forum.opennet.ru - "transparent proxy" (19)

форумы

помощь

поиск

регистрация

майллист

ВХОД

слежка

"transparent proxy"

Форумы OpenNET: Виртуальная конференция (Public)
Вариант для распечатки		Пред. тема \| След. тема
Изначальное сообщение		[Проследить за развитием треда]

"transparent proxy"
Сообщение от avn (??) on 29-Янв-07, 13:28
Hi All! Делаю на cisco и Squid прозрачный прокси. Циска пакеты на машину со сквидом заворачивает, а вот iptables похоже их на порт сквида не отправляет. [root@watcher log]# tcpdump -i eth1 host 172.19.19.10 tcpdump: listening on eth1 13:21:39.735448 172.19.19.10.1320 > 216.23.176.100.http: S 4048023158:4048023158(0) win 64512 <mss 1260,nop,nop,sackOK> (DF) 13:21:44.697391 172.19.19.10.1321 > opennet.ru.http: S 24003663:24003663(0) win 64512 <mss 1260,nop,nop,sackOK> (DF) 13:21:47.735501 172.19.19.10.1321 > opennet.ru.http: S 24003663:24003663(0) win 64512 <mss 1260,nop,nop,sackOK> (DF) 13:21:53.751199 172.19.19.10.1321 > opennet.ru.http: S 24003663:24003663(0) win 64512 <mss 1260,nop,nop,sackOK> (DF) а вот на порту 3128 tcpdump от этого хоста ничего не видит :( Правила для iptables: [root@watcher log]# iptables -L -t nat -v Chain PREROUTING (policy ACCEPT 8764K packets, 532M bytes) pkts bytes target prot opt in out source destination 74 3552 REDIRECT tcp -- any any 172.19.19.0/24 !172.16.16.253 multiport dports http,81,82,83,kerberos,8000,8001,8002,webcache,tproxy,https redir ports 3128 0 0 REDIRECT udp -- any any 172.19.19.0/24 !172.16.16.253 multiport dports http,81,82,83,kerberos,8000,8001,8002,webcache,tproxy,https redir ports 3128 Chain POSTROUTING (policy ACCEPT 9541K packets, 574M bytes) pkts bytes target prot opt in out source destination 739 38757 SNAT all -- any eth2 172.16.16.0/24 anywhere to:212.176.41.40 Подскажите плз в чем может быть дело?
Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору

Оглавление

transparent proxy, Vaso Petrovich, 14:22 , 29-Янв-07, (1)

transparent proxy, Кирилл, 14:37 , 29-Янв-07, (2)

transparent proxy, avn, 17:18 , 29-Янв-07, (3)

transparent proxy, Кирилл, 19:21 , 29-Янв-07, (4)

transparent proxy, Vaso Petrovich, 07:32 , 30-Янв-07, (5)

transparent proxy, Кирилл, 09:14 , 30-Янв-07, (6)
transparent proxy, avn, 12:37 , 30-Янв-07, (7)

transparent proxy, Vaso Petrovich, 14:06 , 30-Янв-07, (8)

transparent proxy, avn, 16:20 , 30-Янв-07, (9)

transparent proxy, Vaso Petrovich, 07:25 , 31-Янв-07, (10)

transparent proxy, avn, 15:21 , 31-Янв-07, (12)

transparent proxy, Vaso Petrovich, 15:42 , 31-Янв-07, (14)

transparent proxy, avn, 16:41 , 31-Янв-07, (16)

transparent proxy, gennady, 11:46 , 31-Янв-07, (11)

transparent proxy, avn, 15:35 , 31-Янв-07, (13)

transparent proxy, Vaso Petrovich, 15:43 , 31-Янв-07, (15)

transparent proxy, avn, 16:43 , 31-Янв-07, (17)

transparent proxy, gennady, 09:20 , 01-Фев-07, (18)

transparent proxy, avn, 10:50 , 01-Фев-07, (19)

Сообщения по теме [Сортировка по времени, UBB]

1. "transparent proxy"

Сообщение от Vaso Petrovich on 29-Янв-07, 14:22

>   74  3552 REDIRECT   tcp  --
работает же
> any    any     172.19.19.0/24
>     !172.16.16.253
>multiport dports http,81,82,83,kerberos,8000,8001,8002,webcache,tproxy,https redir ports 3128
во первых не жадничать с https точно работать не будет, другие порты тоже лучше не юзать, осбливо если сквид старый, tcpdump тоже не юзать, у сквида же есть логи, там видно будет заорачиваются или нет

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

2. "transparent proxy"

