The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]

форумы  помощь  поиск  регистрация  майллист  вход/выход  слежка  RSS
"Прозрачный SQUID на мосту"
Вариант для распечатки  
Пред. тема | След. тема 
Форум Настройка Squid и других прокси серверов (Прозрачный proxy)
Изначальное сообщение [ Отслеживать ]

"Прозрачный SQUID на мосту"  +/
Сообщение от MiF email(ok) on 23-Сен-11, 10:28 
Приветствую.

Имеется офисная сетка простая до безобразия: не управляемая сеть -> аппаратный роутер (инет + ipsec туннель в другой офис).

Появилась необходимость считать трафик, для чего в одну из машин в сети была установлена сетевуха с 2-я портами в режиме моста. И установлено все это хозяйство между сетью и аппаратным роутером.

В машине на которой мост настроен дела обстоят так:

eth0 - адаптер смотрящий во внутреннюю сеть ip:192.168.192.1 (аппаратный роутер через который ходят во внешнюю сеть .250)

eth1 - ip:192.168.147.1 прямым проводом соединен с другой машиной.

и бридж:

root@router:~# brctl show
bridge name    bridge id        STP enabled    interfaces
br0        8000.0002a54eec42    no        eth2
                            eth3

Бридж трафик пропускает, но очень хочется прозрачно завернуть трафик на прокси. Трафик считается через netflow.

Squid пробовал вешать и на конкретный ip (192.1) и на все доступные. Но как только прописываю что-то типа:

bash# ebtables -t broute -A BROUTING -p IPv4 --ip-protocol 6 \
        --ip-destination-port 80 -j redirect --redirect-target ACCEPT

bash# iptables -t nat -A PREROUTING -i br0 -p tcp --dport 80 \
        -j REDIRECT --to-port 3128

Веб-трафик не идет через бридж. Ошибок прокси тоже не выдает.

Может у кого-то есть подобная конфигурация? Увидеть бы используемые настройки.

Ответить | Правка | Cообщить модератору

Оглавление

Сообщения по теме [Сортировка по времени | RSS]


1. "Прозрачный SQUID на мосту"  +/
Сообщение от ImPressed (ok) on 23-Сен-11, 11:22 
>[оверквотинг удален]
> Squid пробовал вешать и на конкретный ip (192.1) и на все доступные.
> Но как только прописываю что-то типа:
> bash# ebtables -t broute -A BROUTING -p IPv4 --ip-protocol 6 \
>         --ip-destination-port 80 -j redirect
> --redirect-target ACCEPT
> bash# iptables -t nat -A PREROUTING -i br0 -p tcp --dport 80
> \
>         -j REDIRECT --to-port 3128
> Веб-трафик не идет через бридж. Ошибок прокси тоже не выдает.
> Может у кого-то есть подобная конфигурация? Увидеть бы используемые настройки.

sysctl -w net.ipv4.ip_forward=1

и будет вам щясте.

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

2. "Прозрачный SQUID на мосту"  +/
Сообщение от MiF email(ok) on 23-Сен-11, 11:49 
> sysctl -w net.ipv4.ip_forward=1
> и будет вам щясте.

К сожалению не будет :( Это было конечно же сразу сделано.

root@router:~# sysctl net.ipv4.ip_forward
net.ipv4.ip_forward = 1

Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

3. "Прозрачный SQUID на мосту"  +/
Сообщение от MiF email(ok) on 23-Сен-11, 14:56 
А не может это быть из-за того, что я не назначаю ip адреса мосту?
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

4. "Прозрачный SQUID на мосту"  +/
Сообщение от kolesov (ok) on 07-Ноя-11, 12:26 
> А не может это быть из-за того, что я не назначаю ip
> адреса мосту?

у меня таже самая проблема, расскажите вам удалось задуманное?

Ответить | Правка | ^ к родителю #3 | Наверх | Cообщить модератору

5. "Прозрачный SQUID на мосту"  +/
Сообщение от Andrey Mitrofanov on 07-Ноя-11, 12:40 
> А не может это быть из-за того, что я не назначаю ip
> адреса мосту?

Конечно из-за этого.

Прозрачный сквид "не виден" только со стороны внутренних клиентов, а наружу он соединяется, как "обычный" сквид, -- создаёт другое, не клиентское, соединение со своего собственного ip. Нет адреса - нет соединеия наружу.

Ответить | Правка | ^ к родителю #3 | Наверх | Cообщить модератору

6. "Прозрачный SQUID на мосту"  +/
Сообщение от kolesov (ok) on 07-Ноя-11, 13:40 
>> А не может это быть из-за того, что я не назначаю ip
>> адреса мосту?
> Конечно из-за этого.
> Прозрачный сквид "не виден" только со стороны внутренних клиентов, а наружу он
> соединяется, как "обычный" сквид, -- создаёт другое, не клиентское, соединение со
> своего собственного ip. Нет адреса - нет соединеия наружу.

