forum.opennet.ru - "squid+iptables" (33)

форумы

помощь

поиск

регистрация

майллист

вход/выход

слежка

"squid+iptables"

Форум Открытые системы на сервере (Firewall, Фильтрация пакетов / Linux)
Вариант для распечатки		Пред. тема \| След. тема
Изначальное сообщение		[ Отслеживать ]

"squid+iptables"	+/–
Сообщение от fate29 (ok) on 02-Июл-10, 13:21
сейчас есть сервак на котором работает iptables, с него провод идет в комп с керио а уже керио раздает инет всем пользователям и мониторит. Сделано так из-за удобства мониторинга трафика на керио. Вопрос такой если я на машину с iptables поставлю squid (потому что керио меня "задрал" уже со своими глюками) как они будут существовать друг с другом? И насколько удобно можно мониторить трафик в squid (посещаемые web узлы, по объему трафика и т.д.) Спасибо.
Высказать мнение \| Ответить \| Правка \| Cообщить модератору

Оглавление

squid+iptables, reader, 14:20 , 02-Июл-10, (1)
squid+iptables, ipmanyak, 14:21 , 02-Июл-10, (2)

squid+iptables, fate29, 14:39 , 02-Июл-10, (3)

squid+iptables, reader, 14:50 , 02-Июл-10, (4)

squid+iptables, ALex_hha, 15:18 , 02-Июл-10, (5)

squid+iptables, fate29, 15:24 , 02-Июл-10, (6)
squid+iptables, fate29, 20:30 , 06-Июл-10, (7)

squid+iptables, ALex_hha, 23:48 , 06-Июл-10, (8)

squid+iptables, dicty, 00:48 , 07-Июл-10, (9)

squid+iptables, fate29, 08:56 , 07-Июл-10, (10)
squid+iptables, fate29, 08:59 , 07-Июл-10, (11)

squid+iptables, reader, 10:02 , 07-Июл-10, (12)

squid+iptables, fate29, 10:48 , 07-Июл-10, (13)

squid+iptables, reader, 11:09 , 07-Июл-10, (14)

squid+iptables, fate29, 11:38 , 07-Июл-10, (15)

squid+iptables, reader, 11:58 , 07-Июл-10, (16)

squid+iptables, fate29, 12:08 , 07-Июл-10, (17)

squid+iptables, reader, 12:17 , 07-Июл-10, (20)

squid+iptables, fate29, 12:10 , 07-Июл-10, (18)
squid+iptables, fate29, 12:11 , 07-Июл-10, (19)

squid+iptables, reader, 12:19 , 07-Июл-10, (21)
squid+iptables, ALex_hha, 12:21 , 07-Июл-10, (22)
squid+iptables, fate29, 12:28 , 07-Июл-10, (23)
squid+iptables, reader, 12:35 , 07-Июл-10, (24)
squid+iptables, fate29, 12:41 , 07-Июл-10, (25)
squid+iptables, reader, 12:44 , 07-Июл-10, (26)
squid+iptables, fate29, 12:53 , 07-Июл-10, (27)
squid+iptables, reader, 13:19 , 07-Июл-10, (28)
squid+iptables, fate29, 13:41 , 07-Июл-10, (29)
squid+iptables, reader, 13:46 , 07-Июл-10, (30)
squid+iptables, ALex_hha, 13:47 , 07-Июл-10, (31)
squid+iptables, fate29, 14:06 , 07-Июл-10, (32)
squid+iptables, ALex_hha, 16:24 , 07-Июл-10, (33)

Сообщения по теме [Сортировка по времени | RSS]

1. "squid+iptables" +/–

Сообщение от reader (ok) on 02-Июл-10, 14:20

>сейчас есть сервак на котором работает iptables, с него провод идет в
>комп с керио а уже керио раздает  инет всем пользователям
>и мониторит. Сделано так из-за удобства мониторинга трафика на керио. Вопрос
>такой если я на машину с iptables поставлю squid (потому что
>керио меня "задрал" уже со своими глюками) как они будут существовать
прекрасно при условии что все правильно сконфигурировано
>друг с другом? И насколько удобно можно мониторить трафик в squid
>(посещаемые web узлы, по объему трафика и т.д.)
есть несколько считалок по логам squid - sarg, LighSquid, ....

>Спасибо.

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

2. "squid+iptables" +/–

Сообщение от ipmanyak (ok) on 02-Июл-10, 14:21

>сейчас есть сервак на котором работает iptables, с него провод идет в
>комп с керио а уже керио раздает  инет всем пользователям
>и мониторит. Сделано так из-за удобства мониторинга трафика на керио. Вопрос
>такой если я на машину с iptables поставлю squid (потому что
>керио меня "задрал" уже со своими глюками) как они будут существовать
>друг с другом? И насколько удобно можно мониторить трафик в squid
>(посещаемые web узлы, по объему трафика и т.д.)
>Спасибо.
iptables отношения к сквиду не имеет, ставь смело, более того именно айпитаблесом будешь заворачивать трафик на сквид, если надумаешь делать прозрачный прокси-сквид.
лог сквида обрабатывай прогами Sarg или LightSquid

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

3. "squid+iptables" +/–

Сообщение от fate29 (ok) on 02-Июл-10, 14:39

>iptables отношения к сквиду не имеет, ставь смело, более того именно айпитаблесом
>будешь заворачивать трафик на сквид, если надумаешь делать прозрачный прокси-сквид.
>лог сквида обрабатывай прогами Sarg или LightSquid
например внутренний интерфейс у iptables 192.168.1.1
мне нужно будет создать правило в iptables что бы он приходящие пакеты из lan перенаправлялись на 192.168.1.1 только другой порт?

