара пользователя
Alex Keda
стреляли...
Сообщения: 35465
Зарегистрирован: 2004-10-18 14:25:19
Откуда: Made in USSR
Контактная информация:

Непрочитанное сообщение Alex Keda » 2006-03-18 23:30:21

Roman писал(а):Конфиги Squid и Firewall взяты у с этого сайта у lissyar'ы, две строки из rc.firewall
.......
${FwCMD} add fwd 127.0.0.1,3128 tcp from ${NetIn}/${NetMask} to any 80 via ${LanOut}
......
${FwCMD} add deny ip from any to any
При выходе в Интернет почему-то половина пакетов проходит через Squid( вернее уходит туда) а вторая половина "застревает" в "${FwCMD} add deny ip from any to any" и в итоге нет интернета :((( В чем дело может кто нибудь знает ???
ну у меня-то всё работает....
Что-то ещё пропустил, значит.
Убей их всех! Бог потом рассортирует...

Roman
мл. сержант
Сообщения: 108
Зарегистрирован: 2006-01-22 15:51:57
Откуда: Россия

Непрочитанное сообщение Roman » 2006-03-19 9:07:45

Пропустил в Sqiud-d или в FW ??? Конфиги один в один (несколько раз проверял :()

Аватара пользователя
Alex Keda
стреляли...
Сообщения: 35465
Зарегистрирован: 2004-10-18 14:25:19
Откуда: Made in USSR
Контактная информация:

Непрочитанное сообщение Alex Keda » 2006-03-19 10:19:55

А который один-в-один? :)
Убей их всех! Бог потом рассортирует...

Roman
мл. сержант
Сообщения: 108
Зарегистрирован: 2006-01-22 15:51:57
Откуда: Россия

Непрочитанное сообщение Roman » 2006-03-19 15:05:04

Squid'овский

Аватара пользователя
Alex Keda
стреляли...
Сообщения: 35465
Зарегистрирован: 2004-10-18 14:25:19
Откуда: Made in USSR
Контактная информация:

Непрочитанное сообщение Alex Keda » 2006-03-19 19:23:37

Значит что-то не так с файрволлом.
Убей их всех! Бог потом рассортирует...

Roman
мл. сержант
Сообщения: 108
Зарегистрирован: 2006-01-22 15:51:57
Откуда: Россия

Непрочитанное сообщение Roman » 2006-03-19 20:21:40

Будем разбираться :) Другой вопрос: Если в Squid'е ввести авторизацию по логину и паролю...то он может оставаться прозрачным ??? Или это не совместимо ???

Аватара пользователя
Alex Keda
стреляли...
Сообщения: 35465
Зарегистрирован: 2004-10-18 14:25:19
Откуда: Made in USSR
Контактная информация:

Непрочитанное сообщение Alex Keda » 2006-03-19 20:44:57

нет. если авторизация - то только непрозрачный.
Убей их всех! Бог потом рассортирует...

Roman
мл. сержант
Сообщения: 108
Зарегистрирован: 2006-01-22 15:51:57
Откуда: Россия

Непрочитанное сообщение Roman » 2006-03-19 21:10:06

Большое спасибо ! Теперь понятно ! :) Разобрался
http://forum.lissyara.su/viewtopic.php? ... c&start=25

fitter
сержант
Сообщения: 231
Зарегистрирован: 2006-04-13 17:41:48
Откуда: Киев

Непрочитанное сообщение fitter » 2006-04-13 18:08:18

Народ, подскажите.
Хочу сделать прозрачный прокси.
Меня интересуют такие вопросы:
1. С какими опциями должен быть собран squid для организации прозрачного проксирования.
2. Какие TAG и в squid.conf непосредственно отвечают за включение прозрачного проксирования.

В настройках файервола, как я понимаю, достаточно завернуть все http пакеты на 80 порт.

