Проблема со SQUID (transparent)

Проблемы с установкой, настройкой и работой системных и сетевых программ.

Модераторы: GRooVE, alexco

Правила форума
Убедительная просьба юзать теги [code] при оформлении листингов.
Сообщения не оформленные должным образом имеют все шансы быть незамеченными.
Аватара пользователя
tango
Access Forbidden
Сообщения: 247
Зарегистрирован: 2007-12-15 17:41:18
Откуда: Санкт- Петербург
Контактная информация:

Проблема со SQUID (transparent)

Непрочитанное сообщение tango » 2008-05-27 19:58:13

Ребята, выручайте....
ничего понять не могу....
Решила сделать корпоративный прокси прозрачным.... начались проблемы.

Конфиг Сквида:

Код: Выделить всё

### General
http_port 192.168.1.16:3128 transparent
#http_port 127.0.0.1:3128 transparent
#http_port 3128 transparent
visible_hostname proxy.szma.org
icp_port 0

hierarchy_stoplist cgi-bin ?
acl QUERY urlpath_regex cgi-bin \?
no_cache deny QUERY

cache_mem 256 MB
cache_swap_low 90
cache_swap_high 95
maximum_object_size 8192 KB
maximum_object_size_in_memory 1024 KB
cache_dir ufs /usr/local/squid/cache 2048 64 256
cache_access_log /var/log/squid/access.log
cache_log /var/log/squid/cache.log
cache_store_log /var/log/squid/store.log
logfile_rotate 60
coredump_dir /usr/local/squid/cache
error_directory /usr/local/etc/squid/errors/Russian-koi8-r
cache_mgr admin@szma.org

pid_filename /usr/local/squid/logs/squid.pid

#redirect_program /usr/local/etc/squid/xxxx
#redirect_children 90

auth_param basic children 5
auth_param basic realm Squid proxy-caching web server
auth_param basic credentialsttl 2 hours

#Suggested default:
refresh_pattern ^ftp:           1440    20%     10080
refresh_pattern ^gopher:        1440    0%      1440
refresh_pattern .               0       20%     4320

ftp_passive on
dns_retransmit_interval 1 seconds
dns_nameservers 192.168.1.19

# ACCESS CONTROLS
# -----------------------------------------------------------------------------

#Recommended minimum configuration:
acl all src 0.0.0.0/0.0.0.0
acl manager proto cache_object
#acl localhost src 127.0.0.1/32
acl localhost src 192.168.1.16/32
acl to_localhost dst 127.0.0.0/8
acl SSL_ports port 443 563
acl Safe_ports port 80          # http
acl Safe_ports port 21          # ftp
acl Safe_ports port 443 563     # https, snews
acl Safe_ports port 70          # gopher
acl Safe_ports port 210         # wais
acl Safe_ports port 1024-65535  # unregistered ports
acl Safe_ports port 280         # http-mgmt
acl Safe_ports port 280         # http-mgmt
acl Safe_ports port 488         # gss-http
acl Safe_ports port 591         # filemaker
acl Safe_ports port 777         # multiling http
acl Safe_ports port 1494        #citrix
acl CONNECT method CONNECT

#  TAG: http_access
http_access allow manager localhost
http_access deny manager

http_access deny !Safe_ports
http_access deny CONNECT !SSL_ports

#ICQ
acl icq_users src 192.168.1.63 192.168.1.90 192.168.9.58 192.168.1.105
acl icq_domain  dstdomain  .icq.com .aol.com
acl icq_addr  dst       64.12.0.0/16 205.188.0.0/16
acl icq_port port 443
acl icq_proto proto https
http_access deny !icq_users icq_domain
http_access allow icq_users icq_addr icq_proto CONNECT
always_direct allow icq_domain icq_port CONNECT
always_direct allow icq_addr icq_port CONNECT

# Vkontakte
# Personal Vladimirov
acl v_kontakte dstdomain .vkontakte.ru .odnoklassniki.ru 
acl personal src 192.168.9.62 192.168.1.45
http_access allow personal v_kontakte