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

4. "squid+iptables" +/–

Сообщение от reader (ok) on 02-Июл-10, 14:50

>
>>iptables отношения к сквиду не имеет, ставь смело, более того именно айпитаблесом
>>будешь заворачивать трафик на сквид, если надумаешь делать прозрачный прокси-сквид.
>>лог сквида обрабатывай прогами Sarg или LightSquid
>
>например внутренний интерфейс у iptables 192.168.1.1
>мне нужно будет создать правило в iptables что бы он приходящие пакеты
>из lan перенаправлялись на 192.168.1.1 только другой порт?
да

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

5. "squid+iptables" +/–

Сообщение от ALex_hha (ok) on 02-Июл-10, 15:18

# iptables -t nat -I PREROUTING -s 192.168.1.0/24 -i eth1 -p tcp --dport 80 -j REDIRECT --to-ports 3128
примерно так. Можно и через DNAT

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

6. "squid+iptables" +/–

Сообщение от fate29 (ok) on 02-Июл-10, 15:24

># iptables -t nat -I PREROUTING -s 192.168.1.0/24 -i eth1 -p tcp
>--dport 80 -j REDIRECT --to-ports 3128
>
>примерно так. Можно и через DNAT
ок спасибо, в понедельник попробую

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

7. "squid+iptables" +/–

Сообщение от fate29 (ok) on 06-Июл-10, 20:30

># iptables -t nat -I PREROUTING -s 192.168.1.0/24 -i eth1 -p tcp
>--dport 80 -j REDIRECT --to-ports 3128
>
>примерно так. Можно и через DNAT
не выходит так, если в браузере указать прокси то работает, а по твоему примеру нет (

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

8. "squid+iptables" +/–

Сообщение от ALex_hha (??) on 06-Июл-10, 23:48

>не выходит так, если в браузере указать прокси то работает, а по
>твоему примеру нет (
значит не правильно настроен сквид.

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

9. "squid+iptables" +/–

Сообщение от dicty (ok) on 07-Июл-10, 00:48

>значит не правильно настроен сквид.
Значит неправильно настроен iptables.
Автор, ты хочешь сделать
ШЛЮЗ(iptables)--КЕРИО--ЛАН, как написал в первом посте или
ШЛЮЗ(iptables)--
                                 \-----ЛАН,
КЕРИО-------------/
чтобы они работали как два шлюза на период обкатки squid-a?

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

10. "squid+iptables" +/–

Сообщение от fate29 (ok) on 07-Июл-10, 08:56

>[оверквотинг удален]
>Автор, ты хочешь сделать
>ШЛЮЗ(iptables)--КЕРИО--ЛАН, как написал в первом посте или
>
>ШЛЮЗ(iptables)--
>
>
>          \-----ЛАН,
>
>КЕРИО-------------/
>чтобы они работали как два шлюза на период обкатки squid-a?
сквид мне нужен только для того что бы можно было собирать статистику кто на каких сайтах лазил, а iptables пусть работает как и работал.

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

11. "squid+iptables" +/–

Сообщение от fate29 (ok) on 07-Июл-10, 08:59

>[оверквотинг удален]
>Автор, ты хочешь сделать
>ШЛЮЗ(iptables)--КЕРИО--ЛАН, как написал в первом посте или
>
>ШЛЮЗ(iptables)--
>
>
>          \-----ЛАН,
>
>КЕРИО-------------/
>чтобы они работали как два шлюза на период обкатки squid-a?
керио я убрал. Я думал так получится прозрачный прокси
iptables -t nat -I PREROUTING -s 192.168.1.0/24 -i eth1 -p tcp
а ннет не вышел "каменный цветок"

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

12. "squid+iptables" +/–

Сообщение от reader (ok) on 07-Июл-10, 10:02

у клиента шлюзом машина с squid прописан, dns у клиента прописан?
nslookup opennet.ru c клиента покажите

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

13. "squid+iptables" +/–

Сообщение от fate29 (ok) on 07-Июл-10, 10:48

>у клиента шлюзом машина с squid прописан, dns у клиента прописан?
>
>nslookup opennet.ru c клиента покажите
да шлюзом прописана машина с сквидом
вот nslookup
Name:    opennet.ru
Address:  77.234.201.242

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

14. "squid+iptables" +/–

Сообщение от reader (ok) on 07-Июл-10, 11:09

>>у клиента шлюзом машина с squid прописан, dns у клиента прописан?
>>
>>nslookup opennet.ru c клиента покажите
>
>да шлюзом прописана машина с сквидом
>
>вот nslookup
>Name:    opennet.ru
>Address:  77.234.201.242
c машины с squid покажите
netstat -npl | grep squid
ifconfig
cat /proc/sys/net/ipv4/ip_forward
iptables-save

