форумы  помощь  поиск  регистрация  майллист  вход/выход  слежка

Вариант для распечатки		Пред. тема | След. тема
Форумы Открытые системы на сервере (Firewall, Фильтрация пакетов / Linux)
Изначальное сообщение		[ Отслеживать ]

"Squid не работает"		+/–
Сообщение от kozyr76 on 29-Мрт-10, 12:47
Здравствуйте! На серваке стоит Fedora 10. Всегда работал NAT, поставил и настроил squid 3.0 Stable 2.0, запустил, но почему-то все-равно все станции работают через NAT (пробывал в броузерах ставить 3128, так ничего не работает с такой конфигурацией. Мои конфиги: (Что здесь неправильно, прошу помочь) squid.conf: acl manager proto cache_object acl localhost src 127.0.0.1/32 acl to_localhost dst 127.0.0.0/8 0.0.0.0/32 acl company 1 1 src 10.17.13.98 10.17.13.3 10.17.13.251 acl company 2 src 10.17.13.35 10.17.13.43 10.17.13.5 10.17.13.6 10.17.13.12 10.17.13.15 10.17.13.22 10.17.13.16 acl company 3 src 10.17.13.11 10.17.13.8 acl company 4 src 10.17.13.32 10.17.13.28 10.17.13.99 10.17.13.26 10.17.13.44 10.17.13.54 10.17.13.45 acl company 5 src 10.17.13.40 10.17.13.58 10.17.13.59 10.17.13.60 10.17.13.61 10.17.13.62 # acl SSL_ports port 443 563 8443 9091 acl Safe_ports port 80 # http acl Safe_ports port 21 # ftp acl Safe_ports port 443 563 8443 9091 # https acl Safe_ports port 70 # gopher acl Safe_ports port 210 # wais acl Safe_ports port 1025-65535 # unregistered ports acl Safe_ports port 280 # http-mgmt acl Safe_ports port 488 # gss-http acl Safe_ports port 591 # filemaker acl Safe_ports port 777 # multiling http acl Safe_ports port 5190 #icq acl CONNECT method CONNECT acl sitesregex dstdom_regex sex porno teen girl acl blockurl url_regex -i "/etc/squid/block/badurl.txt" http_access deny sitesregex all http_access deny blockurl all http_access allow manager localhost http_access deny manager http_access deny !Safe_ports http_access deny CONNECT !SSL_ports http_access allow localhost http_access allow procontact http_access allow kanat http_access allow abrisola http_access allow uvicon http_access allow elbrustrans http_access deny all http_port 3128 hierarchy_stoplist cgi-bin ? coredump_dir /var/spool/squid cache_dir ufs /var/spool/squid 1000 16 256 refresh_pattern ^ftp: 1440 20% 10080 refresh_pattern ^gopher: 1440 0% 1440 refresh_pattern -i (/cgi-bin/|\?) 0 0% 0 refresh_pattern . 0 20% 4320 iptables: *nat :PREROUTING ACCEPT [0:0] :OUTPUT ACCEPT [0:0] :POSTROUTING ACCEPT [0:0] -A POSTROUTING -o eth0 -j SNAT --to-source yyy.yyy.yyy.yyy COMMIT *filter :INPUT ACCEPT [0:0] :FORWARD ACCEPT [0:0] :OUTPUT ACCEPT [0:0] -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT -A INPUT -p icmp -m icmp --icmp-type destination-unreachable -j REJECT --reject-with icmp-host-prohibited -A INPUT -p icmp -m icmp --icmp-type parameter-problem -j REJECT --reject-with icmp-host-prohibited -A INPUT -p icmp -m icmp --icmp-type source-quench -j REJECT --reject-with icmp-host-prohibited -A INPUT -p icmp -j ACCEPT -A INPUT -i lo -j ACCEPT -A INPUT -m state --state NEW -m tcp -p tcp --dport 22 -j ACCEPT -A INPUT -m state --state NEW -m tcp -p tcp --dport 53 -j ACCEPT -A INPUT -m state --state NEW -m udp -p udp --dport 53 -j ACCEPT -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT -A FORWARD -p icmp -m icmp --icmp-type destination-unreachable -j REJECT --reject-with icmp-host-prohibited -A FORWARD -p icmp -m icmp --icmp-type parameter-problem -j REJECT --reject-with icmp-host-prohibited -A FORWARD -p icmp -m icmp --icmp-type source-quench -j REJECT --reject-with icmp-host-prohibited -A FORWARD -p icmp -j ACCEPT -A FORWARD -i lo -j ACCEPT -A FORWARD -i eth0 -j ACCEPT -A FORWARD -i eth1 -j ACCEPT -A FORWARD -o eth0 -j ACCEPT -A INPUT -j REJECT --reject-with icmp-host-prohibited -A FORWARD -j REJECT --reject-with icmp-host-prohibited COMMIT eth0 - внешний интерфейс, смотрящий в мир # ps aux | grep squid root      2104  0.0  0.1  54956  2796 ?        Ss   11:16   0:00 squid -D -f /et                        c/squid/squid.conf squid     2107  0.1  0.5  59280 10452 ?        S    11:16   0:01 (squid) -D -f /                        etc/squid/squid.conf squid     2108  0.0  0.0  22240  1156 ?        S    11:16   0:00 (unlinkd)
Высказать мнение | Ответить | Правка | Cообщить модератору

