Nie jesteś zalogowany.
Jeśli nie posiadasz konta, zarejestruj je już teraz! Pozwoli Ci ono w pełni korzystać z naszego serwisu. Spamerom dziękujemy!
Ogłoszenie
Prosimy o pomoc dla małej Julki — przekaż 1% podatku na Fundacji Dzieciom zdazyć z Pomocą.
Więcej informacji na dug.net.pl/pomagamy/.
#1 2010-08-04 15:29:36
pietrucha - Użytkownik
- pietrucha
- Użytkownik
- Zarejestrowany: 2010-06-30
problem z serwerem proxy transparent
Szanowni forumowicze,
posiadam Squida v.2.7 stable. Serwer proxy pracuje w sieci 10.0.0.0/24 i ma jedną kartę sieciową eth0
i ruch www jest przekierowywany na niego regułką:
Kod:
iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 80 -j REDIRECT --to-port 3128
i zapisane:
Kod:
iptables-save
Squid skonfigurowany jest następująco:
Kod:
acl all src all acl gopher proto gopher acl localhost src 127.0.0.1/32 acl to_localhost dst 127.0.0.0/8 acl lan src 10.0.0.0/24 # internal network acl SSL_ports port 443 # https acl SSL_ports port 563 # snews acl SSL_ports port 873 # rsync acl Safe_ports port 80 # http acl Safe_ports port 21 # ftp acl Safe_ports port 443 # https acl Safe_ports port 210 # wais acl Safe_ports port 1025-65535 # unregistered ports acl Safe_ports port 280 # http-mgmt acl Safe_ports port 488 # gss-http acl Safe_ports port 591 # filemaker acl Safe_ports port 777 # multiling http acl Safe_ports port 631 # cups acl Safe_ports port 873 # rsync acl Safe_ports port 901 # SWAT acl purge method PURGE acl CONNECT method CONNECT http_access allow purge localhost http_access deny purge http_access deny !Safe_ports http_access deny CONNECT !SSL_ports http_access allow localhost # http_access allow lan http_access deny gopher http_access deny all # http_port 3128 transparent access_log /var/log/squid/access.log squid visible_hostname INTPROXY cache_dir ufs /var/spool/squid 800 16 256 cache_mem 512 MB
Jeśli w przeglądarka będzie skonfigurowana, żeby używała tegoż proxy to pojawiają się logi
gdy wydam komendę:
Kod:
tail -f /var/log/squid/access.log
A jeśli przeglądarka nie używa proxy to w logach nic się nie zapisuje co wydaje się
że transparentne proxy nie działa.
Bardzo prosiłbym o jakieś wskazówki - co mogę jeszcze zrobić,
żeby transparentne proxy działało.
Pozdrawiam
Offline
#2 2010-08-04 15:45:09
ethanak - 
Użytkownik
Re: problem z serwerem proxy transparent
pietrucha napisał(-a):
Szanowni forumowicze,
posiadam Squida v.2.7 stable. Serwer proxy pracuje w sieci 10.0.0.0/24 i ma jedną kartę sieciową eth0
i ruch www jest przekierowywany na niego regułką:Kod:
iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 80 -j REDIRECT --to-port 3128
To znaczy że serwer proxy jest jednocześnie routerem? Jeśli tak, to regułka jest prawidłowa...
Jeśli nie - przeczytanie mana do iptables zanim się człowiek do roboty zabierze i zacznie głowę ludziom zawracać bywa dobrym pomysłem.
Nim mechaniczne larum zagrasz mi, kanalio,
głosząc nadejście Javy - śmiertelnego wroga!
Zespół Adwokacki Dyskrecja
Offline
#3 2010-08-04 18:08:25
thalcave - prawie jak admin
- thalcave
- prawie jak admin
- Skąd: odległa galaktyka
- Zarejestrowany: 2007-05-17
Re: problem z serwerem proxy transparent
A masz port 3128 otwarty dla sieci wewnętrznej?
linux register user: 484281
"It's great to be here. It's great to be anywhere"
Keith Richards
Offline
#4 2010-08-04 22:08:19
pietrucha - Użytkownik
- pietrucha
- Użytkownik
- Zarejestrowany: 2010-06-30
Re: problem z serwerem proxy transparent
port 3128 jest otwarty.
gdy przegladarka ma ustawiane ten serwer jako proxy to zapisywane sa logi
z taka konfigurtacja squida jaka podalem.