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

15. "squid+iptables" +/–

Сообщение от fate29 (ok) on 07-Июл-10, 11:38

>[оверквотинг удален]
>>вот nslookup
>>Name:    opennet.ru
>>Address:  77.234.201.242
>
>c машины с squid покажите
>
>netstat -npl | grep squid
>ifconfig
>cat /proc/sys/net/ipv4/ip_forward
>iptables-save
[root@gateway ~]# netstat -npl | grep squid
tcp        0      0 0.0.0.0:3128                0.0.0.0:*                   LISTEN      3338/(squid)
udp        0      0 0.0.0.0:3130                0.0.0.0:*                               3338/(squid)
udp        0      0 0.0.0.0:54362               0.0.0.0:*                               3338/(squid)
в ip_forward у меня 1 (иначе вообще форвардинга не было)
в iptables дофига правил, мож вот правила цепочек postrouting и forward
Chain FORWARD (policy DROP)
target     prot opt source               destination
ACCEPT     all  --  192.168.5.20         anywhere
ACCEPT     tcp  --  192.168.5.0/24       anywhere            tcp dpt:squid
ACCEPT     tcp  --  192.168.5.0/24       anywhere            tcp dpt:pop3
ACCEPT     all  --  anywhere             anywhere            state RELATED,ESTABLISHED
ACCEPT     udp  --  192.168.5.9          anywhere            udp dpt:domain
ACCEPT     tcp  --  192.168.5.0/24       anywhere            tcp dpt:aol
ACCEPT     tcp  --  192.168.5.0/24       anywhere            tcp dpt:smtps
ACCEPT     tcp  --  192.168.5.0/24       anywhere            tcp dpt:smtp
ACCEPT     tcp  --  192.168.5.0/24       anywhere            tcp dpt:pop3s
ACCEPT     tcp  --  192.168.5.0/24       anywhere            tcp dpt:imaps
т.е. тут разрещен сквид и почтовые порты

Chain POSTROUTING (policy ACCEPT)
target     prot opt source               destination
SNAT       all  --  192.168.5.0/24       anywhere            to:81.195.XX.XXX

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

16. "squid+iptables" +/–

Сообщение от reader (ok) on 07-Июл-10, 11:58

попробуйте так
iptables -t nat -I PREROUTING -s 192.168.5.0/24 -p tcp --dport 80 -j DNAT --to-destination 192.168.5.x:3128
вместо 192.168.5.x адрес машины с squid
при этом пакеты пойдут через INPUT, а не через FORWARD, так что проверьте что там
и покажите iptables-save -t nat

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

17. "squid+iptables" +/–

Сообщение от fate29 (ok) on 07-Июл-10, 12:08

>попробуйте так
>iptables -t nat -I PREROUTING -s 192.168.5.0/24 -p tcp --dport 80 -j
>DNAT --to-destination 192.168.5.x:3128
>
>вместо 192.168.5.x адрес машины с squid
>
>при этом пакеты пойдут через INPUT, а не через FORWARD, так что
>проверьте что там
>
>и покажите iptables-save -t nat
вообще вот что выдал:
ERROR
The requested URL could not be retrieved
While trying to process the request:
GET / HTTP/1.1
Host: www.mail.ru
User-Agent: Mozilla/5.0 (Windows; U; Windows NT 5.1; ru; rv:1.9.1.9) Gecko/20100315 MRA 5.6 (build 03278) Firefox/3.5.9 WebMoney Advisor
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8
Accept-Language: ru,en-us;q=0.7,en;q=0.3
Accept-Encoding: gzip,deflate
Accept-Charset: windows-1251,utf-8;q=0.7,*;q=0.7
Keep-Alive: 300
Connection: keep-alive
Cookie: VID=06vK0G0aLgmm; mrcu=24CF4A9E379A4B3170D5C25CFD54; p=DPwsAHL71QAA; searchuid=904345751251882907; t=obLD1AAAAAAIAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAABAAABAAAAAAAAAAA9AB0IwQcA; Mpop=1278489451:0743010077700d0e190502190c1d00051c0d074f6a5d5e465e07010502021e0a09731e584b4c545d5c5a145a545858194b44:artemmm@mail.ru:; __utma=102067678.279445204.1263991857.1266305211.1266308556.24; __utmz=102067678.1263991857.1.1.utmcsr=(direct)|utmccn=(direct)|utmcmd=(none); geo_city_id=3436; mrcu=72204BB1F02B398B5EBF0100007F; mrcu=7B904BB1F7D81258D8CF0100007F; b=zDkEIBA9LAIARP2GJhbG2gujJoageGiAczmoLx2w3A52pAd91YNE5EH29RB+ThBhiARUZlsgJdeAUVJfQOXlBGICABAA; mc1=1278070887; waSes=1
The following error was encountered:
    * Invalid Request
Some aspect of the HTTP Request is invalid. Possible problems:
    * Missing or unknown request method
    * Missing URL
    * Missing HTTP Identifier (HTTP/1.0)
    * Request is too large
    * Content-Length missing for POST or PUT requests
    * Illegal character in hostname; underscores are not allowed

