прозрачный прокси squid

[w03zd8rc]

настроил сквид - все работает, аутефицирует. в браузере ставлю проксей сервер, пробую выйти - выпускает, на запрещенные сайты пишет доступ запрещен. пытаюсь выставить сквид прозрачной (посредством волшебного слова), иптаблес пишу следующее:

Код: Выделить всё

iptables -t nat -A PREROUTING -p tcp --dport 80 -j REDIRECT --to-port 3128
iptables -t nat -A PREROUTING -p tcp --dport 443 -j REDIRECT --to-port 3128
iptables -t nat -A PREROUTING -p tcp --dport 5190 -j REDIRECT --to-port 3128
iptables -t nat -A PREROUTING -p tcp --dport 25 -j REDIRECT --to-port 3128
iptables -t nat -A PREROUTING -p tcp --dport 110 -j REDIRECT --to-port 3128
iptables -t nat -A PREROUTING -p tcp --dport 143 -j REDIRECT --to-port 3128

пишет доступ запрещен.
логи сквида: "1264134624.596 1 192.168.1.35 TCP_DENIED/403 1357 GET http://linuxforum.ru/ - NONE/- text/html"
т.е. получается пользователи не проходят авторизацию.

конфиг сквида:

Код: Выделить всё

http_port 3128 transparent
cache_peer 127.0.0.1 parent 9202 0 no-query no-digest
hierarchy_stoplist cgi-bin ?
cache_dir ufs /usr/local/squid/cache 4000 32 256
error_directory /usr/share/squid/errors/Russian-koi8-r

auth_param ntlm program /usr/local/samba/bin/ntlm_auth --helper-protocol=squid-2.5-ntlmssp
auth_param ntlm children 10
auth_param ntlm keep_alive on

auth_param basic program /usr/local/samba/bin/ntlm_auth --helper-protocol=squid-2.5-basic
auth_param basic children 10
auth_param basic realm Squid proxy-caching web server
auth_param basic credentialsttl 2 hours
auth_param basic casesensitive off

acl all src 0.0.0.0/0.0.0.0
acl manager proto cache_object
acl localhost src 127.0.0.1/255.255.255.255
acl SSL_ports port 443 563
acl Safe_ports port 80          # http
acl Safe_ports port 21          # ftp
acl Safe_ports port 443 563     # https, snews
acl Safe_ports port 70          # gopher
acl Safe_ports port 210         # wais
acl Safe_ports port 1025-65535  # unregistered ports
acl Safe_ports port 280         # http-mgmt
acl Safe_ports port 488         # gss-http
acl Safe_ports port 591         # filemaker
acl Safe_ports port 777         # multiling http
acl CONNECT method CONNECT

acl office proxy_auth REQUIRED
#acl office src 192.168.1.0/255.255.255.0
acl adm src 192.168.1.35

acl deny_domains dstdomain "/etc/squid/blok/domen"
deny_info ERR_ACCESS_DENIED deny_domains

http_access deny deny_domains !adm
http_access allow office
http_access deny !Safe_ports
http_access deny all
icp_access allow all


access_log /var/log/squid/access.log squid
cache_access_log /var/log/squid/access_cache.log
cache_log /var/log/squid/cache.log
cache_store_log /var/log/squid/store.log

подскажите где я ошибся?

[Ленивая Бестолочь]

прозрачный прокси сервер не может требовать авторизацию.
он на то и прозрачный, что клиенты не замечают его присутствия.
в вашем случае браузеру кажется, что он пошел на linuxforum.ru, а там ему:

auth_param ntlm program /usr/local/samba/bin/ntlm_auth --helper-protocol=squid-2.5-ntlmssp

он такого не заказывал.

для авторизации на прозрачном прокси могу только порекомендовать поднимать/опускать правила iptables, которые бы разрешали ходить на него с разных ip при логине автора в домене.
я правда такое делал только в домене на самбе, в виндовом - не уверен, что смогу.

[w03zd8rc]

Ленивая Бестолочь, тоесть получается надо делать так:

