Немного необычный прозрачный прокси (как бы решить это?)

Обсуждение настройки и работы сервисов, резервирования, сетевых настроек и вопросов безопасности ОС.

Модераторы: SLEDopit, Модераторы разделов

Аватара пользователя
Warderer
Модератор
Сообщения: 1056
Статус: киберпИнгвин на гусеничном ходу
ОС: Debian unstable

Немного необычный прозрачный прокси

Сообщение Warderer »

Утомило меня то, что некоторые шибко умные пользователи периодически отключают прокси в браузере, решил было запретить на брэндмауэре, но начальство возражает. В голове мысль, что остается вариант прозрачного прокси, который осложняется тем, что прокси у меня стоит внутри сети, и это разные с брэндмауэром машины. Вариант с объединением функций не рассматривается.

Итак, настройки прокси, находящегося по адресу 192.168.5.10:
http_port 8080
cache_dir ufs /var/spool/squid 4096 16 256
cache_mem 64 MB
httpd_accel_host virtual
httpd_accel_port 80
httpd_accel_with_proxy on
httpd_accel_uses_host_header on
acl all src 0.0.0.0/0.0.0.0
acl manager proto cache_object
acl localsrc src 127.0.0.1 192.168.5.0/255.255.255.0 192.168.1.0/255.255.255.0
acl localdst dst 127.0.0.1 192.168.5.0/255.255.255.0 192.168.1.0/255.255.255.0
acl CONNECT method CONNECT
acl webdav method PROPFIND TRACE PURGE PROPPATCH MKCOL COPY MOVE LOCK UNLOCK
acl icq_port port 5190
acl icq_domain dstdomain icq.com
acl icq_proto proto HTTPS
acl acq_adr dst 64.12.0.0/16
http_access allow manager localsrc
http_access deny manager
http_access allow localsrc
http_access deny all
store_avg_object_size 3 KB
redirect_program /usr/local/rejik3/redirector /usr/local/rejik3/redirector.conf

правила в iptables на брэндмауэре 192.168.5.24:
*nat
<...>
-A PREROUTING -s 192.168.5.184 -p tcp --dport 80 -j LOG
-A PREROUTING -s 192.168.5.184 -p tcp --dport 80 -j DNAT --to-destination 192.168.5.10:8080
<...>

В результате вижу в журнале:
Jan 12 09:43:35 gatekeeper kernel: IN=eth2 OUT= MAC=**:**:**:**:**:**:**:**:**:**:**:**:**:** SRC=192.168.5.184 DST=66.79.183.120 LEN=60 TOS=0x00 PREC=0x00 TTL=63 ID=7021 DF PROTO=TCP SPT=42691 DPT=80 WINDOW=5840 RES=0x00 SYN URGP=0

Может у кого есть мысли, почему это может не работать? Mozilla застывает на состоянии "connecting to..."


Strangerrr добавил в 12.01.2005 10:33
Разобрался. Строка:
-A POSTROUTING -d 192.168.5.10 -p tcp --dport 8080 -j SNAT --to-source 192.168.5.24
Все решила.
Читаю вслух с выражением маны - $50/ч + стоимость звонка. Настраиваю сервисы за Вас - $100/ч + стоимость выезда и проживания.
И восемь строк матом...(бесплатно)
Спасибо сказали:
Вернуться к началу

Вернуться в «Администрирование»