> порту 3128. На дебиане с адресом 192.16.1.101 установил squid и прописал
> ему минимальный конфиг по образцу из форума,

Не надо пользоваться образцами с форумов. У сквида свой минимальный рабочий хорошо документированный конфиг.

> при запуске в терминале пишет:
> апр 18 13:10:23 debian squid[3734]: FATAL: Bungled /etc/squid/squid.conf line 7:
> Подскажите в чем может быть проблема? У самого знаний пока не хватает

Ну и каких знаний тебе не хватает? Русским английским языком написано, что напортачено в 7 строке твоего "по образцу из форума". Смотри и ищи что не так.

Гадать по копипасте копипасты тут никто не будет. Сноси свои "по образцу", бери то, что в комплекте со сквидом, приводи в порядок под себя.

Удалось запустить squd, но access.log пустой

root@debian:/etc/squid# systemctl status squid.service
● squid.service - LSB: Squid HTTP Proxy version 3.x
   Loaded: loaded (/etc/init.d/squid; generated; vendor preset: enabled)
   Active: active (running) since Thu 2019-04-18 15:11:55 +07; 26min ago
     Docs: man:systemd-sysv-generator(8)
  Process: 6420 ExecStart=/etc/init.d/squid start (code=exited, status=0/SUCCESS)
Main PID: 6058 (squid)
    Tasks: 0 (limit: 4915)
   CGroup: /system.slice/squid.service
           ‣ 6058 (squid-1) -f /etc/squid/squid.conf -d 9

апр 18 15:11:55 debian systemd[1]: Starting LSB: Squid HTTP Proxy version 3.x...
апр 18 15:11:55 debian squid[6420]: Starting Squid HTTP Proxy: squid failed!
апр 18 15:11:55 debian systemd[1]: squid.service: Supervising process 6058 which is
апр 18 15:11:55 debian systemd[1]: Started LSB: Squid HTTP Proxy version 3.x

Порт вроде тоже правильный:root@debian:~# netstat -nap|grep 3128
tcp6       0      0 :::3128                 :::*                    LISTEN      6058/(squid-1)      
tcp6       0      0 192.168.1.101:3128      192.168.1.1:64849       TIME_WAIT   -                  
tcp6       0      0 192.168.1.101:3128      192.168.1.1:64853       TIME_WAIT   -                  
tcp6       0      0 192.168.1.101:3128      192.168.1.1:64851       TIME_WAIT   -                  
tcp6       0      0 192.168.1.101:3128      192.168.1.1:64852       TIME_WAIT

В микротике воспользовался sniffer и вот что он выдал:
/tool sniffer quick interface=bridge_main ip-protocol=tcp  port  3128  ip-address 192.168.1.101
INT     TIME    NUM DI SRC-MAC           DST-MAC           VLAN   SRC-ADDRESS                         DST-ADDRESS                         PROTOCOL   SIZE
bri    9.717     61 -> 64:D1:54:F1:D2:8D 4C:72:B9:AA:21:6E        192.168.1.253:49426                 192.168.1.101:3128 (squid)          ip:tcp       66
bri    9.717     62 -> 64:D1:54:F1:D2:8D 58:00:E3:FE:01:81        192.168.1.101:3128 (squid)          192.168.1.253:49426                 ip:tcp       66
bri     9.72     63 -> 64:D1:54:F1:D2:8D 4C:72:B9:AA:21:6E        192.168.1.253:49426                 192.168.1.101:3128 (squid)          ip:tcp       54
bri     9.72     64 -> 64:D1:54:F1:D2:8D 4C:72:B9:AA:21:6E        192.168.1.253:49426                 192.168.1.101:3128 (squid)          ip:tcp      182
bri     9.72     65 -> 64:D1:54:F1:D2:8D 58:00:E3:FE:01:81        192.168.1.101:3128 (squid)          192.168.1.253:49426                 ip:tcp       54
bri     9.72     66 -> 64:D1:54:F1:D2:8D 58:00:E3:FE:01:81        192.168.1.101:3128 (squid)          192.168.1.253:49426                 ip:tcp       54
bri    9.723     67 -> 64:D1:54:F1:D2:8D 4C:72:B9:AA:21:6E        192.168.1.253:49426                 192.168.1.101:3128 (squid)          ip:tcp       54
bri    9.723     68 -> 64:D1:54:F1:D2:8D 4C:72:B9:AA:21:6E        192.168.1.253:49426                 192.168.1.101:3128 (squid)          ip:tcp       54
bri    9.723     69 -> 64:D1:54:F1:D2:8D 4C:72:B9:AA:21:6E        192.168.1.253:49426                 192.168.1.101:3128 (squid)          ip:tcp       54
bri    9.723     70 -> 64:D1:54:F1:D2:8D 58:00:E3:FE:01:81        192.168.1.101:3128 (squid)          192.168.1.253:49426                 ip:tcp       54
bri    9.729     71 -> 64:D1:54:F1:D2:8D 4C:72:B9:AA:21:6E        192.168.1.253:49427                 192.168.1.101:3128 (squid)          ip:tcp       66
bri    9.729     72 -> 64:D1:54:F1:D2:8D 58:00:E3:FE:01:81        192.168.1.101:3128 (squid)          192.168.1.253:49427                 ip:tcp       66
bri    9.733     73 -> 64:D1:54:F1:D2:8D 4C:72:B9:AA:21:6E        192.168.1.253:49427                 192.168.1.101:3128 (squid)          ip:tcp       54
bri    9.733     74 -> 64:D1:54:F1:D2:8D 4C:72:B9:AA:21:6E        192.168.1.253:49427                 192.168.1.101:3128 (squid)          ip:tcp      626
bri    9.733     75 -> 64:D

