ubuntuusers.de

Hallo Experten,

mein Squid will nicht so richtig. Ich habe 2 Netze, die durch einen Server getrennt werden, das zweite Netz hängt hinter dem Server/Squid, während das erste direkt hinter dem Router liegt. Soweit so gut, nur habe ich irgendwo einen Denkfehler, denn der Squid blockt nicht den Traffic des zweiten Netzes, sondern lässt alles durch. Eigentlich sollte eine acl mit IP für eine Beschränkung bestimmter Clients gelten, aber ich komme mit jeder IP nach draußen. Auch in der access.log habe ich keinen Eintrag.

Den Squid habe ich mit

http_port 3128 transparent

auf transparent gestellt, für beide NIC habe ich in der rc.local mit

iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 80 -j REDIRECT --to-ports 3128

iptables -t nat -A PREROUTING -i eth1 -p tcp --dport 80 -j REDIRECT --to-ports 3128

einen Eintrag erstellt, aber irgendwie routet er normal und nicht über den Squid.

Wo liegt mein Fehler bzw. was habe ich vergessen?

Muffin72 schrieb:

ptables -t nat -A PREROUTING -i eth0 -p tcp --dport 80 -j REDIRECT --to-ports 3128

iptables -t nat -A PREROUTING -i eth1 -p tcp --dport 80 -j REDIRECT --to-ports 3128

einen Eintrag erstellt, aber irgendwie routet er normal und nicht über den Squid.

Wo liegt mein Fehler bzw. was habe ich vergessen?

Hallo,
sieht nach einem Tippo bei den iptables-Regeln aus.

elektronenblitz63 schrieb:

sieht nach einem Tippo bei den iptables-Regeln aus.

BTW: Beide Optionen, "--to-port" und "--to-ports" sind für das target REDIRECT, OK und funktionieren auch.

Du könntest mal versuchen auf:

1

http_port 3128 intercept

umzustellen und vielleicht auch mal iptables auf Subnet umstellen:

1

$IPTABLES -t nat -A PREROUTING -p tcp -m tcp  -s 192.168.0.0/24 --dport 80 -j REDIRECT --to-ports 3128

Bei mir läuft das so. Wobei's ja eigentlich kein Unterschied machen sollte, ob man das Interface umlenkt oder einen IP Bereich...

Danke für Eure Hilfe ☺

Die iptables Regel habe ich direkt vom Wiki hier übernommen (in einem Blog habe ich es auch so gesehen), zudem hat sie auf einem Testsquid in einer VM problemlos funktioniert. Daran sollte es somit eher nicht liegen.

Ich teste alles mal, egal ob wahrscheinlich oder unwahrscheinlich. Bin gerade unterwegs, ich komme im Laufe der Woche dazu, dann versuche ich es mal.

So, nach ein wenig rumtesten kann ich folgendes sagen:

der Squid generell läuft, denn sobald ich transparent abstelle und den Proxy in Firefox manuell konfigurere, werden andere als einstellte IP geblockt. Sobald ich wieder auf transparent in der squid.conf gehe, geht wieder nichts. Somit nimmt er entweder nicht die iptables oder es hakt an anderer Stelle.

iptables -vnL zeigt mir folgendes an:

Chain INPUT (policy ACCEPT 4231 packets, 1509K bytes)
 pkts bytes target     prot opt in     out     source               destination         

Chain FORWARD (policy ACCEPT 0 packets, 0 bytes)
 pkts bytes target     prot opt in     out     source               destination         

Chain OUTPUT (policy ACCEPT 3869 packets, 1098K bytes)
 pkts bytes target     prot opt in     out     source               destination