Прозрачный прокси перед Squid

20.05.2011

routing На маршрутизаторе (Debian 6 Squeeze, ip1 10.2.16.181, ip2 192.168.56.1) с двумя сетевыми адаптерами необходимо предоставить интернет клиентской сети 192.168.56.0/24 как NAT (получаемый через шлюз по умолчанию). Сам маршрутизатор получает интернет от Squid (HTTP – IP 10.80.20.22, порт 3128, DNS – 10.10.110.10). В общем, необходимо выступить в роли прозрачного прокси для клиентской подсети 192.168.56.0/24.
Первым делом устанавливаем Squid 3, конфиг (/etc/squid3/squid.conf) такой:

acl Net1 src 192.168.56.0/24
cache_peer 10.80.20.22 parent 3128 # Родительский Squid
acl Safe_ports port 80
acl CONNECT method CONNECT
http_access allow CONNECT Safe_ports
http_access allow Net1
http_access allow all
http_port 192.168.56.1:3128 transparent
cache_effective_user proxy
dns_nameservers 10.2.16.1 10.10.110.10 # Взято из /etc/hosts
cache_access_log /var/log/squid3/access.log
cache_log /var/log/squid3/cache.log
hosts_file /etc/hosts
forwarded_for on

acl Net1 src 192.168.56.0/24

cache_peer 10.80.20.22 parent 3128 # Родительский Squid

acl Safe_ports port 80

acl CONNECT method CONNECT

http_access allow CONNECT Safe_ports

http_access allow Net1

http_access allow all

http_port 192.168.56.1:3128 transparent

cache_effective_user proxy

dns_nameservers 10.2.16.1 10.10.110.10 # Взято из /etc/hosts

cache_access_log /var/log/squid3/access.log

cache_log /var/log/squid3/cache.log

hosts_file /etc/hosts

forwarded_for on

Теперь включаем форвардинг:
echo 1 > /proc/sys/net/ipv4/ip_forward
Чтобы форвардинг автоматически включался при запуске системы в /etc/sysctl.conf добавляем строчку:

net.ipv4.ip_forward = 1

1	net.ipv4.ip_forward = 1

Затем добавляем правила в iptables:

iptables -t nat -A PREROUTING -d 192.168.56.1/32 -p udp -m udp --dport 53 -j DNAT --to-destination 10.10.110.10:53
iptables -t nat -A PREROUTING -s 192.168.56.0/24 -i vboxnet0 -p tcp -m multiport --dports 80,8080 -j DNAT --to-destination 192.168.56.1:3128
iptables -t nat -A PREROUTING -p tcp -d 192.168.56.1 --dport 53 -j DNAT --to-destination 10.10.110.10:53
iptables -t nat -A POSTROUTING -p udp -d 10.10.110.10 --dport 53 -j SNAT --to-source 10.2.16.181

iptables -t nat -A PREROUTING -d 192.168.56.1/32 -p udp -m udp --dport 53 -j DNAT --to-destination 10.10.110.10:53

iptables -t nat -A PREROUTING -s 192.168.56.0/24 -i vboxnet0 -p tcp -m multiport --dports 80,8080 -j DNAT --to-destination 192.168.56.1:3128

iptables -t nat -A PREROUTING -p tcp -d 192.168.56.1 --dport 53 -j DNAT --to-destination 10.10.110.10:53

iptables -t nat -A POSTROUTING -p udp -d 10.10.110.10 --dport 53 -j SNAT --to-source 10.2.16.181

Чтобы работало после перезагрузки, сохраняем настройки iptables в файл:
sudo iptables-save > /etc/iptables.rooslan
И добавляем в конец файла /etc/network/interfaces:
pre-up iptables-restore < /etc/iptables.rooslan
Не забудьте у клиента в качестве DNS-сервера и шлюза по умолчанию выставить свой IP-адрес (192.168.56.1)

debian, iptables, nix, proxy, squid

Discussion

Uchla
11.07.2012

squid.conf (перед родительским proxy) для заворачивания на определенную страницу при попытке доступа к запрещенному сайту из списка accdeny.txt:

cache_effective_user proxy
acl mynetwork src 10.95.95.0/24
acl mynetwork src 10.96.201.0/24
acl blocked dstdomain "/home/root/accdeny.txt"
deny_info http://server/accesdenied.html blocked
http_access deny blocked
http_access allow mynetwork
http_port 10.95.95.222:3128
cache_peer 10.98.12.250 parent 3128 0 no-query default
never_direct allow all
cache_mgr sysadmin@enterprise.com
dns_nameservers 10.98.12.1 10.96.201.1

Uchla
25.01.2013

Наоборот, один из вариантов создать "whitelist" для доступа только к сайтам в списке wl.txt (и никуда кроме):

acl whitelist dstdomain "/home/uhla/wl.txt"
http_access allow whitelist
cache_effective_user proxy
http_port 192.168.0.250:8080
never_direct allow all
dns_nameservers 192.168.0.222
http_access deny all

Cookie	Duration	Description
cookielawinfo-checkbox-analytics	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Analytics".
cookielawinfo-checkbox-functional	11 months	The cookie is set by GDPR cookie consent to record the user consent for the cookies in the category "Functional".
cookielawinfo-checkbox-necessary	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookies is used to store the user consent for the cookies in the category "Necessary".
cookielawinfo-checkbox-others	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Other.
cookielawinfo-checkbox-performance	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Performance".
viewed_cookie_policy	11 months	The cookie is set by the GDPR Cookie Consent plugin and is used to store whether or not user has consented to the use of cookies. It does not store any personal data.

Прозрачный прокси перед Squid

Discussion

Җавап калдыру

Recent Posts

Прозрачный прокси перед Squid

Discussion

Җавап калдыру Җавап язудан баш тарту

Recent Posts

Җавап калдыру