Сообщения по теме

[Сортировка по времени | RSS]

1. "Squid не работает"		+/–
Сообщение от tux2002 (ok) on 29-Мрт-10, 12:56
>acl company 1 1 src 10.17.13.98 10.17.13.3 10.17.13.251 >acl company 2 src 10.17.13.35 10.17.13.43 10.17.13.5 10.17.13.6 10.17.13.12 10.17.13.15 10.17.13.22 10.17.13.16 > >acl company 3 src 10.17.13.11 10.17.13.8 >acl company 4 src 10.17.13.32 10.17.13.28 10.17.13.99 10.17.13.26 10.17.13.44 10.17.13.54 10.17.13.45 >acl company 5 src 10.17.13.40 10.17.13.58 10.17.13.59 10.17.13.60 10.17.13.61 10.17.13.62 ># ACL Вы выставляете company >http_access allow localhost >http_access allow procontact >http_access allow kanat >http_access allow abrisola >http_access allow uvicon >http_access allow elbrustrans А в инет выпускаете непонятно кого PS в iptables я бы так не делал.
Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

	4. "Squid не работает"		+/–
	Сообщение от kozyr76 on 29-Мрт-10, 13:05
	sorry исправил acl kanat 1 src 10.17.13.98 10.17.13.3 10.17.13.251 acl abrisola  src 10.17.13.35 10.17.13.43 10.17.13.5 10.17.13.6 10.17.13.12 10.17.13.15 10.17.13.22 10.17.13.16 acl uvicon 3 src 10.17.13.11 10.17.13.8 acl elbrustrans src 10.17.13.32 10.17.13.28 10.17.13.99 10.17.13.26 10.17.13.44 10.17.13.54 10.17.13.45 acl procontact src 10.17.13.40 10.17.13.58 10.17.13.59 10.17.13.60 10.17.13.61 10.17.13.62
	Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

	5. "Squid не работает"		+/–
	Сообщение от kozyr76 on 29-Мрт-10, 13:07
	Это была опечатка лишь здесь. В squid все правильно. Так почему-же все-таки не работает
	Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

	8. "Squid не работает"		+/–
	Сообщение от kozyr76 on 29-Мрт-10, 13:14
	>[оверквотинг удален] >>http_access allow localhost >>http_access allow procontact >>http_access allow kanat >>http_access allow abrisola >>http_access allow uvicon >>http_access allow elbrustrans > >А в инет выпускаете непонятно кого > >PS в iptables я бы так не делал. А как надо исправит в iptables
	Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

2. "Squid не работает"		+/–
Сообщение от rontex (ok) on 29-Мрт-10, 12:59
a squid -z делали?
Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

	6. "Squid не работает"		+/–
	Сообщение от kozyr76 on 29-Мрт-10, 13:11
	да, делал, но не помогло
	Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

3. "Squid не работает"		+/–
Сообщение от qwertykma on 29-Мрт-10, 12:59
> >acl company 1 1 src 10.17.13.98 10.17.13.3 10.17.13.251 >acl company 2 src 10.17.13.35 10.17.13.43 10.17.13.5 10.17.13.6 10.17.13.12 10.17.13.15 10.17.13.22 10.17.13.16 > >acl company 3 src 10.17.13.11 10.17.13.8 >acl company 4 src 10.17.13.32 10.17.13.28 10.17.13.99 10.17.13.26 10.17.13.44 10.17.13.54 10.17.13.45 >acl company 5 src 10.17.13.40 10.17.13.58 10.17.13.59 10.17.13.60 10.17.13.61 10.17.13.62 ># И где вы что то разрешаете этим ай-пи адресам? и зачем такой изврат? нельза прописать подсети? >http_access deny all запрет всего
Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

	7. "Squid не работает"		+/–
	Сообщение от kozyr76 on 29-Мрт-10, 13:12
	убрал, но ничего не работает, все ходят через Nat....бред получается
	Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

	9. "Squid не работает"		+/–
	Сообщение от qwertykma on 29-Мрт-10, 14:30
	>убрал, но ничего не работает, все ходят через Nat....бред получается А что говорит netstat, squid вообще работает?
	Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