вот мой ifconfig:
br0       Link encap:Ethernet  HWaddr 00:27:0e:09:35:8f
          inet addr:172.23.32.10  Bcast:172.23.32.255  Mask:255.255.255.0
          inet6 addr: fe80::227:eff:fe09:358f/64 Scope:Link
          UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1
          RX packets:891 errors:0 dropped:0 overruns:0 frame:0
          TX packets:84 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:0
          RX bytes:75681 (73.9 KiB)  TX bytes:11892 (11.6 KiB)

eth0      Link encap:Ethernet  HWaddr 00:27:0e:09:35:8f
          inet6 addr: fe80::227:eff:fe09:358f/64 Scope:Link
          UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1
          RX packets:1498 errors:0 dropped:0 overruns:0 frame:0
          TX packets:612 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:1000
          RX bytes:545544 (532.7 KiB)  TX bytes:200665 (195.9 KiB)
          Interrupt:27 Base address:0xe000

eth1      Link encap:Ethernet  HWaddr 1c:7e:e5:26:41:92
          inet6 addr: fe80::1e7e:e5ff:fe26:4192/64 Scope:Link
          UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1
          RX packets:725 errors:0 dropped:0 overruns:0 frame:0
          TX packets:1424 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:1000
          RX bytes:215262 (210.2 KiB)  TX bytes:541065 (528.3 KiB)
          Interrupt:21 Base address:0xc000

lo        Link encap:Local Loopback
          inet addr:127.0.0.1  Mask:255.0.0.0
          inet6 addr: ::1/128 Scope:Host
          UP LOOPBACK RUNNING  MTU:16436  Metric:1
          RX packets:11 errors:0 dropped:0 overruns:0 frame:0
          TX packets:11 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:0
          RX bytes:848 (848.0 B)  TX bytes:848 (848.0 B)

пробовал заворачивать и на br0 и на lo, для этого прописывал в сквидконфе
для br0 http_port 172.23.32.10:3128 transparent
для lo http_port 127.0.0.1:3128 transparent

ebtables -t broute -A BROUTING -p IPv4 --ip-protocol 6 \
        --ip-destination-port 80 -j redirect --redirect-target ACCEPT

iptables -t nat -A PREROUTING -i br0 (или lo) -p tcp --dport 80 \
        -j REDIRECT --to-port 3128

в обоих случаях web трафик не проходит.

до применения правил бридж пропускает траф сквозь себя.
нужен именно squid без авторизации, на прозрачном мосту.

Ответить | Правка | ^ к родителю #5 | Наверх | Cообщить модератору

7. "Прозрачный SQUID на мосту"  +/
Сообщение от reader (ok) on 07-Ноя-11, 15:59 
>[оверквотинг удален]
> для lo http_port 127.0.0.1:3128 transparent
> ebtables -t broute -A BROUTING -p IPv4 --ip-protocol 6 \
>         --ip-destination-port 80 -j redirect
> --redirect-target ACCEPT
> iptables -t nat -A PREROUTING -i br0 (или lo) -p tcp --dport
> 80 \
>         -j REDIRECT --to-port 3128
> в обоих случаях web трафик не проходит.
> до применения правил бридж пропускает траф сквозь себя.
> нужен именно squid без авторизации, на прозрачном мосту.

вы бы сначала в не прозрачном режиме проверили бы

Ответить | Правка | ^ к родителю #6 | Наверх | Cообщить модератору

8. "Прозрачный SQUID на мосту"  +/
Сообщение от kolesov (ok) on 07-Ноя-11, 17:00 
>[оверквотинг удален]
>> ebtables -t broute -A BROUTING -p IPv4 --ip-protocol 6 \
>>         --ip-destination-port 80 -j redirect
>> --redirect-target ACCEPT
>> iptables -t nat -A PREROUTING -i br0 (или lo) -p tcp --dport
>> 80 \
>>         -j REDIRECT --to-port 3128
>> в обоих случаях web трафик не проходит.
>> до применения правил бридж пропускает траф сквозь себя.
>> нужен именно squid без авторизации, на прозрачном мосту.
> вы бы сначала в не прозрачном режиме проверили бы

в непрозрачном режиме:
в сквидконфе http_port 172.23.32.10:3128
в браузере указал.
упираюсь в сообщение сквида: ERROR
The requested URL could not be retrieved

посоветуйте, плиз, что делать...

