Автор Тема: Как развернуть SQUID наружу по 80 порту?  (Прочитано 5305 раз)

salomatin

  • Гость
Хочу использовать все прелести и вкусности штатного прокси SQUID на ALT-4.0 сервере, но уже не для пользователей внутри локалки, а наружу, для поситителей моего WEB сервера.

Задача:
Пользователь из сети интернет, своим любимым браузером, без каких либо дополнительных настроек (вход  прокси 81.81.81.81 порт 3128)
обращается на мой WEB сервер штатно по 80 порту,
но попадает на прокси и дальше регулируется прописанными  мной правилами в squid (аутентификация, регулировка каналов и т.п.) 

Кто-нибудь так делал?

Спасибо.
« Последнее редактирование: 09.10.2008 08:13:07 от salomatin »

salomatin

  • Гость
Сам же отвечаю, если кому интересно. Завелась.

"В Линуксе все непросто, а очень просто."

Командой
iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 80 -j REDIRECT --to-port 3128
 
весь трафик, отправляемый на порт 80 перенаправляю на порт 3128

Подгружаем

#apt-get install redirector

в конфигурации squida
#
#Default:
# http_port 3128
#
# Squid normally listens to port 3128
http_port 3128 transparent

т.е добавляем одно слово:  transparent

service squid restart

Работает.

Не работает только  аутентификация.

« Последнее редактирование: 10.10.2008 08:47:30 от salomatin »

salomatin

  • Гость


Не работает только  аутентификация.




Кто-нибудь знает, аутентификацию вообще можно запустить?
Можно ли NAT-ом или iptables  обмануть?

Онлайн dk

  • alt linux team
  • ***
  • Сообщений: 987
    • Email
Не работает только  аутентификация.
Кто-нибудь знает, аутентификацию вообще можно запустить?
Можно ли NAT-ом или iptables  обмануть?

Нельзя. Аутентификация не работает на transparent proxy.


salomatin

  • Гость
Не работает только  аутентификация.
Кто-нибудь знает, аутентификацию вообще можно запустить?
Можно ли NAT-ом или iptables  обмануть?

Нельзя. Аутентификация не работает на transparent proxy.




А если этот мой SQUID обратиться ко второму SQUID как один из компьютеров локальной сети, откуда второй будет знать что на первом есть transparent proxy?
Так можно обмануть?

Онлайн dk

  • alt linux team
  • ***
  • Сообщений: 987
    • Email
Ничего не понял.

Проблема в прозрачном прокси, насколько я понимаю, в клиенте, т.е. браузере. Вам нужно использовать прокси с авторизацией с одной стороны, и прозрачный прокси с другой стороны. Прозрачный прокси означает, что клиент вообще не знает ничего о существовани прокси. Как он догадается о том, что нужна какая-то авторизация?

salomatin

  • Гость
Никто не знает - ICQ через прозрачный прокси ходит?

Уж больно лениво всем аськи перенастраивать если адрес сервера надо заменить.

Так у всех клиентских машин все настройки автоматом (DHCP, DNS прокси и т.п.),
а аськи получается все-равно всем ходить перенастраивать.

Оффлайн wcpGrief

  • Завсегдатай
  • *
  • Сообщений: 17
    • Email
Хочу использовать все прелести и вкусности штатного прокси SQUID на ALT-4.0 сервере, но уже не для пользователей внутри локалки, а наружу, для поситителей моего WEB сервера.

Задача:
Пользователь из сети интернет, своим любимым браузером, без каких либо дополнительных настроек (вход  прокси 81.81.81.81 порт 3128)
обращается на мой WEB сервер штатно по 80 порту,
но попадает на прокси и дальше регулируется прописанными  мной правилами в squid (аутентификация, регулировка каналов и т.п.) 

Кто-нибудь так делал?

Спасибо.

получается то при прозрачном проксировании вам нужно будет указать свой прокси-сервер как шлюз для той сети... а ведь у них свой шлюз, и не найдут они выхода...

Оффлайн Monaks

  • Завсегдатай
  • *
  • Сообщений: 9
Все же что то непонятно что именно нужно получить =)

Т.е. как я понял - удаленный клиент забивает в строке адреса  host.domain:80, а на сервере этот порт редиректится на 3128 =)
 Что-то мне подсказывает - squid плохой вэб сервер  :D

Оффлайн xdsl

  • Давно тут
  • **
  • Сообщений: 174
Что-то тоже не понял, какого эффекта хочется достичь. Если хочется дать внешнему клиенту доступ в инет ч/з прокси (может быть полезно, если клиент получает доступ к прокси по бесплатному каналу типа локальной сети провайдера), то вообще ничего настраивать не надо, кроме клиентского браузера, указав тому адрес и порт прокси. При этом, естественно, прокси должен слушать внешний интерфейс.

Drool

  • Гость
Никто не знает - ICQ через прозрачный прокси ходит?
...
Так у всех клиентских машин все настройки автоматом (DHCP, DNS прокси и т.п.),
а аськи получается все-равно всем ходить перенастраивать.

У меня все запросы на 80-й порт заворачиваются на прокси, а остальные - NAT. И клиентам не нужно вообще нигде прокси прописывать, только шлюз и DNS.

salomatin

  • Гость
Никто не знает - ICQ через прозрачный прокси ходит?
...
Так у всех клиентских машин все настройки автоматом (DHCP, DNS прокси и т.п.),
а аськи получается все-равно всем ходить перенастраивать.

У меня все запросы на 80-й порт заворачиваются на прокси, а остальные - NAT. И клиентам не нужно вообще нигде прокси прописывать, только шлюз и DNS.

Это понятно. У меня все выдает DHCPD  и шлюзы и ДНС.
А ICQ как завернуть автоматом?       там без настроек никак не получается

Drool

  • Гость
Посмотрите скрипт nat отсюда:
http://fly.osdn.org.ua/~drool/nat_squid.tar.bz2

Там все очевидно. Никаких дополнительных настроек не требуется

Оффлайн wcpGrief

  • Завсегдатай
  • *
  • Сообщений: 17
    • Email
Никто не знает - ICQ через прозрачный прокси ходит?
...
Так у всех клиентских машин все настройки автоматом (DHCP, DNS прокси и т.п.),
а аськи получается все-равно всем ходить перенастраивать.

У меня все запросы на 80-й порт заворачиваются на прокси, а остальные - NAT. И клиентам не нужно вообще нигде прокси прописывать, только шлюз и DNS.
можно и аськины порты повернуть на сквид... кто вам мешает?

Drool

  • Гость
можно и аськины порты повернуть на сквид... кто вам мешает?

Только вопрос - зачем? :)