Доброго дня!
Ситуация такая, был настроер прозрачный проксик:
по конфигам которые ниже, работал 3 дня замечательно! На 4 день народ стал жаловаться что инета нет!
начали смотреть, получается так что перенавравление пакетов перестало происходить! Если в браузере указать на прямую прокси то все работает! причем если указать прокси с 80 портом то тоже все хорошо (естественно для теста каментил строчку $IPTABLES -t mangle -A PREROUTING -p tcp --dport 3128 -j DROP)
Но если прокси убрать с байзера не работает :(
Помогите где искать ответ?Squid Version 3.0.STABLE7
конфиг прост:cache_effective_user squid
cache_effective_group squidhttp_port 10.0.1.1:3128 transparent
acl localnet src 10.0.1.0/24
http_access allow localnet
http_access deny allв IPTABLES следующие:
$IPTABLES -P INPUT ACCEPT
$IPTABLES -F INPUT
$IPTABLES -P OUTPUT ACCEPT
$IPTABLES -F OUTPUT
$IPTABLES -P FORWARD DROP
$IPTABLES -F FORWARD
$IPTABLES -t nat -F
$IPTABLES -t mangle -F$IPTABLES -A INPUT -i $EXTIF -p TCP --dport 21 -j DROP
$IPTABLES -A INPUT -i $EXTIF -p TCP --dport 110 -j DROP
$IPTABLES -A INPUT -i $EXTIF -p TCP --dport 111 -j DROP
$IPTABLES -A INPUT -i $EXTIF -p TCP --dport 135 -j DROP
$IPTABLES -A INPUT -i $EXTIF -p TCP --dport 139 -j DROP
$IPTABLES -A INPUT -i $EXTIF -p TCP --dport 443 -j DROP
$IPTABLES -A INPUT -i $EXTIF -p TCP --dport 953 -j DROP
$IPTABLES -A INPUT -i $EXTIF -p TCP --dport 2121 -j DROP
$IPTABLES -A INPUT -i $EXTIF -p TCP --dport 3000 -j DROP
$IPTABLES -A INPUT -i $EXTIF -p TCP --dport 3306 -j DROP
$IPTABLES -A INPUT -i $EXTIF -p TCP --dport 5335 -j DROP
$IPTABLES -A INPUT -i $EXTIF -p TCP --dport 9090 -j DROP
$IPTABLES -A INPUT -i $EXTIF -p TCP --dport 10000 -j DROP
$IPTABLES -A INPUT -i $EXTIF -p TCP --dport 10025 -j DROP
$IPTABLES -A INPUT -i $EXTIF -p TCP --dport 10026 -j DROP
$IPTABLES -A INPUT -i $EXTIF -p TCP --dport 32768 -j DROP
$IPTABLES -A INPUT -i $EXTIF -p TCP --dport 3128 -j DROP
$IPTABLES -t nat -A POSTROUTING -o $EXTIF -j MASQUERADE
$IPTABLES -t mangle -A PREROUTING -p tcp --dport 3128 -j DROP#==================== mail forward ========================#
$IPTABLES -A FORWARD -s 10.0.1.0/24 -p TCP --dport 110 -j ACCEPT
$IPTABLES -A FORWARD -s 10.0.1.0/24 -p TCP --dport 25 -j ACCEPT
$IPTABLES -A FORWARD -s 10.0.1.0/24 -p TCP --dport 53 -j ACCEPT
$IPTABLES -A FORWARD -s 10.0.1.0/24 -p UDP --dport 53 -j ACCEPT
$IPTABLES -A FORWARD -d 0/0 -p TCP --sport 110 -j ACCEPT
$IPTABLES -A FORWARD -d 0/0 -p TCP --sport 25 -j ACCEPT
$IPTABLES -A FORWARD -d 0/0 -p TCP --sport 53 -j ACCEPT
$IPTABLES -A FORWARD -d 0/0 -p UDP --sport 53 -j ACCEPT
#$IPTABLES -t nat -A PREROUTING -p TCP --dport 80 -s 10.0.1.0/24 -j REDIRECT --to-ports 3128
#$IPTABLES -A FORWARD -s 10.0.1.0/24 -j ACCEPTБыла подобныя тема - http://www.opennet.me/openforum/vsluhforumID12/3601.html но решения нет :(