Вопросы возникли в следствии того, что уже работающий сквид пытался сделать прозрачным. В файерволе прописал:
${FwCMD} add fwd 127.0.0.1,3128 tcp from ${NetIn}/${NetMask} to any 80 via ${LanOut}

В squid.conf прописал
httpd_accel_host virtual
httpd_accel_port 80
httpd_accel_uses_host_header on

Ребутнул squid и ... страницы инета не открываются..
Тогда закоментировал все httpd_accel , опять ребутнул squid, и инет появился, но только если в IE жестко прописать прокси.
Вот такая ситуация. Может еще где-то надо чего-то в squid.conf прописать?
Помогите, плиз.
Спасибо, заранее.

Аватара пользователя
Alex Keda
стреляли...
Сообщения: 35465
Зарегистрирован: 2004-10-18 14:25:19
Откуда: Made in USSR
Контактная информация:

Непрочитанное сообщение Alex Keda » 2006-04-13 19:12:32

fitter писал(а):В файерволе прописал:
${FwCMD} add fwd 127.0.0.1,3128 tcp from ${NetIn}/${NetMask} to any 80 via ${LanOut}

В squid.conf прописал
httpd_accel_host virtual
httpd_accel_port 80
httpd_accel_uses_host_header on
Значит ещё что-то не так. принципе этого достаточно. пересобирать не надо.
Убей их всех! Бог потом рассортирует...

Аватара пользователя
northern
лейтенант
Сообщения: 778
Зарегистрирован: 2006-02-08 20:48:45
Откуда: Днепропетровск
Контактная информация:

Непрочитанное сообщение northern » 2006-04-13 19:31:40

Кстати, у меня похожее было, но уменя не хотел ресолвится, по ип без проблем работал, Это если жестко не прописывать прокси в броузере.

Аватара пользователя
Urgor
лейтенант
Сообщения: 677
Зарегистрирован: 2006-03-14 16:30:18
Откуда: Гилея (СПб)
Контактная информация:

Непрочитанное сообщение Urgor » 2006-04-14 7:50:19

Та же х..ня :( Но IMHO это траблы винды... У мя одна машина (из тестовых) с прозрачным пахала нормально, но запросы к внешнему ДНС шли с портов больше 40000. На остальных резольвилось "когда как", а запросы шли с портов чуть выше сотни... Но вот что странно, если воткнуть виндовую машину напрямую в инет... все работает!
Лис, у та на машине с проксей ДНС сервант поднят?
Власть в руках у чужаков, и ты им платишь дань...

Аватара пользователя
Alex Keda
стреляли...
Сообщения: 35465
Зарегистрирован: 2004-10-18 14:25:19
Откуда: Made in USSR
Контактная информация:

Непрочитанное сообщение Alex Keda » 2006-04-14 8:00:18

неа. у мя форточки как DNS - надо ж ещё зону держать.
Но на 3-х моих машинах поднят. на двух кэширующий, на одной полноценный - две зоны держит... На всех сквид нормально работает. прозрачный....


P.S. Перезагружали? :)
Убей их всех! Бог потом рассортирует...

Аватара пользователя
northern
лейтенант
Сообщения: 778
Зарегистрирован: 2006-02-08 20:48:45
Откуда: Днепропетровск
Контактная информация:

Непрочитанное сообщение northern » 2006-04-14 9:45:41

Да я особо не парился, не помню уже.

Аватара пользователя
Urgor
лейтенант
Сообщения: 677
Зарегистрирован: 2006-03-14 16:30:18
Откуда: Гилея (СПб)
Контактная информация:

Непрочитанное сообщение Urgor » 2006-04-14 10:25:07

P.S. Перезагружали?
Все окромя нутряного ДНС, бо доменный сервак тока электрики перегружают :) Да и ОДИН(!) комп нормально пашет! :)
Вот ссылка на автоконфигурацию прокси http://www.squid-cache.org/Doc/FAQ/FAQ-5.html#ss5.10 посему надобность в прозрачном отпала...
Власть в руках у чужаков, и ты им платишь дань...

fitter
сержант
Сообщения: 231
Зарегистрирован: 2006-04-13 17:41:48
Откуда: Киев

Непрочитанное сообщение fitter » 2006-04-14 13:01:53

> P.S. Перезагружали?

