Добрый день…
поставили передо мной такую банальную задачу организации интернета:
1. любые приложения не ходящие по http должны коннектица прозрачно(без маппинга портов и соксификации через прокси)
2. рулить доступом пользователей http, и считать трафик по каждому
В распоряжении имелось:
1. ADLS-интернет
2. локальная сеть
3. интернет-маршрутизатор на базе AltLinux 4 Desctop с 2мя сетевыми интерфейсами
eth0 — в ADSL, и eth1 — в сеть
Решил сделать так:
для прозрачного доступа пользователей в интернет NATить адреса в IPTables, и поднять PPPoE для коннекта пользователей. Для контролирования HTTP — заворачивать в IPTables запросы с 80 порта на прозрачный прокси-сервер Squid.
Поднял NAT+PPPoE, поднял squid…по отдельности все работает, но как только я делаю squid прозрачным и заворачиваю запросы с 80 порта на squid — http работать отказывается…
скрипт для Iptables
————————————-
#!/bin/sh
function get_addr()
{
IFCONFIG=’/sbin/ifconfig’;
HEAD=’head -2\′;
TAIL=’tail -1\′;
CUT=’cut -d: -f2\′;
IP=`$IFCONFIG $1 | $HEAD | $TAIL | awk '{print $2}' | $CUT`;
echo $IP;
}
### Внешний интерфейс
EXTDEV=«eth0»
### внутренний интерфейс
PPPOEDEV=«eth1»
### сеть для PPPOE клиентов.
INETWORKIP=«192.168.100.0/255.255.255.0»
EXTERNALIP=`get_addr $EXTDEV`
ENETWORKIP=$EXTERNALIP+«/255.255.255.255»
INTERNALIP=`get_addr $INTDEV`
LOOPBACK=«127.0.0.1»
ANYWHERE=«0.0.0.0/0»
PORTS=«1024:65535»
INTDEV=«ppp+»
/sbin/depmod -a
/sbin/modprobe ip_conntrack
/sbin/modprobe ip_tables
/sbin/modprobe iptable_filter
/sbin/modprobe iptable_mangle
/sbin/modprobe iptable_nat
/sbin/modprobe ipt_LOG
/sbin/modprobe ipt_limit
/sbin/modprobe ipt_MASQUERADE
/sbin/modprobe ipt_owner
/sbin/modprobe ipt_REJECT
/sbin/modprobe ip_conntrack_ftp
/sbin/modprobe ip_conntrack_irc
/sbin/modprobe ip_nat_ftp
/sbin/modprobe ip_nat_irc
echo 1 > /proc/sys/net/ipv4/ip_forward
echo 1 > /proc/sys/net/ipv4/tcp_syncookies
for file in /proc/sys/net/ipv4/conf/*/rp_filter; do
echo 1 > $file
done
for file in /proc/sys/net/ipv4/conf/*/accept_redirects; do
echo 0 > $file
done
for file in /proc/sys/net/ipv4/conf/*/accept_source_route; do
echo 0 > $file
done
/sbin/iptables -F
/sbin/iptables -F -t nat
/sbin/iptables -N ALLOW_ICMP
/sbin/iptables -N ALLOW_PORTS
/sbin/iptables -N CHECK_FLAGS
/sbin/iptables -N DENY_PORTS
/sbin/iptables -N DST_EGRESS
/sbin/iptables -N KEEP_STATE
/sbin/iptables -N SRC_EGRESS
# По умолчанию все входящие пакеты сбрасываем
/sbin/iptables -P INPUT DROP
/sbin/iptables -A INPUT -p tcp ! --syn -m state --state NEW -j DROP
/sbin/iptables -A INPUT -j ACCEPT -s $EXTERNALIP -d $ANYWHERE
/sbin/iptables -A INPUT -j ACCEPT -s $ANYWHERE -d $ANYWHERE -i $INTDEV
/sbin/iptables -A INPUT -j ACCEPT -s $ANYWHERE -d $ANYWHERE -i lo
/sbin/iptables -A INPUT -j ACCEPT -s $ANYWHERE -d $ANYWHERE -i $EXTDEV -m state --state RELATED,ESTABLISHED
/sbin/iptables -A INPUT -j ACCEPT -p icmp -s $ANYWHERE -d $ANYWHERE
