Настройка Squid (нужен ли iptables?)

[capsnail]

Здравствуйте!
Ситуация такая:
есть интерфейс eth0 192.168.1.22 на нем инет
eth1 192.168.1.23 локакльная сеть
192.168.1.x - локальные пользователи, которым будет раздаваться инет
Задача пока такая: раздавать интернет всем пользователям, ну и чтобы траф проходил через сквид
Вопрос в следующем: нужено ли делать перенаправление с помощью iptables? Или squid может работать и так. (я так понимаю можно указать порт в браузере пользователя, на котором сидит сквид и все будет работать?)
Может кто-нибудь даст рабочий конфиг сквида?

[Venegance]

Почему интернет-интерфейс и интерфейс на локальную сеть в одной подсети лежат?

[capsnail]

Виноват, неправильно написал. С подсетями все ясно.
И все же какие минимальные настройки нужно использовать в сквид, чтобы инет разавался всем? и нужен ли iptables?

[Venegance]

Squid может работать в двух режимах - прозрачном и обычном, При работе в обычном режиме squid может форвардить http, https, ftp, gopher, т.е. минимум, необходимый для работы с сетью интернет (torrent и т.д. работать не будут). Для работы в таком режиме необходимо вручную или при помощи dhcp указывать браузеру на клиентских машинах использовать прокси. Если squid работает в прозрачном режиме, то он может форвардить !!!только!!! http. Чтобы перевести squid в такой режим нужно в конфигурационном файле squidа после указания прослушиваемого ip и порта прописать transparent. Для заворачивания трафика по http на порт squidа необходимо использовать iptables(создать правило в таблице nat, цепочка prerouting). Для полноценного использования сети интернет также необходимо создать правила в iptables для прохождения трафика по другим портам(https, ftp и т.д.)

[capsnail]

т.е. мне можно просто использовать стандартный конфиг сквида и туда добавить прослушиваемый айпи и порт и указать параметр transparent?
ну и настроить правило в iptables

[Venegance]

Не совсем. Нужно в списках доступа squid добавить разрешённые подсети(те, кому можно в интернет), прописать, какой ip слушать(можно все, но зачем?), какой порт и параметр transparent. В iptables добавить правило

Код: Выделить всё

iptables -t nat -A PREROUTING -p tcp -m tcp --dport 80 -j REDIRECT --to-ports 3128

Если порт, который слушает squid у тебя 3128, если другой - укажи другой. Но работать будет только http! Т.е. даже при доступе к тому же mail.ru, когда пользователь будет вводить информацию для авторизации на свой почтовый ящик(там, по-моему, https) squid их не пропустит. Т.е. это будет очень кривой доступ в интернет. Чтобы это устранить, придется в iptables настраивать nat и добавлять правила по другим портам.

[Alex2ndr]

Но работать будет только http! Т.е. даже при доступе к тому же mail.ru, когда пользователь будет вводить информацию для авторизации на свой почтовый ящик(там, по-моему, https) squid их не пропустит. Т.е. это будет очень кривой доступ в интернет. Чтобы это устранить, придется в iptables настраивать nat и добавлять правила по другим портам.

Добавлю от себя что тоже самое потоковое видео в flash роликах тоже не работает.(понятно что оно не http - но я для примера). А вот с https я не уверен - я как-то пробовал такое поднимать - а у всех пользователей почта как раз на mail - на почту не жаловались а вот на видео довольно сильно

[Venegance]

А в сквид только трафик по 80 порту редиректил? Если да, то никакого https на mail.ru нету)

[capsnail]

Спасибо за ценные советы

Но у меня есть еще несколько вопросов:
Пока ковырялся со сквидом, возникла еще одна проблема: у меня на Slackware стоит Samba, при подключении второй сетевухи она отваливается. Т.е. когда я проверяю подключение

Код: Выделить всё

net rpc testjoin

, пишет что-то вроде "cant to connect to domain RGHL, no suitable server" Если же я отключаю одну сетевуху коммандой eth down, потом перезагружаю сервер самба

Код: Выделить всё

/etc/rc.d/rc.samba restart

, то подключение к домену происходит нормально, и если я потом подниму вторую сетевуху, то тоже работает все нормально. Если перезагружу комп, вылезает та же фигня...
Может кто-нибудь подскажет как сказать самбе, чтобы она смотрела только одну сетевую (если конечно это возможно) и вообще в чем может быть причина?
И еще такой момент: когда у меня воткнуты 2 сетевые карты, например я с одной делаю пинг:

Код: Выделить всё

ping 192.168.1.3

То пакеты проходят нормально, если же ту же самую витую пару переключаю на другую сетевуху, пакеты не проходят. Как вообще такое может быть?
ifconfig смотрел, обе сетевые карты присутствуют и активны

[Venegance]

Какие ip на интерфейсах?

[capsnail]

Который должен работать с самбой и с локалкой eth0 192.168.1.22
Который должен работать со сквидом и инетом eth1 192.168.20.23

[Venegance]

Лог самбы покажи. +Поправка: со сквидом у тебя будет работать eth0, а не eth1.

[capsnail]

Эм, с логами проблемка вышла, я давно еще путь указал, а содать его не создал Этот момент сейчас исправил, но эксперементировать пока нет возможностьи, попозже скину...
А почему у меня со сквидом будет работать eth0 а не eth1? Наоборот разве нельзя?

[Alex2ndr]

А в сквид только трафик по 80 порту редиректил? Если да, то никакого https на mail.ru нету)

кстати да - только 80 редиректил - а https наверно напрямую летел - я и NAT оставлял

[Venegance]

Прокси будет принимать запросы от пользователей в локальной сети? Да. Какой интерфейс обслуживает локальную сеть? Eth0. Следовательно, какой ip ,будет слушать squid? IP на интерфейсе eth0. Наоборот можно, если айпишники наоборот пропишешь. Еще, как вариант, можно в конфигурационном файле сквида вместо какого-то конкретного айпи поставить *. Это значит, что сквид будет слушать все айпи адреса локальной машины, но лучше так не делать. Зачем сквиду слушать интерфейс в сторону провайдера?