OpenForum RSS: squid intercept и шлюз openwrt https://opennet.me/openforum/vsluhforumID12/7350.html Привет, нужна помощь в настройке связки шлюза на openwrt и squid intercept на отдельной машине.<br>В такой конфигураци, при обращении к http, на squid ошибки вида:<br>ERROR: NF getsockopt(ORIGINAL_DST) failed on local=192.168.174.2:3128 remote=192.168.174.1:43574 FD 13 flags=33: (2) No such file or directory<br>ERROR: NAT/TPROXY lookup failed to locate original IPs on local=192.168.174.2:3128 remote=192.168.174.1:43574 FD 13 flags=33 <br>Которые свидетельствуют о том что, запрос идет напрямую, как от браузера.<br>Если я делаю перенаправление на 3130 (не intercept порт) то трафик начинает ходить,но в логах squid все запросы от шлюза.<br>Я вангую, что у меня криво настроенные правила маршрутизации на шлюзе, но ничего лучше я придумать не смог, и да я видел мануал по настройке через маркировку пакетов https://wiki.squid-cache.org/ConfigExamples/Intercept/IptablesPolicyRoute[/ul], но я его не осилил.<br><br>squid на openwrt ставить не получится, потому что в дальнешем планируется использование прозрачного https без подмены серти squid intercept и шлюз openwrt (Caesar Irod) https://opennet.me/openforum/vsluhforumID12/7350.html#1 Sat, 28 Dec 2019 21:10:17 GMT Победа, все работает squid пересобран с поддержкой peek/splice<br>Так же, на проксе живет nginx на тех же портах<br> <br>на шлюзе<br>[code]<br>#!/bin/ash<br>PROXY_IP=192.168.174.2<br>RT_TABLE=/etc/iproute2/rt_tables<br>CLIENT_IFACE=br-lan<br>FW_MARK=33<br> <br>ADD_TABLE=`cat ${RT_TABLE} &#124; grep '^200 proxy$' &#124; wc -l`<br>if [ ${ADD_TABLE} = 0 ]; then<br> echo '200 proxy' &gt;&gt; ${RT_TABLE}<br>fi<br> <br>iptables -t mangle -A PREROUTING -j ACCEPT -p tcp -m multiport --dports 80,443 -s ${PROXY_IP}<br>iptables -t mangle -A PREROUTING -j MARK --set-mark ${FW_MARK} -p tcp -m multiport --dports 80,443<br>ip rule del fwmark ${FW_MARK}<br>ip rule add fwmark ${FW_MARK} table proxy<br>ip route add default via ${PROXY_IP} dev br-lan table proxy<br>[/code]<br> <br>На проксе<br>[code]<br>iptables -A PREROUTING -t nat -i ens2 -p tcp --dport 80 ! -d 192.168.174.2 -j REDIRECT --to-port 3128<br>iptables -A PREROUTING -t nat -i ens2 -p tcp --dport 443 ! -d 192.168.174.2 -j REDIRECT --to-port 3129<br>[/code]<br>