Ответить | Правка | ^ к родителю #7 | Наверх | Cообщить модератору

9. "Прозрачный SQUID на мосту"  +/
Сообщение от reader (ok) on 07-Ноя-11, 17:11 
>[оверквотинг удален]
>>> в обоих случаях web трафик не проходит.
>>> до применения правил бридж пропускает траф сквозь себя.
>>> нужен именно squid без авторизации, на прозрачном мосту.
>> вы бы сначала в не прозрачном режиме проверили бы
> в непрозрачном режиме:
> в сквидконфе http_port 172.23.32.10:3128
> в браузере указал.
> упираюсь в сообщение сквида: ERROR
> The requested URL could not be retrieved
> посоветуйте, плиз, что делать...

dns у squid прописан?
если конечно это был ответ от squid

Ответить | Правка | ^ к родителю #8 | Наверх | Cообщить модератору

10. "Прозрачный SQUID на мосту"  +/
Сообщение от kolesov (ok) on 07-Ноя-11, 17:57 
>[оверквотинг удален]
>>>> нужен именно squid без авторизации, на прозрачном мосту.
>>> вы бы сначала в не прозрачном режиме проверили бы
>> в непрозрачном режиме:
>> в сквидконфе http_port 172.23.32.10:3128
>> в браузере указал.
>> упираюсь в сообщение сквида: ERROR
>> The requested URL could not be retrieved
>> посоветуйте, плиз, что делать...
> dns у squid прописан?
> если конечно это был ответ от squid

да dns прописан, и в /etc/resolv.conf тоже

Ответить | Правка | ^ к родителю #9 | Наверх | Cообщить модератору

11. "Прозрачный SQUID на мосту"  +/
Сообщение от reader (ok) on 07-Ноя-11, 18:01 
>[оверквотинг удален]
>>>> вы бы сначала в не прозрачном режиме проверили бы
>>> в непрозрачном режиме:
>>> в сквидконфе http_port 172.23.32.10:3128
>>> в браузере указал.
>>> упираюсь в сообщение сквида: ERROR
>>> The requested URL could not be retrieved
>>> посоветуйте, плиз, что делать...
>> dns у squid прописан?
>> если конечно это был ответ от squid
> да dns прописан, и в /etc/resolv.conf тоже

nslookup opennet.ru с моста

Ответить | Правка | ^ к родителю #10 | Наверх | Cообщить модератору

12. "Прозрачный SQUID на мосту"  +/
Сообщение от kolesov (ok) on 08-Ноя-11, 09:14 
>[оверквотинг удален]
>>>> в непрозрачном режиме:
>>>> в сквидконфе http_port 172.23.32.10:3128
>>>> в браузере указал.
>>>> упираюсь в сообщение сквида: ERROR
>>>> The requested URL could not be retrieved
>>>> посоветуйте, плиз, что делать...
>>> dns у squid прописан?
>>> если конечно это был ответ от squid
>> да dns прописан, и в /etc/resolv.conf тоже
> nslookup opennet.ru с моста

root@debian:~# nslookup opennet.ru
Server:         172.23.32.5
Address:        172.23.32.5#53

Non-authoritative answer:
Name:   opennet.ru
Address: 77.234.201.242

Ответить | Правка | ^ к родителю #11 | Наверх | Cообщить модератору

13. "Прозрачный SQUID на мосту"  +/
Сообщение от reader (ok) on 08-Ноя-11, 11:26 
>[оверквотинг удален]
>>>> dns у squid прописан?
>>>> если конечно это был ответ от squid
>>> да dns прописан, и в /etc/resolv.conf тоже
>> nslookup opennet.ru с моста
> root@debian:~# nslookup opennet.ru
> Server:         172.23.32.5
> Address:        172.23.32.5#53
> Non-authoritative answer:
> Name:   opennet.ru
> Address: 77.234.201.242

если это с моста, то дальше нужно смотреть логи и возможно настроить что бы были более детальными

Ответить | Правка | ^ к родителю #12 | Наверх | Cообщить модератору

14. "Прозрачный SQUID на мосту"  +/
Сообщение от kolesov (ok) on 08-Ноя-11, 12:44 
>[оверквотинг удален]
>>>> да dns прописан, и в /etc/resolv.conf тоже
>>> nslookup opennet.ru с моста
>> root@debian:~# nslookup opennet.ru
>> Server:         172.23.32.5
>> Address:        172.23.32.5#53
>> Non-authoritative answer:
>> Name:   opennet.ru
>> Address: 77.234.201.242
> если это с моста, то дальше нужно смотреть логи и возможно настроить
> что бы были более детальными

да, с моста.
какие логи, подскажите.

Ответить | Правка | ^ к родителю #13 | Наверх | Cообщить модератору

15. "Прозрачный SQUID на мосту"  +/
Сообщение от reader (ok) on 08-Ноя-11, 13:39 
>[оверквотинг удален]
>>> root@debian:~# nslookup opennet.ru
>>> Server:         172.23.32.5
>>> Address:        172.23.32.5#53
>>> Non-authoritative answer:
>>> Name:   opennet.ru
>>> Address: 77.234.201.242
>> если это с моста, то дальше нужно смотреть логи и возможно настроить
>> что бы были более детальными
> да, с моста.
> какие логи, подскажите.

cache.log

Ответить | Правка | ^ к родителю #14 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема




Спонсоры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2022 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру