Перейти из форума на сайт.

НовостиФайловые архивы
ПоискАктивные темыТоп лист
ПравилаКто в on-line?
Вход Забыли пароль? Первый раз на этом сайте? Регистрация
Компьютерный форум Ru.Board » Компьютеры » В помощь системному администратору » лог squid ошибка

Модерирует : lynx, Crash_Master, dg, emx, ShriEkeR

 Версия для печати • ПодписатьсяДобавить в закладки

Открыть новую тему     Написать ответ в эту тему

romandan88

Newbie		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
У меня такой вопрос настроил связь mikrotik+squid, на микротике поднято правило
 0 X ;;; Web-Proxy
     chain=dstnat action=dst-nat to-addresses=192.168.1.100 to-ports=3128  
     protocol=tcp src-address=192.168.1.51 in-interface=02_Loca-LAN  
тогда tcpdump показывает
17:07:58.093038 IP 192.168.1.100.3128 > 192.168.1.51.54727: Flags [S.], seq 972217195, ack 650882271, win 14600, options [mss 1460,nop,nop,sackOK], length 0
17:07:58.093246 IP 192.168.1.51.54723 > 192.168.1.100.3128: Flags [R], seq 1143667847, win 0, length 0
17:07:58.093432 IP 192.168.1.51.54727 > 192.168.1.100.3128: Flags [R], seq 650882271, win 0, length 0
17:07:59.361992 IP 192.168.1.51.54736 > 192.168.1.100.3128: Flags [S], seq 1525497825, win 8192, options [mss 1460,nop,wscale 2,nop,nop,sackOK], length 0
17:07:59.362027 IP 200.0.200.30.3128 > 192.168.1.51.54736: Flags [S.], seq 105387951, ack 1525497826, win 14600, options [mss 1460,nop,nop,sackOK,nop,wscale 7], length 0
17:07:59.362046 IP 192.168.1.51.54739 > 192.168.1.100.3128: Flags [S], seq 2787692545, win 8192, options [mss 1460,nop,wscale 2,nop,nop,sackOK], length 0
17:07:59.362061 IP 192.168.1.100.3128 > 192.168.1.51.54739: Flags [S.], seq 3214140222, ack 2787692546, win 14600, options [mss 1460,nop,nop,sackOK,nop,wscale 7], length 0
17:07:59.362361 IP 192.168.1.51.54736 > 192.168.1.100.3128: Flags [R], seq 1525497826, win 0, length 0
17:07:59.362863 IP 192.168.1.51.54739 > 192.168.1.100.3128: Flags [R], seq 2787692546, win 0, length 0
 
и не работает
 
если я поднимаю обратное правило  
 1 X chain=srcnat action=src-nat to-addresses=192.168.1.245 protocol=tcp  
     src-address=192.168.1.51 dst-address=192.168.1.100  
     out-interface=02_Loca-LAN  
то все работает нов логах  сквид и tcpdump показывает айпи микротика, мне это не подходит подскахите в чем ошибка??? возможно что скид не настроен должным
образом??
Всего записей: 17 | Зарегистр. 08-07-2013 | Отправлено: 17:20 04-10-2013
Prophion

Junior Member		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
romandan88
Это не ошибка, так и должно работать. Механизм dst-nat подобен srt-nat, т.е. маршрутизатор принимает подключение на интерфейс, нумерует его, меняет в заголовке пакета данные отправителя на свои и посылает пакет дальше по направлению, когда приходит ответ маршрутизатор по выставленному номеру отправляет данные, тому кто их изначально запрашивал. Вам следует воспользоваться таблицей роутов для реализации связки Макротик+Свикд с адресом отправителя.
Разберём на примере:
 
#На Микротике есть два интерфейса:

Код:
/ip address
add address=192.168.0.1/24 disabled=no interface=ether1 network=192.168.0.0
add address=192.168.1.2/24 disabled=no interface=ether2 network=192.168.1.0

#Включаем резолв DNS

Код:
/ip dns set allow-remote-requests=yes cache-max-ttl=1w cache-size=8000KiB max-udp-packet-size=512 servers=192.168.1.1

#Маркируем весь трафик на TCP-80

Код:
/ip firewall nat
add action=accept chain=srcnat disabled=no dst-port=80 protocol=tcp
 /ip firewall mangle
add action=mark-routing chain=prerouting disabled=no dst-port=80 new-routing-mark=http passthrough=yes protocol=tcp

#Маскарадим весь трафик на ether2 (я надеюсь, Вы обратили внимание, что в таблице NAT  у нас два правила и правило маскарада имеет более низкий приоритет по отношению с разрешающим правилом для 80-того TCP, это связано с тем, что мы не будем маскарадить данные на этом порту).

Код:
add action=masquerade chain=srcnat disabled=no out-interface=ether2

#Добавляем в таблицу роутов нужные маршруты (192.168.0.2 - адрес Сквида)

Код:
/ip route
add disabled=no distance=1 dst-address=0.0.0.0/0 gateway=192.168.0.2 routing-mark=http scope=30 target-scope=10
add disabled=no distance=1 dst-address=0.0.0.0/0 gateway=192.168.1.1 scope=30 target-scope=10

 
На Сквиде:
#Включаем прозрачный режим:

Код:
http_port 8080 transparent
acl mylocalnet src 0.0.0.0/0.0.0.0
http_access allow mylocalnet

#Включаем перенаправление в iptables на Сквиде (ведь он у нас поднят на порту 8080, а трафик приходит на порт 80)

Код:
iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 80 -j DNAT --to 192.168.0.2:8080

Всё. Теперь на прокси мы будем видеть адреса клиентов, а не маршрутизатора.
 
P.S. Есть тема для Микротика.
Всего записей: 142 | Зарегистр. 18-02-2006 | Отправлено: 08:10 05-10-2013 | Исправлено: Prophion, 10:25 07-10-2013
romandan88

Newbie		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
спасибо большое, все как бы заработало, но после прописания, правила iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 80 -j DNAT --to 192.168.0.2:8080 я потерял управление на squid как через 443 порт, и 22 SSH, хотя в конфигурации squid  стоит разрешения для этих портов.....
Всего записей: 17 | Зарегистр. 08-07-2013 | Отправлено: 10:03 08-10-2013
Prophion

Junior Member		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
romandan88
Попробуйте добавить перед:
Код:
iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 80 -j DNAT --to 192.168.0.2:8080

правило разрешающее входящие соединения для портов 22, 443:
Код:
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A INPUT -i eth0 -p tcp -m multiport --dport 22,443 --state NEW,ESTABLISHED -j ACCEPT
 

Так же не забудьте добавить пинги и lo-интерфейс:
Код:
iptables -A INPUT -i lo -j ACCEPT
iptables -A INPUT -p icmp --icmp-type echo-request -j ACCEPT

Чтобы просмотреть какие у Вас в данный момент задействованы правила и подкорректировать настройки в связи с обстоятельствами Вы можете использовать:
Код:
# iptables -nL
Всего записей: 142 | Зарегистр. 18-02-2006 | Отправлено: 04:35 09-10-2013 | Исправлено: Prophion, 04:42 09-10-2013
romandan88

Newbie		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Спасибо большое за помощь разобрался...... Все работает на ура
Всего записей: 17 | Зарегистр. 08-07-2013 | Отправлено: 17:16 09-10-2013
Открыть новую тему     Написать ответ в эту тему

Компьютерный форум Ru.Board » Компьютеры » В помощь системному администратору » лог squid ошибка


Реклама на форуме Ru.Board.

Powered by Ikonboard "v2.1.7b" © 2000 Ikonboard.com
Modified by Ru.B0ard
© Ru.B0ard 2000-2024

BitCoin: 1NGG1chHtUvrtEqjeerQCKDMUi6S6CG4iC

Рейтинг.ru