squid - nie pokazuje adresow komputerow

Serwery i sieci oparte na Slackware, wszelkiego rodzaju usługi, troubleshooting.

Moderatorzy: Moderatorzy, Administratorzy

grzechoo
Użytkownik
Posty: 8
Rejestracja: 2008-09-26, 07:57

squid - nie pokazuje adresow komputerow

Post autor: grzechoo »

witam

mam w sieci transparetnego squida na osobnym serwerze, kilku uzerom wpisalem jego adres w przegladarkach i w logach squida widze adresy jedynie tej grupy, reszte ruchu widze z adresem routera (192.168.1.1) ktory przekieroruje ruch na squida, chcialbym widziec wszystkich, problem lezy pewnie w regulkach firewalla, prosze o pomoc, ponizej podaje firewalla i kilka szczegolow;

Kod: Zaznacz cały

192.168.1.1 - router;
192.168.1.245 - squid
firewall

Kod: Zaznacz cały

echo 1 > /proc/sys/net/ipv4/ip_forward
/sbin/modprobe iptable_filter
/sbin/modprobe ip_conntrack
/sbin/modprobe iptable_nat
/sbin/modprobe ipt_MASQUERADE
/sbin/modprobe ipt_REDIRECT
/sbin/modprobe ip_nat_ftp
/sbin/modprobe ip_nat_irc
/sbin/modprobe ip_conntrack_ftp
/sbin/modprobe ip_conntrack_irc

/sbin/iptables -F -t nat
/sbin/iptables -X -t nat
/sbin/iptables -F -t filter
/sbin/iptables -X -t filter
/sbin/iptables -t filter -P FORWARD DROP
/sbin/iptables -t filter -P OUTPUT ACCEPT
/sbin/iptables -t filter -P INPUT DROP
/sbin/iptables -t filter -A FORWARD -s 192.168.1.0/16 -d 0/0 -j ACCEPT
/sbin/iptables -t filter -A FORWARD -d 192.168.1.0/16 -s 0/0 -j ACCEPT
/sbin/iptables -t filter -A INPUT -j ACCEPT
##tutaj jestprzekierowanie calego ruchu na squida
/sbin/iptables -t nat -A PREROUTING -i eth1 -s ! 192.168.1.245 -p tcp --dport 80 -j DNAT --to 192.168.1.245:3128
/sbin/iptables -t nat -A POSTROUTING -o eth1 -s 192.168.1.0/16 -d 192.168.1.245 -j SNAT --to 192.168.1.1
/sbin/iptables -A FORWARD -s 192.168.1.130 -d 192.168.1.245 -i eth1 -o eth1 -p tcp --dport 8080 -j ACCEPT
##
/sbin/iptables -t nat -A POSTROUTING -o eth0 -j SNAT -s 192.168.1.0/16 -d 0/0 --to $MY_IP
fragment squid.conf

Kod: Zaznacz cały

http_port 3128 transparent
hierarchy_stoplist cgi-bin ?
acl QUERY urlpath_regex cgi-bin
no_cache deny QUERY
cache_mem 32 MB
maximum_object_size 50960 KB
maximum_object_size_in_memory 16 KB
cache_dir diskd /home/squidcache/squid/cache 8000 16 256
cache_access_log /var/log/squid/access.log
cache_log none
cache_store_log none
pid_filename /var/run/squid.pid
.........
.........itd
fragment access loga (squid)

