Открыть доступ к icg, m-agent, jabber

yevgeniy · 27 Декабря 2010, 17:12

Всем гуру дебиан здаров. Подскажите плизз как пустить асю, агента и джабера через прозрачный сквид 3. Чтобы юзеры запускали клиентов без настроек на проксю, а автоматически. Заранее всем пасиб.

Vicpo · 27 Декабря 2010, 23:24

Разрешите прохождение портов через сквид, плюс в iptables заверните порты на squid

hedgeven · 28 Декабря 2010, 15:25

может у меня руки кривые, но у меня не получилось проксировать жаббер на sduid, в логи squid сыпались обрывки xml-файлов, а жаббер не работал.

yevgeniy · 05 Января 2011, 12:29

Цитата: Vicpo от 27 Декабря 2010, 23:24Разрешите прохождение портов через сквид, плюс в iptables заверните порты на squid

с новым годом! а можно по подробней плизз....

Vicpo · 05 Января 2011, 12:34

для начала покажите свой конфиг squid

yevgeniy · 06 Января 2011, 11:02

Цитата: Vicpo от 05 Января 2011, 12:34для начала покажите свой конфиг squid

Сквид 3:

Код [Выделить]

acl manager proto cache_object
acl administrators src (диапазон айпишников)
acl personal src (диапазон айпишников)

acl SSL_ports port 563
acl SSL_ports port 5190
acl SSL_ports port 2042
acl SSL_ports port 110
acl SSL_ports port 443
acl Safe_ports port 80 # http
acl Safe_ports port 21 # ftp
acl Safe_ports port 443 # https
acl Safe_ports port 70 # gopher
acl Safe_ports port 210 # wais
acl Safe_ports port 1025-65535 # unregistered ports
acl Safe_ports port 280 # http-mgmt
acl Safe_ports port 488 # gss-http
acl Safe_ports port 591 # filemaker
acl Safe_ports port 777 # multiling http
acl CONNECT method CONNECT

acl sites url_regex "/etc/squid3/blacklist.txt"
http_access deny students sites

####################user#########################
delay_pools 2
delay_class 1 2
delay_class 2 2
delay_access 1 allow administrators
delay_access 1 deny all
delay_access 2 allow personal
delay_access 2 deny all
delay_parameters 1 -1/-1 -1/-1
delay_parameters 2 -1/-1 25000/2000000
##########################################
http_access deny !Safe_ports
http_access deny CONNECT !SSL_ports
http_access allow all
http_access deny all
http_port 3128 transparent
hierarchy_stoplist cgi-bin ?
coredump_dir /var/spool/squid3
refresh_pattern ^ftp: 1440 20% 10080
refresh_pattern ^gopher: 1440 0% 1440
refresh_pattern -i (/cgi-bin/|\?) 0 0% 0
refresh_pattern . 0 20% 4320

Iptables:

# Generated by iptables-save v1.4.2 on Thu Nov 25 19:11:18 2010
*nat
:PREROUTING ACCEPT [44:6926]
:POSTROUTING ACCEPT [1:100]
:OUTPUT ACCEPT [1:100]
-A PREROUTING -p tcp -m tcp --dport 443 -j REDIRECT --to-ports 3128
-A PREROUTING -p tcp -m tcp --dport 80 -j REDIRECT --to-ports 3128
-A PREROUTING -p tcp -m tcp --dport 8080 -j REDIRECT --to-ports 3128
-A PREROUTING -p tcp -m tcp --dport 5190 -j REDIRECT --to-ports 3128
COMMIT
# Completed on Thu Nov 25 19:11:18 2010
# Generated by iptables-save v1.4.2 on Thu Nov 25 19:11:18 2010
*filter
:INPUT ACCEPT [320999:250898476]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [180148:63157992]
COMMIT
# Completed on Thu Nov 25 19:11:18 2010
##################################################

вот такие вот конфиги....

Vicpo · 06 Января 2011, 11:34

[color="#333333"][font="arial, verdana, tahoma, sans-serif"][size="2"]

Код [Выделить]

-A PREROUTING -p tcp -m tcp --dport 2042 -j REDIRECT --to-ports 3128[/size][/font][/color]
[color="#333333"][font="arial, verdana, tahoma, sans-serif"][size="2"]Для агента[/size][/font][/color]
[font="arial, verdana, tahoma, sans-serif"][size="2"][color="#333333"]
[/color][/size][/font]

Vicpo · 06 Января 2011, 11:54

Вообще попробуйте удалить конфига iptables, рестартануть его и внести правила руками

Код [Выделить]



iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 80 -j REDIRECT --to-port 3128
iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 443 -j REDIRECT --to-port 3128
iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 2042 -j REDIRECT --to-port 3128
iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 5190 -j REDIRECT --to-port 3128
iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 8080 -j REDIRECT --to-port 3128

где eth0 сетевой интерфейс смотрящий в локалку

потом

Код [Выделить]

iptables-save > /etc/sysconfig/iptables

Vicpo · 06 Января 2011, 11:59

и ещё для ICQ

В конфиге squid.conf прописать

Код [Выделить]

acl ICQ_ADDR dst 64.12.0.0/16 205.188.0.0/16
acl ICQ_PORT port 5190 443

acl ICQ_PROTO proto HTTPS
acl ICQ_DOMAIN dstdomain icq.com aol.com

always_direct   allow   ICQ_DOMAIN ICQ_PORT CONNECT
always_direct   allow   ICQ_ADDR   ICQ_PORT CONNECT

http_access allow USERS ICQ_ADDR ICQ_PORT ICQ_PROTO CONNECT

судя по документации прозрачно может проксироваться только HTTP трафик

yevgeniy · 06 Января 2011, 15:26

Цитата: Vicpo от 06 Января 2011, 11:59и ещё для ICQ

В конфиге squid.conf прописать
Код [Выделить] Expand
acl ICQ_ADDR dst 64.12.0.0/16 205.188.0.0/16 acl ICQ_PORT port 5190 443 acl ICQ_PROTO proto HTTPS acl ICQ_DOMAIN dstdomain icq.com aol.com always_direct allow ICQ_DOMAIN ICQ_PORT CONNECT always_direct allow ICQ_ADDR ICQ_PORT CONNECT http_access allow USERS ICQ_ADDR ICQ_PORT ICQ_PROTO CONNECT
судя по документации прозрачно может проксироваться только HTTP трафик

Благодарю за помощь, ща попробую, по результату отпишусь...

Открыть доступ к icg, m-agent, jabber

yevgeniy

27 Декабря 2010, 17:12 Последнее редактирование: 27 Декабря 2010, 17:36 от Zhek@Ch

Vicpo

27 Декабря 2010, 23:24 #1

hedgeven

28 Декабря 2010, 15:25 #2

yevgeniy

05 Января 2011, 12:29 #3

Vicpo

05 Января 2011, 12:34 #4

yevgeniy

06 Января 2011, 11:02 #5 Последнее редактирование: 06 Января 2011, 13:29 от Zhek@Ch

Vicpo

06 Января 2011, 11:34 #6 Последнее редактирование: 06 Января 2011, 11:35 от Vicpo

Vicpo

06 Января 2011, 11:54 #7 Последнее редактирование: 06 Января 2011, 11:54 от Vicpo

Vicpo

06 Января 2011, 11:59 #8 Последнее редактирование: 06 Января 2011, 12:04 от Vicpo

yevgeniy

06 Января 2011, 15:26 #9