Squid jako transparent, invalid URL po konfiguracji

[murgal]

Cześć,


Mam debiana jako bramę (eth2 lokalna, eth3 wan), wszystko działa, na serwerze stoi apache, samba i squid. Squid jeśli wymuszę w przeglądarce działa pięknie, squidguard wycina strony itd. Lecz problem jest aby go ustawić jako "transparent". Dodałem taki wpis do /etc/squid3/squid.conf :

Kod: Zaznacz cały

http_port 127.0.0.1:3128 transparenthttp_port IPserwerabramy:3128 transparent

Dodałem reguły do iptables:

Kod: Zaznacz cały

iptables -t nat -A PREROUTING -i eth2 -p tcp --dport 80 -j REDIRECT --to-port 3128
iptables -t nat -A PREROUTING -i eth2 -p tcp --dport 443 -j REDIRECT --to-port 3128

I wszystko było by OK, gdyby nie każda próba wejścia na jakąkolwiek stronę internetową nie kończyła się komunikatem "Invalid URL".

[f1.micro]

Pokaż cały pilk squid.conf

[murgal]

Proszę:

http://pastebin.com/4eKXZcti


Z góry dzięki za pomoc

[f1.micro]

To jest twój konfig:

Kod: Zaznacz cały

acl localhost src 10.0.0.0/8	# RFC1918 possible internal network
acl localhost src 172.16.0.0/12	# RFC1918 possible internal network
acl localhost src 192.168.0.0/16	# RFC1918 possible internal network
acl SSL_ports port 443
acl Safe_ports port 80		# http
acl Safe_ports port 21		# ftp
acl Safe_ports port 443		# https
acl Safe_ports port 70		# gopher
acl Safe_ports port 210		# wais
acl Safe_ports port 1025-65535	# unregistered ports
acl Safe_ports port 280		# http-mgmt
acl Safe_ports port 488		# gss-http
acl Safe_ports port 591		# filemaker
acl Safe_ports port 777		# multiling http
acl CONNECT method CONNECT
http_access deny !Safe_ports
http_access deny CONNECT !SSL_ports
http_access allow localhost manager
http_access deny manager
http_access allow localhost
http_access deny all
http_port 3128
cache_dir ufs /var/spool/squid3 100 16 256
coredump_dir /var/spool/squid3
refresh_pattern ^ftp:		1440	20%	10080
refresh_pattern ^gopher:	1440	0%	1440
refresh_pattern -i (/cgi-bin/|\?) 0	0%	0
refresh_pattern .		0	20%	4320
 cache_mgr [email protected] 
icon_directory /usr/share/squid3/icons
cache_mem 2024 MB
http_port 127.0.0.1:3128 transparent
http_port IPSERWERA:3128 transparent
redirect_program /usr/bin/squidGuard -c /etc/squidguard/squidGuard.conf

Spróbij zmienić na:

Kod: Zaznacz cały

acl localhost src 10.0.0.0/8	# RFC1918 possible internal network
acl LAN_172 src 172.16.0.0/12	# RFC1918 possible internal network
acl LAN_192 src 192.168.0.0/16	# RFC1918 possible internal network
acl SSL_ports port 443
acl Safe_ports port 80		# http
acl Safe_ports port 21		# ftp
acl Safe_ports port 443		# https
acl Safe_ports port 70		# gopher
acl Safe_ports port 210		# wais
acl Safe_ports port 1025-65535	# unregistered ports
acl Safe_ports port 280		# http-mgmt
acl Safe_ports port 488		# gss-http
acl Safe_ports port 591		# filemaker
acl Safe_ports port 777		# multiling http
acl CONNECT method CONNECT
http_access allow LAN_192
http_access allow LAN_172
http_access deny !Safe_ports
http_access deny CONNECT !SSL_ports
http_access allow localhost manager
http_access deny manager
http_access allow localhost
http_access deny all
http_port 3128
cache_dir ufs /var/spool/squid3 100 16 256
coredump_dir /var/spool/squid3
refresh_pattern ^ftp:		1440	20%	10080
refresh_pattern ^gopher:	1440	0%	1440
refresh_pattern -i (/cgi-bin/|\?) 0	0%	0
refresh_pattern .		0	20%	4320
 cache_mgr [email protected] 
icon_directory /usr/share/squid3/icons
cache_mem 2024 MB
http_port 3128 transparent
#http_port IPSERWERA:3128 transparent
redirect_program /usr/bin/squidGuard -c /etc/squidguard/squidGuard.conf

[murgal]

Hmm, ciekawi mnie http_access allow LAN_192, moja sieć lan to 10.3.214.0/24 , dodać wpis LAN_10 ?

Skopiowałem dokłądnie Twojego podanego confinga i wrzuciłem, restart squida, dodanie iptables które podałem wyżej, nadal to samo:

https://www.dropbox.com/s/fersc9bbrffae ... 9.png?dl=0

[f1.micro]

Nazwę Acl ustawiasz dowolną. Ważne żeby podsieci się zgadzaly. Potem http Access na allow i będzie działać

[murgal]

Ehhh :/ Mój config:

Kod: Zaznacz cały

acl localhost src 10.0.0.0/8    # RFC1918 possible internal network
acl LAN_172 src 172.16.0.0/12   # RFC1918 possible internal network
acl LAN_192 src 192.168.0.0/16  # RFC1918 possible internal network
acl SSL_ports port 443
acl Safe_ports port 80          # http
acl Safe_ports port 21          # ftp
acl Safe_ports port 443         # https
acl Safe_ports port 70          # gopher
acl Safe_ports port 210         # wais
acl Safe_ports port 1025-65535  # unregistered ports
acl Safe_ports port 280         # http-mgmt
acl Safe_ports port 488         # gss-http
acl Safe_ports port 591         # filemaker
acl Safe_ports port 777         # multiling http
acl CONNECT method CONNECT
http_access allow LAN_192
http_access allow LAN_172
http_access allow LAN_10
#http_access allow LAN_10
http_access deny !Safe_ports
http_access deny CONNECT !SSL_ports
http_access allow localhost manager
http_access deny manager
http_access allow localhost
http_access deny all
http_port 3128
cache_dir ufs /var/spool/squid3 100 16 256
coredump_dir /var/spool/squid3
refresh_pattern ^ftp:           1440    20%     10080
refresh_pattern ^gopher:        1440    0%      1440
refresh_pattern -i (/cgi-bin/|\?) 0     0%      0
refresh_pattern .               0       20%     4320
 cache_mgr [EMAIL="[email protected]"][email protected][/EMAIL]
icon_directory /usr/share/squid3/icons
cache_mem 2024 MB
http_port 3128 transparent
http_port 10.3.214.1:3128 transparent
redirect_program /usr/bin/squidGuard -c /etc/squidguard/squidGuard.conf
~                                                                          

I teraz komunikat "Nie można połączyć ze stroną".

[f1.micro]

Nie czytasz uważnie.

Najpierw zrób ACL:

Kod: Zaznacz cały

acl MOJ_LAN src [color=#333333]10.3.214.0/24
[/color]

potem w sekcji http_access - najlepiej jako pierwsze.

Kod: Zaznacz cały

[color=#333333]
http_access allow MOJ_LAN
[/color]

A te LAN_192 i LAN_172 możesz/powinieneś usunąć. One były przykłądowe, bo tak twój konfig wygląðał.