squid и внешний dns

0

4

Настраиваю ubuntu со сквидом в уже существующей сети с виндовым прозрачным прокси и внешним DNS. Подключаю к ней клиента, настраиваю шлюз на squid сервер - инет есть. Выключаю клиента из сети, подключаю напрямую к squid серверу - инета нет. squid сервер видит клиента, клиент видит оба ip. Куда смотреть, где копать?

Выкладываю все, что настраивал после установки системы. Все настраивал по инструкциям в инете.

70-persistent-net.rules

SUBSYSTEM=="net", ATTR{address}=="00:e0:50:8d:06:19", NAME="eth0"
SUBSYSTEM=="net", ATTR{address}=="00:e0:4c:1a:27:d7", NAME="eth1"

interfaces

# The primary network interface
auto eth0
iface eth0 inet static
<------>address 192.168.1.4
<------>netmask 255.255.224.0
<------>gateway 192.168.3.111
<------>dns-nameservers 8.8.8.8 62.165.32.250

auto eth1
iface eth1 inet static
<------>address 192.168.0.112
<------>netmask 255.255.224.0

post-up /etc/nat

/etc/nat

iptables -A INPUT -i lo -j ACCEPT
iptables -A FORWARD -i eth1 -o eth0 -j ACCEPT
iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE
iptables -A FORWARD -i eth0 -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A FORWARD -i eth0 -o eth1 -j REJECT
iptables -t nat -A PREROUTING -i eth0 -p tcp -m multiport --dport 80 -j DNAT --to-destination 192.168.0.112:3128
iptables -t nat -A PREROUTING -i eth1 -p tcp -m multiport --dport 80 -j REDIRECT --to-ports 3128

squid.conf

acl users src "/etc/openip.txt"     

acl workhours time 6:30-19:59                                     
acl SSL_ports port 443
acl Safe_ports port 80 # http
acl Safe_ports port 1025-65535
acl CONNECT method CONNECT

http_access allow users
http_access allow localhost
http_access deny all
icp_access deny all
htcp_access deny all

http_port 3128 intercept

hierarchy_stoplist cgi-bin ?
acl QUERY urlpath_regex cgi-bin \?
no_cache deny QUERY
cache_mem 256 MB
half_closed_clients on
maximum_object_size_in_memory 512 KB
maximum_object_size 8192 KB
access_log /var/log/squid3/access.log squid
cache_log /var/log/squid3/cache.log
cache_store_log none
logfile_rotate 31
pid_filename /var/run/squid3.pid
debug_options ALL,1 rotate=31
refresh_pattern ^ftp:       1440    20% 10080
refresh_pattern ^gopher:    1440    0%  1440
refresh_pattern (cgi-bin|\?)    0   0%  0
refresh_pattern .       0   20% 4320
quick_abort_min 16 KB
quick_abort_max 16 KB
quick_abort_pct 95

negative_ttl 0 seconds
positive_dns_ttl 6 hours
negative_dns_ttl 1 minutes

forwarded_for off

request_header_access From deny all
request_header_access Server deny all
request_header_access User-Agent deny all
request_header_access WWW-Authenticate deny all
request_header_access Link deny all
cache_effective_user proxy
cache_effective_group proxy

visible_hostname Server
delay_pools 1
delay_class 1 1
delay_access 1 allow users
delay_parameters 1 7000000/7000000
delay_access 1 deny all

icp_port 3130
hosts_file /etc/hosts
coredump_dir /var/spool/squid3

Ссылка

←	Запуск скриптов от непривилегированного пользователя

Elastix, FAX, Password:Login failed: 500 'PASS '

→

Приложи лог tcpdump с обоих интерфейсов на машине с прокси, когда у тебя «инета нет».

anonymous
(28.01.15 17:17:47 MSK)

Для начало я бы привел в порядок правила iptables. Потом в настройках браузера прописал не посредственно прокси сервер.

pavel38 ★
(28.01.15 23:48:05 MSK)

Ответ на: комментарий от pavel38 28.01.15 23:48:05 MSK

а что не так с iptables ? Если прописать в браузере прокси ничего меняется, инета так же нет =/

Kukumep
(29.01.15 15:11:05 MSK) автор топика

Ссылка

Ответ на: комментарий от anonymous 28.01.15 17:17:47 MSK

Приложи лог tcpdump с обоих интерфейсов на машине с прокси, когда у тебя «инета нет».

http://rusfolder.com/42857459

Kukumep
(29.01.15 15:37:17 MSK) автор топика

Ссылка

1. Если у тебя действительно параноидальные настройки iptables, то не забудь разрешить исходящие http-запросы с сервера со squid(типа iptables -A OUTPUT -p tcp --dport 80 -j ACCEPT).

2. Что за мода натаскать трехэтажных конфигов из разных мест, а потом искать, где ты что сделал не так (и других просить читать 2 страницы листинга)? Сначала настрой и убедись, что она работает, базовую вещь: squid без acl и прочего мусора в конфиге (по сути - с двустрочным конфигом http_port 3128 intercept + http_access allow all) и iptables без запрещений в таблице filter. Скорее всего твоя проблема в маршрутизации/nat.

3. «инет есть/инета нет» - это не проблема, это непонимание того, что именно не работает. Определись, твоему клиенту dns не дает, сам squid не возвращает страницу, сам squid не может запросить страницу у origin server?

anonymous
(29.01.15 15:44:46 MSK)

Ссылка

Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.

←	Запуск скриптов от непривилегированного пользователя

Admin

Elastix, FAX, Password:Login failed: 500 'PASS '

→

Похожие темы