IPTables выдает Squid как прозрачный прокси

Question 1

у меня убунту (10.04) машины, на которой работает брандмауэр, DHCP и DNS. Я только что установил кальмаров из упаковки и установите его на порт 8888. Прежде чем какие-либо изменения в мой брандмауэр веб-страниц, будет работать нормально, если я вручную установить прокси 192.168.10.1:8888 в Firefox это работает. Проблема происходит, когда я пытаюсь включить squid в прозрачном прокси.

мой брандмауэр следующим образом:

#!/bin/sh

iptables="/sbin/iptables"
modprobe="/sbin/modprobe"
depmod="/sbin/depmod"

EXTIF="eth1"
INTIF="eth2"

load () {

    $depmod -a

    $modprobe ip_tables
    $modprobe ip_conntrack
    $modprobe ip_conntrack_ftp
    $modprobe ip_conntrack_irc
    $modprobe iptable_nat
    $modprobe ip_nat_ftp
    $modprobe ip_conntrack_pptp
    $modprobe ip_nat_pptp

echo "enable forwarding..."
echo "1" > /proc/sys/net/ipv4/ip_forward
echo "enable dynamic addr"
echo "1" > /proc/sys/net/ipv4/ip_dynaddr

#  start firewall

    #default policies
    $iptables -P INPUT DROP
    $iptables -F INPUT
    $iptables -P OUTPUT DROP
    $iptables -F OUTPUT
    $iptables -P FORWARD DROP
    $iptables -F FORWARD
    $iptables -t nat -F


echo "  opening loopback interface for socket based services."
$iptables -A INPUT -i lo -j ACCEPT
$iptables -A OUTPUT -o lo -j ACCEPT

echo "  allow GRE 47 for VPN"
$iptables -A INPUT -p 47 -j ACCEPT

echo "  allow all connections OUT and ONLY existing related ones IN"
$iptables -A INPUT -i $INTIF -j ACCEPT
$iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
$iptables -A OUTPUT -o $EXTIF -j ACCEPT
$iptables -A OUTPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
$iptables -A FORWARD -i $EXTIF -o $INTIF -m state --state ESTABLISHED,RELATED -j ACCEPT
$iptables -A FORWARD -i $INTIF -o $EXTIF -j ACCEPT

$iptables -A FORWARD -j LOG --log-level 7 --log-prefix "Dropped by firewall: "
$iptables -A INPUT -j LOG --log-level 7 --log-prefix "Dropped by firewall: "
$iptables -A OUTPUT -j LOG --log-level 7 --log-prefix "Dropped by firewall: "

echo "  enabling SNAT (MASQUERADE) functionality on $EXTIF - allow LAN internet access"
$iptables -t nat -A POSTROUTING -o $EXTIF -j MASQUERADE
$iptables -A INPUT -i $INTIF -j ACCEPT
$iptables -A OUTPUT -o $INTIF -j ACCEPT

echo "  Allowing packets with ICMP data (pings)"
$iptables -A INPUT -p icmp -j ACCEPT
$iptables -A OUTPUT -p icmp -j ACCEPT

$iptables -A INPUT -p udp -i $INTIF --dport 67 -m state --state NEW -j ACCEPT

echo "  port 137 for netBios"
$iptables -A INPUT -i $INTIF -p udp --dport 137 -j ACCEPT
$iptables -A OUTPUT -o $INTIF -p udp --dport 137 -j ACCEPT

#echo "  port 139 for netBios-ssn smb"
#$iptables -A INPUT -i $INTIF -p tcp --dport 139 -j ACCEPT
#$iptables -A OUTPUT -o $INTIF -p tcp --dport 139 -j ACCEPT

echo "  opening port 53 for DNS queries"
$iptables -A INPUT -p udp -i $EXTIF --sport 53 -j ACCEPT

echo "  opening port 22 for internal ssh"
$iptables -A INPUT -i $INTIF -p tcp --dport 22 -j ACCEPT

echo "  opening port 80 for webserver"
$iptables -A INPUT -p tcp -i $EXTIF --dport 80 -m state --state NEW -j ACCEPT

echo "  opening port 21 for FTP Server"
$iptables  -A INPUT -p tcp -i $EXTIF --dport 21 -m state --state NEW -j ACCEPT

echo "  opening ssh for web on port 2609 for firewig"
$iptables -A INPUT -p tcp --dport 2609 -j ACCEPT
$iptables -A OUTPUT -p tcp --dport 2609 -j ACCEPT

echo "  opening ssh for web on port 22  for WS2008-CI"
$iptables -A PREROUTING -t nat -i $EXTIF -p tcp --dport 22 -j DNAT  --to 192.168.10.97
$iptables -A FORWARD -p tcp -m state --state NEW -d 192.168.10.97 -j ACCEPT

echo "  opening ssh for web on port 2302  for firewig 2302"
$iptables -A PREROUTING -t nat -i $EXTIF -p tcp --dport 2302 -j DNAT  --to 192.168.10.96:2302
$iptables -A FORWARD -p tcp -m state --state NEW -d 192.168.10.96 --dport 2302 -j ACCEPT

echo "  opening Apache webserver for HoH"
$iptables -A PREROUTING -t nat -i $EXTIF -p tcp --dport 80 -j DNAT --to 192.168.10.96:80
$iptables -A FORWARD -p tcp -m state --state NEW -d 192.168.10.96 --dport 80 -j ACCEPT

#echo "  opening Hudson"
#$iptables -A PREROUTING -t nat -i $EXTIF -p tcp --dport 81 -j DNAT --to 192.168.10.97:81
#$iptables -A FORWARD -p tcp -m state --state NEW -d 192.168.10.97 --dport 81 -j ACCEPT

echo "  opening Target Process"
$iptables -A PREROUTING -t nat -i $EXTIF -p tcp --dport 90 -j DNAT --to 192.168.10.98:90
$iptables -A FORWARD -p tcp -m state --state NEW -d 192.168.10.98 --dport 90 -j ACCEPT


