Все та же связка iptables и squid

Внимание, важное сообщение: Дорогие Друзья!
В ноябре далекого 2001 года мы решили создать сайт и форум, которые смогут помочь как начинающим, так и продвинутым пользователям разобраться в операционных системах. В 2004-2006г наш проект был одним из самых крупных ИТ ресурсов в рунете, на пике нас посещало более 300 000 человек в день! Наша документация по службам Windows и автоматической установке помогла огромному количеству пользователей и сисадминов. Мы с уверенностью можем сказать, что внесли большой вклад в развитие ИТ сообщества рунета.

Но... время меняются, приоритеты тоже. И, к сожалению, пришло время сказать До встречи! После долгих дискуссий было принято решение закрыть наш проект. 1 августа форум переводится в режим Только чтение, а в начале сентября мы переведем рубильник в положение Выключен

Огромное спасибо за эти 24 года, это было незабываемое приключение. Сказать спасибо и поделиться своей историей можно в данной теме.

С уважением, ваш призрачный админ, BigMac...

Все та же связка iptables и squid

Zorn

Новый участник

Сообщения: 6
Благодарности: 0

Профиль | Отправить PM | Цитировать

Здравствуйте товарищи!

Стоит задача настроить выход в инет с лог сети. Инет от yota (wimax), в качестве ОС был выбран Linux (Fedora). Я был знаком когда-то с FreeBSD, но это было давно и не правда, т.к. сразу прошу извинить за возможно глупые вопросы, т.к. честно старался, читал инфу (но к сожалению по времени ограничен).

В итоге есть Fedore 12 c BIND 9.6 (который работает не совсем корректно, но об этом потом), SQUID 3.1 и iptables 1.4.5
Идея - настроить прозрачный кеширующий прокси.
Конфиг squid стандартный, кроме
http_port 3128 transparent
и
http_access allow all

Так вот, первый вопрос.
я пытаюсь завернуть входящие пакеты в на этапе PREROUTING (таблицы nat) вот так (все правила пишу ручками в /etc/sysconfig/iptables):

*nat
-A PREROUTING -i eth0 -p tcp --dport 80 -j REDIRECT --to-ports 3128

Соответственно у меня вопрос, ответ на который в манах не нашел:
1) После REDIRECT у меня пакет дальше пойдет к локальному приложению? То есть PREROUTING -> INPUT -> (local service (SQUID в данном случае)). Если так, то получается, что destination в пакете поменяется на localhost (иначе пакет пойдет по цепочке PREROUTING -> FORWARD -> POSTROUTING минуя SQUID)??

ЗЫ. В настоящий момент 1) если выключить iptablses и SQUID (не в режиме transparent) и прописать в компе в лок. сели проксю - инет есть. 2) BIND резолвит адреса для обращающихся к нему хостов нормально, но на самом роутере ping www.ya.ru - балалайка, а если nslookup - localhost сделать - то все ок.

Отправлено: 01:44, 16-03-2010

Dan Swano

Пользователь

Сообщения: 88
Благодарности: 5

Профиль | Отправить PM | Цитировать

Хороший мануал по iptables был здесь, сам им пользовался.
Прозрачный прокси я сделал у себя, выглядит это так:
iptables -t nat -nvL

Код:

 
pkts bytes target     prot opt in     out     source               destination 
2001  106K REDIRECT   tcp  --  *      *       172.16.0.0/24        0.0.0.0/0           tcp dpt:80 redir ports 3128

Я оставил только то правило, которое отвечает за переброс трафика
В squid.conf стоит

Код: