[NRMS]

Ruldik, покажите конфиги squid и iptables

[Ruldik]

iptables

Цитата:

# Firewall configuration written by system-config-firewall # Manual customization of this file is not recommended. *filter :INPUT ACCEPT [0:0] :FORWARD ACCEPT [0:0] :OUTPUT ACCEPT [0:0] -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT -A INPUT -p icmp -j ACCEPT -A INPUT -i lo -j ACCEPT -A INPUT -m state --state NEW -m tcp -p tcp --dport 22 -j ACCEPT -A INPUT -j REJECT --reject-with icmp-host-prohibited -A FORWARD -j REJECT --reject-with icmp-host-prohibited COMMIT

squid

Цитата:

# # Recommended minimum configuration: # redirect_program /etc/squid/ redirect_children 1 acl manager proto cache_object acl localhost src 127.0.0.1/32 ::1 acl to_localhost dst 127.0.0.0/8 0.0.0.0/32 ::1 # Example rule allowing access from your local networks. # Adapt to list your (internal) IP networks from where browsing # should be allowed #acl localnet src 10.0.0.0/8 # RFC1918 possible internal network #acl localnet src 172.16.0.0/12 # RFC1918 possible internal network #acl localnet src 192.168.0.0/16# RFC1918 possible internal network acl localnet src 192.168.2.0/24 # RFC1918 possible internal network #acl localnet src fc00::/7 # RFC 4193 local private network range #acl localnet src fe80::/10 # RFC 4291 link-local (directly plugged) machines acl SSL_ports port 443 acl Safe_ports port 80 # http acl Safe_ports port 21 # ftp acl Safe_ports port 443 # https acl Safe_ports port 70 # gopher acl Safe_ports port 210 # wais acl Safe_ports port 1025-65535 # unregistered ports acl Safe_ports port 280 # http-mgmt acl Safe_ports port 488 # gss-http acl Safe_ports port 591 # filemaker acl Safe_ports port 777 # multiling http acl CONNECT method CONNECT # # Recommended minimum Access Permission configuration: # # Only allow cachemgr access from localhost http_access allow manager localhost http_access deny manager # Deny requests to certain unsafe ports http_access deny !Safe_ports # Deny CONNECT to other than secure SSL ports http_access deny CONNECT !SSL_ports # We strongly recommend the following be uncommented to protect innocent # web applications running on the proxy server who think the only # one who can access services on "localhost" is a local user http_access deny to_localhost # # INSERT YOUR OWN RULE(S) HERE TO ALLOW ACCESS FROM YOUR CLIENTS # # Example rule allowing access from your local networks. # Adapt localnet in the ACL section to list your (internal) IP networks # from where browsing should be allow #http_access allow localnet #http_access allow localhost # And finally deny all other access to this proxy http_access deny all # Squid normally listens to port 3128 http_port 192.168.2.144:3128 transparent # We recommend you to use at least the following line. hierarchy_stoplist cgi-bin ? # Uncomment and adjust the following to add a disk cache directory. #cache_dir ufs /var/spool/squid 100 16 256 # Пути к лог файлам #access_log /var/squid/logs/access.log squid #cache_log /var/squid/logs/cache.log #cache_store_log /var/squid/logs/store.log visible_hostname Area-51-squid # Leave coredumps in the first cache dir coredump_dir /var/spool/squid # Add any of your own refresh_pattern entries above these. refresh_pattern ^ftp: 1440 20% 10080 refresh_pattern ^gopher: 1440 0% 1440 refresh_pattern -i (/cgi-bin/|\?) 0 0% 0 refresh_pattern . 0 20% 4320

[NRMS]

расскажите схему сети. что есть, что и как подключено/настроено, как организован выход в инет.

я правильно понял что в данный момент есть: локальная сеть с энным количеством клиентов; нечто подключенное к инету, выступающее в роли шлюза; эта машина со squid'ом?

[Ruldik]

Сеть: Пров -> Маршрутизатор (он же шлюз) ->Сервант с поднятым DHCP и вся остальная локальная сеть.
Хотелось бы использовать эту машину в качестве прокси, для блокирование контента, а также чтоб маршрутизатор остался шлюзом.
Например: Пров -> Маршрутизатор (он же шлюз) -> Сервант с поднятым DHCP, эта машина со Squid и вся остальная локальная сеть.

[vadblm]

Ruldik, вы на маршрутизаторе сделали правило перенаправления трафика в мир 80,443 и прочих портов на ваш прокси?

[NRMS]

Ruldik, для начала в конфиге сквида уберите знак комментария перед

Цитата Ruldik:

#http_access allow localnet #http_access allow localhost »

должно быть:

http_access allow localnet
http_access allow localhost

далее. если хотите использовать сквид в прозрачном режиме, то следуйте указаниям vadblm.

[Ruldik]

Цитата vadblm:

Ruldik, вы на маршрутизаторе сделали правило перенаправления трафика в мир 80,443 и прочих портов на ваш прокси? »

На сколько я понял,т.к. маршрутизатор является шлюзом, перенаправление портов надо делать на нем? А в iptables этого не сделать?

[vadblm]

Цитата Ruldik:

перенаправление портов надо делать на нем? »

Да.

Цитата Ruldik:

А в iptables этого не сделать? »

В этом нет смысла, т.к. пакеты до него все равно не доходят. Вот если бы прокси-сервер одновременно выступал и шлюзом, тогда да. Но это, как я понял, не ваш случай.

[Ruldik]

Уважаемые спецы, кому нить доводилось делать перенаправление портов на AT AR415S?