Только сам squid. Счас попробую и сервер тоже.
Еще. Прочитал статью о руссификации. Чей-то не выходит.
Может не туда вписываю russian
В статье так:
root:XXXXXXXXXX:0:0::0:0:Charlie &:/root:/bin/csh

у меня так:
root:*:0:0:Charlie &:/root:/bin/csh

Где вписывать russian ? Пытался между нулями и после них - не работает.

Аватара пользователя
Alex Keda
стреляли...
Сообщения: 35465
Зарегистрирован: 2004-10-18 14:25:19
Откуда: Made in USSR
Контактная информация:

Непрочитанное сообщение Alex Keda » 2006-04-14 13:16:01

fitter писал(а):root:XXXXXXXXXX:0:0::0:0:Charlie &:/root:/bin/csh

Код: Выделить всё

root:XXXXXXXXXX:0:0:russian:0:0:Charlie &:/root:/bin/csh
сработает тока после логоут-логон.

===
непомню, но если su делаешь возвможно язык тоже переходит от предыдущего пользоввателя... надо пробовать - у меня все русские...

===
и ругань будет тока после перезагрузки, по русски. до неё так и будет инглиш.
Убей их всех! Бог потом рассортирует...

fitter
сержант
Сообщения: 231
Зарегистрирован: 2006-04-13 17:41:48
Откуда: Киев

Непрочитанное сообщение fitter » 2006-04-14 13:47:59

Ты не понял, у меня не столько цифр в /etc/passwd
У меня root:*:0:0:Charlie &:/root:/bin/csh
Пробовал вписывать и так root:*:0:russian:0:Charlie &:/root:/bin/cs
и так root:*:0:0:russian:Charlie &:/root:/bin/csh
В обоих случаях не работает.

Теперь о squid
Попробовал опять прописать httpd_accel и ребутнуть сервер.
Имеем: при прописаном прокси в ie страницы инета не открываются, а выдает:

ERROR
The requested URL could not be retrieved

--------------------------------------------------------------------------------

While trying to retrieve the URL: http://www.rambler.ru/

The following error was encountered:

Access Denied.
Access control configuration prevents your request from being allowed at this time. Please contact your service provider if you feel this is incorrect.

Your cache administrator is webmaster.

--------------------------------------------------------------------------------

Generated Fri, 14 Apr 2006 10:44:01 GMT by mail3.firma.com.ua (squid/2.5.STABLE13)

Если прокси не прописывать, то выдает "Невозможно отобразить страницу"

Аватара пользователя
Sweeper_jr
ефрейтор
Сообщения: 61
Зарегистрирован: 2006-01-19 12:48:12
Контактная информация:

Непрочитанное сообщение Sweeper_jr » 2006-04-14 15:39:03

fitter писал(а):Ты не понял, у меня не столько цифр в /etc/passwd
У меня root:*:0:0:Charlie &:/root:/bin/csh
Пробовал вписывать и так root:*:0:russian:0:Charlie &:/root:/bin/cs
и так root:*:0:0:russian:Charlie &:/root:/bin/csh
В обоих случаях не работает.
Потому что ты правишь /etc/passwd, а команда vipw дает возможность править /etc/master.passwd , а это два разных файла..

fitter
сержант
Сообщения: 231
Зарегистрирован: 2006-04-13 17:41:48
Откуда: Киев

Непрочитанное сообщение fitter » 2006-04-14 16:07:48

Вай шайтан!
Снимаю шляпу. Действительно, руссифицировалось все..
Спасибочки!!!

А со сквидом, ну его. не работает инет без прописи прокси - и хорошо.
Никто не сможет мимо пролезть. А в домене очень легко присвоить всем один прокси.

Тут вот еще что. Мой старый сервер на линуксе. Там в сетевых настройках есть
broadcast IP

Если я буду менять сервер на фрю, то куда этот параметр и как писать? В rc.conf ?
Спасибо!

Аватара пользователя
Alex Keda
стреляли...
Сообщения: 35465
Зарегистрирован: 2004-10-18 14:25:19
Откуда: Made in USSR
Контактная информация:

Непрочитанное сообщение Alex Keda » 2006-04-14 16:40:28

никуда. маску сети правильно пропиши - он его сам вычислит.
Убей их всех! Бог потом рассортирует...