iptables у тебя делает REDIRECT на порт 3128 интерфейса lo..короче в конфиг SQUID-а
добавь строчкуhttp_port 127.0.0.1:3128 transparent
>iptables у тебя делает REDIRECT на порт 3128 интерфейса lo..короче в конфиг
>SQUID-а
>добавь строчку
>
>http_port 127.0.0.1:3128 transparentситуация не меняется! прописар рестартанул, эфекта 0 :( прописывае есть не пропысываем нет! в браузере прокси! и ведь работало 3 дня то :(
>>iptables у тебя делает REDIRECT на порт 3128 интерфейса lo..короче в конфиг
>>SQUID-а
>>добавь строчку
>>
>>http_port 127.0.0.1:3128 transparent
>
>ситуация не меняется! прописар рестартанул, эфекта 0 :( прописывае есть не пропысываем
>нет! в браузере прокси! и ведь работало 3 дня то :(
>netstat -lpnt че пишеть??
>[оверквотинг удален]
>>>SQUID-а
>>>добавь строчку
>>>
>>>http_port 127.0.0.1:3128 transparent
>>
>>ситуация не меняется! прописар рестартанул, эфекта 0 :( прописывае есть не пропысываем
>>нет! в браузере прокси! и ведь работало 3 дня то :(
>>
>
>netstat -lpnt че пишеть??Active Internet connections (only servers)
Proto Recv-Q Send-Q Local Address Foreign Address State PID/Program name
tcp 0 0 0.0.0.0:111 0.0.0.0:* LISTEN 1693/rpcbind
tcp 0 0 0.0.0.0:5555 0.0.0.0:* LISTEN 2912/stargazer
tcp 0 0 127.0.0.1:3128 0.0.0.0:* LISTEN 3798/(squid)
tcp 0 0 :::80 :::* LISTEN 1908/httpd
tcp 0 0 :::22 :::* LISTEN 1876/sshd
tcp 0 0 :::443 :::* LISTEN 1908/httpd
>[оверквотинг удален]
>
> LISTEN
> 1876/sshd
>tcp 0
> 0 :::443
>
> :::*
>
> LISTEN
>1908/httpdНужно добавить было строку в squid а не менять, должно быть так...в твоем случае
http_port 10.0.1.1:3128 transparent
http_port 127.0.0.1:3128 transparentпопробуй....
>[оверквотинг удален]
>> LISTEN
>>1908/httpd
>
>Нужно добавить было строку в squid а не менять, должно быть так...в
>твоем случае
>
>http_port 10.0.1.1:3128 transparent
>http_port 127.0.0.1:3128 transparent
>
>попробуй....Active Internet connections (only servers)
Proto Recv-Q Send-Q Local Address Foreign Address State PID/Program name
tcp 0 0 0.0.0.0:111 0.0.0.0:* LISTEN 1693/rpcbind
tcp 0 0 0.0.0.0:5555 0.0.0.0:* LISTEN 2912/stargazer
tcp 0 0 127.0.0.1:3128 0.0.0.0:* LISTEN 4053/(squid)
tcp 0 0 10.0.1.1:3128 0.0.0.0:* LISTEN 4053/(squid)
tcp 0 0 :::80 :::* LISTEN 1908/httpd
tcp 0 0 :::22 :::* LISTEN 1876/sshd
tcp 0 0 :::443 :::* LISTEN 1908/httpdК сожалению ничего не поменялось!
>[оверквотинг удален]
> 1876/sshd
>tcp 0
> 0 :::443
>
> :::*
>
> LISTEN
>1908/httpd
>
>К сожалению ничего не поменялось!Только заметил....у Тя в файерволе ...вотенто правило зачем закоментировано??? раскоментить нуно
#$IPTABLES -t nat -A PREROUTING -p TCP --dport 80 -s 10.0.1.0/24 -j REDIRECT --to-ports 3128
>[оверквотинг удален]
>> :::*
>>
>> LISTEN
>>1908/httpd
>>
>>К сожалению ничего не поменялось!