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

20. "squid+iptables" +/–

Сообщение от reader (ok) on 07-Июл-10, 12:17

grep "http_port" squid.conf
и какая версия squid

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

18. "squid+iptables" +/–

Сообщение от fate29 (ok) on 07-Июл-10, 12:10

>попробуйте так
>iptables -t nat -I PREROUTING -s 192.168.5.0/24 -p tcp --dport 80 -j
>DNAT --to-destination 192.168.5.x:3128
>
>вместо 192.168.5.x адрес машины с squid
>
>при этом пакеты пойдут через INPUT, а не через FORWARD, так что
>проверьте что там
>
>и покажите iptables-save -t nat
# Generated by iptables-save v1.3.5 on Wed Jul  7 11:52:38 2010
*nat
:PREROUTING ACCEPT [132748:10764786]
:POSTROUTING ACCEPT [8506:519234]
:OUTPUT ACCEPT [8687:535350]
-A PREROUTING -p tcp -m tcp --dport 4890 -j DNAT --to-destination 192.168.5.9
-A PREROUTING -s 83.167.114.179 -p tcp -m tcp --dport 4081 -j DNAT --to-destination 192.168.5.9
-A PREROUTING -s 83.167.114.199 -p tcp -m tcp --dport 4081 -j DNAT --to-destination 192.168.5.9
-A PREROUTING -s 83.167.114.179 -p udp -m udp --dport 44333 -j DNAT --to-destination 192.168.5.9
-A PREROUTING -s 83.167.114.179 -p tcp -m tcp --dport 44333 -j DNAT --to-destination 192.168.5.9
-A POSTROUTING -s 192.168.5.0/255.255.255.0 -j SNAT --to-source 81.195.xx.xxx
COMMIT
# Completed on Wed Jul  7 11:52:38 2010

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

19. "squid+iptables" +/–

Сообщение от fate29 (ok) on 07-Июл-10, 12:11

>попробуйте так
>iptables -t nat -I PREROUTING -s 192.168.5.0/24 -p tcp --dport 80 -j
>DNAT --to-destination 192.168.5.x:3128
>
>вместо 192.168.5.x адрес машины с squid
>
>при этом пакеты пойдут через INPUT, а не через FORWARD, так что
>проверьте что там
>
>и покажите iptables-save -t nat
в принцепе это не столь важно, пользователей не так много, я уже перенастроил у всех браузеры через проксю

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

21. "squid+iptables" +/–

Сообщение от reader (ok) on 07-Июл-10, 12:19

>[оверквотинг удален]
>>
>>вместо 192.168.5.x адрес машины с squid
>>
>>при этом пакеты пойдут через INPUT, а не через FORWARD, так что
>>проверьте что там
>>
>>и покажите iptables-save -t nat
>
>в принцепе это не столь важно, пользователей не так много, я уже
>перенастроил у всех браузеры через проксю
а прокси как прозрачный настроен?

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

22. "squid+iptables" +/–

Сообщение от ALex_hha (ok) on 07-Июл-10, 12:21

Думаю дело в том, что не была указана опция transparent в squid.conf

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

23. "squid+iptables" +/–

Сообщение от fate29 (ok) on 07-Июл-10, 12:28

>Думаю дело в том, что не была указана опция transparent в squid.conf
>
не указывал transparent, можно поподробнее?

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

24. "squid+iptables" +/–

Сообщение от reader (ok) on 07-Июл-10, 12:35

>>Думаю дело в том, что не была указана опция transparent в squid.conf
>>
>
>не указывал transparent, можно поподробнее?
опции для http_port смотрите

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

25. "squid+iptables" +/–

Сообщение от fate29 (ok) on 07-Июл-10, 12:41

>>>Думаю дело в том, что не была указана опция transparent в squid.conf
>>>
>>
>>не указывал transparent, можно поподробнее?
>
>опции для http_port смотрите
3128 там стоит

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

26. "squid+iptables" +/–

Сообщение от reader (ok) on 07-Июл-10, 12:44

>>>>Думаю дело в том, что не была указана опция transparent в squid.conf
>>>>
>>>
>>>не указывал transparent, можно поподробнее?
>>
>>опции для http_port смотрите
>
>3128 там стоит
версия squid какая?
squid -v или squid3 -v

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

27. "squid+iptables" +/–

Сообщение от fate29 (ok) on 07-Июл-10, 12:53

>[оверквотинг удален]
>>>>
>>>>не указывал transparent, можно поподробнее?
>>>
>>>опции для http_port смотрите
>>
>>3128 там стоит
>
>версия squid какая?
>
>squid -v или squid3 -v
Version 2.6.STABLE21

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

28. "squid+iptables" +/–

Сообщение от reader (ok) on 07-Июл-10, 13:19

>[оверквотинг удален]
>>>>
>>>>опции для http_port смотрите
>>>
>>>3128 там стоит
>>
>>версия squid какая?
>>
>>squid -v или squid3 -v
>
>Version 2.6.STABLE21
http_port 3128 transparent
можно ip указать, тогда не будет слушать все имеющиеся, а только указанные, но и перенаправлять только не него можно будет
http_port 192.168.5.x:3128 transparent

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

29. "squid+iptables" +/–

Сообщение от fate29 (ok) on 07-Июл-10, 13:41

>[оверквотинг удален]
>>>squid -v или squid3 -v
>>
>>Version 2.6.STABLE21
>
>http_port 3128 transparent
>
>можно ip указать, тогда не будет слушать все имеющиеся, а только указанные,
>но и перенаправлять только не него можно будет
>
>http_port 192.168.5.x:3128 transparent
изминил, а в iptables надо порт перебрасывать? и как лучше редиректом или dnat?