Сообщение от Кирилл (??) on 29-Янв-07, 14:37

>>   74  3552 REDIRECT   tcp  --
>
>работает же
>
>> any    any     172.19.19.0/24
>>     !172.16.16.253
>>multiport dports http,81,82,83,kerberos,8000,8001,8002,webcache,tproxy,https redir ports 3128
>
>во первых не жадничать с https точно работать не будет, другие порты
>тоже лучше не юзать, осбливо если сквид старый, tcpdump тоже не
>юзать, у сквида же есть логи, там видно будет заорачиваются или
>нет

положи сюда squid.conf

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

3. "transparent proxy"

Сообщение от avn (??) on 29-Янв-07, 17:18

>>>   74  3552 REDIRECT   tcp  --
>>
>>работает же
>>
>>> any    any     172.19.19.0/24
>>>     !172.16.16.253
>>>multiport dports http,81,82,83,kerberos,8000,8001,8002,webcache,tproxy,https redir ports 3128
>>
>>во первых не жадничать с https точно работать не будет, другие порты
>>тоже лучше не юзать, осбливо если сквид старый, tcpdump тоже не
>>юзать, у сквида же есть логи, там видно будет заорачиваются или
>>нет
>
>
>положи сюда squid.conf
--skip--
acl all src 0.0.0.0/0.0.0.0
acl manager proto cache_object
acl localhost src 127.0.0.1/255.255.255.255
acl to_localhost dst 127.0.0.0/8
acl our_networks src 172.16.16.0/24 172.17.17.2/32 172.18.18.0/24 172.19.19.0/24
http_access allow manager localhost
http_access deny manager
http_access deny to_localhost
http_access allow our_networks
http_access deny all
http_reply_access allow our_networks
http_reply_access deny all
--skip--
httpd_accel_host virtual
httpd_accel_port 80
httpd_accel_with_proxy on
httpd_accel_uses_host_header on
в логах сквида тоже нет запросов от от этого хоста :(
squid/2.5.Stable 1
а почему с hhtps работать не будет?

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

4. "transparent proxy"

Сообщение от Кирилл (??) on 29-Янв-07, 19:21

>>>>   74  3552 REDIRECT   tcp  --
>>>
>>>работает же
>>>
>>>> any    any     172.19.19.0/24
>>>>     !172.16.16.253
>>>>multiport dports http,81,82,83,kerberos,8000,8001,8002,webcache,tproxy,https redir ports 3128
>>>
>>>во первых не жадничать с https точно работать не будет, другие порты
>>>тоже лучше не юзать, осбливо если сквид старый, tcpdump тоже не
>>>юзать, у сквида же есть логи, там видно будет заорачиваются или
>>>нет
>>
>>
>>положи сюда squid.conf
>
>--skip--
>acl all src 0.0.0.0/0.0.0.0
>acl manager proto cache_object
>acl localhost src 127.0.0.1/255.255.255.255
>acl to_localhost dst 127.0.0.0/8
>acl our_networks src 172.16.16.0/24 172.17.17.2/32 172.18.18.0/24 172.19.19.0/24
>http_access allow manager localhost
>http_access deny manager
>http_access deny to_localhost
>http_access allow our_networks
>http_access deny all
>http_reply_access allow our_networks
>http_reply_access deny all
>--skip--
>httpd_accel_host virtual
>httpd_accel_port 80
>httpd_accel_with_proxy on
>httpd_accel_uses_host_header on
>
>в логах сквида тоже нет запросов от от этого хоста :(
>squid/2.5.Stable 1
>а почему с hhtps работать не будет?
1) запусти squid -d 6 например, и коннекться, и смотри что пишет squid
2) squid должен быть собран с --with-netfilter (что-то типа этого)
3) в squid.conf :
http_port ip_address:3128 transparent

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

5. "transparent proxy"

Сообщение от Vaso Petrovich on 30-Янв-07, 07:32

>1) запусти squid -d 6 например, и коннекться, и смотри что пишет
>squid
>2) squid должен быть собран с --with-netfilter (что-то типа этого)
не надо учить странному, это надо для того чтобы ИП адресса менялись, а это в его версии нету, тем более что собирать из исходников глупо
>3) в squid.conf :
>http_port ip_address:3128 transparent
не будет так работать версия другая
PS: у вас наскроен прозрачный прокси только на 80 порт другие разворачивать не стоит, как я уже писал

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

6. "transparent proxy"