Kod: Zaznacz cały

1222405889.735    131 192.168.1.1 TCP_MISS/200 2614 GET http://www.kolo.com.pl/_files/polityka_jakosci_i_srodowiskowa_2006.jpg - DIRECT/217.17$
1222405889.751    132 192.168.1.1 TCP_MISS/200 1863 GET http://www.kolo.com.pl/_files/_atest_higieniczny_0497_01_1998.jpg - DIRECT/217.17.42.6$
1222405889.758   5174 192.168.1.250 TCP_REFRESH_MISS/200 8246 GET http://www.gazeta.pl/pub/rss/wiadomosci.xml - DIRECT/80.252.0.145 text/xml
1222405890.271   1336 192.168.1.1 TCP_MISS/200 1708 GET http://www.kolo.com.pl/_files/deklaracja_zgodnosci_ec_3.jpg - DIRECT/217.17.42.67 imag$
1222405890.749    486 192.168.1.1 TCP_MISS/200 8750 GET http://www.kolo.com.pl/_files/certyfikat_iso14001_1996_2004_pl.pdf - DIRECT/217.17.42.$
1222405893.198   2472 192.168.1.1 TCP_MISS/206 224342 GET http://www.kolo.com.pl/_files/certyfikat_iso14001_1996_2004_pl.pdf - DIRECT/217.17.4$
1222405909.916    274 192.168.1.1 TCP_MISS/200 3398 GET http://www.google.pl/ - DIRECT/66.249.91.103 text/html
1222405910.890    420 192.168.1.1 TCP_MISS/200 396 HEAD http://download.windowsupdate.com/v8/windowsupdate/redir/muv3wuredir.cab? - DIRECT/87.$
1222405911.532    496 192.168.1.1 TCP_MISS/200 383 HEAD http://update.microsoft.com/v8/windowsupdate/selfupdate/wuident.cab? - DIRECT/65.55.13$
1222405911.651     77 192.168.1.1 TCP_MISS/200 396 HEAD http://download.windowsupdate.com/v8/windowsupdate/a/selfupdate/WSUS3/x86/Other/wsus3s$
1222405911.944    289 192.168.1.1 TCP_MISS/200 25479 GET http://download.windowsupdate.com/v8/windowsupdate/a/selfupdate/WSUS3/x86/Other/wsus3$
1222405912.815      4 192.168.1.1 TCP_MEM_HIT/200 395 HEAD http://download.windowsupdate.com/v8/windowsupdate/redir/muv3wuredir.cab? - NONE/- $
1222405918.268    112 192.168.1.1 TCP_MISS/301 590 GET http://www.poczta.interia.pl/ - DIRECT/217.74.64.236 text/html
1222405918.575    303 192.168.1.1 TCP_MISS/200 11434 GET http://poczta.interia.pl/ - DIRECT/217.74.64.236 text/html
1222405919.413    493 192.168.1.1 TCP_MISS/200 7537 GET http://o.interia.pl/i/sg/sg.80326.css - DIRECT/217.74.64.230 text/css
1222405919.639    226 192.168.1.1 TCP_MISS/200 5386 GET http://o.interia.pl/i/js/sg.80812.js - DIRECT/217.74.64.230 application/x-javascript
1222405919.838    197 192.168.1.1 TCP_MISS/200 2131 GET http://o.interia.pl/i/sg/interia-przyjazny_portal.gif - DIRECT/217.74.64.230 image/gif
1222405919.866    617 192.168.1.141 TCP_MISS/200 3537 GET http://inwestycje.kolo.com.pl/katalog_toaleta_bez_barier.html - DIRECT/217.17.42.67 $
1222405920.128      0 192.168.1.1 TCP_DENIED/403 1444 GET http://hub.com.pl/_1222408254296/int.js? - NONE/- text/html
we fragmencie widac adresy 192.168.1.250 oraz 192.168.1.141 oraz 192.168.1.1;

192.168.1.250 oraz 192.168.1.141 maja wpisany adres squida;


dziekuje za pomoc;

ps

ja wiem co to szukajka i wiem co to googiel i zawsze szukam szukam i szukam:);
miszmaniac
Moderator
Posty: 1510
Rejestracja: 2006-03-19, 12:00
Lokalizacja: Gdynia
Kontakt:

Re: squid - nie pokazuje adresow komputerow

Post autor: miszmaniac »

Widocznie inne kompy nie maja przekierowania odpowiedniego.
Normalnie wystarczają 2 regułki w tym stylu:

Kod: Zaznacz cały

iptables -A INPUT -i eth1 -p tcp --src 192.168.1.0/24 --dport 8080 -m state --state NEW -j ACCEPT
iptables -A PREROUTING -t nat -p tcp -s 192.168.1.0/24 -d ! 192.168.1.0/24 --dport 80 -j DNAT --to-destination 192.168.1.1:8080
Pamiętaj,
Jeśli Twój problem został rozwiązany dopisz [b] [Rozw.] [/b]w tytule.
Projektowanie stron WWW: [url=http://www.miszewski.net.pl]www.miszewski.net.pl[/url]
grzechoo
Użytkownik
Posty: 8
Rejestracja: 2008-09-26, 07:57

Re: squid - nie pokazuje adresow komputerow

Post autor: grzechoo »

dzieki za szybka odpowiedz

drobna poprawka

fragment firewalla zwiazany z przekierowaniem na squid:

Kod: Zaznacz cały

/sbin/iptables -t nat -A PREROUTING -i eth1 -s ! 192.168.1.245 -p tcp --dport 80 -j DNAT --to 192.168.1.245:3128
/sbin/iptables -t nat -A POSTROUTING -o eth1 -s 192.168.1.0/16 -d 192.168.1.245 -j SNAT --to 192.168.1.1
/sbin/iptables -A FORWARD -s 192.168.1.0/16 -d 192.168.1.245 -i eth1 -o eth1 -p tcp --dport 8080 -j ACCEPT
w I poscie byla pomylka;

odnosnie odpoowiedzi...

czy nie podajesz mi przypadkiem przepisu na squida ktory siedzi na tej samej maszynie??

u mnie router i squid to 2 inne serwery,
nie jestem biegly w iptables ale cos mi mowi ze skoro squid widzi przekierowany ruch z routera z jego wlasne adresem to ja robie cos zle z natowaniem, bo chyba najpierw zmieniam zdres zrodlowy a potem kieruje to na squida, i chyba tutaj cos jest nie tegez;

dzieki
miszmaniac
Moderator
Posty: 1510
Rejestracja: 2006-03-19, 12:00
Lokalizacja: Gdynia
Kontakt:

Re: squid - nie pokazuje adresow komputerow

Post autor: miszmaniac »

Nie, no skoro squid działa dla niektórych adresów, to znaczy, że chyba NAT jest ok?

Tak, no moje reguły faktycznie są dla jednej maszyny, ale przekierowanie na inną nie powinno stanowić problemu. O ile pakiety nie będą krążyć na wyjściu ze squida.

Możliwe, że problem leży tu: 192.168.1.0/16 wpisując taką maskę przekierowujesz squida samego do siebie także. (bynajmniej tak mi się wydaje:) Może spróbuj zrobić wpisy w pętli, (nie wiem, czy twoja sieć potrzebuje mieć zmienne 2 ostatnie oktety adresów), ale w moim odczuciu powinieneś odseparować z tej reguły wchodzącej adres squida.
Pamiętaj,
Jeśli Twój problem został rozwiązany dopisz [b] [Rozw.] [/b]w tytule.
Projektowanie stron WWW: [url=http://www.miszewski.net.pl]www.miszewski.net.pl[/url]
grzechoo
Użytkownik
Posty: 8
Rejestracja: 2008-09-26, 07:57

Re: squid - nie pokazuje adresow komputerow

Post autor: grzechoo »

dostalem podpowiedz z innego zrodla ze snat do transparentnego proxy jest zbedny a ta regulka:

Kod: Zaznacz cały

/sbin/iptables -t nat -A POSTROUTING -o eth1 -s 192.168.1.0/16 -d 192.168.1.245 -j SNAT --to 192.168.1.1
kaze mojemu routerowi podmieniac adres zrodlowy klienta na adres 192.168.1.1 wiec tak to wygląda w logach. osoby, ktore mają w przegladarce wpisane proxy lacza sie z nim z pominieciem routera;

rozumiem ze musze usunac snat

jezeli tak to jak ??

danke
miszmaniac
Moderator
Posty: 1510
Rejestracja: 2006-03-19, 12:00
Lokalizacja: Gdynia
Kontakt:

Re: squid - nie pokazuje adresow komputerow

Post autor: miszmaniac »

No to przecież napisałem Ci reguły?
To na komputerze ze squidem, zeby upewnić się, że na tym porcie jest nasłuchiwanie odpowiednie

Kod: Zaznacz cały

iptables -A INPUT -i eth1 -p tcp --src 192.168.1.0/24 --dport 8080 -m state --state NEW -j ACCEPT
I teraz na routerze:

Kod: Zaznacz cały

iptables -A PREROUTING -t nat -p tcp -s 192.168.1.0/24 -d ! 192.168.1.0/24 --dport 80 -j DNAT --to-destination 192.168.1.254:8080 
Tyle, że nie możesz użyć tego ot tak sobie, bo musisz zapewnić jeszcze, że jeśli połączenie jest z proxy, to router go przepuści, np. tak:

Kod: Zaznacz cały

iptables -A PREROUTING -t nat -p tcp  -m  iprange --src-range 192.168.1.2-192.168.1.253 -d ! 192.168.1.0/24 --dport 80 -j DNAT --to-destination 192.168.1.254:8080 
I to powinno chyba wystarczyć. (zakres IP to już sobie dobierz).
EDIT:
Literówka...
Ostatnio zmieniony 2008-09-26, 11:33 przez miszmaniac, łącznie zmieniany 4 razy.
Pamiętaj,
Jeśli Twój problem został rozwiązany dopisz [b] [Rozw.] [/b]w tytule.
Projektowanie stron WWW: [url=http://www.miszewski.net.pl]www.miszewski.net.pl[/url]
grzechoo
Użytkownik
Posty: 8
Rejestracja: 2008-09-26, 07:57