>
>Только заметил....у Тя в файерволе ...вотенто правило зачем закоментировано??? раскоментить нуно
>#$IPTABLES -t nat -A PREROUTING -p TCP --dport 80 -s 10.0.1.0/24 -j
>REDIRECT --to-ports 3128это понятно! там просто у меня отдельный файл на разрешения! выглядит во:
#!/bin/sh
iptables -t nat -A PREROUTING -i eth1 -p TCP --dport 80 -s 10.0.1.63 -j REDIRECT --to-ports 3128
iptables -A FORWARD -s 10.0.1.63 -j ACCEPTпросто я не могу постаянно перегружать фильтр, народ отваливается с авторизаторов :) и матно ругается поэтому играюсь с доп файлом чтобы ручками не писать
>[оверквотинг удален]
>это понятно! там просто у меня отдельный файл на разрешения! выглядит
>во:
>#!/bin/sh
>iptables -t nat -A PREROUTING -i eth1 -p TCP --dport 80 -s
>10.0.1.63 -j REDIRECT --to-ports 3128
>iptables -A FORWARD -s 10.0.1.63 -j ACCEPT
>
>просто я не могу постаянно перегружать фильтр, народ отваливается с авторизаторов :)
> и матно ругается поэтому играюсь с доп файлом чтобы ручками
>не писатьА ты не пергружай, есть простые команда /sbin/iptables и в консоле все можно настроить.
Просто щас у тебя squid слушает порт 3128 на 2 интерфесах на 10.0.1.1 и на 127.0.0.1,
теперь туда должон прийти трафик который идет на твой проксяк по 80 порту из локальной сети поентому давай посмотрим а перепраляется трафик на порт 3128???/sbin/iptables -t nat -L PREROUTING -vn --line-numbers
набери и все будет видно
>/sbin/iptables -t nat -L PREROUTING -vn --line-numbers
>
>набери и все будет видновот 3 звпроса
Chain PREROUTING (policy ACCEPT 31184 packets, 2466K bytes)
num pkts bytes target prot opt in out source destination
1 24 1152 REDIRECT tcp -- eth1 * 10.0.1.63 0.0.0.0/0 tcp dpt:80 redir ports 3128Chain PREROUTING (policy ACCEPT 31235 packets, 2471K bytes)
num pkts bytes target prot opt in out source destination
1 24 1152 REDIRECT tcp -- eth1 * 10.0.1.63 0.0.0.0/0 tcp dpt:80 redir ports 3128Chain PREROUTING (policy ACCEPT 31323 packets, 2478K bytes)
num pkts bytes target prot opt in out source destination
1 24 1152 REDIRECT tcp -- eth1 * 10.0.1.63 0.0.0.0/0 tcp dpt:80 redir ports 3128
>[оверквотинг удален]
>Chain PREROUTING (policy ACCEPT 31323 packets, 2478K bytes)
>num pkts bytes target prot opt
>in out source
>
> destination
>1 24 1152 REDIRECT
> tcp -- eth1 *
> 10.0.1.63
> 0.0.0.0/0
