squid به عنوان Gateway

Printable View

2009-12-11, 08:30 PM
sina_box

squid به عنوان Gateway

سلام به دوستان و اساتید محترم
با آموزشهای این سایت تونستم یه Squid cache server راه اندازی کنم اما همون مشکلات همه تازه کارها گریبانم را گرفته !!!!!
کش با ست کردن proxy کار میکنه اما بدون اون نه ! من از اوبونتو سرور 9 استفاده میکنم و با یک کارت شبکه هم میخوام کش را به میکروتیک وصل کنم . ترنس پرنت کردن با دستورات httpd_accel جواب نمیده و طبق راهنمایی دوستان در همین انجمن از http_port transparent استفاده کردم و دستورات iptables که دوستان گذاشته بودند را برای شبکه استفاده کردم . و در میکروتیک هم ترافیک ری دایرکت به سمت کش سرور . اما کارنمیکنه . به نظر خودم در فایروال لینوکس باید تغییراتی بدم مثلا ip firewall اما نمبدونم از چه راهی باید فعالش کنم . البته یه حال اساس هم داده که دارم لینوکس کار میشم با این اسکویید !!! :p :D
خلاصه موندم چه کنم ؟
راهنمایی و سرخط هم جواب نمیده دستورات آماده سازی لینوکس واسه حالتی که شرح دادم چیه ، لطفا ؟
ممنون
2009-12-11, 09:09 PM
darklove

Show iptables rule and squid config file
[CODE]

iptables -t nat -L -n -v

or

iptables-save

cat /etc/squid/squid.conf | more

[/CODE]
2009-12-12, 12:45 PM
sina_box

[QUOTE=darklove;240092]Show iptables rule and squid config file
[CODE]

iptables -t nat -L -n -v

or

iptables-save

cat /etc/squid/squid.conf | more

[/CODE][/QUOTE]

سلام آقا ممنون . کانفیگ SQUID همونیه که خودتون گذاشتید .
http_port 92.x.x.22:3128 transparent
icp_port 3130

hierarchy_stoplist cgi-bin ?

acl QUERY urlpath_regex cgi-bin \?

no_cache deny QUERY

cache_mem 64 MB

memory_pools on

maximum_object_size 128 MB

minimum_object_size 0 KB

maximum_object_size_in_memory 128 KB

cache_dir diskd /var/spool/squid 3000 16 256 Q1=64 Q2=72

coredump_dir /var/spool/squid

cache_access_log /var/log/squid/access.log

cache_store_log /var/log/squid/store.log

cache_log /var/log/squid/cache.log

ftp_user [email]Info@Squid-Cache.org[/email]

refresh_pattern ^ftp: 1440 40% 10080

refresh_pattern ^gopher: 1440 20% 1440

refresh_pattern . 0 50% 4320

quick_abort_min 64 KB

quick_abort_max 512 KB

quick_abort_pct 70%

negative_ttl 5 minutes

connect_timeout 2 minutes

read_timeout 15 minutes

request_timeout 30 seconds

shutdown_lifetime 10 seconds

acl nimda1 urlpath_regex -i \.elm$

acl nimda2 urlpath_regex -i root.exe

acl nimda3 urlpath_regex -i cmd.exe

acl nimda4 urlpath_regex -i ^[url]http://.*www[/url]

acl nimda5 urlpath_regex -i readme.exe

acl nimda6 urlpath_regex -i default.id

acl nimda7 urlpath_regex -i :25

#################################################

acl all src 0.0.0.0/0.0.0.0

acl manager proto cache_object

acl localhost src 127.0.0.1/255.255.255.255

acl local src 92.x.x.0/24

acl SSL_ports port 443 563

acl Safe_ports port 80 # http

acl Safe_ports port 21 # ftp

acl Safe_ports port 443 563 # https, snews

acl Safe_ports port 70 # gopher

acl Safe_ports port 210 # wais

acl Safe_ports port 1025-65535 # unregistered ports

acl Safe_ports port 280 # http-mgmt

acl Safe_ports port 488 # gss-http

acl Safe_ports port 591 # filemaker

acl Safe_ports port 777 # multiling http

acl Safe_ports port 901 # SWAT

acl purge method PURGE

acl CONNECT method CONNECT

#################################################

http_access deny nimda1

http_access deny nimda2

http_access deny nimda3

http_access deny nimda4

http_access deny nimda5

http_access deny nimda5

http_access deny nimda6

http_access deny nimda7

#################################################

http_access allow manager localhost

http_access deny manager

http_access allow purge localhost

http_access deny purge

http_access deny !Safe_ports

http_access deny CONNECT !SSL_ports

http_access allow localhost

http_access allow local

http_access deny all

icp_access allow all

#################################################

cache_mgr [email]Sina241@gmail.com[/email]

visible_hostname Cache
logfile_rotate 3

forwarded_for on

emulate_httpd_log off

log_fqdn off

acl snmppublic snmp_community public

snmp_access allow snmppublic localhost

snmp_access deny all

snmp_incoming_address 0.0.0.0

و این هم کانفیگ ip tables

Chain PREROUTING (policy ACCEPT 13539 packets, 1476K bytes)
pkts bytes target prot opt in out source destination
0 0 DNAT tcp -- eth0 * 0.0.0.0/0 0.0.0.0/0 tcp dpt:80 to:92.x.x.22:3128
0 0 REDIRECT tcp -- eth0 * 0.0.0.0/0 0.0.0.0/0 tcp dpt:80 redir ports 3128

Chain POSTROUTING (policy ACCEPT 993 packets, 69558 bytes)
pkts bytes target prot opt in out source destination
559 38312 MASQUERADE all -- * eth0 0.0.0.0/0 0.0.0.0/0

Chain OUTPUT (policy ACCEPT 1959 packets, 136K bytes)
pkts bytes target prot opt in out source destination

و این هم iptables-save

# Generated by iptables-save v1.4.4 on Sat Dec 12 04:13:49 2009
*mangle
:PREROUTING ACCEPT [45722:12235171]
:INPUT ACCEPT [40353:11584218]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [26867:7498457]
:POSTROUTING ACCEPT [26867:7498457]
COMMIT
# Completed on Sat Dec 12 04:13:49 2009
# Generated by iptables-save v1.4.4 on Sat Dec 12 04:13:49 2009
*nat
:PREROUTING ACCEPT [13547:1477118]
:POSTROUTING ACCEPT [993:69558]
:OUTPUT ACCEPT [1959:135796]
-A PREROUTING -i eth0 -p tcp -m tcp --dport 80 -j DNAT --to-destination 92.x.x.22:3128
-A PREROUTING -i eth0 -p tcp -m tcp --dport 80 -j REDIRECT --to-ports 3128
-A POSTROUTING -o eth0 -j MASQUERADE
COMMIT
# Completed on Sat Dec 12 04:13:49 2009
# Generated by iptables-save v1.4.4 on Sat Dec 12 04:13:49 2009
*filter
:INPUT DROP [0:0]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]
-A INPUT -i lo -j ACCEPT
-A INPUT -i eth0 -m state --state RELATED,ESTABLISHED -j ACCEPT
-A INPUT -i eth0 -j ACCEPT
-A INPUT -j LOG
-A INPUT -j DROP
-A FORWARD -i eth0 -j ACCEPT
-A OUTPUT -o lo -j ACCEPT
-A OUTPUT -o eth0 -j ACCEPT
COMMIT
# Completed on Sat Dec 12 04:13:49 2009
2009-12-12, 05:49 PM
mirizadeh

اگه پروکسی کار میکنه و به عنوان gateway کار نمیکنه این کاره بکنین

[LEFT]nano /etc/rc.local[/LEFT]

و به این صورت edit کنین

[LEFT]iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 80 -j REDIRECT --to-port 3128

exit 0[/LEFT]
2009-12-13, 09:08 AM
darklove

شما چرا از DNAT استفاده کردید ؟
بهتره به جای کارت شبکه رنج IP بدید.
2009-12-14, 12:08 AM
sina_box

سلام
من فکر کنم ایراد کارم را فهمیدم . من بدون توجه به اینکه ip ست شده روی کش سرور در یک vlan جداگانه است 2 هفته است سرگرم این کش شدم !! :blink:
چون از منزل روی کش که در شرکت هست کار می کردم متوجه نشدم که دسترسی که دارم از طریق lan نیست بلکه از طریق اینترنت می باشد . البته این کار اشتباه به این دلیل است که منزل و شرکت بوسیله وایرلس به هم ارتباط دارند و من گیج شدم !!
فردا از داخل شرکت با همون vlan یه چک میکنم . امیدوارم ایراد همین باشه .
2009-12-14, 08:59 AM
sina_box

به همان شکل که حدس زده بودم شد . ایرادم سر vlan بود . الان لینوکس یه عنوان gateway کار میکنه و من توی میکروتیک فقط ip کلاینت را نت میکنم روی ip اسکویید و اینترنت ok میشه . اما از کش نمیگذره و در قسمت access.log هیچی ثبت نشده و نمیشه .
2009-12-17, 10:16 PM
darklove

تو میکروتیک پورت 80 به کش بفرستید.