squid &iptables transparent [SOLVED]
Неоднократно поднимался вопрос, но так и не смог настроить прозрачное проксирование, сквид великолепно работает() - только непрозрачно:
squid.conf
http_port 127.0.0.1:3128 transparent
# squid -v
Squid Cache: Version 2.6.STABLE19
configure options: ...'--enable-linux-netfilter' ...
# cat /proc/sys/net/ipv4/ip_forward
1
# iptables -t nat -L -n -v
Chain PREROUTING (policy ACCEPT 36 packets, 7508 bytes)
pkts bytes target prot opt in out source destination
0 0 REDIRECT tcp -- eth0 * 0.0.0.0/0 0.0.0.0/0 tcp dpt:80 redir ports 3128
Chain POSTROUTING (policy ACCEPT 10 packets, 594 bytes)
pkts bytes target prot opt in out source destination
Chain OUTPUT (policy ACCEPT 10 packets, 594 bytes)
pkts bytes target prot opt in out source destination
в логах ничего подозрительного...
- Для комментирования войдите или зарегистрируйтесь
А так попробуй
Укажи IP интерфейса который в локалку у тебя смотрит
так к примеру...
http_port 192.168.0.1:3128 transparent
Работает?
пробовал по
пробовал по всякому 192.168.0.1:3128 transparent / 10,10,10,ХХХ: transparent еtc
локальной сети нет, точнее етсь но bnep0 один ip для ноута.
пытаюсь настроить "прозрачность" на той же машине где сквид крутится (redirect не dnat):
$IPTABLES -t nat -A PREROUTING -i eth0 -p tcp --dport 80 -j REDIRECT --to-port 3128
P.S. забыл указать что выход в инет через городскую сеть
не понял...
Что значит 'настроить "прозрачность" на той же машине где сквид крутится'?
Если я правильно это понял - хочеш чтоб твой локальный браузер ходил принудительно через локальный сквид??
Тогда внимательно проанализируй движение пакетов - у тебя указано - если входящий интерфейс eth0 - заворачивать все пакеты идущие на 80 порт
на порт 3128.
Какой интерфейс используют локальные приложения???
Че-то мне кажется что не сделать это на локальной машине...
у меня это
у меня это работает так
iptables -t nat -A OUTPUT -p tcp --dport 80 -m owner ! --uid-owner squid -j REDIRECT --to-port 3128
..................................................................
Unix - дружественная система, но своих друзей она хорошо выбирает.
Quote:Если я
да вы все правильно поняли.
с nat -A INPUT пока
при пустых acl
1217325294.743 0 MYIP TCP_DENIED/403 1399 GET http://leader.ru/secure/who.html - NONE/- text/html
Решено:acl localhost1
Решено:
acl localhost1 src MYIP
MYIP - ipшник внутри сети... огромное спасибо
iptables -t mangle -A
iptables -t mangle -A FORWARD -s 192.168.1.0/24 -dpt 80 -j MARK --set-mark 0x121
ip rule del fwmark 0x121
ip rule add fwmark 0x121 table MARKED_ROUTE
ip route add 192.168.1.0/24 dev eth1 table MARKED_ROUTE
ip route add 10.0.0.0/8 dev eth0 src 192.168.1.1 table MARKED_ROUTE
ip route add default via 10.0.0.1 src 192.168.1.1 table MARKED_ROUTE