> tcp dpt:80 redir ports 3128Ну...судя по счетчикам...пакеты идуть на 3128...значить идут но не доходят,
давай посмотрим цепочку INPUT,и OUTPUT/sbin/iptables -L INPUT -vn --line-numbers
/sbin/iptables -L OUTPUT -vn --line-numbers
>/sbin/iptables -L INPUT -vn --line-numbersChain INPUT (policy ACCEPT 113K packets, 16M bytes)
num pkts bytes target prot opt in out source destination
1 1 60 DROP tcp -- eth0 * 0.0.0.0/0 0.0.0.0/0 tcp dpt:21
2 0 0 DROP tcp -- eth0 * 0.0.0.0/0 0.0.0.0/0 tcp dpt:110
3 0 0 DROP tcp -- eth0 * 0.0.0.0/0 0.0.0.0/0 tcp dpt:111
4 0 0 DROP tcp -- eth0 * 0.0.0.0/0 0.0.0.0/0 tcp dpt:135
5 0 0 DROP tcp -- eth0 * 0.0.0.0/0 0.0.0.0/0 tcp dpt:139
6 0 0 DROP tcp -- eth0 * 0.0.0.0/0 0.0.0.0/0 tcp dpt:443
7 0 0 DROP tcp -- eth0 * 0.0.0.0/0 0.0.0.0/0 tcp dpt:953
8 0 0 DROP tcp -- eth0 * 0.0.0.0/0 0.0.0.0/0 tcp dpt:2121
9 0 0 DROP tcp -- eth0 * 0.0.0.0/0 0.0.0.0/0 tcp dpt:3000
10 0 0 DROP tcp -- eth0 * 0.0.0.0/0 0.0.0.0/0 tcp dpt:3306
11 0 0 DROP tcp -- eth0 * 0.0.0.0/0 0.0.0.0/0 tcp dpt:5335
12 0 0 DROP tcp -- eth0 * 0.0.0.0/0 0.0.0.0/0 tcp dpt:9090
13 1 48 DROP tcp -- eth0 * 0.0.0.0/0 0.0.0.0/0 tcp dpt:10000
14 0 0 DROP tcp -- eth0 * 0.0.0.0/0 0.0.0.0/0 tcp dpt:10025
15 0 0 DROP tcp -- eth0 * 0.0.0.0/0 0.0.0.0/0 tcp dpt:10026
16 0 0 DROP tcp -- eth0 * 0.0.0.0/0 0.0.0.0/0 tcp dpt:32768
17 0 0 DROP tcp -- eth0 * 0.0.0.0/0 0.0.0.0/0 tcp dpt:3128
18 0 0 ACCEPT tcp -- eth0 * 127.0.0.1 0.0.0.0/0 tcp dpt:22
19 0 0 ACCEPT tcp -- eth0 * 127.0.0.1 0.0.0.0/0 tcp dpt:5555
20 0 0 ACCEPT tcp -- eth0 * 127.0.0.1 0.0.0.0/0 tcp dpt:80
21 0 0 ACCEPT tcp -- eth0 * 10.0.1.0/24 0.0.0.0/0 tcp dpt:22
22 0 0 ACCEPT tcp -- eth0 * 10.0.1.0/24 0.0.0.0/0 tcp dpt:5555
23 0 0 ACCEPT tcp -- eth0 * 10.0.1.0/24 0.0.0.0/0 tcp dpt:80
24 0 0 DROP tcp -- eth0 * 0.0.0.0/0 0.0.0.0/0 tcp dpt:22
25 0 0 DROP tcp -- eth0 * 0.0.0.0/0 0.0.0.0/0 tcp dpt:5555
26 6 288 DROP tcp -- eth0 * 0.0.0.0/0 0.0.0.0/0 tcp dpt:80>/sbin/iptables -L OUTPUT -vn --line-numbers
Chain OUTPUT (policy ACCEPT 103K packets, 27M bytes)
num pkts bytes target prot opt in out source destination
тут все открыто правил нет!
>[оверквотинг удален]
>
>
>>/sbin/iptables -L OUTPUT -vn --line-numbers
>
>Chain OUTPUT (policy ACCEPT 103K packets, 27M bytes)
>num pkts bytes target prot opt
>in out source
>
> destination
>тут все открыто правил нет!а щас вот енто правило исть???