Сообщение от Кирилл (??) on 30-Янв-07, 09:14

>>1) запусти squid -d 6 например, и коннекться, и смотри что пишет
>>squid
>>2) squid должен быть собран с --with-netfilter (что-то типа этого)
>не надо учить странному, это надо для того чтобы ИП адресса менялись,
>а это в его версии нету, тем более что собирать из
>исходников глупо
>>3) в squid.conf :
>>http_port ip_address:3128 transparent
>не будет так работать версия другая
>
>PS: у вас наскроен прозрачный прокси только на 80 порт другие разворачивать
>не стоит, как я уже писал

прошу прощения - забыл посмотреть на версию.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

7. "transparent proxy"

Сообщение от avn (??) on 30-Янв-07, 12:37

>>1) запусти squid -d 6 например, и коннекться, и смотри что пишет
>>squid
>>2) squid должен быть собран с --with-netfilter (что-то типа этого)
>не надо учить странному, это надо для того чтобы ИП адресса менялись,
>а это в его версии нету, тем более что собирать из
>исходников глупо
>>3) в squid.conf :
>>http_port ip_address:3128 transparent
>не будет так работать версия другая
>
>PS: у вас наскроен прозрачный прокси только на 80 порт другие разворачивать
>не стоит, как я уже писал
Оставил в правилах iptables только 80 порт - ничего не изменилось :(( Также tcpdump не видит запросов от этого хоста на порту 3128 и сайты не открываются

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

8. "transparent proxy"

Сообщение от Vaso Petrovich on 30-Янв-07, 14:06

>>>1) запусти squid -d 6 например, и коннекться, и смотри что пишет
>>>squid
>>>2) squid должен быть собран с --with-netfilter (что-то типа этого)
>>не надо учить странному, это надо для того чтобы ИП адресса менялись,
>>а это в его версии нету, тем более что собирать из
>>исходников глупо
>>>3) в squid.conf :
>>>http_port ip_address:3128 transparent
>>не будет так работать версия другая
>>
>>PS: у вас наскроен прозрачный прокси только на 80 порт другие разворачивать
>>не стоит, как я уже писал
>Оставил в правилах iptables только 80 порт - ничего не изменилось :((
>Также tcpdump не видит запросов от этого хоста на порту 3128
>и сайты не открываются
позор на мою седую голову :-) не долгядел что у вас правило кривое :-)

iptables -t nat -A PREROUTING -s clientIP -p tcp -m tcp --dport 80 -j DNAT --to-destination proxIP:3128

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

9. "transparent proxy"

Сообщение от avn (??) on 30-Янв-07, 16:20

>>>>1) запусти squid -d 6 например, и коннекться, и смотри что пишет
>>>>squid
>>>>2) squid должен быть собран с --with-netfilter (что-то типа этого)
>>>не надо учить странному, это надо для того чтобы ИП адресса менялись,
>>>а это в его версии нету, тем более что собирать из
>>>исходников глупо
>>>>3) в squid.conf :
>>>>http_port ip_address:3128 transparent
>>>не будет так работать версия другая
>>>
>>>PS: у вас наскроен прозрачный прокси только на 80 порт другие разворачивать
>>>не стоит, как я уже писал
>>Оставил в правилах iptables только 80 порт - ничего не изменилось :((
>>Также tcpdump не видит запросов от этого хоста на порту 3128
>>и сайты не открываются
>
>позор на мою седую голову :-) не долгядел что у вас правило
>кривое :-)
>
>
>iptables -t nat -A PREROUTING -s clientIP -p tcp -m tcp --dport
>80 -j DNAT --to-destination proxIP:3128
Не, ничего не меняется :(( Так же нет ничего на порту 3128 :((

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

10. "transparent proxy"

Сообщение от Vaso Petrovich on 31-Янв-07, 07:25

>>
>>iptables -t nat -A PREROUTING -s clientIP -p tcp -m tcp --dport
>>80 -j DNAT --to-destination proxIP:3128
>Не, ничего не меняется :(( Так же нет ничего на порту 3128
>:((
iptables -L -v -n -t nat
что выдает?