#echo "  This is designed to stop brute force attacks"
$iptables -I INPUT -p TCP -m state --state NEW -m limit --limit 6/minute --limit-burst 5 -j ACCEPT

#echo "  setting up squid proxy server"
#$iptables -t nat -A PREROUTING -i $INTIF -p tcp --dport 80 -j DNAT --to 192.168.10.1:8888
#$iptables -t nat -A PREROUTING -i $EXTIF -p tcp --dport 80 -j REDIRECT --to-port 8888


#$iptables -t nat -A PREROUTING -i $INTIF -p tcp --dport 80 -j DNAT --to 192.168.10.1:8888
#$iptables -t nat -A PREROUTING -i $EXTIF -p tcp --dport 80 -j REDIRECT --to-port 8888

#echo "  Diverting port 80 traffic through Squid."
#$iptables -t nat -A PREROUTING -i $INTIF -p tcp --dport 80 -j REDIRECT --to-port 8888


#  NOTE THE THREE LINES BELOW ALLOW ACCESS FOR THE VPN CONNECTION...Ry.

$iptables -A INPUT -i $EXTIF -p TCP --dport 1723 -j ACCEPT

$iptables -A INPUT -i ppp+ -j ACCEPT
$iptables -A FORWARD -i ppp+ -o $INTIF -j ACCEPT
$iptables -A FORWARD -i $INTIF -o ppp+ -j ACCEPT
$iptables -A OUTPUT -o ppp+ -j ACCEPT

# ICMP for vpn
$iptables -A INPUT -i ppp+ -p icmp -j ACCEPT
$iptables -A OUTPUT -o ppp+ -p icmp -j ACCEPT


# DNS for vpn
$iptables -A INPUT -i ppp+ -p tcp --dport 0:65535 --sport 53 -j ACCEPT
$iptables -A OUTPUT -o ppp+ -p tcp --sport 0:65535 --dport 53 -j ACCEPT
$iptables -A INPUT -i ppp+  -p udp --dport 0:65535 --sport 53 -j ACCEPT
$iptables -A OUTPUT -o ppp+ -p udp --sport 0:65535 --dport 53 -j ACCEPT

# forward vpn--->internet
$iptables -A FORWARD -i ppp+ -o $EXTIF -p ALL -j ACCEPT
$iptables -A FORWARD -i $EXTIF -o ppp+ -p ALL -j ACCEPT


#$iptables -A FORWARD -j LOG --log-level 7 --log-prefix "Dropped by firewall: "
#$iptables -A INPUT -j LOG --log-level 7 --log-prefix "Dropped by firewall: "
#$iptables -A OUTPUT -j LOG --log-level 7 --log-prefix "Dropped by firewall: "


}
flush() {
    echo "flushing rules...."
    $iptables -P FORWARD ACCEPT
    $iptables -F INPUT
    $iptables -P INPUT ACCEPT
}

case "$1" in

    start|restart)
    flush
    load
    ;;
    stop)
    flush
    ;;
*)
    echo "usage: start|stop|restart."
;;

esac

если я раскомментируйте строки следующее кальмары в сети перестает работать.

я не уверен, что я пропустил. Как вы думаете, это может быть Кальмар конфиге дело?

Question 2

Вы настроили настройку http_port для кэширования перехвата?

-http_port 3128
+# FIXME enable the transparent option for interception caching
+http_port 3128 transparent

Вот правила, которые я использую. Это немного сложнее, но они облегчают добавление исключения в прокси-сервер перехвата, если мне это нужно.

# Creating chain 'tproxy' under 'PREROUTING' in table 'nat'
/sbin/iptables -t nat -N tproxy

# rules for source or destination addresss that will not be forced through the proxy.
/sbin/iptables -t nat -A tproxy -s 10.2.4.56 -j RETURN 
/sbin/iptables -t nat -A tproxy -s 10.2.4.86 -j RETURN 
/sbin/iptables -t nat -A tproxy -s 10.2.4.19 -j RETURN 
/sbin/iptables -t nat -A tproxy -s 10.2.4.85 -j RETURN 
/sbin/iptables -t nat -A tproxy -s 10.2.4.150 -j RETURN 
/sbin/iptables -t nat -A tproxy -d 10.2.0.0/16 -j RETURN

# redirect anything to the proxy that is not returned
/sbin/iptables -t nat -A PREROUTING -p tcp -j REDIRECT --to-ports 8888 

# rules to send port 80 traffic on incoming interfaces vlan0004, vlan0006 to 
# tproxy chain.
/sbin/iptables -t nat -A PREROUTING -i vlan0004 -p tcp --dport 80 -j tproxy 
/sbin/iptables -t nat -A PREROUTING -i vlan0004 -p tcp --dport 8888 -j tproxy  
/sbin/iptables -t nat -A PREROUTING -i vlan0006 -p tcp --dport 80 -j tproxy  
/sbin/iptables -t nat -A PREROUTING -i vlan0006 -p tcp --dport 8888 -j tproxy

Question 3

Question 4

Вы настроили настройку http_port для кэширования перехвата?

-http_port 3128
+# FIXME enable the transparent option for interception caching
+http_port 3128 transparent

Вот правила, которые я использую. Это немного сложнее, но они облегчают добавление исключения в прокси-сервер перехвата, если мне это нужно.

# Creating chain 'tproxy' under 'PREROUTING' in table 'nat'
/sbin/iptables -t nat -N tproxy

# rules for source or destination addresss that will not be forced through the proxy.
/sbin/iptables -t nat -A tproxy -s 10.2.4.56 -j RETURN 
/sbin/iptables -t nat -A tproxy -s 10.2.4.86 -j RETURN 
/sbin/iptables -t nat -A tproxy -s 10.2.4.19 -j RETURN 
/sbin/iptables -t nat -A tproxy -s 10.2.4.85 -j RETURN 
/sbin/iptables -t nat -A tproxy -s 10.2.4.150 -j RETURN 
/sbin/iptables -t nat -A tproxy -d 10.2.0.0/16 -j RETURN

# redirect anything to the proxy that is not returned
/sbin/iptables -t nat -A PREROUTING -p tcp -j REDIRECT --to-ports 8888 

# rules to send port 80 traffic on incoming interfaces vlan0004, vlan0006 to 
# tproxy chain.
/sbin/iptables -t nat -A PREROUTING -i vlan0004 -p tcp --dport 80 -j tproxy 
/sbin/iptables -t nat -A PREROUTING -i vlan0004 -p tcp --dport 8888 -j tproxy  
/sbin/iptables -t nat -A PREROUTING -i vlan0006 -p tcp --dport 80 -j tproxy  
/sbin/iptables -t nat -A PREROUTING -i vlan0006 -p tcp --dport 8888 -j tproxy

Question 5

Вы настроили настройку http_port для кэширования перехвата?

-http_port 3128
+# FIXME enable the transparent option for interception caching
+http_port 3128 transparent

Вот правила, которые я использую. Это немного сложнее, но они облегчают добавление исключения в прокси-сервер перехвата, если мне это нужно.

# Creating chain 'tproxy' under 'PREROUTING' in table 'nat'
/sbin/iptables -t nat -N tproxy

# rules for source or destination addresss that will not be forced through the proxy.
/sbin/iptables -t nat -A tproxy -s 10.2.4.56 -j RETURN 
/sbin/iptables -t nat -A tproxy -s 10.2.4.86 -j RETURN 
/sbin/iptables -t nat -A tproxy -s 10.2.4.19 -j RETURN 
/sbin/iptables -t nat -A tproxy -s 10.2.4.85 -j RETURN 
/sbin/iptables -t nat -A tproxy -s 10.2.4.150 -j RETURN 
/sbin/iptables -t nat -A tproxy -d 10.2.0.0/16 -j RETURN

# redirect anything to the proxy that is not returned
/sbin/iptables -t nat -A PREROUTING -p tcp -j REDIRECT --to-ports 8888 

# rules to send port 80 traffic on incoming interfaces vlan0004, vlan0006 to 
# tproxy chain.
/sbin/iptables -t nat -A PREROUTING -i vlan0004 -p tcp --dport 80 -j tproxy 
/sbin/iptables -t nat -A PREROUTING -i vlan0004 -p tcp --dport 8888 -j tproxy  
/sbin/iptables -t nat -A PREROUTING -i vlan0006 -p tcp --dport 80 -j tproxy  
/sbin/iptables -t nat -A PREROUTING -i vlan0006 -p tcp --dport 8888 -j tproxy

Question 6

Вы настроили настройку http_port для кэширования перехвата?

-http_port 3128
+# FIXME enable the transparent option for interception caching
+http_port 3128 transparent

Вот правила, которые я использую. Это немного сложнее, но они облегчают добавление исключения в прокси-сервер перехвата, если мне это нужно.

# Creating chain 'tproxy' under 'PREROUTING' in table 'nat'
/sbin/iptables -t nat -N tproxy

# rules for source or destination addresss that will not be forced through the proxy.
/sbin/iptables -t nat -A tproxy -s 10.2.4.56 -j RETURN 
/sbin/iptables -t nat -A tproxy -s 10.2.4.86 -j RETURN 
/sbin/iptables -t nat -A tproxy -s 10.2.4.19 -j RETURN 
/sbin/iptables -t nat -A tproxy -s 10.2.4.85 -j RETURN 
/sbin/iptables -t nat -A tproxy -s 10.2.4.150 -j RETURN 
/sbin/iptables -t nat -A tproxy -d 10.2.0.0/16 -j RETURN

# redirect anything to the proxy that is not returned
/sbin/iptables -t nat -A PREROUTING -p tcp -j REDIRECT --to-ports 8888 

# rules to send port 80 traffic on incoming interfaces vlan0004, vlan0006 to 
# tproxy chain.
/sbin/iptables -t nat -A PREROUTING -i vlan0004 -p tcp --dport 80 -j tproxy 
/sbin/iptables -t nat -A PREROUTING -i vlan0004 -p tcp --dport 8888 -j tproxy  
/sbin/iptables -t nat -A PREROUTING -i vlan0006 -p tcp --dport 80 -j tproxy  
/sbin/iptables -t nat -A PREROUTING -i vlan0006 -p tcp --dport 8888 -j tproxy

Question 7

Question 8

Вы настроили настройку http_port для кэширования перехвата?

  -http_port 3128 + # FIXME включить прозрачный вариант кэширования перехвата + http_port 3128 transparent

Вот правила, которые я использую. Это немного сложнее, но они упрощают добавление исключения в прокси-сервер перехвата, если мне это нужно.

  # Создание цепочки 'tproxy' в разделе 'PREROUTING' в таблице 'nat'  / sbin / iptables -t nat -N tproxy # для исходных или целевых адресов, которые не будут принудительно пропущены через прокси.  / sbin / iptables -t nat -A tproxy -s 10.2.4.56 -j RETURN / sbin / iptables -t nat -A tproxy -s 10.2.4.86 -j RETURN / sbin / iptables -t nat -A tproxy -s 10.2.  4.19 -j RETURN / sbin / iptables -t nat -A tproxy -s 10.2.4.85 -j RETURN / sbin / iptables -t nat -A tproxy -s 10.2.4.150 -j RETURN / sbin / iptables -t nat -A tproxy  -d 10.2.0.0/16 -j RETURN # перенаправить что-либо в прокси-сервер, который не возвращается / sbin / iptables -t nat -A PREROUTING -p tcp -j REDIRECT - to-ports 8888 # правила для отправки трафика на порт 80  входящие интерфейсы vlan0004, vlan0006 в цепочку # tproxy.  / sbin / iptables -t nat -A PREROUTING -i vlan0004 -p tcp -dport 80 -j tproxy / sbin / iptables -t nat -A PREROUTING -i vlan0004 -p tcp -dport 8888 -j tproxy / sbin / iptables  -t nat -A PREROUTING -i vlan0006 -p tcp -dport 80 -j tproxy / sbin / iptables -t nat -A PREROUTING -i vlan0006 -p tcp -dport 8888 -j tproxy

Question 9

Вы настроили настройку http_port для кэширования перехвата?