Re: squid - nie pokazuje adresow komputerow

Post autor: grzechoo »

tak wlasnie zrobilem, (zmienilem port na 3128 bo na takim ziala moj squid)

Kod: Zaznacz cały

iptables -A PREROUTING -t nat -p tcp  -m  iprange --src-range 192.168.1.2-192.168.1.253 -d ! 192.168.1.0/24 --dport 80 -j DNAT --to-destination 192.168.1.254:3128 
i dalej bez zmian, wciaz widze adres 192.168.1.1

squid siedzi na freebsd i jego firewall nic nie blokuje

dzieki
memus
Użytkownik
Posty: 245
Rejestracja: 2005-09-27, 17:17

Re: squid - nie pokazuje adresow komputerow

Post autor: memus »

a wkompilowane masz x-forwarded-for ?:>
Ostatnio zmieniony 2008-09-27, 12:49 przez memus, łącznie zmieniany 1 raz.
grzechoo
Użytkownik
Posty: 8
Rejestracja: 2008-09-26, 07:57

Re: squid - nie pokazuje adresow komputerow

Post autor: grzechoo »

tego nie wiem
sprawdze to w poniedzailek;
zakladam ze mowisz o routerze, nie o serwerze na ktorym jest squid;

przy okazji, dostalem podpowiedz zeby zrobic 2 podsiec np 192.168.2.0, tam wrzucic squida;

czy zeby zrobic 2 podsiec musze opdpiac pod eth1 drugi adres ??

eth1:1 192.168.2.1 ??
Pajaczek
Użytkownik
Posty: 1439
Rejestracja: 2006-08-03, 13:16
Lokalizacja: Winny Gród

Re: squid - nie pokazuje adresow komputerow

Post autor: Pajaczek »

grzechoo pisze:czy zeby zrobic 2 podsiec musze opdpiac pod eth1 drugi adres ??
A jak sobie to inaczej wyobrażasz?? No chyba że przez włożenie kolejnej sieciówki ;)
grzechoo
Użytkownik
Posty: 8
Rejestracja: 2008-09-26, 07:57

Re: squid - nie pokazuje adresow komputerow

Post autor: grzechoo »

kierownik dzialu IT :) w firmie gdzie pracuje, stwierdzil zebym sie nie bawil linuksem, wiec temat zdechl;

szkoda...

wiec lokalne juzery znowy powroca do zalewania monitorow golymi cyckami i dojeniem dzikiego softu..........

a mialem takie piekne plany z tym temate..........antywirus.................dansguardian......................





ehhhhhhhhhhhhh
;-(
;-( ;-(
Pajaczek
Użytkownik
Posty: 1439
Rejestracja: 2006-08-03, 13:16
Lokalizacja: Winny Gród

Re: squid - nie pokazuje adresow komputerow

Post autor: Pajaczek »

Bo to się nie powinieneś bawić, tylko zrobić raz a dobrze ;)
grzechoo pisze:wiec lokalne juzery znowy powroca do zalewania monitorow golymi cyckami i dojeniem dzikiego softu..........
W tym zapewne wzmiankowany kierownik...
grzechoo
Użytkownik
Posty: 8
Rejestracja: 2008-09-26, 07:57

Re: squid - nie pokazuje adresow komputerow

Post autor: grzechoo »

niestety to nie tak (choc nie ma to juz znaczenia);

robilem to na wlasna reke poniewaz widzialem taka potrzebe, a ow kierownik projekt uwalil bo nie przepada za wlasnym wkladem swoich podwladnych i chyba uwaza ze skoro on na to nie wpadl to musi to byc do dupy;
miszmaniac
Moderator
Posty: 1510
Rejestracja: 2006-03-19, 12:00
Lokalizacja: Gdynia
Kontakt:

Re: squid - nie pokazuje adresow komputerow

Post autor: miszmaniac »

Jeśli chodzi o dansguardiana to niestety, program ten dość mocno zwalnia sieć, musiałbyś mieć całkiem mocny sprzęt, żeby on szybko przetwarzał informacje.

No, ale skoro projekt padł...
Pamiętaj,
Jeśli Twój problem został rozwiązany dopisz [b] [Rozw.] [/b]w tytule.
Projektowanie stron WWW: [url=http://www.miszewski.net.pl]www.miszewski.net.pl[/url]
ODPOWIEDZ