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

30. "squid+iptables" +/–

Сообщение от reader (ok) on 07-Июл-10, 13:46

>[оверквотинг удален]
>>
>>http_port 3128 transparent
>>
>>можно ip указать, тогда не будет слушать все имеющиеся, а только указанные,
>>но и перенаправлять только не него можно будет
>>
>>http_port 192.168.5.x:3128 transparent
>
>изминил, а в iptables надо порт перебрасывать? и как лучше редиректом или
>dnat?
dnat сделайте

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

31. "squid+iptables" +/–

Сообщение от ALex_hha (ok) on 07-Июл-10, 13:47

>изминил, а в iptables надо порт перебрасывать?
надо, но тогда в проводнике не надо указывать адрес прокси
> и как лучше редиректом или dnat?
если прокси и шлюз на одном хосте, то redirect, если на разных, то DNAT

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

32. "squid+iptables" +/–

Сообщение от fate29 (ok) on 07-Июл-10, 14:06

>>изминил, а в iptables надо порт перебрасывать?
>
>надо, но тогда в проводнике не надо указывать адрес прокси
>
>> и как лучше редиректом или dnat?
>
>если прокси и шлюз на одном хосте, то redirect, если на разных,
>то DNAT
abu знает, счас попробовал на страницы вроде заходит (но эт наверное пакеты через iptables идут) статистика не отображается
переброску сделал redirect. Но фиг с ним, меня больше смущает то в каком виде отчет по посещаемым сайтам https отображается так 95.58.14.208:443, а может это после скайпа.
... привыкнуть нужно ))

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

33. "squid+iptables" +/–

Сообщение от ALex_hha (ok) on 07-Июл-10, 16:24

Читать https://www.opennet.ru/docs/RUS/iptables/ до просветления

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру

1. "squid+iptables"	+/–
Сообщение от reader (ok) on 02-Июл-10, 14:20
>сейчас есть сервак на котором работает iptables, с него провод идет в >комп с керио а уже керио раздает инет всем пользователям >и мониторит. Сделано так из-за удобства мониторинга трафика на керио. Вопрос >такой если я на машину с iptables поставлю squid (потому что >керио меня "задрал" уже со своими глюками) как они будут существовать прекрасно при условии что все правильно сконфигурировано >друг с другом? И насколько удобно можно мониторить трафик в squid >(посещаемые web узлы, по объему трафика и т.д.) есть несколько считалок по логам squid - sarg, LighSquid, .... >Спасибо.
Высказать мнение \| Ответить \| Правка \| ^ \| Наверх \| Cообщить модератору

2. "squid+iptables"	+/–
Сообщение от ipmanyak (ok) on 02-Июл-10, 14:21
>сейчас есть сервак на котором работает iptables, с него провод идет в >комп с керио а уже керио раздает инет всем пользователям >и мониторит. Сделано так из-за удобства мониторинга трафика на керио. Вопрос >такой если я на машину с iptables поставлю squid (потому что >керио меня "задрал" уже со своими глюками) как они будут существовать >друг с другом? И насколько удобно можно мониторить трафик в squid >(посещаемые web узлы, по объему трафика и т.д.) >Спасибо. iptables отношения к сквиду не имеет, ставь смело, более того именно айпитаблесом будешь заворачивать трафик на сквид, если надумаешь делать прозрачный прокси-сквид. лог сквида обрабатывай прогами Sarg или LightSquid
Высказать мнение \| Ответить \| Правка \| ^ \| Наверх \| Cообщить модератору


	3. "squid+iptables"	+/–
	Сообщение от fate29 (ok) on 02-Июл-10, 14:39
	>iptables отношения к сквиду не имеет, ставь смело, более того именно айпитаблесом >будешь заворачивать трафик на сквид, если надумаешь делать прозрачный прокси-сквид. >лог сквида обрабатывай прогами Sarg или LightSquid например внутренний интерфейс у iptables 192.168.1.1 мне нужно будет создать правило в iptables что бы он приходящие пакеты из lan перенаправлялись на 192.168.1.1 только другой порт?
	Высказать мнение \| Ответить \| Правка \| ^ \| Наверх \| Cообщить модератору


	4. "squid+iptables"	+/–
	Сообщение от reader (ok) on 02-Июл-10, 14:50
	> >>iptables отношения к сквиду не имеет, ставь смело, более того именно айпитаблесом >>будешь заворачивать трафик на сквид, если надумаешь делать прозрачный прокси-сквид. >>лог сквида обрабатывай прогами Sarg или LightSquid > >например внутренний интерфейс у iptables 192.168.1.1 >мне нужно будет создать правило в iptables что бы он приходящие пакеты >из lan перенаправлялись на 192.168.1.1 только другой порт? да
	Высказать мнение \| Ответить \| Правка \| ^ \| Наверх \| Cообщить модератору

5. "squid+iptables"	+/–
Сообщение от ALex_hha (ok) on 02-Июл-10, 15:18
# iptables -t nat -I PREROUTING -s 192.168.1.0/24 -i eth1 -p tcp --dport 80 -j REDIRECT --to-ports 3128 примерно так. Можно и через DNAT
Высказать мнение \| Ответить \| Правка \| ^ \| Наверх \| Cообщить модератору


	6. "squid+iptables"	+/–
	Сообщение от fate29 (ok) on 02-Июл-10, 15:24
	># iptables -t nat -I PREROUTING -s 192.168.1.0/24 -i eth1 -p tcp >--dport 80 -j REDIRECT --to-ports 3128 > >примерно так. Можно и через DNAT ок спасибо, в понедельник попробую
	Высказать мнение \| Ответить \| Правка \| ^ \| Наверх \| Cообщить модератору


	7. "squid+iptables"	+/–
	Сообщение от fate29 (ok) on 06-Июл-10, 20:30
	># iptables -t nat -I PREROUTING -s 192.168.1.0/24 -i eth1 -p tcp >--dport 80 -j REDIRECT --to-ports 3128 > >примерно так. Можно и через DNAT не выходит так, если в браузере указать прокси то работает, а по твоему примеру нет (
	Высказать мнение \| Ответить \| Правка \| ^ \| Наверх \| Cообщить модератору