Natomiast gdy przeladarka ma ustawione zeby nie korzystala z proxy, to mimo
skonfigurowania go jako transparentny logi nie sa zapisywane - czyli jak juz wsponialem w moim zapytaniu
transparentne proxy nie dziala.
serwer proxy pracuje w sieci 10.0.0.0/24 i ma adres 10.0.0.2 i nie jest routerem.
Moim zamyslem jest zeby ten serwer rejestrowal tylko strony jakie odwiedzaja pracownicy podczas gdy pracuja (ich stacje robocze tez sa w sieci 10.0.0.0/24).
Co do pomyslu przeczytania manuala iptables to wlasnie sobie go sciagnalem z netu i poczytam.
Ostatnio edytowany przez pietrucha (2010-08-04 22:17:31)
Offline
#5 2010-08-04 22:35:07
thalcave - prawie jak admin
- thalcave
- prawie jak admin
- Skąd: odległa galaktyka
- Zarejestrowany: 2007-05-17
Re: problem z serwerem proxy transparent
Skoro to nie jest router to IMO bez proxy ustawionego zapytania komputerów roboczych w ogóle nie docierają do serwera proxy. Bo i po co? One idą do o bramki komputera, routera czy czegoś innego udotępniającego internet
linux register user: 484281
"It's great to be here. It's great to be anywhere"
Keith Richards
Offline
#6 2010-08-04 23:13:03
pietrucha - Użytkownik
- pietrucha
- Użytkownik
- Zarejestrowany: 2010-06-30
Re: problem z serwerem proxy transparent
Thalcave,
Dzięki za podpowiedź.
Z tego co napisałeś wynika, że serwer proxy musi być także routerem aby zadziałało
proxy transparentne. Pierwszy raz stawiam proxy i opierałem się na gotowych rozwiązaniach z netu
modyfikując je do swoich potrzeb. Aby stacje robocze były pod kontrolą squida z włączoną opcją transparency
należy należy umieścić je w podsieci, dla której bramą byłby serwer proxy - takiego rozwiązania chciałem uniknąć.
Jeszcze raz dziękuję za pomoc i pozdrawiam.
Offline
#7 2010-08-05 06:35:46
djjanek - Użytkownik
Re: problem z serwerem proxy transparent
pietrucha napisał(-a):
Thalcave,
Dzięki za podpowiedź.
Z tego co napisałeś wynika, że serwer proxy musi być także routerem aby zadziałało...
Nie musi byś ale na routerze musi być przekierowanie na proxy a nie na samym serwerze proxy.
Offline
#8 2010-08-05 08:49:06
pietrucha - Użytkownik
- pietrucha
- Użytkownik
- Zarejestrowany: 2010-06-30
Re: problem z serwerem proxy transparent
Dzięki Dijanek,
niestety router nie jest naszą własnością - nie mamy możliwości administrowania nim.
Ale jest to cenna uwaga na przyszłość.
Ponieważ mam wolny router (nasz) wobec tego spróbuję go skonfigurować tak jak
mi podpowiedziałeś czyli przekierowanie na routerze na proxy.
Jeszcze raz dziękuję i pozdrawiam
Offline
#9 2010-08-05 10:12:36
ethanak - Użytkownik
Re: problem z serwerem proxy transparent
pietrucha napisał(-a):
Dzięki Dijanek,
niestety router nie jest naszą własnością - nie mamy możliwości administrowania nim.
A ta magiczna (nieprawidłowa) linijka to się sama do routera dopisała?
Naprawdę, man nie gryzie, a akurat ten od iptables jest bardzo czytelnie napisany i wszystko co trzeba w nim znajdziesz. A wystarczy zmienić tę regułkę na prawidłową (DNAT o ile pamiętam) aby ładnie przekierować cały ruch na proxy stojący na innej maszynie.
Zresztą - przeznaczenie oddzielnej maszyny (fizycznej) na serwer proxy jest chyba dobrym pomysłem. Można squidowi przydzielić ramu tyle ile trzeba (pamiętaj aby instalować 64-bitowy system, bo 32-bitowy squid i tak nie zobaczy więcej niż 2 GB). Można bawić się w tanie dyski na cache (w końcu cache to nie sa jakieś ważne dane, i w razie awarii nawet skasowanie całej zawartości nie jest specjalnie bolesne). Mozna skonfigurować cały system optymalnie pod squida - bo to będzie przecież praktycznie jedyna działająca aplikacja...
Nim mechaniczne larum zagrasz mi, kanalio,
głosząc nadejście Javy - śmiertelnego wroga!
Zespół Adwokacki Dyskrecja
Offline
#10 2010-08-05 12:21:01
djjanek - Użytkownik
Re: problem z serwerem proxy transparent
ethanak napisał(-a):
pietrucha napisał(-a):
Dzięki Dijanek,
niestety router nie jest naszą własnością - nie mamy możliwości administrowania nim.A ta magiczna (nieprawidłowa) linijka to się sama do routera dopisała?
Naprawdę, man nie gryzie, a akurat ten od iptables jest bardzo czytelnie napisany i wszystko co trzeba w nim znajdziesz. A wystarczy zmienić tę regułkę na prawidłową (DNAT o ile pamiętam) aby ładnie przekierować cały ruch na proxy stojący na innej maszynie.
Zresztą - przeznaczenie oddzielnej maszyny (fizycznej) na serwer proxy jest chyba dobrym pomysłem. Można squidowi przydzielić ramu tyle ile trzeba (pamiętaj aby instalować 64-bitowy system, bo 32-bitowy squid i tak nie zobaczy więcej niż 2 GB). Można bawić się w tanie dyski na cache (w końcu cache to nie sa jakieś ważne dane, i w razie awarii nawet skasowanie całej zawartości nie jest specjalnie bolesne). Mozna skonfigurować cały system optymalnie pod squida - bo to będzie przecież praktycznie jedyna działająca aplikacja...
Ta magiczna regułka jest na serwerze PROXY a żeby zrobić całkowite transparentne proxy należy taką sztuczkę zrobić na routerze.
Opis przypadku jest wyżej.
Offline
#11 2010-08-05 13:40:39
ethanak - Użytkownik
Re: problem z serwerem proxy transparent
djjanek napisał(-a):
ethanak napisał(-a):
pietrucha napisał(-a):
Dzięki Dijanek,
niestety router nie jest naszą własnością - nie mamy możliwości administrowania nim.A ta magiczna (nieprawidłowa) linijka to się sama do routera dopisała?
Ta magiczna regułka jest na serwerze PROXY a żeby zrobić całkowite transparentne proxy należy taką sztuczkę zrobić na routerze.
A nie pomyślałeś o tym, że mogłeś równie dobrze napisać to na papierze toaletowym i wywiesić sołtysowi w oknie? Działałoby dokładnie tak samo...
Nim mechaniczne larum zagrasz mi, kanalio,
głosząc nadejście Javy - śmiertelnego wroga!
Zespół Adwokacki Dyskrecja
Offline
#12 2010-08-05 14:52:34
pietrucha - Użytkownik
- pietrucha
- Użytkownik
- Zarejestrowany: 2010-06-30
Re: problem z serwerem proxy transparent
Dziękuję wszystkim za udział w dyskusji.
Wszelkie uwagi uwzględniłem .
Na ich podstawie i na podstawie manuala skonfigurowałem sobie transparentne proxy
plus reguły iptables
także wszystko mi działa jak należy.
Jeszcze raz serdeczne dzięki. Temat uważam za zamknięty.
Pozdrawiam wszystkich uczestników dyskusji
Offline