froemken
Member
Hallo zusammen,
wir besitzen in der Firma seit längerem einen lauffähigen von mir eingerichteten SQUID-Proxyserver, den ich jetzt in einen transparenten Proxy umwandeln möchte. Dazu habe ich ein Testsystem aufgebaut mit SuSe 9.3 die absolute Standardinstallation vom SQUID durchgeführt "./configure --prefix=/usr/local/squid" und unsere aktuelle Konfiguration in das Testsystem eingebunden. Kleine Anpassungen (z.B. IP-Adresse) und Proxy läuft.
Umwandlung
Den berühmten Vierzeiler eingefügt:
Für den Test hab ich http_port 3128 eingetragen (ohne IP-Adresse). squid.conf = Fertig. Squid gestartet kein Thema. Solange ich mit Hilfe von iptables diesen Port auch offen hatte, hat der Squid auch prima funktioniert, solange ich im Browser den Proxy manuel eingetragen habe.
Nun die berühmte Zeile
eingefügt und meine damaligen Zeilen für den Port 3128 auskommentiert. Nochmal vom Proxyserver versucht eine Verbindung ins Internet zu bekommen = Klappt.
Netzwerk
Ca. 20 Clients sollen auf den Proxy zugreifen. Der Proxy hat nur eine Netzwerkkarte eth0 und befindet sich in 192.168.0.0/24. Als DNS-Server ist unser Gateway-Router eingetragen über den dann auch die Internet-Verbindung aufgebaut wird.
Authentifizierung ist ausgeschaltet, weil würd sowieso nicht klappen laut den Suchergebnissen, die ich unter google gefunden habe. Ich habe in den IPTABLES auch schon --ip-destination ausprobiert.
Ausgabe tcpdump:
Keine Ahnung wo der Fehler ist. Muss ich den Port 80 explizit auch noch öffnen, damit der Proxy Anfragen vom Netz überhaupt annehmen kann? Eigentlich ja nicht, weil sich da ja schon die NET-Regel drum kümert, oder?
Stefan
wir besitzen in der Firma seit längerem einen lauffähigen von mir eingerichteten SQUID-Proxyserver, den ich jetzt in einen transparenten Proxy umwandeln möchte. Dazu habe ich ein Testsystem aufgebaut mit SuSe 9.3 die absolute Standardinstallation vom SQUID durchgeführt "./configure --prefix=/usr/local/squid" und unsere aktuelle Konfiguration in das Testsystem eingebunden. Kleine Anpassungen (z.B. IP-Adresse) und Proxy läuft.
Umwandlung
Den berühmten Vierzeiler eingefügt:
Code:
httpd_accel_host virtual
httpd_accel_port 80
httpd_accel_with_proxy on
httpd_accel_uses_host_header on
Für den Test hab ich http_port 3128 eingetragen (ohne IP-Adresse). squid.conf = Fertig. Squid gestartet kein Thema. Solange ich mit Hilfe von iptables diesen Port auch offen hatte, hat der Squid auch prima funktioniert, solange ich im Browser den Proxy manuel eingetragen habe.
Nun die berühmte Zeile
Code:
iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 80 -j REDIRECT --to-port 3128
Netzwerk
Ca. 20 Clients sollen auf den Proxy zugreifen. Der Proxy hat nur eine Netzwerkkarte eth0 und befindet sich in 192.168.0.0/24. Als DNS-Server ist unser Gateway-Router eingetragen über den dann auch die Internet-Verbindung aufgebaut wird.
Authentifizierung ist ausgeschaltet, weil würd sowieso nicht klappen laut den Suchergebnissen, die ich unter google gefunden habe. Ich habe in den IPTABLES auch schon --ip-destination ausprobiert.
Ausgabe tcpdump:
Code:
11:16:10.114930 IP no43.ebsnet.rdrmshc > linuxstefan.ebsnet.ndl-aas: S 3675708063:3675708063(0) win 65535 <mss 1460,nop,nop,sackOK>
11:16:13.171339 IP no43.ebsnet.rdrmshc > linuxstefan.ebsnet.ndl-aas: S 3675708063:3675708063(0) win 65535 <mss 1460,nop,nop,sackOK>
11:16:19.186881 IP no43.ebsnet.rdrmshc > linuxstefan.ebsnet.ndl-aas: S 3675708063:3675708063(0) win 65535 <mss 1460,nop,nop,sackOK>
11:16:21.578200 arp who-has 192.168.0.214 tell no43.ebsnet
11:16:21.658101 arp who-has no43.ebsnet tell 192.168.0.214
11:16:31.230852 IP no43.ebsnet.dab-sti-c > linuxstefan.ebsnet.ndl-aas: S 2063045512:2063045512(0) win 65535 <mss 1460,nop,nop,sackOK>
11:16:34.280440 IP no43.ebsnet.dab-sti-c > linuxstefan.ebsnet.ndl-aas: S 2063045512:2063045512(0) win 65535 <mss 1460,nop,nop,sackOK>
11:16:40.295986 IP no43.ebsnet.dab-sti-c > linuxstefan.ebsnet.ndl-aas: S 2063045512:2063045512(0) win 65535 <mss 1460,nop,nop,sackOK>
11:16:52.341348 IP no43.ebsnet.imgames > linuxstefan.ebsnet.ndl-aas: S 3397786791:3397786791(0) win 65535 <mss 1460,nop,nop,sackOK>
Keine Ahnung wo der Fehler ist. Muss ich den Port 80 explizit auch noch öffnen, damit der Proxy Anfragen vom Netz überhaupt annehmen kann? Eigentlich ja nicht, weil sich da ja schon die NET-Regel drum kümert, oder?
Stefan