	8. "squid+iptables"	+/–
	Сообщение от ALex_hha (??) on 06-Июл-10, 23:48
	>не выходит так, если в браузере указать прокси то работает, а по >твоему примеру нет ( значит не правильно настроен сквид.
	Высказать мнение \| Ответить \| Правка \| ^ \| Наверх \| Cообщить модератору


	9. "squid+iptables"	+/–
	Сообщение от dicty (ok) on 07-Июл-10, 00:48
	>значит не правильно настроен сквид. Значит неправильно настроен iptables. Автор, ты хочешь сделать ШЛЮЗ(iptables)--КЕРИО--ЛАН, как написал в первом посте или ШЛЮЗ(iptables)-- \-----ЛАН, КЕРИО-------------/ чтобы они работали как два шлюза на период обкатки squid-a?
	Высказать мнение \| Ответить \| Правка \| ^ \| Наверх \| Cообщить модератору


	10. "squid+iptables"	+/–
	Сообщение от fate29 (ok) on 07-Июл-10, 08:56
	>[оверквотинг удален] >Автор, ты хочешь сделать >ШЛЮЗ(iptables)--КЕРИО--ЛАН, как написал в первом посте или > >ШЛЮЗ(iptables)-- > > > \-----ЛАН, > >КЕРИО-------------/ >чтобы они работали как два шлюза на период обкатки squid-a? сквид мне нужен только для того что бы можно было собирать статистику кто на каких сайтах лазил, а iptables пусть работает как и работал.
	Высказать мнение \| Ответить \| Правка \| ^ \| Наверх \| Cообщить модератору


	11. "squid+iptables"	+/–
	Сообщение от fate29 (ok) on 07-Июл-10, 08:59
	>[оверквотинг удален] >Автор, ты хочешь сделать >ШЛЮЗ(iptables)--КЕРИО--ЛАН, как написал в первом посте или > >ШЛЮЗ(iptables)-- > > > \-----ЛАН, > >КЕРИО-------------/ >чтобы они работали как два шлюза на период обкатки squid-a? керио я убрал. Я думал так получится прозрачный прокси iptables -t nat -I PREROUTING -s 192.168.1.0/24 -i eth1 -p tcp а ннет не вышел "каменный цветок"
	Высказать мнение \| Ответить \| Правка \| ^ \| Наверх \| Cообщить модератору


	12. "squid+iptables"	+/–
	Сообщение от reader (ok) on 07-Июл-10, 10:02
	у клиента шлюзом машина с squid прописан, dns у клиента прописан? nslookup opennet.ru c клиента покажите
	Высказать мнение \| Ответить \| Правка \| ^ \| Наверх \| Cообщить модератору


	13. "squid+iptables"	+/–
	Сообщение от fate29 (ok) on 07-Июл-10, 10:48
	>у клиента шлюзом машина с squid прописан, dns у клиента прописан? > >nslookup opennet.ru c клиента покажите да шлюзом прописана машина с сквидом вот nslookup Name: opennet.ru Address: 77.234.201.242
	Высказать мнение \| Ответить \| Правка \| ^ \| Наверх \| Cообщить модератору


	14. "squid+iptables"	+/–
	Сообщение от reader (ok) on 07-Июл-10, 11:09
	>>у клиента шлюзом машина с squid прописан, dns у клиента прописан? >> >>nslookup opennet.ru c клиента покажите > >да шлюзом прописана машина с сквидом > >вот nslookup >Name: opennet.ru >Address: 77.234.201.242 c машины с squid покажите netstat -npl \| grep squid ifconfig cat /proc/sys/net/ipv4/ip_forward iptables-save
	Высказать мнение \| Ответить \| Правка \| ^ \| Наверх \| Cообщить модератору


	15. "squid+iptables"	+/–
	Сообщение от fate29 (ok) on 07-Июл-10, 11:38
	>[оверквотинг удален] >>вот nslookup >>Name: opennet.ru >>Address: 77.234.201.242 > >c машины с squid покажите > >netstat -npl \| grep squid >ifconfig >cat /proc/sys/net/ipv4/ip_forward >iptables-save [root@gateway ~]# netstat -npl \| grep squid tcp 0 0 0.0.0.0:3128 0.0.0.0:* LISTEN 3338/(squid) udp 0 0 0.0.0.0:3130 0.0.0.0:* 3338/(squid) udp 0 0 0.0.0.0:54362 0.0.0.0:* 3338/(squid) в ip_forward у меня 1 (иначе вообще форвардинга не было) в iptables дофига правил, мож вот правила цепочек postrouting и forward Chain FORWARD (policy DROP) target prot opt source destination ACCEPT all -- 192.168.5.20 anywhere ACCEPT tcp -- 192.168.5.0/24 anywhere tcp dpt:squid ACCEPT tcp -- 192.168.5.0/24 anywhere tcp dpt:pop3 ACCEPT all -- anywhere anywhere state RELATED,ESTABLISHED ACCEPT udp -- 192.168.5.9 anywhere udp dpt:domain ACCEPT tcp -- 192.168.5.0/24 anywhere tcp dpt:aol ACCEPT tcp -- 192.168.5.0/24 anywhere tcp dpt:smtps ACCEPT tcp -- 192.168.5.0/24 anywhere tcp dpt:smtp ACCEPT tcp -- 192.168.5.0/24 anywhere tcp dpt:pop3s ACCEPT tcp -- 192.168.5.0/24 anywhere tcp dpt:imaps т.е. тут разрещен сквид и почтовые порты Chain POSTROUTING (policy ACCEPT) target prot opt source destination SNAT all -- 192.168.5.0/24 anywhere to:81.195.XX.XXX
	Высказать мнение \| Ответить \| Правка \| ^ \| Наверх \| Cообщить модератору


