-
squid به عنوان Gateway
سلام به دوستان و اساتید محترم
با آموزشهای این سایت تونستم یه Squid cache server راه اندازی کنم اما همون مشکلات همه تازه کارها گریبانم را گرفته !!!!!
کش با ست کردن proxy کار میکنه اما بدون اون نه ! من از اوبونتو سرور 9 استفاده میکنم و با یک کارت شبکه هم میخوام کش را به میکروتیک وصل کنم . ترنس پرنت کردن با دستورات httpd_accel جواب نمیده و طبق راهنمایی دوستان در همین انجمن از http_port transparent استفاده کردم و دستورات iptables که دوستان گذاشته بودند را برای شبکه استفاده کردم . و در میکروتیک هم ترافیک ری دایرکت به سمت کش سرور . اما کارنمیکنه . به نظر خودم در فایروال لینوکس باید تغییراتی بدم مثلا ip firewall اما نمبدونم از چه راهی باید فعالش کنم . البته یه حال اساس هم داده که دارم لینوکس کار میشم با این اسکویید !!! :p :D
خلاصه موندم چه کنم ؟
راهنمایی و سرخط هم جواب نمیده دستورات آماده سازی لینوکس واسه حالتی که شرح دادم چیه ، لطفا ؟
ممنون
-
Show iptables rule and squid config file
[CODE]
iptables -t nat -L -n -v
or
iptables-save
cat /etc/squid/squid.conf | more
[/CODE]
-
[QUOTE=darklove;240092]Show iptables rule and squid config file
[CODE]
iptables -t nat -L -n -v
or
iptables-save
cat /etc/squid/squid.conf | more
[/CODE][/QUOTE]
سلام آقا ممنون . کانفیگ SQUID همونیه که خودتون گذاشتید .
http_port 92.x.x.22:3128 transparent
icp_port 3130
hierarchy_stoplist cgi-bin ?
acl QUERY urlpath_regex cgi-bin \?
no_cache deny QUERY
cache_mem 64 MB
memory_pools on
maximum_object_size 128 MB
minimum_object_size 0 KB
maximum_object_size_in_memory 128 KB
cache_dir diskd /var/spool/squid 3000 16 256 Q1=64 Q2=72
coredump_dir /var/spool/squid
cache_access_log /var/log/squid/access.log
cache_store_log /var/log/squid/store.log
cache_log /var/log/squid/cache.log
ftp_user [email]Info@Squid-Cache.org[/email]
refresh_pattern ^ftp: 1440 40% 10080
refresh_pattern ^gopher: 1440 20% 1440
refresh_pattern . 0 50% 4320
quick_abort_min 64 KB
quick_abort_max 512 KB
quick_abort_pct 70%
negative_ttl 5 minutes
connect_timeout 2 minutes
read_timeout 15 minutes
request_timeout 30 seconds
shutdown_lifetime 10 seconds
acl nimda1 urlpath_regex -i \.elm$
acl nimda2 urlpath_regex -i root.exe
acl nimda3 urlpath_regex -i cmd.exe
acl nimda4 urlpath_regex -i ^[url]http://.*www[/url]
acl nimda5 urlpath_regex -i readme.exe
acl nimda6 urlpath_regex -i default.id
acl nimda7 urlpath_regex -i :25
#################################################
acl all src 0.0.0.0/0.0.0.0
acl manager proto cache_object
acl localhost src 127.0.0.1/255.255.255.255
acl local src 92.x.x.0/24
acl SSL_ports port 443 563
acl Safe_ports port 80 # http
acl Safe_ports port 21 # ftp
acl Safe_ports port 443 563 # https, snews
acl Safe_ports port 70 # gopher
acl Safe_ports port 210 # wais
acl Safe_ports port 1025-65535 # unregistered ports
acl Safe_ports port 280 # http-mgmt
acl Safe_ports port 488 # gss-http
acl Safe_ports port 591 # filemaker
acl Safe_ports port 777 # multiling http
acl Safe_ports port 901 # SWAT
acl purge method PURGE
acl CONNECT method CONNECT
#################################################
http_access deny nimda1
http_access deny nimda2
http_access deny nimda3
http_access deny nimda4
http_access deny nimda5
http_access deny nimda5
http_access deny nimda6
http_access deny nimda7
#################################################
http_access allow manager localhost
http_access deny manager
http_access allow purge localhost
http_access deny purge
http_access deny !Safe_ports
http_access deny CONNECT !SSL_ports
http_access allow localhost
http_access allow local
http_access deny all
icp_access allow all
#################################################
cache_mgr [email]Sina241@gmail.com[/email]
visible_hostname Cache
logfile_rotate 3
forwarded_for on
emulate_httpd_log off
log_fqdn off
acl snmppublic snmp_community public
snmp_access allow snmppublic localhost
snmp_access deny all
snmp_incoming_address 0.0.0.0
و این هم کانفیگ ip tables
Chain PREROUTING (policy ACCEPT 13539 packets, 1476K bytes)
pkts bytes target prot opt in out source destination
0 0 DNAT tcp -- eth0 * 0.0.0.0/0 0.0.0.0/0 tcp dpt:80 to:92.x.x.22:3128
0 0 REDIRECT tcp -- eth0 * 0.0.0.0/0 0.0.0.0/0 tcp dpt:80 redir ports 3128
Chain POSTROUTING (policy ACCEPT 993 packets, 69558 bytes)
pkts bytes target prot opt in out source destination
559 38312 MASQUERADE all -- * eth0 0.0.0.0/0 0.0.0.0/0
Chain OUTPUT (policy ACCEPT 1959 packets, 136K bytes)
pkts bytes target prot opt in out source destination
و این هم iptables-save
# Generated by iptables-save v1.4.4 on Sat Dec 12 04:13:49 2009
*mangle
:PREROUTING ACCEPT [45722:12235171]
:INPUT ACCEPT [40353:11584218]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [26867:7498457]
:POSTROUTING ACCEPT [26867:7498457]
COMMIT
# Completed on Sat Dec 12 04:13:49 2009
# Generated by iptables-save v1.4.4 on Sat Dec 12 04:13:49 2009
*nat
:PREROUTING ACCEPT [13547:1477118]
:POSTROUTING ACCEPT [993:69558]
:OUTPUT ACCEPT [1959:135796]
-A PREROUTING -i eth0 -p tcp -m tcp --dport 80 -j DNAT --to-destination 92.x.x.22:3128
-A PREROUTING -i eth0 -p tcp -m tcp --dport 80 -j REDIRECT --to-ports 3128
-A POSTROUTING -o eth0 -j MASQUERADE
COMMIT
# Completed on Sat Dec 12 04:13:49 2009
# Generated by iptables-save v1.4.4 on Sat Dec 12 04:13:49 2009
*filter
:INPUT DROP [0:0]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]
-A INPUT -i lo -j ACCEPT
-A INPUT -i eth0 -m state --state RELATED,ESTABLISHED -j ACCEPT
-A INPUT -i eth0 -j ACCEPT
-A INPUT -j LOG
-A INPUT -j DROP
-A FORWARD -i eth0 -j ACCEPT
-A OUTPUT -o lo -j ACCEPT
-A OUTPUT -o eth0 -j ACCEPT
COMMIT
# Completed on Sat Dec 12 04:13:49 2009
-
اگه پروکسی کار میکنه و به عنوان gateway کار نمیکنه این کاره بکنین
[LEFT]nano /etc/rc.local[/LEFT]
و به این صورت edit کنین
[LEFT]iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 80 -j REDIRECT --to-port 3128
exit 0[/LEFT]
-
شما چرا از DNAT استفاده کردید ؟
بهتره به جای کارت شبکه رنج IP بدید.
-
سلام
من فکر کنم ایراد کارم را فهمیدم . من بدون توجه به اینکه ip ست شده روی کش سرور در یک vlan جداگانه است 2 هفته است سرگرم این کش شدم !! :blink:
چون از منزل روی کش که در شرکت هست کار می کردم متوجه نشدم که دسترسی که دارم از طریق lan نیست بلکه از طریق اینترنت می باشد . البته این کار اشتباه به این دلیل است که منزل و شرکت بوسیله وایرلس به هم ارتباط دارند و من گیج شدم !!
فردا از داخل شرکت با همون vlan یه چک میکنم . امیدوارم ایراد همین باشه .
-
به همان شکل که حدس زده بودم شد . ایرادم سر vlan بود . الان لینوکس یه عنوان gateway کار میکنه و من توی میکروتیک فقط ip کلاینت را نت میکنم روی ip اسکویید و اینترنت ok میشه . اما از کش نمیگذره و در قسمت access.log هیچی ثبت نشده و نمیشه .
-
تو میکروتیک پورت 80 به کش بفرستید.