/sbin/iptables -A INPUT -j ACCEPT -p udp -s $INETWORKIP --sport 53 -d $ANYWHERE
# По умолчанию все исходящие пакеты сбрасываем
/sbin/iptables -P OUTPUT DROP
/sbin/iptables -A OUTPUT -j ACCEPT -s $ANYWHERE -d $ANYWHERE -o $INTDEV
/sbin/iptables -A OUTPUT -j ACCEPT -s $ANYWHERE -d $EXTERNALIP
/sbin/iptables -A OUTPUT -j ACCEPT -s $ANYWHERE -d $ANYWHERE -o lo
/sbin/iptables -A OUTPUT -j ACCEPT -s $ANYWHERE -d $ANYWHERE -o $EXTDEV -m state --state RELATED,ESTABLISHED
/sbin/iptables -A OUTPUT -j ACCEPT -p udp -s $EXTERNALIP -d $ANYWHERE --dport 53
/sbin/iptables -A OUTPUT -j ACCEPT -p icmp -s $ANYWHERE -d $ANYWHERE
/sbin/iptables -A OUTPUT -j ACCEPT -s $ANYWHERE -d $ANYWHERE -o $EXTDEV -m state --state RELATED,ESTABLISHED
/sbin/iptables -P FORWARD ACCEPT
/sbin/iptables -A FORWARD -j ACCEPT -s $ANYWHERE -d $ANYWHERE -i $INTDEV
/sbin/iptables -A FORWARD -j ACCEPT -p icmp -s $ANYWHERE -d $ANYWHERE -i $INTDEV
### редирект HTTP запросов на прокси сервер Squid.
/sbin/iptables -t nat -A PREROUTING -i $INTDEV -p tcp --dport 80 -j REDIRECT --to-port 3128
## Маскарадинг клиентов
/sbin/iptables -t nat -A POSTROUTING -j SNAT -s $INETWORKIP -d $ANYWHERE -o $EXTDEV --to $EXTERNALIP
/sbin/iptables -t nat -A POSTROUTING -j MASQUERADE -s $INETWORKIP -d $ANYWHERE -o $EXTDEV
## Запуск PPPOE-SERVER
killall -w -9 pppoe-server
/usr/sbin/pppoe-server -I $PPPOEDEV -L $INTERNALIP
—————————————--
squid.conf
—————————
http_port 3128 transparent
hierarchy_stoplist cgi-bin ?
acl QUERY urlpath_regex cgi-bin \?
no_cache deny QUERY
cache_mem 20 MB
maximum_object_size 16192 KB
cache_dir ufs /home/slaven/squid/cache 1000 16 256
emulate_httpd_log on
access_log /home/slaven/squid/logs/access.log squid
cache_log /dev/null
cache_store_log none
acl office src 192.168.100.0/255.255.255.0
acl all src 0.0.0.0/0.0.0.0
acl localhost src 127.0.0.1/255.255.255.255
acl CONNECT method CONNECT
http_access deny all !office
icp_access allow all
—————————
Браузер по таймауту говорит, что невозможно отобразить страницу.
а access.log сквидовский ловит подобное:
—————————————--
1198840773.503 179912 192.168.100.1 TCP_MISS/504 1461 GET http://www.google.ru/complete/search? — DIRECT/216.239.59.104 text/html
——————————————
Если делаю squid непрозрачным, то он валит в браузер сообщение о неправильно переданном запросе, и аналогичную запись делает в access.log.
На момент написания поста перерыл просторы инета в поисках решения, но поа безрезультатно. Буду признателен за любую помощь
Последние комментарии
-
OlegL, 17 декабря в 15:00 →
Перекличка
21
-
REDkiy, 8 июня 2023 года в 9:09 →
Как «замокать» файл для юниттеста в Python?
2
-
fhunter, 29 ноября 2022 года в 2:09 →
Проблема с NO_PUBKEY: как получить GPG-ключ и добавить его в базу apt?
6
-
Иванн, 9 апреля 2022 года в 8:31 →
Ассоциация РАСПО провела первое учредительное собрание
1
-
Kiri11.ADV1, 7 марта 2021 года в 12:01 →
Логи catalina.out в TomCat 9 в формате JSON
1
ecobeing.ru