	16. "squid+iptables"	+/–
	Сообщение от reader (ok) on 07-Июл-10, 11:58
	попробуйте так iptables -t nat -I PREROUTING -s 192.168.5.0/24 -p tcp --dport 80 -j DNAT --to-destination 192.168.5.x:3128 вместо 192.168.5.x адрес машины с squid при этом пакеты пойдут через INPUT, а не через FORWARD, так что проверьте что там и покажите iptables-save -t nat
	Высказать мнение \| Ответить \| Правка \| ^ \| Наверх \| Cообщить модератору


	17. "squid+iptables"	+/–
	Сообщение от fate29 (ok) on 07-Июл-10, 12:08
	>попробуйте так >iptables -t nat -I PREROUTING -s 192.168.5.0/24 -p tcp --dport 80 -j >DNAT --to-destination 192.168.5.x:3128 > >вместо 192.168.5.x адрес машины с squid > >при этом пакеты пойдут через INPUT, а не через FORWARD, так что >проверьте что там > >и покажите iptables-save -t nat вообще вот что выдал: ERROR The requested URL could not be retrieved While trying to process the request: GET / HTTP/1.1 Host: www.mail.ru User-Agent: Mozilla/5.0 (Windows; U; Windows NT 5.1; ru; rv:1.9.1.9) Gecko/20100315 MRA 5.6 (build 03278) Firefox/3.5.9 WebMoney Advisor Accept: text/html,application/xhtml+xml,application/xml;q=0.9,/;q=0.8 Accept-Language: ru,en-us;q=0.7,en;q=0.3 Accept-Encoding: gzip,deflate Accept-Charset: windows-1251,utf-8;q=0.7,;q=0.7 Keep-Alive: 300 Connection: keep-alive Cookie: VID=06vK0G0aLgmm; mrcu=24CF4A9E379A4B3170D5C25CFD54; p=DPwsAHL71QAA; searchuid=904345751251882907; t=obLD1AAAAAAIAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAABAAABAAAAAAAAAAA9AB0IwQcA; Mpop=1278489451:0743010077700d0e190502190c1d00051c0d074f6a5d5e465e07010502021e0a09731e584b4c545d5c5a145a545858194b44:artemmm@mail.ru:; __utma=102067678.279445204.1263991857.1266305211.1266308556.24; __utmz=102067678.1263991857.1.1.utmcsr=(direct)\|utmccn=(direct)\|utmcmd=(none); geo_city_id=3436; mrcu=72204BB1F02B398B5EBF0100007F; mrcu=7B904BB1F7D81258D8CF0100007F; b=zDkEIBA9LAIARP2GJhbG2gujJoageGiAczmoLx2w3A52pAd91YNE5EH29RB+ThBhiARUZlsgJdeAUVJfQOXlBGICABAA; mc1=1278070887; waSes=1 The following error was encountered: Invalid Request Some aspect of the HTTP Request is invalid. Possible problems: * Missing or unknown request method * Missing URL * Missing HTTP Identifier (HTTP/1.0) * Request is too large * Content-Length missing for POST or PUT requests * Illegal character in hostname; underscores are not allowed
	Высказать мнение \| Ответить \| Правка \| ^ \| Наверх \| Cообщить модератору


	20. "squid+iptables"	+/–
	Сообщение от reader (ok) on 07-Июл-10, 12:17
	grep "http_port" squid.conf и какая версия squid
	Высказать мнение \| Ответить \| Правка \| ^ \| Наверх \| Cообщить модератору


	18. "squid+iptables"	+/–
	Сообщение от fate29 (ok) on 07-Июл-10, 12:10
	>попробуйте так >iptables -t nat -I PREROUTING -s 192.168.5.0/24 -p tcp --dport 80 -j >DNAT --to-destination 192.168.5.x:3128 > >вместо 192.168.5.x адрес машины с squid > >при этом пакеты пойдут через INPUT, а не через FORWARD, так что >проверьте что там > >и покажите iptables-save -t nat # Generated by iptables-save v1.3.5 on Wed Jul 7 11:52:38 2010 *nat :PREROUTING ACCEPT [132748:10764786] :POSTROUTING ACCEPT [8506:519234] :OUTPUT ACCEPT [8687:535350] -A PREROUTING -p tcp -m tcp --dport 4890 -j DNAT --to-destination 192.168.5.9 -A PREROUTING -s 83.167.114.179 -p tcp -m tcp --dport 4081 -j DNAT --to-destination 192.168.5.9 -A PREROUTING -s 83.167.114.199 -p tcp -m tcp --dport 4081 -j DNAT --to-destination 192.168.5.9 -A PREROUTING -s 83.167.114.179 -p udp -m udp --dport 44333 -j DNAT --to-destination 192.168.5.9 -A PREROUTING -s 83.167.114.179 -p tcp -m tcp --dport 44333 -j DNAT --to-destination 192.168.5.9 -A POSTROUTING -s 192.168.5.0/255.255.255.0 -j SNAT --to-source 81.195.xx.xxx COMMIT # Completed on Wed Jul 7 11:52:38 2010
	Высказать мнение \| Ответить \| Правка \| ^ \| Наверх \| Cообщить модератору