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

12. "transparent proxy"

Сообщение от avn (??) on 31-Янв-07, 15:21

>>>
>>>iptables -t nat -A PREROUTING -s clientIP -p tcp -m tcp --dport
>>>80 -j DNAT --to-destination proxIP:3128
>>Не, ничего не меняется :(( Так же нет ничего на порту 3128
>>:((
>
>iptables -L -v -n -t nat
>что выдает?
[root@watcher root]# iptables -L -v -n -t nat
Chain PREROUTING (policy ACCEPT 9046K packets, 551M bytes)
pkts bytes target     prot opt in     out     source               destination
   19   912 DNAT       tcp  --  *      *       172.19.19.0/24       0.0.0.0/0          tcp dpt:80 to:172.16.16.253:3128
Chain POSTROUTING (policy ACCEPT 9918K packets, 596M bytes)
pkts bytes target     prot opt in     out     source               destination
  778 41205 SNAT       all  --  *      eth2    172.16.16.0/24       0.0.0.0/0          to:212.176.x.x
Chain OUTPUT (policy ACCEPT 2681K packets, 164M bytes)
pkts bytes target     prot opt in     out     source               destination

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

14. "transparent proxy"

Сообщение от Vaso Petrovich on 31-Янв-07, 15:42

>Chain PREROUTING (policy ACCEPT 9046K packets, 551M bytes)
> pkts bytes target     prot opt in
>   out     source
>
> destination
>   19   912 DNAT
>  tcp  --  *
> *       172.19.19.0/24
>    0.0.0.0/0
>   tcp dpt:80 to:172.16.16.253:3128
так работает же 19 редиректов было, в логах сквида смотрите, если 172.16.16.253 не на этом компе то 3128 вы увидете только на том интрфейсе за которым он живет не раньше

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

16. "transparent proxy"

Сообщение от avn (??) on 31-Янв-07, 16:41

>>Chain PREROUTING (policy ACCEPT 9046K packets, 551M bytes)
>> pkts bytes target     prot opt in
>>   out     source
>>
>> destination
>>   19   912 DNAT
>>  tcp  --  *
>> *       172.19.19.0/24
>>    0.0.0.0/0
>>   tcp dpt:80 to:172.16.16.253:3128
>
>так работает же 19 редиректов было, в логах сквида смотрите, если 172.16.16.253
>не на этом компе то 3128 вы увидете только на том
>интрфейсе за которым он живет не раньше
НЕТУ в логах сквида ничего от хоста 172.19.19.10 :((
172.16.16.253 это адрес прокси, на который циска заворачивает пакеты. И они туда попадают, судя по tcpdump, а вот на порт 3128 того же интерфейса уже нет.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

11. "transparent proxy"

Сообщение от gennady (??) on 31-Янв-07, 11:46

>tcpdump: listening on eth1
REDIRECT делается на 127.0.0.1, а Вы смотрите трафик на адресе из 172 сетки

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

13. "transparent proxy"

Сообщение от avn (??) on 31-Янв-07, 15:35

>>tcpdump: listening on eth1
>REDIRECT делается на 127.0.0.1, а Вы смотрите трафик на адресе из 172
>сетки
На 127.0.0.1 вообще нет никаких пакетов:
# tcpdump -i lo
tcpdump: listening on lo
0 packets received by filter
0 packets dropped by kernel

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

15. "transparent proxy"

Сообщение от Vaso Petrovich on 31-Янв-07, 15:43

>>>tcpdump: listening on eth1
>>REDIRECT делается на 127.0.0.1, а Вы смотрите трафик на адресе из 172
>>сетки
>На 127.0.0.1 вообще нет никаких пакетов:
># tcpdump -i lo
>tcpdump: listening on lo
>
>0 packets received by filter
>0 packets dropped by kernel
там имеелось ввиду что будет не DNAT а REDIRECT тогда на заглушке должно быть

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

17. "transparent proxy"

Сообщение от avn (??) on 31-Янв-07, 16:43

>>>>tcpdump: listening on eth1
>>>REDIRECT делается на 127.0.0.1, а Вы смотрите трафик на адресе из 172
>>>сетки
>>На 127.0.0.1 вообще нет никаких пакетов:
>># tcpdump -i lo
>>tcpdump: listening on lo
>>
>>0 packets received by filter
>>0 packets dropped by kernel
>там имеелось ввиду что будет не DNAT а REDIRECT тогда на заглушке
>должно быть
дык и проверял при REDIRECT. и при DNAT на всякий случай тоже :) результат одинаково отрицательный

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

18. "transparent proxy"

Сообщение от gennady (??) on 01-Фев-07, 09:20

>дык и проверял при REDIRECT. и при DNAT на всякий случай тоже
>:) результат одинаково отрицательный
А может в таблице фильтр запрещено прохождение пакетов?