## Consultant
acl update dstdomain .m-style.su
acl cons src 192.168.9.1 192.168.3.2
http_access allow cons update

acl dontcheck urlpath_regex -i \.gif$ \.jpg$ \.png$ \.css$
redirector_access deny dontcheck

redirector_access deny localhost
#redirector_access deny SSL_ports

acl noblocked url_regex "/usr/local/etc/squid/noblocked.txt"
http_access allow noblocked
acl blocked url_regex "/usr/local/etc/squid/blocked.txt"
http_access deny blocked

acl src_lan0 src 192.168.0.0/24
acl src_lan1 src 192.168.1.0/24
acl src_lan6 src 192.168.6.0/24
acl src_lan9 src 192.168.9.0/24
acl lock_users src 192.168.6.212

http_access allow src_lan0
http_access allow src_lan1
http_access allow src_lan6
http_access allow src_lan9
http_access deny lock_users
http_access deny all

###  TAG: http_reply_access
http_reply_access allow all

#####  TAG: icp_access
# icp_access deny all

#Allow ICP queries from everyone
#icp_access allow all

####  TAG: miss_access
miss_access allow all

####  TAG: cache_peer_access
# none
#cache_peer_access all allow


# ADMINISTRATIVE PARAMETERS
cache_effective_user squid
cache_effective_group squid

# OPTIONS FOR THE CACHE REGISTRATION SERVICE
#forwarded_for off

####  TAG: always_direct
acl mantis dstdomain mantis.szma.org
always_direct allow mantis

####
client_persistent_connections on
server_persistent_connections off

#####
# detect_broken_pconn off
detect_broken_pconn on

### ACL TIME
#acl lunchtime time MTWHF 12:15-13:45
#acl worktime time MTWHF 08:00-19:00
#acl weekday time SA
#acl evening time 19:00-23:59
запросы клиентов на сквид форвардит IPFW:

Код: Выделить всё

01400  10  1385 fwd 192.168.1.16,3128 tcp from any to any dst-port 80,443,21 via xl0
01500  12   952 divert 8668 ip from any to any via xl0
или пробовала и так:

Код: Выделить всё

01400  10  1385 fwd 127.0.0.1,3128 tcp from any to any dst-port 80,443,21 via xl0
одна фигня-.....
ОШИБКА
Запрошенный URL не может быть доставлен

Во время доставки URL: http://любой_адрес.xxxx/

Произошла следующая ошибка:

* Доступ запрещен.

Настройка контроля доступа не даёт возможности выполнить Ваш запрос в настоящее время. Пожалуйста, свяжитесь с Вашим поставщиком услуг Интернет, если Вы считаете это неправильным.

Generated Tue, 27 May 2008 16:30:12 GMT by proxy.szma.org (squid/3.0.STABLE6)
если же прописываю настройки прокси в браузере, а в фаере правило форвардинга убираю, то всё работает.
Никто не сталкивался с подобным? Как побороть?

Хостинговая компания Host-Food.ru
Хостинг HostFood.ru
 

Услуги хостинговой компании Host-Food.ru

Хостинг HostFood.ru

Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/

Аватара пользователя
abanamat
сержант
Сообщения: 255
Зарегистрирован: 2007-03-15 11:24:26
Откуда: Питер
Контактная информация:

Re: Проблема со SQUID (transparent)

Непрочитанное сообщение abanamat » 2008-05-27 22:12:41

эта после диверта на том же интерфейсе какой ип у клиента получается?

Аватара пользователя
tango
Access Forbidden
Сообщения: 247
Зарегистрирован: 2007-12-15 17:41:18
Откуда: Санкт- Петербург
Контактная информация:

Re: Проблема со SQUID (transparent)

Непрочитанное сообщение tango » 2008-05-27 22:49:47

всё... сама разобралась... :)
в двух местах внесла исправления:

1. в squid.conf
http_port 192.168.1.16:3128 (без transparent)

2. в rc.firewall
${fwcmd} add fwd 192.168.1.16,3128 tcp from any to any 80,443,21 in via ${oif}

теперь всё работает прозрачно... :)

Аватара пользователя
tango
Access Forbidden
Сообщения: 247
Зарегистрирован: 2007-12-15 17:41:18
Откуда: Санкт- Петербург
Контактная информация:

Re: Проблема со SQUID (transparent)

Непрочитанное сообщение tango » 2008-05-27 22:54:49

Теперь мне надо чтобы фаер мой ИП на прокси не заворачивал вместе со всеми, а пропускал дальше.... до ната.
Какой синтаксис у ipfw исключающий ip-шники из правил?

что-то типа этого:
${fwcmd} add fwd 192.168.1.16,3128 tcp from any !192.168.1.21 to any dst-port 80,443,21 in via ${oif}

Аватара пользователя
dikens3
подполковник
Сообщения: 4856
Зарегистрирован: 2006-09-06 16:24:08
Откуда: Нижний Новгород
Контактная информация:

Re: Проблема со SQUID (transparent)

Непрочитанное сообщение dikens3 » 2008-05-27 23:01:16

Код: Выделить всё

${fwcmd} add fwd 192.168.1.16,3128 tcp from not 192.168.1.21 to any dst-port 80,443,21 in via ${oif}
https работать прозрачно не будет, как и аутентификация.
Лучше установить FreeBSD, чем потратить 30 лет на Linux'ы и выяснить какой из них хуже.

Аватара пользователя
tango
Access Forbidden
Сообщения: 247
Зарегистрирован: 2007-12-15 17:41:18
Откуда: Санкт- Петербург
Контактная информация:

Re: Проблема со SQUID (transparent)

Непрочитанное сообщение tango » 2008-05-27 23:15:00

Спасибо! Именно то что надо. :)
Теперь меня пропускает до НАТа.
p.s. 443 на прокси мне нужен только для аськи, так что кому надо сами пропишут у себя в асечных клиентах проксю.

Аватара пользователя
tango
Access Forbidden
Сообщения: 247
Зарегистрирован: 2007-12-15 17:41:18
Откуда: Санкт- Петербург
Контактная информация:

Re: Проблема со SQUID (transparent)

Непрочитанное сообщение tango » 2008-05-27 23:22:22

Кстати.... заодно уж еще один вопрос.....
у меня почему то время Сквида отличается от системного на 4 часа....
К примеру :

Код: Выделить всё

gw# date
Wed May 28 00:20:26 MSD 2008
и в тоже время в сквиде

Код: Выделить всё

Generated Tue, 27 May 2008 20:20:26 GMT by proxy.szma.org (squid/3.0.STABLE6)

Аватара пользователя
dikens3
подполковник
Сообщения: 4856
Зарегистрирован: 2006-09-06 16:24:08
Откуда: Нижний Новгород
Контактная информация:

Re: Проблема со SQUID (transparent)

Непрочитанное сообщение dikens3 » 2008-05-28 11:09:32

Чудеса... :-)

А вообще может быть временные зоны разные?
Generated Tue, 27 May 2008 20:20:26 GMT by proxy.szma.org (squid/3.0.STABLE6)
Wed May 28 00:20:26 MSD 2008
Лучше установить FreeBSD, чем потратить 30 лет на Linux'ы и выяснить какой из них хуже.

onotole
проходил мимо

Re: Проблема со SQUID (transparent)

Непрочитанное сообщение onotole » 2009-11-13 17:50:20

ipfw add fwd 192.168.0.2,3128 tcp from any to any 80 in via rl0

а как сделать что заворачивались только те пакеты где destination != 192.168.0.0/255.255.255.0
?

Аватара пользователя
---nebo---
старшина
Сообщения: 424
Зарегистрирован: 2008-11-01 21:06:23
Откуда: Киев
Контактная информация:

Re: Проблема со SQUID (transparent)

Непрочитанное сообщение ---nebo--- » 2009-11-13 18:32:51

onotole писал(а):ipfw add fwd 192.168.0.2,3128 tcp from any to any 80 in via rl0

а как сделать что заворачивались только те пакеты где destination != 192.168.0.0/255.255.255.0
?

Код: Выделить всё

ipfw add fwd 192.168.0.2,3128 tcp from any to not 192.168.0.0/24 80 in via rl0
...участки под застройку в живописном месте Интернет