	19. "squid+iptables"	+/–
	Сообщение от fate29 (ok) on 07-Июл-10, 12:11
	>попробуйте так >iptables -t nat -I PREROUTING -s 192.168.5.0/24 -p tcp --dport 80 -j >DNAT --to-destination 192.168.5.x:3128 > >вместо 192.168.5.x адрес машины с squid > >при этом пакеты пойдут через INPUT, а не через FORWARD, так что >проверьте что там > >и покажите iptables-save -t nat в принцепе это не столь важно, пользователей не так много, я уже перенастроил у всех браузеры через проксю
	Высказать мнение \| Ответить \| Правка \| ^ \| Наверх \| Cообщить модератору


	21. "squid+iptables"	+/–
	Сообщение от reader (ok) on 07-Июл-10, 12:19
	>[оверквотинг удален] >> >>вместо 192.168.5.x адрес машины с squid >> >>при этом пакеты пойдут через INPUT, а не через FORWARD, так что >>проверьте что там >> >>и покажите iptables-save -t nat > >в принцепе это не столь важно, пользователей не так много, я уже >перенастроил у всех браузеры через проксю а прокси как прозрачный настроен?
	Высказать мнение \| Ответить \| Правка \| ^ \| Наверх \| Cообщить модератору


	22. "squid+iptables"	+/–
	Сообщение от ALex_hha (ok) on 07-Июл-10, 12:21
	Думаю дело в том, что не была указана опция transparent в squid.conf
	Высказать мнение \| Ответить \| Правка \| ^ \| Наверх \| Cообщить модератору


	23. "squid+iptables"	+/–
	Сообщение от fate29 (ok) on 07-Июл-10, 12:28
	>Думаю дело в том, что не была указана опция transparent в squid.conf > не указывал transparent, можно поподробнее?
	Высказать мнение \| Ответить \| Правка \| ^ \| Наверх \| Cообщить модератору


	24. "squid+iptables"	+/–
	Сообщение от reader (ok) on 07-Июл-10, 12:35
	>>Думаю дело в том, что не была указана опция transparent в squid.conf >> > >не указывал transparent, можно поподробнее? опции для http_port смотрите
	Высказать мнение \| Ответить \| Правка \| ^ \| Наверх \| Cообщить модератору


	25. "squid+iptables"	+/–
	Сообщение от fate29 (ok) on 07-Июл-10, 12:41
	>>>Думаю дело в том, что не была указана опция transparent в squid.conf >>> >> >>не указывал transparent, можно поподробнее? > >опции для http_port смотрите 3128 там стоит
	Высказать мнение \| Ответить \| Правка \| ^ \| Наверх \| Cообщить модератору


	26. "squid+iptables"	+/–
	Сообщение от reader (ok) on 07-Июл-10, 12:44
	>>>>Думаю дело в том, что не была указана опция transparent в squid.conf >>>> >>> >>>не указывал transparent, можно поподробнее? >> >>опции для http_port смотрите > >3128 там стоит версия squid какая? squid -v или squid3 -v
	Высказать мнение \| Ответить \| Правка \| ^ \| Наверх \| Cообщить модератору


	27. "squid+iptables"	+/–
	Сообщение от fate29 (ok) on 07-Июл-10, 12:53
	>[оверквотинг удален] >>>> >>>>не указывал transparent, можно поподробнее? >>> >>>опции для http_port смотрите >> >>3128 там стоит > >версия squid какая? > >squid -v или squid3 -v Version 2.6.STABLE21
	Высказать мнение \| Ответить \| Правка \| ^ \| Наверх \| Cообщить модератору


	28. "squid+iptables"	+/–
	Сообщение от reader (ok) on 07-Июл-10, 13:19
	>[оверквотинг удален] >>>> >>>>опции для http_port смотрите >>> >>>3128 там стоит >> >>версия squid какая? >> >>squid -v или squid3 -v > >Version 2.6.STABLE21 http_port 3128 transparent можно ip указать, тогда не будет слушать все имеющиеся, а только указанные, но и перенаправлять только не него можно будет http_port 192.168.5.x:3128 transparent
	Высказать мнение \| Ответить \| Правка \| ^ \| Наверх \| Cообщить модератору


	29. "squid+iptables"	+/–
	Сообщение от fate29 (ok) on 07-Июл-10, 13:41
	>[оверквотинг удален] >>>squid -v или squid3 -v >> >>Version 2.6.STABLE21 > >http_port 3128 transparent > >можно ip указать, тогда не будет слушать все имеющиеся, а только указанные, >но и перенаправлять только не него можно будет > >http_port 192.168.5.x:3128 transparent изминил, а в iptables надо порт перебрасывать? и как лучше редиректом или dnat?
	Высказать мнение \| Ответить \| Правка \| ^ \| Наверх \| Cообщить модератору


	30. "squid+iptables"	+/–
	Сообщение от reader (ok) on 07-Июл-10, 13:46
	>[оверквотинг удален] >> >>http_port 3128 transparent >> >>можно ip указать, тогда не будет слушать все имеющиеся, а только указанные, >>но и перенаправлять только не него можно будет >> >>http_port 192.168.5.x:3128 transparent > >изминил, а в iptables надо порт перебрасывать? и как лучше редиректом или >dnat? dnat сделайте
	Высказать мнение \| Ответить \| Правка \| ^ \| Наверх \| Cообщить модератору