slaven

Добрый день... поставили передо мной такую банальную задачу организации интернета: 1. любые приложения не ходящие по http должны коннектица прозрачно(без маппинга портов и соксификации через прокси) 2. рулить доступом пользователей http, и считать трафик по каждому В распоряжении имелось: 1. ADLS-интернет 2. локальная сеть 3. интернет-маршрутизатор на базе AltLinux 4 Desctop с 2мя сетевыми интерфейсами eth0 - в ADSL, и eth1 - в сеть Решил сделать так: для прозрачного доступа пользователей в интернет NATить адреса в IPTables, и поднять PPPoE для коннекта пользователей. Для контролирования HTTP - заворачивать в IPTables запросы с 80 порта на прозрачный прокси-сервер Squid. Поднял NAT+PPPoE, поднял squid...по отдельности все работает, но как только я делаю squid прозрачным и заворачиваю запросы с 80 порта на squid - http работать отказывается... скрипт для Iptables ------------------------------------- #!/bin/sh function get_addr() { IFCONFIG='/sbin/ifconfig'; HEAD='head -2'; TAIL='tail -1'; CUT='cut -d: -f2'; IP=`$IFCONFIG $1 | $HEAD | $TAIL | awk '{print $2}' | $CUT`; echo $IP; } ### Внешний интерфейс EXTDEV="eth0" ### внутренний интерфейс PPPOEDEV="eth1" ### сеть для PPPOE клиентов. INETWORKIP="192.168.100.0/255.255.255.0" EXTERNALIP=`get_addr $EXTDEV` ENETWORKIP=$EXTERNALIP+"/255.255.255.255" INTERNALIP=`get_addr $INTDEV` LOOPBACK="127.0.0.1" ANYWHERE="0.0.0.0/0" PORTS="1024:65535" INTDEV="ppp+" /sbin/depmod -a /sbin/modprobe ip_conntrack /sbin/modprobe ip_tables /sbin/modprobe iptable_filter /sbin/modprobe iptable_mangle /sbin/modprobe iptable_nat /sbin/modprobe ipt_LOG /sbin/modprobe ipt_limit /sbin/modprobe ipt_MASQUERADE /sbin/modprobe ipt_owner /sbin/modprobe ipt_REJECT /sbin/modprobe ip_conntrack_ftp /sbin/modprobe ip_conntrack_irc /sbin/modprobe ip_nat_ftp /sbin/modprobe ip_nat_irc echo 1 > /proc/sys/net/ipv4/ip_forward echo 1 > /proc/sys/net/ipv4/tcp_syncookies for file in /proc/sys/net/ipv4/conf/*/rp_filter; do echo 1 > $file done for file in /proc/sys/net/ipv4/conf/*/accept_redirects; do echo 0 > $file done for file in /proc/sys/net/ipv4/conf/*/accept_source_route; do echo 0 > $file done /sbin/iptables -F /sbin/iptables -F -t nat /sbin/iptables -N ALLOW_ICMP /sbin/iptables -N ALLOW_PORTS /sbin/iptables -N CHECK_FLAGS /sbin/iptables -N DENY_PORTS /sbin/iptables -N DST_EGRESS /sbin/iptables -N KEEP_STATE /sbin/iptables -N SRC_EGRESS # По умолчанию все входящие пакеты сбрасываем /sbin/iptables -P INPUT DROP /sbin/iptables -A INPUT -p tcp ! --syn -m state --state NEW -j DROP /sbin/iptables -A INPUT -j ACCEPT -s $EXTERNALIP -d $ANYWHERE /sbin/iptables -A INPUT -j ACCEPT -s $ANYWHERE -d $ANYWHERE -i $INTDEV /sbin/iptables -A INPUT -j ACCEPT -s $ANYWHERE -d $ANYWHERE -i lo /sbin/iptables -A INPUT -j ACCEPT -s $ANYWHERE -d $ANYWHERE -i $EXTDEV -m state --state RELATED,ESTABLISHED /sbin/iptables -A INPUT -j ACCEPT -p icmp -s $ANYWHERE -d $ANYWHERE /sbin/iptables -A INPUT -j ACCEPT -p udp -s $INETWORKIP --sport 53 -d $ANYWHERE # По умолчанию все исходящие пакеты сбрасываем /sbin/iptables -P OUTPUT DROP /sbin/iptables -A OUTPUT -j ACCEPT -s $ANYWHERE -d $ANYWHERE -o $INTDEV /sbin/iptables -A OUTPUT -j ACCEPT -s $ANYWHERE -d $EXTERNALIP /sbin/iptables -A OUTPUT -j ACCEPT -s $ANYWHERE -d $ANYWHERE -o lo /sbin/iptables -A OUTPUT -j ACCEPT -s $ANYWHERE -d $ANYWHERE -o $EXTDEV -m state --state RELATED,ESTABLISHED /sbin/iptables -A OUTPUT -j ACCEPT -p udp -s $EXTERNALIP -d $ANYWHERE --dport 53 /sbin/iptables -A OUTPUT -j ACCEPT -p icmp -s $ANYWHERE -d $ANYWHERE /sbin/iptables -A OUTPUT -j ACCEPT -s $ANYWHERE -d $ANYWHERE -o $EXTDEV -m state --state RELATED,ESTABLISHED /sbin/iptables -P FORWARD ACCEPT /sbin/iptables -A FORWARD -j ACCEPT -s $ANYWHERE -d $ANYWHERE -i $INTDEV /sbin/iptables -A FORWARD -j ACCEPT -p icmp -s $ANYWHERE -d $ANYWHERE -i $INTDEV ### редирект HTTP запросов на прокси сервер Squid. /sbin/iptables -t nat -A PREROUTING -i $INTDEV -p tcp --dport 80 -j REDIRECT --to-port 3128 ## Маскарадинг клиентов /sbin/iptables -t nat -A POSTROUTING -j SNAT -s $INETWORKIP -d $ANYWHERE -o $EXTDEV --to $EXTERNALIP /sbin/iptables -t nat -A POSTROUTING -j MASQUERADE -s $INETWORKIP -d $ANYWHERE -o $EXTDEV ## Запуск PPPOE-SERVER killall -w -9 pppoe-server /usr/sbin/pppoe-server -I $PPPOEDEV -L $INTERNALIP ----------------------------------------- squid.conf --------------------------- http_port 3128 transparent hierarchy_stoplist cgi-bin ? acl QUERY urlpath_regex cgi-bin \? no_cache deny QUERY cache_mem 20 MB maximum_object_size 16192 KB cache_dir ufs /home/slaven/squid/cache 1000 16 256 emulate_httpd_log on access_log /home/slaven/squid/logs/access.log squid cache_log /dev/null cache_store_log none acl office src 192.168.100.0/255.255.255.0 acl all src 0.0.0.0/0.0.0.0 acl localhost src 127.0.0.1/255.255.255.255 acl CONNECT method CONNECT http_access deny all !office icp_access allow all --------------------------- Браузер по таймауту говорит, что невозможно отобразить страницу. а access.log сквидовский ловит подобное: ----------------------------------------- 1198840773.503 179912 192.168.100.1 TCP_MISS/504 1461 GET http://www.google.ru/complete/search? - DIRECT/216.239.59.104 text/html ------------------------------------------ Если делаю squid непрозрачным, то он валит в браузер сообщение о неправильно переданном запросе, и аналогичную запись делает в access.log. На момент написания поста перерыл просторы инета в поисках решения, но поа безрезультатно. Буду признателен за любую помощь