Прозрачный скуид и iptables

0

0

Собственно в попытках победить скуид довел фаервол до состояния, когда принудительно прописаный в браузере скуид работает, но прозрачный никак.

#!/bin/sh

# VPN configuration.
VPN_IP="10.0.1.0/24"
VPN_IFACE="ppp+"
PROXY_SERVER="10.0.1.1"
PROXY_PORT="3128"

# IPTables configuration
IPTABLES="/sbin/iptables"

# >>> Input rules <<<
$IPTABLES -A INPUT -i $VPN_IFACE -s $VPN_IP -p TCP --dport 3128 -j ACCEPT
$IPTABLES -A INPUT -i $VPN_IFACE -s $VPN_IP -p UDP --dport 3128 -j ACCEPT

# >>> DNAT rules <<<
$IPTABLES -t nat -A PREROUTING -d ! $PROXY_SERVER -p tcp -m multiport --dport 80,81,82,83,88,8000,8001,8002,8080,8081 -j DNAT --to $PROXY_SERVER:$PROXY_PORT
$IPTABLES -t nat -A PREROUTING -d ! $PROXY_SERVER -p udp -m multiport --dport 80,81,82,83,88,8000,8001,8002,8080,8081 -j DNAT --to $PROXY_SERVER:$PROXY_PORT

После Input rules начинает работать принудительный проксик, а вот после ДНАТ'а прозрачный не работает. Помимо этих правил больше никаких нет.

Ссылка

←

screen

Sendmail и черные списки не для всех

→

Я вот всё думаю, можно ли сделать стетевой мост средствами iptables?

Gordon01 ★★
(24.04.06 06:08:48 MSD)

Ссылка

А ты свкид настроил на прозрачное проксирование?

anonymous
(24.04.06 12:30:44 MSD)

Ссылка

А почему у меня -j REDIRECT, а не -j DNAT ?

smartly ★★★
(24.04.06 12:48:08 MSD)

Ответ на: комментарий от smartly 24.04.06 12:48:08 MSD

наверное потому, что прозрачный проксик юзаешь :-))))

anonymous
(25.04.06 09:05:57 MSD)

Ответ на: комментарий от anonymous 25.04.06 09:05:57 MSD

На самом деле оно работает только как-то по меньшей мере "странно". Берем оперу, говорим ей идтить на гугл - не идет, берем эксплорер, говорим идтить на гугл - не идет. Принудительно прописываем опере проксю - идет, снимаем чекбокс с прокси - идет. Но самое удивительное, что .... после этой манипуляции и осел начинает ходить, при том где у него там прокся прописывается я даже не искал. Чудеса!

anonymous
(25.04.06 23:59:44 MSD)

Ответ на: комментарий от anonymous 25.04.06 23:59:44 MSD

А скуид сконфигурен вот так:

http_port 10.0.1.1:3128
visible_hostname proxy
icp_port 0
htcp_port 0
dead_peer_timeout 5 seconds
acl QUERY urlpath_regex cgi-bin \?
no_cache deny QUERY
offline_mode on
cache_mem 64 MB
dns_nameservers 10.0.0.1
maximum_object_size 102400 KB
minimum_object_size 0 KB
maximum_object_size_in_memory 16 KB
cache_dir ufs /var/cache/squid 256 16 256
cache_access_log /var/log/squid/access.log
cache_log /var/log/squid/cache.log
cache_store_log /var/log/squid/store.log
forwarded_for off
request_body_max_size 0
refresh_pattern ^http: 0 0% 0 override-expire
reload_into_ims off
pipeline_prefetch on
negative_ttl 1 minutes
range_offset_limit 0 KB
peer_connect_timeout 3 seconds
read_timeout 5 minutes
request_timeout 60 seconds
half_closed_clients on
acl vpn src 10.0.1.0/255.255.255.0
acl all src 0.0.0.0/0.0.0.0
acl banners url_regex -i "/etc/squid/banners"
deny_info ERR_BANNER banners
http_access deny all banners
http_access allow vpn
http_access deny all
icp_access deny all
httpd_accel_host virtual
httpd_accel_port 80
httpd_accel_with_proxy on
httpd_accel_uses_host_header on

anonymous
(26.04.06 00:02:03 MSD)

Ссылка

Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.

←

screen

Admin

Sendmail и черные списки не для всех

→

Похожие темы