Код: Выделить всё

http_port 3128 transparent
cache_peer 127.0.0.1 parent 9202 0 no-query no-digest
hierarchy_stoplist cgi-bin ?
cache_dir ufs /usr/local/squid/cache 4000 32 256
error_directory /usr/share/squid/errors/Russian-koi8-r

acl all src 0.0.0.0/0.0.0.0
acl manager proto cache_object
acl localhost src 127.0.0.1/255.255.255.255
acl SSL_ports port 443 563
acl Safe_ports port 80          # http
acl Safe_ports port 21          # ftp
acl Safe_ports port 443 563     # https, snews
acl Safe_ports port 70          # gopher
acl Safe_ports port 210         # wais
acl Safe_ports port 1025-65535  # unregistered ports
acl Safe_ports port 280         # http-mgmt
acl Safe_ports port 488         # gss-http
acl Safe_ports port 591         # filemaker
acl Safe_ports port 777         # multiling http
acl CONNECT method CONNECT

acl office src 192.168.1.0/255.255.255.0
acl adm src 192.168.1.35

acl deny_domains dstdomain "/etc/squid/blok/domen"
deny_info ERR_ACCESS_DENIED deny_domains

http_access deny deny_domains !adm
http_access allow office
http_access deny !Safe_ports
http_access deny all
icp_access allow all


access_log /var/log/squid/access.log squid
cache_access_log /var/log/squid/access_cache.log
cache_log /var/log/squid/cache.log
cache_store_log /var/log/squid/store.log

?
а в случае если ненадо пускать "лишних" перечислить все ип офиса через acl?

[Ленивая Бестолочь]

да, так должно работаеть.

[eddy]

а в случае если ненадо пускать "лишних" перечислить все ип офиса через acl?

Что же вы людей так не любите? А как они на почту заходить будут с прозрачным прокси (https-то в прозрачном режиме не проксируется)? Уберите правило

Код: Выделить всё

iptables -t nat -A PREROUTING -p tcp --dport 443 -j REDIRECT --to-port 3128

а айпишники "ненужных людей" пропишите отдельным acl и добавьте ему deny перед "http_access allow office". Кстати, фильтровать по IP можно и правилами iptables (правда, тогда в отчетах прокси вы не увидите, пытался ли кто-нибудь из них выйти в интернет) .

[w03zd8rc]

Что же вы людей так не любите? А как они на почту заходить будут с прозрачным прокси (https-то в прозрачном режиме не проксируется)? Уберите правило

все работают через бат, но и тот чет отказался летать через сквид
это получается надо так прописать:

Код: Выделить всё

iptables -t nat -A PREROUTING -p tcp --dport 110 -j SNAT --to-source 172.16.122.241

?

а айпишники "ненужных людей" пропишите отдельным acl и добавьте ему deny перед "http_access allow office"

так в этом и дело что хз кто лишний то будет, мало ли кто там цепанулся к сети (коряво разводка по офису проложена), получил ип от дхцп автоматом и засел на весь месячный траф. Я вот что подумал: а можно ли через тотже wbinfo получить ип адресса, выданные пользователям домена?

[Ленивая Бестолочь]

все работают через бат, но и тот чет отказался летать через сквид

потому, что сквид - это HTTP прокси. не smtp/pop3 или imap.
либо стьавте почтовый проксик, либо почтовые протоколы не заворачивайте на сквид, а натте в интернет.

[w03zd8rc]

Ленивая Бестолоч...
в этом то и проблема что попытался я завернуть в обход сквида - не идет. тут стоит ассинхронный спутниковый, все через ж..
не поможете правило написать? а то чет неполучается пустить(
получается dvb0_0 - двб карта, eth0 - земля, tun0 - впн

[w03zd8rc]

усе разобрался.
сделал так:

Код: Выделить всё

iptables -t nat -A POSTROUTING -p tcp --destination-port 110 -j SNAT --to-source 172.16.122.241
iptables -t nat -A POSTROUTING -p tcp --destination-port 143 -j SNAT --to-source 172.16.122.241
iptables -t nat -A POSTROUTING -p tcp --destination-port 25 -j SNAT --to-source 172.16.122.241

+ забыл еще днс добавить - что тормозило загрузку)

[w03zd8rc]

неполучается пробросить IMAP....
пишу:

Код: Выделить всё

iptables -t nat -A POSTROUTING -p tcp --destination-port 143 -j SNAT --to-source 172.16.122.241

висит, а потом пишет что не может соединится...

[Ленивая Бестолочь]

что-то вы не то делаете, попробуйте вот так:

Код: Выделить всё

iptables -t nat -A POSTROUTING -s 172.16.122.0/24 -d ! 172.16.122.0/24 -p tcp -m tcp --dport 110 -j MASQUERADE
iptables -t nat -A POSTROUTING -s 172.16.122.0/24 -d ! 172.16.122.0/24 -p tcp -m tcp --dport 143 -j MASQUERADE
iptables -t nat -A POSTROUTING -s 172.16.122.0/24 -d ! 172.16.122.0/24 -p tcp -m tcp --dport 25 -j MASQUERADE

[w03zd8rc]

все заработало. Оказалось 2 раза порт 143 прописал, и с самог начала пробросил его на сквид - вот и не пахало =)