  -http_port 3128 + # FIXME включить прозрачный вариант кэширования перехвата + http_port 3128 transparent

Вот правила, которые я использую. Это немного сложнее, но они упрощают добавление исключения в прокси-сервер перехвата, если мне это нужно.

  # Создание цепочки 'tproxy' в разделе 'PREROUTING' в таблице 'nat'  / sbin / iptables -t nat -N tproxy # для исходных или целевых адресов, которые не будут принудительно пропущены через прокси.  / sbin / iptables -t nat -A tproxy -s 10.2.4.56 -j RETURN / sbin / iptables -t nat -A tproxy -s 10.2.4.86 -j RETURN / sbin / iptables -t nat -A tproxy -s 10.2.  4.19 -j RETURN / sbin / iptables -t nat -A tproxy -s 10.2.4.85 -j RETURN / sbin / iptables -t nat -A tproxy -s 10.2.4.150 -j RETURN / sbin / iptables -t nat -A tproxy  -d 10.2.0.0/16 -j RETURN # перенаправить что-либо в прокси-сервер, который не возвращается / sbin / iptables -t nat -A PREROUTING -p tcp -j REDIRECT - to-ports 8888 # правила для отправки трафика на порт 80  входящие интерфейсы vlan0004, vlan0006 в цепочку # tproxy.  / sbin / iptables -t nat -A PREROUTING -i vlan0004 -p tcp -dport 80 -j tproxy / sbin / iptables -t nat -A PREROUTING -i vlan0004 -p tcp -dport 8888 -j tproxy / sbin / iptables  -t nat -A PREROUTING -i vlan0006 -p tcp -dport 80 -j tproxy / sbin / iptables -t nat -A PREROUTING -i vlan0006 -p tcp -dport 8888 -j tproxy

Question 10

Вы настроили настройку http_port для кэширования перехвата?

  -http_port 3128 + # FIXME включить прозрачный вариант кэширования перехвата + http_port 3128 transparent

Вот правила, которые я использую. Это немного сложнее, но они упрощают добавление исключения в прокси-сервер перехвата, если мне это нужно.

  # Создание цепочки 'tproxy' в разделе 'PREROUTING' в таблице 'nat'  / sbin / iptables -t nat -N tproxy # для исходных или целевых адресов, которые не будут принудительно пропущены через прокси.  / sbin / iptables -t nat -A tproxy -s 10.2.4.56 -j RETURN / sbin / iptables -t nat -A tproxy -s 10.2.4.86 -j RETURN / sbin / iptables -t nat -A tproxy -s 10.2.  4.19 -j RETURN / sbin / iptables -t nat -A tproxy -s 10.2.4.85 -j RETURN / sbin / iptables -t nat -A tproxy -s 10.2.4.150 -j RETURN / sbin / iptables -t nat -A tproxy  -d 10.2.0.0/16 -j RETURN # перенаправить что-либо в прокси-сервер, который не возвращается / sbin / iptables -t nat -A PREROUTING -p tcp -j REDIRECT - to-ports 8888 # правила для отправки трафика на порт 80  входящие интерфейсы vlan0004, vlan0006 в цепочку # tproxy.  / sbin / iptables -t nat -A PREROUTING -i vlan0004 -p tcp -dport 80 -j tproxy / sbin / iptables -t nat -A PREROUTING -i vlan0004 -p tcp -dport 8888 -j tproxy / sbin / iptables  -t nat -A PREROUTING -i vlan0006 -p tcp -dport 80 -j tproxy / sbin / iptables -t nat -A PREROUTING -i vlan0006 -p tcp -dport 8888 -j tproxy

Question 11

Вы настроили настройку http_port для кэширования перехвата?

  -http_port 3128 + # FIXME включить прозрачный вариант кэширования перехвата + http_port 3128 transparent

Вот правила, которые я использую. Это немного сложнее, но они упрощают добавление исключения в прокси-сервер перехвата, если мне это нужно.

  # Создание цепочки 'tproxy' в разделе 'PREROUTING' в таблице 'nat'  / sbin / iptables -t nat -N tproxy # для исходных или целевых адресов, которые не будут принудительно пропущены через прокси.  / sbin / iptables -t nat -A tproxy -s 10.2.4.56 -j RETURN / sbin / iptables -t nat -A tproxy -s 10.2.4.86 -j RETURN / sbin / iptables -t nat -A tproxy -s 10.2.  4.19 -j RETURN / sbin / iptables -t nat -A tproxy -s 10.2.4.85 -j RETURN / sbin / iptables -t nat -A tproxy -s 10.2.4.150 -j RETURN / sbin / iptables -t nat -A tproxy  -d 10.2.0.0/16 -j RETURN # перенаправить что-либо в прокси-сервер, который не возвращается / sbin / iptables -t nat -A PREROUTING -p tcp -j REDIRECT - to-ports 8888 # правила для отправки трафика на порт 80  входящие интерфейсы vlan0004, vlan0006 в цепочку # tproxy.  / sbin / iptables -t nat -A PREROUTING -i vlan0004 -p tcp -dport 80 -j tproxy / sbin / iptables -t nat -A PREROUTING -i vlan0004 -p tcp -dport 8888 -j tproxy / sbin / iptables  -t nat -A PREROUTING -i vlan0006 -p tcp -dport 80 -j tproxy / sbin / iptables -t nat -A PREROUTING -i vlan0006 -p tcp -dport 8888 -j tproxy

Question 12

Вы настроили настройку http_port для кэширования перехвата?

  -http_port 3128 + # FIXME включить прозрачный вариант кэширования перехвата + http_port 3128 transparent

Вот правила, которые я использую. Это немного сложнее, но они упрощают добавление исключения в прокси-сервер перехвата, если мне это нужно.

  # Создание цепочки 'tproxy' в разделе 'PREROUTING' в таблице 'nat'  / sbin / iptables -t nat -N tproxy # для исходных или целевых адресов, которые не будут принудительно пропущены через прокси.  / sbin / iptables -t nat -A tproxy -s 10.2.4.56 -j RETURN / sbin / iptables -t nat -A tproxy -s 10.2.4.86 -j RETURN / sbin / iptables -t nat -A tproxy -s 10.2.  4.19 -j RETURN / sbin / iptables -t nat -A tproxy -s 10.2.4.85 -j RETURN / sbin / iptables -t nat -A tproxy -s 10.2.4.150 -j RETURN / sbin / iptables -t nat -A tproxy  -d 10.2.0.0/16 -j RETURN # перенаправить что-либо в прокси-сервер, который не возвращается / sbin / iptables -t nat -A PREROUTING -p tcp -j REDIRECT - to-ports 8888 # правила для отправки трафика на порт 80  входящие интерфейсы vlan0004, vlan0006 в цепочку # tproxy.  / sbin / iptables -t nat -A PREROUTING -i vlan0004 -p tcp -dport 80 -j tproxy / sbin / iptables -t nat -A PREROUTING -i vlan0004 -p tcp -dport 8888 -j tproxy / sbin / iptables  -t nat -A PREROUTING -i vlan0006 -p tcp -dport 80 -j tproxy / sbin / iptables -t nat -A PREROUTING -i vlan0006 -p tcp -dport 8888 -j tproxy

Question 13

Question 14

Вы настроили настройку http_port для кэширования перехвата?

  -http_port 3128 + # FIXME включить прозрачный вариант кэширования перехвата + http_port 3128 transparent

Вот правила, которые я использую. Это немного сложнее, но они упрощают добавление исключения в прокси-сервер перехвата, если мне это нужно.

  # Создание цепочки 'tproxy' в разделе 'PREROUTING' в таблице 'nat'  / sbin / iptables -t nat -N tproxy # для исходных или целевых адресов, которые не будут принудительно пропущены через прокси.  / sbin / iptables -t nat -A tproxy -s 10.2.4.56 -j RETURN / sbin / iptables -t nat -A tproxy -s 10.2.4.86 -j RETURN / sbin / iptables -t nat -A tproxy -s 10.2.  4.19 -j RETURN / sbin / iptables -t nat -A tproxy -s 10.2.4.85 -j RETURN / sbin / iptables -t nat -A tproxy -s 10.2.4.150 -j RETURN / sbin / iptables -t nat -A tproxy  -d 10.2.0.0/16 -j RETURN # перенаправить что-либо в прокси-сервер, который не возвращается / sbin / iptables -t nat -A PREROUTING -p tcp -j REDIRECT - to-ports 8888 # правила для отправки трафика на порт 80  входящие интерфейсы vlan0004, vlan0006 в цепочку # tproxy.  / sbin / iptables -t nat -A PREROUTING -i vlan0004 -p tcp -dport 80 -j tproxy / sbin / iptables -t nat -A PREROUTING -i vlan0004 -p tcp -dport 8888 -j tproxy / sbin / iptables  -t nat -A PREROUTING -i vlan0006 -p tcp -dport 80 -j tproxy / sbin / iptables -t nat -A PREROUTING -i vlan0006 -p tcp -dport 8888 -j tproxy

Zoredache · Accepted Answer · 26 May 2018 в 01:21

Вы настроили настройку http_port для кэширования перехвата?

-http_port 3128
+# FIXME enable the transparent option for interception caching
+http_port 3128 transparent

Вот правила, которые я использую. Это немного сложнее, но они облегчают добавление исключения в прокси-сервер перехвата, если мне это нужно.

# Creating chain 'tproxy' under 'PREROUTING' in table 'nat'
/sbin/iptables -t nat -N tproxy

# rules for source or destination addresss that will not be forced through the proxy.
/sbin/iptables -t nat -A tproxy -s 10.2.4.56 -j RETURN 
/sbin/iptables -t nat -A tproxy -s 10.2.4.86 -j RETURN 
/sbin/iptables -t nat -A tproxy -s 10.2.4.19 -j RETURN 
/sbin/iptables -t nat -A tproxy -s 10.2.4.85 -j RETURN 
/sbin/iptables -t nat -A tproxy -s 10.2.4.150 -j RETURN 
/sbin/iptables -t nat -A tproxy -d 10.2.0.0/16 -j RETURN

# redirect anything to the proxy that is not returned
/sbin/iptables -t nat -A PREROUTING -p tcp -j REDIRECT --to-ports 8888 

# rules to send port 80 traffic on incoming interfaces vlan0004, vlan0006 to 
# tproxy chain.
/sbin/iptables -t nat -A PREROUTING -i vlan0004 -p tcp --dport 80 -j tproxy 
/sbin/iptables -t nat -A PREROUTING -i vlan0004 -p tcp --dport 8888 -j tproxy  
/sbin/iptables -t nat -A PREROUTING -i vlan0006 -p tcp --dport 80 -j tproxy  
/sbin/iptables -t nat -A PREROUTING -i vlan0006 -p tcp --dport 8888 -j tproxy

Проблемой был прозрачный атрибут для http_port. Затем нужно было просто «$ iptables -t nat -A PREROUTING -i $ INTIF -p tcp -dport 80 -j REDIRECT -to-port 8888 " для базовых настроек брандмауэра. Спасибо. — Jon, 11 September 2010 в 18:22

Zoredache · Accepted Answer · 25 July 2018 в 23:13

Вы настроили настройку http_port для кэширования перехвата?

-http_port 3128
+# FIXME enable the transparent option for interception caching
+http_port 3128 transparent

Вот правила, которые я использую. Это немного сложнее, но они облегчают добавление исключения в прокси-сервер перехвата, если мне это нужно.

# Creating chain 'tproxy' under 'PREROUTING' in table 'nat'
/sbin/iptables -t nat -N tproxy

# rules for source or destination addresss that will not be forced through the proxy.
/sbin/iptables -t nat -A tproxy -s 10.2.4.56 -j RETURN 
/sbin/iptables -t nat -A tproxy -s 10.2.4.86 -j RETURN 
/sbin/iptables -t nat -A tproxy -s 10.2.4.19 -j RETURN 
/sbin/iptables -t nat -A tproxy -s 10.2.4.85 -j RETURN 
/sbin/iptables -t nat -A tproxy -s 10.2.4.150 -j RETURN 
/sbin/iptables -t nat -A tproxy -d 10.2.0.0/16 -j RETURN

# redirect anything to the proxy that is not returned
/sbin/iptables -t nat -A PREROUTING -p tcp -j REDIRECT --to-ports 8888 

# rules to send port 80 traffic on incoming interfaces vlan0004, vlan0006 to 
# tproxy chain.
/sbin/iptables -t nat -A PREROUTING -i vlan0004 -p tcp --dport 80 -j tproxy 
/sbin/iptables -t nat -A PREROUTING -i vlan0004 -p tcp --dport 8888 -j tproxy  
/sbin/iptables -t nat -A PREROUTING -i vlan0006 -p tcp --dport 80 -j tproxy  
/sbin/iptables -t nat -A PREROUTING -i vlan0006 -p tcp --dport 8888 -j tproxy

Zoredache · Accepted Answer · 27 July 2018 в 03:22

Вы настроили настройку http_port для кэширования перехвата?

-http_port 3128
+# FIXME enable the transparent option for interception caching
+http_port 3128 transparent

Вот правила, которые я использую. Это немного сложнее, но они облегчают добавление исключения в прокси-сервер перехвата, если мне это нужно.

# Creating chain 'tproxy' under 'PREROUTING' in table 'nat'
/sbin/iptables -t nat -N tproxy

# rules for source or destination addresss that will not be forced through the proxy.
/sbin/iptables -t nat -A tproxy -s 10.2.4.56 -j RETURN 
/sbin/iptables -t nat -A tproxy -s 10.2.4.86 -j RETURN 
/sbin/iptables -t nat -A tproxy -s 10.2.4.19 -j RETURN 
/sbin/iptables -t nat -A tproxy -s 10.2.4.85 -j RETURN 
/sbin/iptables -t nat -A tproxy -s 10.2.4.150 -j RETURN 
/sbin/iptables -t nat -A tproxy -d 10.2.0.0/16 -j RETURN

# redirect anything to the proxy that is not returned
/sbin/iptables -t nat -A PREROUTING -p tcp -j REDIRECT --to-ports 8888 

# rules to send port 80 traffic on incoming interfaces vlan0004, vlan0006 to 
# tproxy chain.
/sbin/iptables -t nat -A PREROUTING -i vlan0004 -p tcp --dport 80 -j tproxy 
/sbin/iptables -t nat -A PREROUTING -i vlan0004 -p tcp --dport 8888 -j tproxy  
/sbin/iptables -t nat -A PREROUTING -i vlan0006 -p tcp --dport 80 -j tproxy  
/sbin/iptables -t nat -A PREROUTING -i vlan0006 -p tcp --dport 8888 -j tproxy

Zoredache · Accepted Answer · 31 July 2018 в 13:18

Вы настроили настройку http_port для кэширования перехвата?

-http_port 3128
+# FIXME enable the transparent option for interception caching
+http_port 3128 transparent

Вот правила, которые я использую. Это немного сложнее, но они облегчают добавление исключения в прокси-сервер перехвата, если мне это нужно.

# Creating chain 'tproxy' under 'PREROUTING' in table 'nat'
/sbin/iptables -t nat -N tproxy

# rules for source or destination addresss that will not be forced through the proxy.
/sbin/iptables -t nat -A tproxy -s 10.2.4.56 -j RETURN 
/sbin/iptables -t nat -A tproxy -s 10.2.4.86 -j RETURN 
/sbin/iptables -t nat -A tproxy -s 10.2.4.19 -j RETURN 
/sbin/iptables -t nat -A tproxy -s 10.2.4.85 -j RETURN 
/sbin/iptables -t nat -A tproxy -s 10.2.4.150 -j RETURN 
/sbin/iptables -t nat -A tproxy -d 10.2.0.0/16 -j RETURN

# redirect anything to the proxy that is not returned
/sbin/iptables -t nat -A PREROUTING -p tcp -j REDIRECT --to-ports 8888 

# rules to send port 80 traffic on incoming interfaces vlan0004, vlan0006 to 
# tproxy chain.
/sbin/iptables -t nat -A PREROUTING -i vlan0004 -p tcp --dport 80 -j tproxy 
/sbin/iptables -t nat -A PREROUTING -i vlan0004 -p tcp --dport 8888 -j tproxy  
/sbin/iptables -t nat -A PREROUTING -i vlan0006 -p tcp --dport 80 -j tproxy  
/sbin/iptables -t nat -A PREROUTING -i vlan0006 -p tcp --dport 8888 -j tproxy

Zoredache · Accepted Answer · 2 August 2018 в 04:31

Вы настроили настройку http_port для кэширования перехвата?