$IPTABLES -t mangle -A PREROUTING -p tcp --dport 3128 -j DROP/sbin/iptables -t mangle -L PREROUTING -vn --line-numbers
и ваще почаму Ты фильтруеш пакеты в таблице mangle енто не исть правильно
Chain PREROUTING (policy ACCEPT 432K packets, 118M bytes)
num pkts bytes target prot opt in out source destination
1 606 29088 DROP tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp dpt:3128
не я дела! а вот разгребать придется мне :)
>[оверквотинг удален]
> destination
>1 606 29088 DROP
> tcp -- *
> * 0.0.0.0/0
> 0.0.0.0/0
> tcp
>dpt:3128
>
>
>не я дела! а вот разгребать придется мне :)Убери эту цепочку из таблице mangle
/sbin/iptables -t mangle -D PREROUTING 1
>Убери эту цепочку из таблице mangle
>/sbin/iptables -t mangle -D PREROUTING 1закоментировал ребутнул, эфекта 0! :(
>
>>Убери эту цепочку из таблице mangle
>>/sbin/iptables -t mangle -D PREROUTING 1
>
>закоментировал ребутнул, эфекта 0! :(Послушай , а ты не можеш выложить все настройки своего файервола???
cat /etc/sysconfig/iptables или как тама у тебя....
а то вот так кусками .....как-то мож че упустили из вида.....
впринципе должон ужо работать, у меня-же работает, и еще в нескольких местах работает....
>[оверквотинг удален]
>>>Убери эту цепочку из таблице mangle
>>>/sbin/iptables -t mangle -D PREROUTING 1
>>
>>закоментировал ребутнул, эфекта 0! :(
>
>Послушай , а ты не можеш выложить все настройки своего файервола???
>cat /etc/sysconfig/iptables или как тама у тебя....
>а то вот так кусками .....как-то мож че упустили из вида.....
>впринципе должон ужо работать, у меня-же работает, и еще в нескольких местах
>работает....у него через скрипт, так что лучше iptables-save показывайте
А ну да тогда так/sbin/iptables-save
в студию ....
>А ну да тогда так
>
>/sbin/iptables-save
>
>в студию ....не вопрос!
# Generated by iptables-save v1.3.8 on Mon Jul 14 17:53:40 2008
*filter
:INPUT ACCEPT [93239:9342218]
:FORWARD DROP [1237:61616]
:OUTPUT ACCEPT [71795:13795705]
-A INPUT -i eth0 -p tcp -m tcp --dport 21 -j DROP
-A INPUT -i eth0 -p tcp -m tcp --dport 110 -j DROP
-A INPUT -i eth0 -p tcp -m tcp --dport 111 -j DROP
-A INPUT -i eth0 -p tcp -m tcp --dport 135 -j DROP
-A INPUT -i eth0 -p tcp -m tcp --dport 139 -j DROP
-A INPUT -i eth0 -p tcp -m tcp --dport 443 -j DROP
-A INPUT -i eth0 -p tcp -m tcp --dport 953 -j DROP
-A INPUT -i eth0 -p tcp -m tcp --dport 2121 -j DROP
-A INPUT -i eth0 -p tcp -m tcp --dport 3000 -j DROP
-A INPUT -i eth0 -p tcp -m tcp --dport 3306 -j DROP
-A INPUT -i eth0 -p tcp -m tcp --dport 5335 -j DROP
-A INPUT -i eth0 -p tcp -m tcp --dport 9090 -j DROP
-A INPUT -i eth0 -p tcp -m tcp --dport 10000 -j DROP
-A INPUT -i eth0 -p tcp -m tcp --dport 10025 -j DROP
-A INPUT -i eth0 -p tcp -m tcp --dport 10026 -j DROP
-A INPUT -i eth0 -p tcp -m tcp --dport 32768 -j DROP
-A INPUT -i eth0 -p tcp -m tcp --dport 3128 -j DROP
-A INPUT -s 127.0.0.1 -i eth0 -p tcp -m tcp --dport 22 -j ACCEPT
-A INPUT -s 127.0.0.1 -i eth0 -p tcp -m tcp --dport 5555 -j ACCEPT
-A INPUT -s 127.0.0.1 -i eth0 -p tcp -m tcp --dport 80 -j ACCEPT
-A INPUT -s 10.0.1.0/255.255.255.0 -i eth0 -p tcp -m tcp --dport 22 -j ACCEPT
-A INPUT -s 10.0.1.0/255.255.255.0 -i eth0 -p tcp -m tcp --dport 5555 -j ACCEPT
-A INPUT -s 10.0.1.0/255.255.255.0 -i eth0 -p tcp -m tcp --dport 80 -j ACCEPT-A INPUT -i eth0 -p tcp -m tcp --dport 22 -j DROP
-A INPUT -i eth0 -p tcp -m tcp --dport 5555 -j DROP
-A INPUT -i eth0 -p tcp -m tcp --dport 80 -j DROP-A FORWARD -s 10.0.1.0/255.255.255.0 -p tcp -m tcp --dport 110 -j ACCEPT
-A FORWARD -s 10.0.1.0/255.255.255.0 -p tcp -m tcp --dport 25 -j ACCEPT
-A FORWARD -s 10.0.1.0/255.255.255.0 -p tcp -m tcp --dport 53 -j ACCEPT
-A FORWARD -s 10.0.1.0/255.255.255.0 -p udp -m udp --dport 53 -j ACCEPT
-A FORWARD -p tcp -m tcp --sport 110 -j ACCEPT
-A FORWARD -p tcp -m tcp --sport 25 -j ACCEPT
-A FORWARD -p tcp -m tcp --sport 53 -j ACCEPT
-A FORWARD -p udp -m udp --sport 53 -j ACCEPTCOMMIT
# Completed on Mon Jul 14 17:53:40 2008
# Generated by iptables-save v1.3.8 on Mon Jul 14 17:53:40 2008
*nat
:PREROUTING ACCEPT [26537:2647202]
:POSTROUTING ACCEPT [28871:2655628]
:OUTPUT ACCEPT [28873:2655767]
-A PREROUTING -s 10.0.1.63 -p tcp -m tcp --dport 80 -j REDIRECT --to-ports 3128
-A POSTROUTING -o eth0 -j MASQUERADE
COMMIT
# Completed on Mon Jul 14 17:53:40 2008
>[оверквотинг удален]
># Generated by iptables-save v1.3.8 on Mon Jul 14 17:53:40 2008
>*nat
>:PREROUTING ACCEPT [26537:2647202]
>:POSTROUTING ACCEPT [28871:2655628]
>:OUTPUT ACCEPT [28873:2655767]
>-A PREROUTING -s 10.0.1.63 -p tcp -m tcp --dport 80 -j REDIRECT
>--to-ports 3128
>-A POSTROUTING -o eth0 -j MASQUERADE
>COMMIT
># Completed on Mon Jul 14 17:53:40 2008заворачиваете на squid только то что идет с 10.0.1.63?
>[оверквотинг удален]
>>:PREROUTING ACCEPT [26537:2647202]
>>:POSTROUTING ACCEPT [28871:2655628]
>>:OUTPUT ACCEPT [28873:2655767]
>>-A PREROUTING -s 10.0.1.63 -p tcp -m tcp --dport 80 -j REDIRECT
>>--to-ports 3128
>>-A POSTROUTING -o eth0 -j MASQUERADE
>>COMMIT
>># Completed on Mon Jul 14 17:53:40 2008
>
>заворачиваете на squid только то что идет с 10.0.1.63?сейчас да, сервак снял, народ через запасной гоняют этот рядом стоит и на нем только я! мучаюсь!
>[оверквотинг удален]
>>>-A PREROUTING -s 10.0.1.63 -p tcp -m tcp --dport 80 -j REDIRECT
>>>--to-ports 3128
>>>-A POSTROUTING -o eth0 -j MASQUERADE
>>>COMMIT
>>># Completed on Mon Jul 14 17:53:40 2008
>>
>>заворачиваете на squid только то что идет с 10.0.1.63?
>
>сейчас да, сервак снял, народ через запасной гоняют этот рядом стоит и
>на нем только я! мучаюсь!тогда уберите все из таблицы фильтров, правила по умолчанию в ACCEPT и проветьте