Ответа от squida получается нет

>[оверквотинг удален]
> acl Safe_ports port 488 # gss-http
> acl Safe_ports port 591 # filemaker
> acl Safe_ports port 777 # multiling http
> acl CONNECT method
> Права на файл:
> root@debian:/etc/squid# ls -l
> итого 8
> -rwxr-xr-x 1 root root 1817 фев 12  2018 errorpage.css
> -rwxr-xr-x 1 root root  552 апр 17 21:15 squid.conf
> Подскажите в чем может быть проблема? У самого знаний пока не хватает

http_access allow officenet
officenet - это имя акля который в конфиге не описан. Т.о. добавим

acl officenet src xxx.xxx.xxx.xxx (например 192.168.2.0/24)

> Squid Cache: Version 4.10
> Service Name: squid
> configure options:  '--enable-arp-acl' '--prefix=/home/squid' --enable-ltdl-convenience

Чисто только по MAC сделать авторизацию можно. Но тебе не об этом надо думать.

> и еще вопрос:
> какой пакет дополнений поставить http://www1.ngtech.co.il/repo/centos/7/beta/x86_64/
> и как если ./configure --enable-arp-acl --prefix=/home/squid  папка

Тебе шизофазию никогда не диагностировали?

Хоть логи бы показал.

> На сайте https://otpravka.pochta.ru/ при авторизации выходит сообщение "вход в систему
> на вашем устройстве блокируется google captcha. вход недоступен"
> Как настроить squid чтоб капча не блокировалась?

Как обычно. Вернуть конфиг по умолчанию, внести минимальные правки под свои реалии, убедиться, что на нем все работает. Не включать/изменять опции, назначения которых не понимаешь.

> url_rewrite_program /usr/local/rejik3/redirector /usr/local/rejik3/redirector.conf

Вы вообще в курсе, что подключаете и зачем?

> Помогите нубу)). Имеется две сетевые карты, "rе0" смотрит в сторону интернета и
> получает настройки по DHCP, вторая, "rl0"c адресом 192.168.188.2   смотрит в
> сторону сети и должна связать и раздавать интернет 192.168.188.0/24, 192.168.189.0/24,
> 192.168.190.0/24, 192.168.191.0/24, 192.168.192.0/24.
> Каким образом всё это завязать через SQUID?
> и это всё должно обрабатываться фаерволом...

Для раздачи интернета пользовался вот этой инструкцией

https://marvins.ru/administrirovanie/shlyuz-na-freebsd.html

> Помогите нубу)). Имеется две сетевые карты, "rе0" смотрит в сторону интернета и
> получает настройки по DHCP, вторая, "rl0"c адресом 192.168.188.2   смотрит в
> сторону сети и должна связать и раздавать интернет 192.168.188.0/24, 192.168.189.0/24,
> 192.168.190.0/24, 192.168.191.0/24, 192.168.192.0/24.
> Каким образом всё это завязать через SQUID?
> и это всё должно обрабатываться фаерволом...

А squid то зачем, статистику собирать? Возьмите pfSense да поставьте, из-за вашего вопроса я подозреваю относительно низкую вашу квалификацию, поэтому и предлагаю эту сборку freebsd... Вам же работать надо, а не шашечки возить...

> При переходе на другого провайдера твориться непонятно что. До меня система настраивалась
> кем то другим. В общем что происходит, у клиентов есть интернет,

+ squid - работает

> но через консоль нет пинга в инет. Так же перестаёт работать
> nylon. куда копать?

Сюда -
ipf + ipnat

>[оверквотинг удален]
> $logpath            
>  ="/var/log/squid";
> #path to `ip2name` folder
> $ip2namepath         ="/var/www/html/lightsquid/ip2name";
> $graphreport=0;
> Далее запускаю проверку командой ./check-setup.pl после чего он пишет:
> root@debian:/var/www/lightsquid# ./check-setup.pl
> LightSquid Config Checker, (c) 2005-9 Sergey Erokhin GNU GPL
> can't access to lightsquid.cfg !!
> Скажите что я делаю неправильно?

Читаешь неправильно, вот это для кого написано  -> > can't access to lightsquid.cfg !!

> Apache:
> <Directory /var/www/lightsquid>
> AddHandler cgi-script .cgi
> AllowOverride All
> </Directory>

и
> LightSquid:
> #path to additional `cfg` files
> $cfgpath            
>  ="/var/www/html/lightsquid";

может тут html лишнее?

> can't access to lightsquid.cfg !!

не может найти конфиг файла

Еще нашел такую статью на хабре: https://habr.com/ru/sandbox/34354/
Из описания:
>[оверквотинг удален]
> acl is_site3 hdr_dom(host) -i site3
> acl is_cdn hdr_dom(host) -i cdn
> acl is_cdnt hdr_dom(host) -i cdnt
> acl is_site4 hdr_dom(host) -i site4
> use_backend site1_cluster1 if is_site1
> use_backend site2_cluster1 if is_site2
> use_backend site3_cluster1 if is_site3
> use_backend cdn_cluster1 if is_cdn
> use_backend cdnt_cluster1 if is_cdnt
> use_backend site4_cluster1 if is_site4

Понимаю, что при условии(сейчас на свою ситуацию примастырю), что если обращение идет на domain.ru, то грубо говоря, отработает строчка acl is_site1 hdr_dom(host) -i domain.ru и как итог выберется backend site1_cluster: use_backend site1_cluster1 if is_site1
Ну а дальше в разделе backend я прописываю нужно сервера.
Другими словами, я все проверки провожу в разделе frontend, где разбираю какой хост используется и направляю на нужный backend.
Или это работать будет только  http трафиком, так как там в запросе указывается имя домена. При SMTP сначала идет приветствие helo mail.server.ru. к серверу, который указан в mx-записи dns
или возможно прописать smtpchk HELO mail.domain.ru; и для каждого из доменов прописываться свой MX?

Отправка должна работать для обоих доменов?
Я бы договорился с провайдером чтобы получить еще один IP для второго домена
Тогда все будет просто

или же правильную конфигурацию майл сервера для работы с несколькими доменами

> Нужно, чтобы входящие письма для домена domain.ru переправлялись на "сервер1", а для
> example.com на "сервер2".

В почтовом сервере sendmail это делается несколькими строчками.
Еще как вариант, использовать procmail-fetchmail.

# for LightSquid
logformat squid %ts.%03tu %6tr %>a %Ss/%03>Hs %st %rm %ru %un %Sh/%<a %mt

Конфиги
/etc/dansguardian/dansguardian.conf

reportinglevel = 3
languagedir = '/etc/dansguardian/languages'
language = 'russian-koi8-r'
loglevel = 2
logexceptionhits = 2
logfileformat = 1
filterip = 172.16.6.10
filterport = 8081
proxyip = 127.0.0.1
proxyport = 3128
accessdeniedaddress = 'http://YOURSERVER.YOURDOMAIN/cgi-bin/dansguardian.pl'
nonstandarddelimiter = on
usecustombannedimage = on
custombannedimagefile = '/usr/share/dansguardian/transparent1x1.gif'
filtergroups = 1
filtergroupslist = '/etc/dansguardian/lists/filtergroupslist'
bannediplist = '/etc/dansguardian/lists/bannediplist'
exceptioniplist = '/etc/dansguardian/lists/exceptioniplist'
showweightedfound = on
weightedphrasemode = 2
urlcachenumber = 1000
urlcacheage = 900
scancleancache = on
phrasefiltermode = 2
preservecase = 0
hexdecodecontent = off
forcequicksearch = off
reverseaddresslookups = off
reverseclientiplookups = off
logclienthostnames = off
createlistcachefiles = on
maxuploadsize = -1
maxcontentfiltersize = 256
maxcontentramcachescansize = 2000
maxcontentfilecachescansize = 20000
filecachedir = '/tmp'
deletedownloadedtempfiles = on
initialtrickledelay = 20
trickledelay = 10
downloadmanager = '/etc/dansguardian/downloadmanagers/fancy.conf'
downloadmanager = '/etc/dansguardian/downloadmanagers/default.conf'
contentscanner = '/etc/dansguardian/contentscanners/clamav.conf'
contentscannertimeout = 60
contentscanexceptions = off
recheckreplacedurls = off
forwardedfor = off
usexforwardedfor = off
logconnectionhandlingerrors = on
logchildprocesshandling = off
maxchildren = 120
minchildren = 8
minsparechildren = 4
preforkchildren = 6
maxsparechildren = 32
maxagechildren = 500
maxips = 0
ipcfilename = '/tmp/.dguardianipc'
urlipcfilename = '/tmp/.dguardianurlipc'
ipipcfilename = '/tmp/.dguardianipipc'
nodaemon = off
nologger = off
logadblocks = off
loguseragent = off
softrestart = off
mailer = '/usr/sbin/sendmail -t'

/etc/squid3/squid.conf

acl manager proto cache_object
acl localhost src 127.0.0.1/32 ::1
acl to_localhost dst 127.0.0.0/8 0.0.0.0/32 ::1
acl SSL_ports port 443
acl Safe_ports port 80        # http
acl Safe_ports port 21        # ftp
acl Safe_ports port 443        # https
acl Safe_ports port 70        # gopher
acl Safe_ports port 210        # wais
acl Safe_ports port 1025-65535    # unregistered ports
acl Safe_ports port 280        # http-mgmt
acl Safe_ports port 488        # gss-http
acl Safe_ports port 591        # filemaker
acl Safe_ports port 777        # multiling http
acl CONNECT method CONNECT
http_access allow manager localhost
http_access deny manager
http_access deny !Safe_ports
http_access deny CONNECT !SSL_ports
http_access allow localhost
http_access deny all
http_port 3128
coredump_dir /var/spool/squid3
 url_rewrite_program /usr/sbin/redir.pl
 url_rewrite_children 10
refresh_pattern ^ftp:        1440    20%    10080
refresh_pattern ^gopher:    1440    0%    1440
refresh_pattern -i (/cgi-bin/|\?) 0    0%    0
refresh_pattern (Release|Packages(.gz)*)$      0       20%     2880
refresh_pattern .        0    20%    4320

> Здравствуйте, уважаемые любители *nix систем.
> Есть сеть, некоторым пользователям которой нужно иметь возможность работать с сайтом www.ach.gov.ru
> Доступ к интернету осуществляется через прокси-сервер Squid 3.x

Может фигней страдают - блокируют доступ через прокси.
Если есть где потестировать - удалите на сквиде заголовки, позволяющие определить использование прокси (via и т.п.).

> Такая беда наблюдается на трех разных прокси-серверах. При прямом доступе в обход
> прокси все работает. Буду благодарен за информацию о том, наблюдается ли
> такая же проблема у вас и за любые идеи по поводу
> того, куда копать.

У меня наблюдается то же самое, подтверждаю. Squid 3.4. Без прокси работает.

> http_port 3128

transparent или intercept не хватает в http_port после указанного порта

> Как заставить сардж писать в нужный мне каталог?

man sarg, очевидно, прочитать...

-o dir
    Writes report in dir.

> global
>         debug

Среди прочего этим ты запретил fork, так что работает только один процесс.

>         server        s1 srv17:7100
>         server        s2 srv17:7102
>         server        s3 srv18:7100
>         server        s4 srv18:7102

Выглядит как-то подозрительно - разные порты одного сервера включены в roundrobin. Ты действительно этого хотел?

> Что сделать, чтобы было больше информации в логе?

Убери debug из global и запусти вручную в консоли haproxy -d

> если на винде прописываю шлюз - 109.0.0.110, то все работает, без правил
> файервола, но надо настроить что бы работало через роутер - 109.0.0.1

Ну так на роутере и смотрите port forwarding...

> прописал

Где прописал? На сквиде, на роутере - раскрасьте сами...

> в чем может быть проблема?

В роутере, очевидно, раз без него все работает как надо...

по tcpdump вижу что пакеты проходят на прокси, т.е. правила файервола работают, но почему он отдает 403, если в конфиге
acl localnet src 109.0.0.0/24
http_access allow localnet
разрешена сеть

при добавлении правил на роутере

iptables -t nat -I PREROUTING -i eth0 -s 109.0.0.8 -p tcp --dport 80 -j DNAT --to 109.0.0.110:3128
iptables -t nat -I PREROUTING -i eth0 -s 109.0.0.8 -p tcp --dport 443 -j DNAT --to 109.0.0.110:3129
iptables -t nat -I POSTROUTING -o eth0 -s 109.0.0.8 -d 109.0.0.110 -j SNAT --to 109.0.0.1

правила на прокси сервере

*nat
:PREROUTING ACCEPT [314:20555]
:INPUT ACCEPT [313:20511]
:OUTPUT ACCEPT [844:60999]
:POSTROUTING ACCEPT [2:130]
-A PREROUTING -s 109.0.0.0/24 -p tcp -m tcp --dport 443 -j REDIRECT --to-ports 3129
-A PREROUTING -s 109.0.0.0/24 -p tcp -m tcp --dport 80 -j REDIRECT --to-ports 3128
-A PREROUTING -s 192.168.10.0/24 -p tcp -m tcp --dport 443 -j REDIRECT --to-ports 3129
-A PREROUTING -s 192.168.10.0/24 -p tcp -m tcp --dport 80 -j REDIRECT --to-ports 3128
-A PREROUTING -s 192.168.1.0/24 -p tcp -m tcp --dport 443 -j REDIRECT --to-ports 3129
-A PREROUTING -s 192.168.1.0/24 -p tcp -m tcp --dport 80 -j REDIRECT --to-ports 3128
-A POSTROUTING -s 109.0.0.0/24 -j SNAT --to-source 109.0.0.110
-A POSTROUTING -s 192.168.10.0/24 -j SNAT --to-source 109.0.0.110
-A POSTROUTING -s 192.168.1.0/24 -j SNAT --to-source 109.0.0.110
COMMIT
*filter
:INPUT ACCEPT [340:18626]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [1809:273786]
-A INPUT -i lo -j ACCEPT
-A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
-A INPUT -s 109.0.0.0/24 -j ACCEPT
-A INPUT -s 192.168.1.0/24 -j ACCEPT
-A INPUT -s 192.168.10.0/24 -j ACCEPT
-A INPUT -j LOG
-A INPUT -p tcp -m multiport --dports 3128:3130 -j DROP
-A FORWARD -s 109.0.0.0/24 -p udp -m multiport --dports 80,443 -j DROP
COMMIT

при открытии на винде какого-нибудь сайта по http, в cache.log

kid1| WARNING: Forwarding loop detected for:
GET / HTTP/1.1^M
Upgrade-Insecure-Requests: 1^M
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/71.0.3578.98 Safari/537.36^M
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/webp,image/apng,*/*;q=0.8^M
Accept-Encoding: gzip, deflate^M
Accept-Language: ru-RU,ru;q=0.9,en-US;q=0.8,en;q=0.7^M
Via: 1.1 proxy.server (squid/3.5.27)^M
X-Forwarded-For: 109.0.0.1^M
Cache-Control: max-age=259200^M
Connection: keep-alive^M
Host: myip.ru^M
^M
kid1| WARNING: Forwarding loop detected for:
GET /favicon.ico HTTP/1.1^M
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/71.0.3578.98 Safari/537.36^M
Accept: image/webp,image/apng,image/*,*/*;q=0.8^M
Referer: http://myip.ru/^M
Accept-Encoding: gzip, deflate^M
Accept-Language: ru-RU,ru;q=0.9,en-US;q=0.8,en;q=0.7^M
Via: 1.1 proxy.server (squid/3.5.27)^M
X-Forwarded-For: 109.0.0.1^M
Cache-Control: max-age=259200^M
Connection: keep-alive^M
Host: myip.ru^M

в access.log

1546711344.892      0 109.0.0.110 TCP_MISS/403 4514 GET http://myip.ru/ - HIER_NONE/- text/html
1546711344.893      0 109.0.0.1 TCP_MISS/403 4634 GET http://myip.ru/ - ORIGINAL_DST/109.0.0.110 text/html
1546711344.913      0 109.0.0.110 TCP_MISS/403 4479 GET http://myip.ru/favicon.ico - HIER_NONE/- text/html
1546711344.913      0 109.0.0.1 TCP_MISS/403 4599 GET http://myip.ru/favicon.ico - ORIGINAL_DST/109.0.0.110 text/html

> WARNING: Forwarding loop detected for

из-за чего это может быть? и как это можно исправить, что бы все заработало

>[оверквотинг удален]
> answer ALLOWED for match
> Здесь интересно то, что фильтр находит совпадения ip с acl подсети,но не
> находит совпадения ip если указан конкретный ip адрес.
> Если есть мудрые люди, подскажите, почему не срабатывает правило http_access allow full_access
> ?
> И почему в логах вот это: 2018/11/19 11:15:21.693 kid1| 28,9| Ip.cc(96) aclIpAddrNetworkCompare:
> aclIpAddrNetworkCompare: compare: 192.168.1.124:41924/[ffff:ffff:ffff:ffff:ffff:ffff:ffff:ffff]
> (192.168.1.124:41924)  vs 192.169.1.124-[::]/[ffff:ffff:ffff:ffff:ffff:ffff:ffff:ffff]
> 2018/11/19 11:15:21.693 kid1| 28,3| Ip.cc(538) match: aclIpMatchIp: '192.168.1.124:41924'
> NOT found

проблему нашёл. Невнимательность в написании адреса. ПРоблемы в головах, столько времени убито впустую.

> в чем у них разница?

Подглядывание "простое" и "продвинутое".

peek позволяет "подсмотреть" всю доступную информацию о соединении, не заглядывая внутрь. После применения peek на следующем шаге уже нельзя "влезть" (bump) в соединение.

stare также позволяет "подсмотреть" всю доступную информацию о соединении, не заглядывая внутрь, но при этом сохраняется возможность бампинга на следующем шаге.

> В каком случае применять одна, а в каком другое.

АХЗ. Документация крайне скудна, на практике обычно только splice/bump используется. Остальное для каких-то хитро[cencored] случаев может пригодиться, не сталкивался...

> был недоступен в определенное время. Все вроде сделал aclки времени и
> хотел спросить может кто нибудь сталкивался и решал данную проблему?

Британские учОные сталкивались, изучали.
https://life.ru/t/%D0%B2%D0%B0%D1&#...

посуду помыла?
как помоешь почитай маны

нельзя так
надо каждый интерфейс отдельной строчкой, в iptables нет логики OR

> Попробовала так, не получается...
> iptables -t nat -A PREROUTING -i $LAN,$LAN2,$LAN3 -p tcp --dport $HTTP  
> -j REDIRECT --to-port $SQUIDH
> iptables -t nat -A PREROUTING -i $LAN,$LAN2,$LAN3 -p tcp --dport $HTTPS -j
> REDIRECT --to-port $SQUIDS
> Спасибо!!!

for iface in $LAN $LAN2 $LAN3; do
    iptables -t nat -A PREROUTING -i ${iface} -p tcp --dport $HTTP -j REDIRECT --to-port $SQUID
    iptables -t nat -A PREROUTING -i ${iface} -p tcp --dport $HTTPS -j REDIRECT --to-port $SQUIDS
done

> Ребят как прописать

прописка ребят обычно в профильных сервисах делается (УФМС, МФЦ, пасп.стол)

Конфиг по кускам подергал с разных хау-ту, что ли?

Выкинь из конфигурации все про прозрачный прокси. Не получится у тебя пока по-человечески скрестить ежа с ужом. Бампинг в 3.5 тоже через задницу работает. Так что оставь только http_port 3128, или переходи на 4 сквид, но там сейчас других косяков хватает.

И вместо
www.mult.ru
www.securitylab.ru

пиши
.mult.ru
.securitylab.ru

т.е. домен со всеми поддоменами.

Вопрос снят, пересобрал squid еще раз с теми же параметрами и все заработало... Чудеса...

>[оверквотинг удален]
> squidguard использовать не предлагать, должно же и так работать. Что я
> пропустил?
> squid -v
> Squid Cache: Version 3.5.28
> Service Name: squid
> This binary uses OpenSSL 1.0.2n  7 Dec 2017. For legal restrictions
> on distribution see https://www.openssl.org/source/license.html
> configure options:  '--prefix=/opt/squid' '--with-large-files' '--enable-ssl' '--enable-ssl-crtd'
> '--enable-ltdl-convenienc' '--enable-auth-negotiate=kerberos,wrapper' '--enable-icap-client'
> '--with-openssl=/opt/openssl-1.0.2p' '--enable-http-violations' --enable-ltdl-convenience

> Привет!
> Ребята постоянно в логах пишет:

В каких логах и какая ОС?

> Привет!
> Ребята постоянно в логах пишет:
> 2018/10/08 18:08:27 kid1| SECURITY ALERT: Host header forgery detected on local=52.109.12.24:443
> remote=192.168.0.239:59891 FD 73 flags=33$
> 2018/10/08 18:08:27 kid1| SECURITY ALERT: on URL: nexus.officeapps.live.com:443
> C чем это связанно ?

Со сквидом!?

https://wiki.squid-cache.org/KnowledgeBase/HostHeaderForgery
. . https://duckduckgo.com/?q=SECURITY+ALERT:+Host+header+forger...

> Из домашней сети пингуется внешний интерфейс eth0. То есть, пакеты из домашней
> сети форвардятся через компьютер на интерфейс, где подключение провайдера. Дальше не
> идут. Как пробросить их дальше?
> Помогите, кто знаком с ситуацией!!!

Никак. Провайдер не пропустит пакеты с не своим адресом дальше 1 маршрутизатора.
Чем Вы будите "подменять" IP, если не iptables/proxy?
ну можете конечно вручную прям в сетевом стеке каждый пакетик править.

net.ipv4.ip_forward - лишь разрешает перекидывание пакетов с 1 интерфейса на другой.

/sbin/iptables -t filter -P INPUT ACCEPT
/sbin/iptables -t filter -P FORWARD ACCEPT
/sbin/iptables -t filter -P OUTPUT ACCEPT
/sbin/iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE
echo 1 > /proc/sys/net/ipv4/ip_forward

> Есть компьютер с двумя сетевыми интерфейсами - eth0, eth1.
> На eth0 прямое подключение провайдера.
> На eth1 домашняя сеть.
> Возможно ли с помощью sysctl -w net.ipv4.ip_forward=1 и route add пробрасывать все
> пакеты из домашней сети в интернет и обратно без установки squid
> и iptabes, nftables?
> Из домашней сети пингуется внешний интерфейс eth0. То есть, пакеты из домашней
> сети форвардятся через компьютер на интерфейс, где подключение провайдера. Дальше не
> идут. Как пробросить их дальше?
> Помогите, кто знаком с ситуацией!!!

Это такая задачка на прием сетевым инженером в домового говнопровадера?

Да, возможно если провайдер выделил на вас белую подсеть.

> Маленькая компания, на компьютере-шлюзе установлена Windows, на ней Squid 2.7

                     ^
     (но очень гордая
и не бедная (но это не точно )))

> Всё-таки Total Commander - это программный продукт shareware и в идеале необходимо
> приобретать лицензию, а в условиях кризиса сами понимаете...

Windows тоже стоит денег, а что, на Total Commander средств уже не хватило?
Дорогой получается этот Windows, однако.
Ах, да, простите, кризис же!

FAR Manager не поможет? (а! извините - консоль вам ни под каким соусом ни-ни? (( )

эх, эти синие окошечки, волков, нортон командир - ностальжи..

ps FreeCommander

squid - это в первую очередь http-proxy. ftp-приблуды к нему это костыли.
с вашей виндой на шлюзе... нет, вы идите! идите и ставьте заразу. в смысле 3proxy. а вот с ней всяких разных виндовых клиентов и подружите.

> Маленькая компания, на компьютере-шлюзе установлена Windows, на ней Squid 2.7

Хотел поглумиться, но выше уже это сделали...

> Было мнение, что это дохлый номер и даже великий FileZilla тут бессилен,
> не говоря уж о других.

Неправда ваша.

FileZilla прекрасно работает через сквид.

Настройки -Базовый прокси -указываем тот способ что у сам понимает сквид ("HTTP/1.1 используя метод connect") если вы его конечно настроили чтобы он понимал connect :)

В настройках сайта пишем тип входа- нормальный
Все работает.

> Нужно поднять прокси сервер, который бы распределял соединения по другим прокси на
> основе запрашиваемого домена.
> Как такое реализовать?

http://www.squid-cache.org/Doc/config/cache_peer/
http://www.squid-cache.org/Doc/config/cache_peer_access/

> 2018/06/01 18:20:51 kid1| Set Current Directory to /var/squid/cache
> 2018/06/01 18:20:51 kid1| Creating missing swap directories
> FATAL: Failed to make swap directory /cache/dir: (13) Permission denied

У юзера, под которым запускается сквид, не хватает прав, чтобы писать в заданный каталог кэша...

/cache/dir вообще существует? Права на него какие выставлены, кто хозяин?

Замените
cache_dir ufs /cache/dir 41472 32 512

на

cache_dir ufs /var/squid/cache 41472 32 512

> cache_dir ufs /cache/dir 41472 32 512

А не многовато 41 гиг давать под дисковый кэш? Сквид будет тратить много времени на поиск в индексах. В наше время безлимитных трафиков дисковый кэш вообще отключают ибо, как показывает практика, эффективность его низкая, у меня было не более 6%.

>[оверквотинг удален]
> iptables -t nat -A PREROUTING -p tcp --dport 80 -j DNAT --to-destination
> 192.168.121.151:8081
> iptables -t nat -A PREROUTING -p tcp --dport 8080 -j DNAT --to-destination
> 192.168.121.151:8081
> iptables -t nat -A POSTROUTING -j MASQUERADE
> все пользователи сразу идут через dansguardian, без необходимости прописывания на каждом
> компе в настройках браузера прокси dansguarda, но проблема стала в следующем
> когда sarg формирует отчет за день он отображает только внешний интерфейс
> шлюза, т.е. вместо ip пользаков он отображает что шлюз на этих
> сайтах бывает.

потому что к squid обращается dansguarda

> Так же еще вопрос как запинать squid или sarg чтоб помимо сайтов
> считал скачкивание?

sarg оперирует размерами файлов указаных в логах squid и к чему относится этот файл ( к элементу сайта или это файл с обменника ) ему до пофиг
> Если нужен какой нить выхлоп говорите, выкину.

Не в коем случае не покупай, лучше деньги пропей

> Скомпилил squid3.4 с поддержкой SSL на Debian 8 для раскрытия ssl траффика
> Посоветуйте что, может купить сертификат, будет то же самое или нет?

Попробуй 4-й сквид. Там, по слухам, с ssl-bump дела получше обстоят. Бету в продакш, конечно, очково ставить, но хоть поймешь, стоит ли насиловать трешку, или подождать/рискнуть с четверкой.

Юsupport_ldap.cc(342): pid=399 :2018/05/23 10:43:34| kerberos_ldap_group: DEBUG: Search ldap server with bind path CN=Schema,CN=Configuration,DC=mtb,DC=minsk,DC=by and filter: (ldapdisplayname=samaccountname)
DC=mtb,DC=minsk,DC=by - это всё соответствует вашему домену в локали?

> непонятен смысл приведённой ошибки:

А где написано, что это ошибка?

В конфиг ещё допиши notifempty