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

19. "transparent proxy"

Сообщение от avn (??) on 01-Фев-07, 10:50

>>дык и проверял при REDIRECT. и при DNAT на всякий случай тоже
>>:) результат одинаково отрицательный
>А может в таблице фильтр запрещено прохождение пакетов?
Но ведь если явно задать прокси пакеты проходят.
# iptables -L -t filter
Chain INPUT (policy ACCEPT)
target     prot opt source               destination
ACCEPT     tcp  --  anywhere             anywhere           tcp dpt:11643
RH-Lokkit-0-50-INPUT  all  --  anywhere             anywhere
Chain FORWARD (policy ACCEPT)
target     prot opt source               destination
RH-Lokkit-0-50-INPUT  all  --  anywhere             anywhere
Chain OUTPUT (policy ACCEPT)
target     prot opt source               destination
Chain RH-Lokkit-0-50-INPUT (2 references)
target     prot opt source               destination
ACCEPT     udp  --  adsl-67-117-76-142.dsl.sntc01.pacbell.net  anywhere           udp spt:ntp dpt:ntp
ACCEPT     udp  --  mail.solarnet.ru     anywhere           udp spt:ntp dpt:ntp
ACCEPT     udp  --  alpha.prao.psn.ru    anywhere           udp spt:ntp dpt:ntp
ACCEPT     tcp  --  anywhere             anywhere           tcp dpt:smtp flags:SYN,RST,ACK/SYN
ACCEPT     tcp  --  anywhere             anywhere           tcp dpt:ssh flags:SYN,RST,ACK/SYN
REJECT     tcp  --  anywhere             anywhere           tcp dpts:0:1023 flags:SYN,RST,ACK/SYN reject-with icmp-port-unreachable
REJECT     tcp  --  anywhere             anywhere           tcp dpt:nfs flags:SYN,RST,ACK/SYN reject-with icmp-port-unreachable
REJECT     udp  --  anywhere             anywhere           udp dpts:0:1023 reject-with icmp-port-unreachable
REJECT     udp  --  anywhere             anywhere           udp dpt:nfs reject-with icmp-port-unreachable
REJECT     tcp  --  anywhere             anywhere           tcp dpts:x11:6009 flags:SYN,RST,ACK/SYN reject-with icmp-port-unreachable
REJECT     tcp  --  anywhere             anywhere           tcp dpt:xfs flags:SYN,RST,ACK/SYN reject-with icmp-port-unreachable

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить

Индекс форумов | Темы | Пред. тема | След. тема

Оцените тред (1=ужас, 5=супер)? [ 1 | 2 | 3 | 4 | 5 ] [Рекомендовать для помещения в FAQ]

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру

1. "transparent proxy"
Сообщение от Vaso Petrovich on 29-Янв-07, 14:22
> 74 3552 REDIRECT tcp -- работает же > any any 172.19.19.0/24 > !172.16.16.253 >multiport dports http,81,82,83,kerberos,8000,8001,8002,webcache,tproxy,https redir ports 3128 во первых не жадничать с https точно работать не будет, другие порты тоже лучше не юзать, осбливо если сквид старый, tcpdump тоже не юзать, у сквида же есть логи, там видно будет заорачиваются или нет
Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	2. "transparent proxy"
	Сообщение от Кирилл (??) on 29-Янв-07, 14:37
	>> 74 3552 REDIRECT tcp -- > >работает же > >> any any 172.19.19.0/24 >> !172.16.16.253 >>multiport dports http,81,82,83,kerberos,8000,8001,8002,webcache,tproxy,https redir ports 3128 > >во первых не жадничать с https точно работать не будет, другие порты >тоже лучше не юзать, осбливо если сквид старый, tcpdump тоже не >юзать, у сквида же есть логи, там видно будет заорачиваются или >нет положи сюда squid.conf
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	3. "transparent proxy"
	Сообщение от avn (??) on 29-Янв-07, 17:18
	>>> 74 3552 REDIRECT tcp -- >> >>работает же >> >>> any any 172.19.19.0/24 >>> !172.16.16.253 >>>multiport dports http,81,82,83,kerberos,8000,8001,8002,webcache,tproxy,https redir ports 3128 >> >>во первых не жадничать с https точно работать не будет, другие порты >>тоже лучше не юзать, осбливо если сквид старый, tcpdump тоже не >>юзать, у сквида же есть логи, там видно будет заорачиваются или >>нет > > >положи сюда squid.conf --skip-- acl all src 0.0.0.0/0.0.0.0 acl manager proto cache_object acl localhost src 127.0.0.1/255.255.255.255 acl to_localhost dst 127.0.0.0/8 acl our_networks src 172.16.16.0/24 172.17.17.2/32 172.18.18.0/24 172.19.19.0/24 http_access allow manager localhost http_access deny manager http_access deny to_localhost http_access allow our_networks http_access deny all http_reply_access allow our_networks http_reply_access deny all --skip-- httpd_accel_host virtual httpd_accel_port 80 httpd_accel_with_proxy on httpd_accel_uses_host_header on в логах сквида тоже нет запросов от от этого хоста :( squid/2.5.Stable 1 а почему с hhtps работать не будет?
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	4. "transparent proxy"
	Сообщение от Кирилл (??) on 29-Янв-07, 19:21
	>>>> 74 3552 REDIRECT tcp -- >>> >>>работает же >>> >>>> any any 172.19.19.0/24 >>>> !172.16.16.253 >>>>multiport dports http,81,82,83,kerberos,8000,8001,8002,webcache,tproxy,https redir ports 3128 >>> >>>во первых не жадничать с https точно работать не будет, другие порты >>>тоже лучше не юзать, осбливо если сквид старый, tcpdump тоже не >>>юзать, у сквида же есть логи, там видно будет заорачиваются или >>>нет >> >> >>положи сюда squid.conf > >--skip-- >acl all src 0.0.0.0/0.0.0.0 >acl manager proto cache_object >acl localhost src 127.0.0.1/255.255.255.255 >acl to_localhost dst 127.0.0.0/8 >acl our_networks src 172.16.16.0/24 172.17.17.2/32 172.18.18.0/24 172.19.19.0/24 >http_access allow manager localhost >http_access deny manager >http_access deny to_localhost >http_access allow our_networks >http_access deny all >http_reply_access allow our_networks >http_reply_access deny all >--skip-- >httpd_accel_host virtual >httpd_accel_port 80 >httpd_accel_with_proxy on >httpd_accel_uses_host_header on > >в логах сквида тоже нет запросов от от этого хоста :( >squid/2.5.Stable 1 >а почему с hhtps работать не будет? 1) запусти squid -d 6 например, и коннекться, и смотри что пишет squid 2) squid должен быть собран с --with-netfilter (что-то типа этого) 3) в squid.conf : http_port ip_address:3128 transparent
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	5. "transparent proxy"
	Сообщение от Vaso Petrovich on 30-Янв-07, 07:32
	>1) запусти squid -d 6 например, и коннекться, и смотри что пишет >squid >2) squid должен быть собран с --with-netfilter (что-то типа этого) не надо учить странному, это надо для того чтобы ИП адресса менялись, а это в его версии нету, тем более что собирать из исходников глупо >3) в squid.conf : >http_port ip_address:3128 transparent не будет так работать версия другая PS: у вас наскроен прозрачный прокси только на 80 порт другие разворачивать не стоит, как я уже писал
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	6. "transparent proxy"
	Сообщение от Кирилл (??) on 30-Янв-07, 09:14
	>>1) запусти squid -d 6 например, и коннекться, и смотри что пишет >>squid >>2) squid должен быть собран с --with-netfilter (что-то типа этого) >не надо учить странному, это надо для того чтобы ИП адресса менялись, >а это в его версии нету, тем более что собирать из >исходников глупо >>3) в squid.conf : >>http_port ip_address:3128 transparent >не будет так работать версия другая > >PS: у вас наскроен прозрачный прокси только на 80 порт другие разворачивать >не стоит, как я уже писал прошу прощения - забыл посмотреть на версию.
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	7. "transparent proxy"
	Сообщение от avn (??) on 30-Янв-07, 12:37
	>>1) запусти squid -d 6 например, и коннекться, и смотри что пишет >>squid >>2) squid должен быть собран с --with-netfilter (что-то типа этого) >не надо учить странному, это надо для того чтобы ИП адресса менялись, >а это в его версии нету, тем более что собирать из >исходников глупо >>3) в squid.conf : >>http_port ip_address:3128 transparent >не будет так работать версия другая > >PS: у вас наскроен прозрачный прокси только на 80 порт другие разворачивать >не стоит, как я уже писал Оставил в правилах iptables только 80 порт - ничего не изменилось :(( Также tcpdump не видит запросов от этого хоста на порту 3128 и сайты не открываются
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	8. "transparent proxy"
	Сообщение от Vaso Petrovich on 30-Янв-07, 14:06
	>>>1) запусти squid -d 6 например, и коннекться, и смотри что пишет >>>squid >>>2) squid должен быть собран с --with-netfilter (что-то типа этого) >>не надо учить странному, это надо для того чтобы ИП адресса менялись, >>а это в его версии нету, тем более что собирать из >>исходников глупо >>>3) в squid.conf : >>>http_port ip_address:3128 transparent >>не будет так работать версия другая >> >>PS: у вас наскроен прозрачный прокси только на 80 порт другие разворачивать >>не стоит, как я уже писал >Оставил в правилах iptables только 80 порт - ничего не изменилось :(( >Также tcpdump не видит запросов от этого хоста на порту 3128 >и сайты не открываются позор на мою седую голову :-) не долгядел что у вас правило кривое :-) iptables -t nat -A PREROUTING -s clientIP -p tcp -m tcp --dport 80 -j DNAT --to-destination proxIP:3128
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	9. "transparent proxy"
	Сообщение от avn (??) on 30-Янв-07, 16:20
	>>>>1) запусти squid -d 6 например, и коннекться, и смотри что пишет >>>>squid >>>>2) squid должен быть собран с --with-netfilter (что-то типа этого) >>>не надо учить странному, это надо для того чтобы ИП адресса менялись, >>>а это в его версии нету, тем более что собирать из >>>исходников глупо >>>>3) в squid.conf : >>>>http_port ip_address:3128 transparent >>>не будет так работать версия другая >>> >>>PS: у вас наскроен прозрачный прокси только на 80 порт другие разворачивать >>>не стоит, как я уже писал >>Оставил в правилах iptables только 80 порт - ничего не изменилось :(( >>Также tcpdump не видит запросов от этого хоста на порту 3128 >>и сайты не открываются > >позор на мою седую голову :-) не долгядел что у вас правило >кривое :-) > > >iptables -t nat -A PREROUTING -s clientIP -p tcp -m tcp --dport >80 -j DNAT --to-destination proxIP:3128 Не, ничего не меняется :(( Так же нет ничего на порту 3128 :((
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	10. "transparent proxy"
	Сообщение от Vaso Petrovich on 31-Янв-07, 07:25
	>> >>iptables -t nat -A PREROUTING -s clientIP -p tcp -m tcp --dport >>80 -j DNAT --to-destination proxIP:3128 >Не, ничего не меняется :(( Так же нет ничего на порту 3128 >:(( iptables -L -v -n -t nat что выдает?
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	12. "transparent proxy"
	Сообщение от avn (??) on 31-Янв-07, 15:21
	>>> >>>iptables -t nat -A PREROUTING -s clientIP -p tcp -m tcp --dport >>>80 -j DNAT --to-destination proxIP:3128 >>Не, ничего не меняется :(( Так же нет ничего на порту 3128 >>:(( > >iptables -L -v -n -t nat >что выдает? [root@watcher root]# iptables -L -v -n -t nat Chain PREROUTING (policy ACCEPT 9046K packets, 551M bytes) pkts bytes target prot opt in out source destination 19 912 DNAT tcp -- * * 172.19.19.0/24 0.0.0.0/0 tcp dpt:80 to:172.16.16.253:3128 Chain POSTROUTING (policy ACCEPT 9918K packets, 596M bytes) pkts bytes target prot opt in out source destination 778 41205 SNAT all -- * eth2 172.16.16.0/24 0.0.0.0/0 to:212.176.x.x Chain OUTPUT (policy ACCEPT 2681K packets, 164M bytes) pkts bytes target prot opt in out source destination
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	14. "transparent proxy"
	Сообщение от Vaso Petrovich on 31-Янв-07, 15:42
	>Chain PREROUTING (policy ACCEPT 9046K packets, 551M bytes) > pkts bytes target prot opt in > out source > > destination > 19 912 DNAT > tcp -- * > * 172.19.19.0/24 > 0.0.0.0/0 > tcp dpt:80 to:172.16.16.253:3128 так работает же 19 редиректов было, в логах сквида смотрите, если 172.16.16.253 не на этом компе то 3128 вы увидете только на том интрфейсе за которым он живет не раньше
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	16. "transparent proxy"
	Сообщение от avn (??) on 31-Янв-07, 16:41
	>>Chain PREROUTING (policy ACCEPT 9046K packets, 551M bytes) >> pkts bytes target prot opt in >> out source >> >> destination >> 19 912 DNAT >> tcp -- * >> * 172.19.19.0/24 >> 0.0.0.0/0 >> tcp dpt:80 to:172.16.16.253:3128 > >так работает же 19 редиректов было, в логах сквида смотрите, если 172.16.16.253 >не на этом компе то 3128 вы увидете только на том >интрфейсе за которым он живет не раньше НЕТУ в логах сквида ничего от хоста 172.19.19.10 :(( 172.16.16.253 это адрес прокси, на который циска заворачивает пакеты. И они туда попадают, судя по tcpdump, а вот на порт 3128 того же интерфейса уже нет.
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору

11. "transparent proxy"
Сообщение от gennady (??) on 31-Янв-07, 11:46
>tcpdump: listening on eth1 REDIRECT делается на 127.0.0.1, а Вы смотрите трафик на адресе из 172 сетки
Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	13. "transparent proxy"
	Сообщение от avn (??) on 31-Янв-07, 15:35
	>>tcpdump: listening on eth1 >REDIRECT делается на 127.0.0.1, а Вы смотрите трафик на адресе из 172 >сетки На 127.0.0.1 вообще нет никаких пакетов: # tcpdump -i lo tcpdump: listening on lo 0 packets received by filter 0 packets dropped by kernel
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	15. "transparent proxy"
	Сообщение от Vaso Petrovich on 31-Янв-07, 15:43
	>>>tcpdump: listening on eth1 >>REDIRECT делается на 127.0.0.1, а Вы смотрите трафик на адресе из 172 >>сетки >На 127.0.0.1 вообще нет никаких пакетов: ># tcpdump -i lo >tcpdump: listening on lo > >0 packets received by filter >0 packets dropped by kernel там имеелось ввиду что будет не DNAT а REDIRECT тогда на заглушке должно быть
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	17. "transparent proxy"
	Сообщение от avn (??) on 31-Янв-07, 16:43
	>>>>tcpdump: listening on eth1 >>>REDIRECT делается на 127.0.0.1, а Вы смотрите трафик на адресе из 172 >>>сетки >>На 127.0.0.1 вообще нет никаких пакетов: >># tcpdump -i lo >>tcpdump: listening on lo >> >>0 packets received by filter >>0 packets dropped by kernel >там имеелось ввиду что будет не DNAT а REDIRECT тогда на заглушке >должно быть дык и проверял при REDIRECT. и при DNAT на всякий случай тоже :) результат одинаково отрицательный
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	18. "transparent proxy"
	Сообщение от gennady (??) on 01-Фев-07, 09:20
	>дык и проверял при REDIRECT. и при DNAT на всякий случай тоже >:) результат одинаково отрицательный А может в таблице фильтр запрещено прохождение пакетов?
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	19. "transparent proxy"
	Сообщение от avn (??) on 01-Фев-07, 10:50
	>>дык и проверял при REDIRECT. и при DNAT на всякий случай тоже >>:) результат одинаково отрицательный >А может в таблице фильтр запрещено прохождение пакетов? Но ведь если явно задать прокси пакеты проходят. # iptables -L -t filter Chain INPUT (policy ACCEPT) target prot opt source destination ACCEPT tcp -- anywhere anywhere tcp dpt:11643 RH-Lokkit-0-50-INPUT all -- anywhere anywhere Chain FORWARD (policy ACCEPT) target prot opt source destination RH-Lokkit-0-50-INPUT all -- anywhere anywhere Chain OUTPUT (policy ACCEPT) target prot opt source destination Chain RH-Lokkit-0-50-INPUT (2 references) target prot opt source destination ACCEPT udp -- adsl-67-117-76-142.dsl.sntc01.pacbell.net anywhere udp spt:ntp dpt:ntp ACCEPT udp -- mail.solarnet.ru anywhere udp spt:ntp dpt:ntp ACCEPT udp -- alpha.prao.psn.ru anywhere udp spt:ntp dpt:ntp ACCEPT tcp -- anywhere anywhere tcp dpt:smtp flags:SYN,RST,ACK/SYN ACCEPT tcp -- anywhere anywhere tcp dpt:ssh flags:SYN,RST,ACK/SYN REJECT tcp -- anywhere anywhere tcp dpts:0:1023 flags:SYN,RST,ACK/SYN reject-with icmp-port-unreachable REJECT tcp -- anywhere anywhere tcp dpt:nfs flags:SYN,RST,ACK/SYN reject-with icmp-port-unreachable REJECT udp -- anywhere anywhere udp dpts:0:1023 reject-with icmp-port-unreachable REJECT udp -- anywhere anywhere udp dpt:nfs reject-with icmp-port-unreachable REJECT tcp -- anywhere anywhere tcp dpts:x11:6009 flags:SYN,RST,ACK/SYN reject-with icmp-port-unreachable REJECT tcp -- anywhere anywhere tcp dpt:xfs flags:SYN,RST,ACK/SYN reject-with icmp-port-unreachable
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору

Архив \| Удалить	Индекс форумов \| Темы \| Пред. тема \| След. тема
Оцените тред (1=ужас, 5=супер)? [ 1 \| 2 \| 3 \| 4 \| 5 ] [Рекомендовать для помещения в FAQ]