	10. "Squid не работает"		+/–
	Сообщение от kozyr76 on 29-Мрт-10, 15:53
	да, работает
	Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

	11. "Squid не работает"		+/–
	Сообщение от rontex (ok) on 29-Мрт-10, 16:02
	>убрал, но ничего не работает, все ходят через Nat....бред получается Если включен Nat через него и будут все ходить, пока в каждом браузере клиента не пропишите порт 3128, а в конфиг не добавите http_port 192.168.0.100:3128, где 192.168.0.100 - IP сетевухо смотрящей в локалку! Для того что бы этого не делать, создают прозрачный прокси, для этого в конфиге squid пишут http_port 127.0.0.1:3128 transparent, конечно предварительно собрав сквид с опцией кеширующего сервера. А затем натом форвардят 80 порт на localhost:3128.
	Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

	12. "Squid не работает"		+/–
	Сообщение от kozyr76 on 29-Мрт-10, 17:05
	Нужен обычный непрозрачный прокси, я это все сделал, конфиг указан мною, похоже надо открыть порт в iptables, открыл....но ничего не работает через него iptables: *nat :PREROUTING ACCEPT [0:0] :OUTPUT ACCEPT [0:0] :POSTROUTING ACCEPT [0:0] -A POSTROUTING -o eth0 -j SNAT --to-source yyy.yyy.yyy.yyy COMMIT *filter :INPUT ACCEPT [0:0] :FORWARD ACCEPT [0:0] :OUTPUT ACCEPT [0:0] -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT -A INPUT -p icmp -m icmp --icmp-type destination-unreachable -j REJECT --reject-with icmp-host-prohibited -A INPUT -p icmp -m icmp --icmp-type parameter-problem -j REJECT --reject-with icmp-host-prohibited -A INPUT -p icmp -m icmp --icmp-type source-quench -j REJECT --reject-with icmp-host-prohibited -A INPUT -p icmp -j ACCEPT -A INPUT -i lo -j ACCEPT -A INPUT -m state --state NEW -m tcp -p tcp --dport 22 -j ACCEPT -A INPUT -m state --state NEW -m tcp -p tcp --dport 53 -j ACCEPT -A INPUT -m state --state NEW -m udp -p udp --dport 53 -j ACCEPT -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT -A FORWARD -p icmp -m icmp --icmp-type destination-unreachable -j REJECT --reject-with icmp-host-prohibited -A FORWARD -p icmp -m icmp --icmp-type parameter-problem -j REJECT --reject-with icmp-host-prohibited -A FORWARD -p icmp -m icmp --icmp-type source-quench -j REJECT --reject-with icmp-host-prohibited -A FORWARD -p icmp -j ACCEPT -A FORWARD -i lo -j ACCEPT -A FORWARD -i eth0 -j ACCEPT -A FORWARD -i eth1 -j ACCEPT -A FORWARD -o eth0 -j ACCEPT -A INPUT -j REJECT --reject-with icmp-host-prohibited -A FORWARD -j REJECT --reject-with icmp-host-prohibited COMMIT eth0 - внешний интерфейс, смотрящий в мир
	Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

	13. "Squid не работает"		+/–
	Сообщение от kozyr76 on 29-Мрт-10, 17:22
	-A INPUT -p tcp -m state --state NEW -m tcp --dport 3128 -j ACCEPT Не помогло
	Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

	14. "Squid не работает"		+/–
	Сообщение от PavelR (??) on 29-Мрт-10, 17:23
	>-A INPUT -p tcp -m state --state NEW -m tcp --dport 3128 >-j ACCEPT >Не помогло А что, должно было помочь? ---- Правила по отдельности ничего не значат. Порядок следования правил - важен. Вкуривайте.
	Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

	15. "Squid не работает"		+/–
	Сообщение от aaa (??) on 29-Мрт-10, 20:40
	>-A INPUT -p tcp -m state --state NEW -m tcp --dport 3128 >-j ACCEPT >Не помогло в консоле пишем iptables -I INPUT -i eth1 -p tcp --dport 3128 -j ACCEPT если не поможет, то пробуем с локалхоста выйти через сквид
	Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

	16. "Squid не работает"		+/–
	Сообщение от PavelR (??) on 29-Мрт-10, 20:56
	>>-A INPUT -p tcp -m state --state NEW -m tcp --dport 3128 >>-j ACCEPT >>Не помогло > >в консоле пишем >iptables -I INPUT -i eth1 -p tcp --dport 3128 -j ACCEPT >если не поможет, то пробуем с локалхоста выйти через сквид я думаю человеку стоит попробовать команду telnet для проведения различного рода диагностик...
	Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема