[решено] Открыть доступ к ICQ, Agent, QIP на прозрачном squid 3

[honss2010]

Всем хай, подскажите плизз как открыть доступ на debian lenny для аскьи и агента чтоб юзеры запускали асю без всяких доп настроек в самом софте? стоит прозрачный сквид 3.

заранее пасиб бальшое.

[Master400]

Повернуть все пакеты на проксю через iptables.

[honss2010]

а можно по подробней пожалуйста, если можно то желательно с конфигом iptables. заранее благодарю.

[AccessD]

вбить в гугле: transparent squid

[honss2010]

UP!

[AccessD]

Цитата:

вбить в гугле: transparent squid

[Master400]

Либо пускать напрямую без прокси в инет для данных агентов.

Или так

iptables -t nat -A PREROUTING -d X.X.X.X -p tcp --dport 80 -j REDIRECT --to-ports 3128

iptables -t nat -A PREROUTING -d X.X.X.X -p tcp --dport 8080 -j REDIRECT --to-ports 3128

iptables -t nat -A PREROUTING -d X.X.X.X -p tcp --dport 443 -j REDIRECT --to-ports 3128

Либо указать спец порты агентов --dport хххххх

Либо почитать стать и сделать по аналогии http://www.ljpoisk.ru/archive/4093537.html

[honss2010]

зделал точ также, все равно ася не хочет работать на прямую, запускается если только в настройках задать проксю...

[honss2010]

вообщем ася запускается если в ее настройках ручками прописать прокси....

UP!!!!!!!!!!!! SOS!!!

[AccessD]

конфиг сквида и iptables в студию. Но без комментов, токо содержательную часть конфигов.

[honss2010]

Сквид 3:

acl manager proto cache_object

acl administrators src (диапазон айпишников)

acl personal src (диапазон айпишников)

acl SSL_ports port 563

acl SSL_ports port 5190

acl SSL_ports port 2042

acl SSL_ports port 110

acl SSL_ports port 443

acl Safe_ports port 80 # http

acl Safe_ports port 21 # ftp

acl Safe_ports port 443 # https

acl Safe_ports port 70 # gopher

acl Safe_ports port 210 # wais

acl Safe_ports port 1025-65535 # unregistered ports

acl Safe_ports port 280 # http-mgmt

acl Safe_ports port 488 # gss-http

acl Safe_ports port 591 # filemaker

acl Safe_ports port 777 # multiling http

acl CONNECT method CONNECT

acl sites url_regex "/etc/squid3/blacklist.txt"

http_access deny students sites

####################user#########################

delay_pools 2

delay_class 1 2

delay_class 2 2

delay_access 1 allow administrators

delay_access 1 deny all

delay_access 2 allow personal

delay_access 2 deny all

delay_parameters 1 -1/-1 -1/-1

delay_parameters 2 -1/-1 25000/2000000

##########################################

http_access deny !Safe_ports

http_access deny CONNECT !SSL_ports

http_access allow all

http_access deny all

http_port 3128 transparent

hierarchy_stoplist cgi-bin ?

coredump_dir /var/spool/squid3

refresh_pattern ^ftp: 1440 20% 10080

refresh_pattern ^gopher: 1440 0% 1440

refresh_pattern -i (/cgi-bin/|\?) 0 0% 0

refresh_pattern . 0 20% 4320

Iptables:

# Generated by iptables-save v1.4.2 on Thu Nov 25 19:11:18 2010

*nat

:PREROUTING ACCEPT [44:6926]

:POSTROUTING ACCEPT [1:100]

:OUTPUT ACCEPT [1:100]

-A PREROUTING -p tcp -m tcp --dport 443 -j REDIRECT --to-ports 3128

-A PREROUTING -p tcp -m tcp --dport 80 -j REDIRECT --to-ports 3128

-A PREROUTING -p tcp -m tcp --dport 8080 -j REDIRECT --to-ports 3128

-A PREROUTING -p tcp -m tcp --dport 5190 -j REDIRECT --to-ports 3128

COMMIT

# Completed on Thu Nov 25 19:11:18 2010

# Generated by iptables-save v1.4.2 on Thu Nov 25 19:11:18 2010

*filter

:INPUT ACCEPT [320999:250898476]

:FORWARD ACCEPT [0:0]

:OUTPUT ACCEPT [180148:63157992]

COMMIT

# Completed on Thu Nov 25 19:11:18 2010

##################################################

вот такие вот конфиги....

[honss2010]

any ideas, please....

[gogi]

Ох уж эти ideas

1. С ПРОЗРАЧНЫМ сквидом SSL не работает (да и как ему работать?).

2. Если будете пускать аську по http без шифрования (если это для вас возможно), порт аськи завернете на сквид

и пропишете там в Safe_port. Так должно работать.

PS. И ещё

Цитата:

http_access deny !Safe_ports

стоит впереди при том что порт аси в Safe_ports не указан.

Исправьте, может, заработает через CONNECT.

Но все же я советую пускать асю (а также почту, ftp...) напрямую через нат.