  -http_port 3128 + # FIXME включить прозрачный вариант кэширования перехвата + http_port 3128 transparent

Вот правила, которые я использую. Это немного сложнее, но они упрощают добавление исключения в прокси-сервер перехвата, если мне это нужно.

  # Создание цепочки 'tproxy' в разделе 'PREROUTING' в таблице 'nat'  / sbin / iptables -t nat -N tproxy # для исходных или целевых адресов, которые не будут принудительно пропущены через прокси.  / sbin / iptables -t nat -A tproxy -s 10.2.4.56 -j RETURN / sbin / iptables -t nat -A tproxy -s 10.2.4.86 -j RETURN / sbin / iptables -t nat -A tproxy -s 10.2.  4.19 -j RETURN / sbin / iptables -t nat -A tproxy -s 10.2.4.85 -j RETURN / sbin / iptables -t nat -A tproxy -s 10.2.4.150 -j RETURN / sbin / iptables -t nat -A tproxy  -d 10.2.0.0/16 -j RETURN # перенаправить что-либо в прокси-сервер, который не возвращается / sbin / iptables -t nat -A PREROUTING -p tcp -j REDIRECT - to-ports 8888 # правила для отправки трафика на порт 80  входящие интерфейсы vlan0004, vlan0006 в цепочку # tproxy.  / sbin / iptables -t nat -A PREROUTING -i vlan0004 -p tcp -dport 80 -j tproxy / sbin / iptables -t nat -A PREROUTING -i vlan0004 -p tcp -dport 8888 -j tproxy / sbin / iptables  -t nat -A PREROUTING -i vlan0006 -p tcp -dport 80 -j tproxy / sbin / iptables -t nat -A PREROUTING -i vlan0006 -p tcp -dport 8888 -j tproxy

Zoredache · Accepted Answer · 4 August 2018 в 21:04

Вы настроили настройку http_port для кэширования перехвата?

  -http_port 3128 + # FIXME включить прозрачный вариант кэширования перехвата + http_port 3128 transparent

Вот правила, которые я использую. Это немного сложнее, но они упрощают добавление исключения в прокси-сервер перехвата, если мне это нужно.

  # Создание цепочки 'tproxy' в разделе 'PREROUTING' в таблице 'nat'  / sbin / iptables -t nat -N tproxy # для исходных или целевых адресов, которые не будут принудительно пропущены через прокси.  / sbin / iptables -t nat -A tproxy -s 10.2.4.56 -j RETURN / sbin / iptables -t nat -A tproxy -s 10.2.4.86 -j RETURN / sbin / iptables -t nat -A tproxy -s 10.2.  4.19 -j RETURN / sbin / iptables -t nat -A tproxy -s 10.2.4.85 -j RETURN / sbin / iptables -t nat -A tproxy -s 10.2.4.150 -j RETURN / sbin / iptables -t nat -A tproxy  -d 10.2.0.0/16 -j RETURN # перенаправить что-либо в прокси-сервер, который не возвращается / sbin / iptables -t nat -A PREROUTING -p tcp -j REDIRECT - to-ports 8888 # правила для отправки трафика на порт 80  входящие интерфейсы vlan0004, vlan0006 в цепочку # tproxy.  / sbin / iptables -t nat -A PREROUTING -i vlan0004 -p tcp -dport 80 -j tproxy / sbin / iptables -t nat -A PREROUTING -i vlan0004 -p tcp -dport 8888 -j tproxy / sbin / iptables  -t nat -A PREROUTING -i vlan0006 -p tcp -dport 80 -j tproxy / sbin / iptables -t nat -A PREROUTING -i vlan0006 -p tcp -dport 8888 -j tproxy

Zoredache · Accepted Answer · 6 August 2018 в 04:35

Вы настроили настройку http_port для кэширования перехвата?

  -http_port 3128 + # FIXME включить прозрачный вариант кэширования перехвата + http_port 3128 transparent

Вот правила, которые я использую. Это немного сложнее, но они упрощают добавление исключения в прокси-сервер перехвата, если мне это нужно.

  # Создание цепочки 'tproxy' в разделе 'PREROUTING' в таблице 'nat'  / sbin / iptables -t nat -N tproxy # для исходных или целевых адресов, которые не будут принудительно пропущены через прокси.  / sbin / iptables -t nat -A tproxy -s 10.2.4.56 -j RETURN / sbin / iptables -t nat -A tproxy -s 10.2.4.86 -j RETURN / sbin / iptables -t nat -A tproxy -s 10.2.  4.19 -j RETURN / sbin / iptables -t nat -A tproxy -s 10.2.4.85 -j RETURN / sbin / iptables -t nat -A tproxy -s 10.2.4.150 -j RETURN / sbin / iptables -t nat -A tproxy  -d 10.2.0.0/16 -j RETURN # перенаправить что-либо в прокси-сервер, который не возвращается / sbin / iptables -t nat -A PREROUTING -p tcp -j REDIRECT - to-ports 8888 # правила для отправки трафика на порт 80  входящие интерфейсы vlan0004, vlan0006 в цепочку # tproxy.  / sbin / iptables -t nat -A PREROUTING -i vlan0004 -p tcp -dport 80 -j tproxy / sbin / iptables -t nat -A PREROUTING -i vlan0004 -p tcp -dport 8888 -j tproxy / sbin / iptables  -t nat -A PREROUTING -i vlan0006 -p tcp -dport 80 -j tproxy / sbin / iptables -t nat -A PREROUTING -i vlan0006 -p tcp -dport 8888 -j tproxy

Zoredache · Accepted Answer · 7 August 2018 в 22:45

Вы настроили настройку http_port для кэширования перехвата?

  -http_port 3128 + # FIXME включить прозрачный вариант кэширования перехвата + http_port 3128 transparent

Вот правила, которые я использую. Это немного сложнее, но они упрощают добавление исключения в прокси-сервер перехвата, если мне это нужно.

  # Создание цепочки 'tproxy' в разделе 'PREROUTING' в таблице 'nat'  / sbin / iptables -t nat -N tproxy # для исходных или целевых адресов, которые не будут принудительно пропущены через прокси.  / sbin / iptables -t nat -A tproxy -s 10.2.4.56 -j RETURN / sbin / iptables -t nat -A tproxy -s 10.2.4.86 -j RETURN / sbin / iptables -t nat -A tproxy -s 10.2.  4.19 -j RETURN / sbin / iptables -t nat -A tproxy -s 10.2.4.85 -j RETURN / sbin / iptables -t nat -A tproxy -s 10.2.4.150 -j RETURN / sbin / iptables -t nat -A tproxy  -d 10.2.0.0/16 -j RETURN # перенаправить что-либо в прокси-сервер, который не возвращается / sbin / iptables -t nat -A PREROUTING -p tcp -j REDIRECT - to-ports 8888 # правила для отправки трафика на порт 80  входящие интерфейсы vlan0004, vlan0006 в цепочку # tproxy.  / sbin / iptables -t nat -A PREROUTING -i vlan0004 -p tcp -dport 80 -j tproxy / sbin / iptables -t nat -A PREROUTING -i vlan0004 -p tcp -dport 8888 -j tproxy / sbin / iptables  -t nat -A PREROUTING -i vlan0006 -p tcp -dport 80 -j tproxy / sbin / iptables -t nat -A PREROUTING -i vlan0006 -p tcp -dport 8888 -j tproxy

Zoredache · Accepted Answer · 10 August 2018 в 10:50

Вы настроили настройку http_port для кэширования перехвата?

  -http_port 3128 + # FIXME включить прозрачный вариант кэширования перехвата + http_port 3128 transparent

Вот правила, которые я использую. Это немного сложнее, но они упрощают добавление исключения в прокси-сервер перехвата, если мне это нужно.

  # Создание цепочки 'tproxy' в разделе 'PREROUTING' в таблице 'nat'  / sbin / iptables -t nat -N tproxy # для исходных или целевых адресов, которые не будут принудительно пропущены через прокси.  / sbin / iptables -t nat -A tproxy -s 10.2.4.56 -j RETURN / sbin / iptables -t nat -A tproxy -s 10.2.4.86 -j RETURN / sbin / iptables -t nat -A tproxy -s 10.2.  4.19 -j RETURN / sbin / iptables -t nat -A tproxy -s 10.2.4.85 -j RETURN / sbin / iptables -t nat -A tproxy -s 10.2.4.150 -j RETURN / sbin / iptables -t nat -A tproxy  -d 10.2.0.0/16 -j RETURN # перенаправить что-либо в прокси-сервер, который не возвращается / sbin / iptables -t nat -A PREROUTING -p tcp -j REDIRECT - to-ports 8888 # правила для отправки трафика на порт 80  входящие интерфейсы vlan0004, vlan0006 в цепочку # tproxy.  / sbin / iptables -t nat -A PREROUTING -i vlan0004 -p tcp -dport 80 -j tproxy / sbin / iptables -t nat -A PREROUTING -i vlan0004 -p tcp -dport 8888 -j tproxy / sbin / iptables  -t nat -A PREROUTING -i vlan0006 -p tcp -dport 80 -j tproxy / sbin / iptables -t nat -A PREROUTING -i vlan0006 -p tcp -dport 8888 -j tproxy

Zoredache · Accepted Answer · 13 August 2018 в 17:25

Вы настроили настройку http_port для кэширования перехвата?

  -http_port 3128 + # FIXME включить прозрачный вариант кэширования перехвата + http_port 3128 transparent

Вот правила, которые я использую. Это немного сложнее, но они упрощают добавление исключения в прокси-сервер перехвата, если мне это нужно.

  # Создание цепочки 'tproxy' в разделе 'PREROUTING' в таблице 'nat'  / sbin / iptables -t nat -N tproxy # для исходных или целевых адресов, которые не будут принудительно пропущены через прокси.  / sbin / iptables -t nat -A tproxy -s 10.2.4.56 -j RETURN / sbin / iptables -t nat -A tproxy -s 10.2.4.86 -j RETURN / sbin / iptables -t nat -A tproxy -s 10.2.  4.19 -j RETURN / sbin / iptables -t nat -A tproxy -s 10.2.4.85 -j RETURN / sbin / iptables -t nat -A tproxy -s 10.2.4.150 -j RETURN / sbin / iptables -t nat -A tproxy  -d 10.2.0.0/16 -j RETURN # перенаправить что-либо в прокси-сервер, который не возвращается / sbin / iptables -t nat -A PREROUTING -p tcp -j REDIRECT - to-ports 8888 # правила для отправки трафика на порт 80  входящие интерфейсы vlan0004, vlan0006 в цепочку # tproxy.  / sbin / iptables -t nat -A PREROUTING -i vlan0004 -p tcp -dport 80 -j tproxy / sbin / iptables -t nat -A PREROUTING -i vlan0004 -p tcp -dport 8888 -j tproxy / sbin / iptables  -t nat -A PREROUTING -i vlan0006 -p tcp -dport 80 -j tproxy / sbin / iptables -t nat -A PREROUTING -i vlan0006 -p tcp -dport 8888 -j tproxy

Проблемой был прозрачный атрибут для http_port. Затем нужно было просто «$ iptables -t nat -A PREROUTING -i $ INTIF -p tcp -dport 80 -j REDIRECT -to-port 8888 & quot; для базовых настроек брандмауэра. Спасибо. — Jon, 11 September 2010 в 18:22

IPTables выдает Squid как прозрачный прокси

10 ответов

Другие вопросы по тегам:

Похожие вопросы: