Mikrotik + Squid

[feAr23]

Доброго времени суток.
Возникла проблема.
Поднял на Debian Squid сервер.
Разрешил только localnet, localhost.
Если конектить к нему через браузер FireFox, то всё нормально работает.
Настройки: http://fear23.ru/files/screenshots/clip-2014-03-24-11-39-06.png

Если настраивать NAT на Mikrotik, то пакеты пробрасываются на сервер (смотрю по TCPDump), но в логах Squid не отображаются.
Не понимаю в чём дело, может в настройках Squid?

[sandaksatru]

Настройки: http://fear23.ru/files/screenshots/clip-2014-03-24-11-39-06.png

не работает ссылочка, перезалейте скриншот

[endru]

[ot]sandaksatru, там ничего особенного.[/ot]

[feAr23]

Скриншот вернул. Но там действительно нет ничего важного.

[sandaksatru]

endru,
[ot]о, открывается)[/ot]
feAr23, распишите более подробно структуры сети. Файерфоксом коннектитесь с сервера. Какую роль играет Mikrotik? Что в итоге хотите получить?

[feAr23]

Ситуация следующая:
Есть необходимость контролировать посещаемые сайты сотрудниками.
На входе в офис стоит MikroTik.
В офисе стоит сервер на Debian.
На нём поднял Squid, хочу весь трафик на 80-ый порт пустить через Squid.
Первый раз делаю это. Почитал статейки, пишут, что нужно MikroTik-ом, при помощи NAT, пустить весь трафик с портом назначение 80 на 3128 (мой порт Squid на сервере) на Squid.
Так же, чтобы не циклить пакеты, необходимо трафик с портом назначения 80, который идёт с сервера пропускать на сквозь.
Всё сделал.
Пакеты идут на сервер, но Squid вообще не реагирует на них.

[endru]

squid.conf показывайте

[feAr23]

Код Выделить Развернуть


acl all src all
acl manager proto cache_object
acl localhost src 127.0.0.1/32
acl to_localhost dst 127.0.0.0/8 0.0.0.0/32
acl localnet src 192.168.88.0/24
acl SSL_ports port 443
acl SSL_ports port 563
acl SSL_ports port 873
acl Safe_ports port 80
acl Safe_ports port 21
acl Safe_ports port 443
acl Safe_ports port 70
acl Safe_ports port 210
acl Safe_ports port 1025-65535
acl Safe_ports port 280
acl Safe_ports port 488
acl Safe_ports port 591
acl Safe_ports port 777
acl Safe_ports port 631
acl Safe_ports port 873
acl Safe_ports port 901
acl purge method PURGE
acl CONNECT method CONNECT
http_access allow manager localhost
http_access deny manager
http_access allow purge localhost
http_access deny purge
http_access deny !Safe_ports
http_access deny CONNECT !SSL_ports
http_access allow localnet
http_access allow localhost
http_access deny all
icp_access allow localnet
icp_access deny all
htcp_access allow localnet
htcp_access allow localhost
htcp_access deny all
http_port 3128
hierarchy_stoplist cgi-bin ?
access_log /var/log/squid/access.log squid
refresh_pattern ^ftp: 1440 20% 10080
refresh_pattern ^gopher: 1440 0% 1440
refresh_pattern -i (/cgi-bin/|\?) 0 0% 0
refresh_pattern (Release|Packages(.gz)*)$ 0 20% 2880
refresh_pattern . 0 20% 4320
acl shoutcast rep_header X-HTTP09-First-Line ^ICY.[0-9]
upgrade_http0.9 deny shoutcast
acl apache rep_header Server ^Apache
broken_vary_encoding allow apache
extension_methods REPORT MERGE MKACTIVITY CHECKOUT
hosts_file /etc/hosts
coredump_dir /var/spool/squid


[endru]

Почитал статейки, пишут, что нужно MikroTik-ом, при помощи NAT, пустить весь трафик с портом назначение 80 на 3128 (мой порт Squid на сервере) на Squid.

проброс портов совершенно не нужен в вашей ситуации. если есть интернет на машине с debian всё должно работать.

Пакеты идут на сервер, но Squid вообще не реагирует на них.

а как он должен на них реагировать? порт 3128 используется клиентами прокси сервера.

[feAr23]

проброс портов совершенно не нужен в вашей ситуации. если есть интернет на машине с debian всё должно работать.

А как по другому заводить пакеты на сервер? Я не хочу прописывать настройки у каждого браузера в офисе. Хочу, чтобы все пакеты, которые идут на MikroTik, шли на Squid.

а как он должен на них реагировать? порт 3128 используется клиентами прокси сервера.

В случае проброшенного пакета на 3128, он ведь должен проходить через Squid, верно?

[endru]

Я не хочу прописывать настройки у каждого браузера в офисе. Хочу, чтобы все пакеты, которые идут на MikroTik, шли на Squid.

нужно настраивать таблицу маршрутизации на MikroTik, только с клиентских IP нужно делать перенаправление пакета на порт squid.

В случае проброшенного пакета на 3128, он ведь должен проходить через Squid, верно?

смотрите в логах squid ошибки, возможно там есть ответ на ваш вопрос.

[feAr23]

нужно настраивать таблицу маршрутизации на MikroTik, только с клиентских IP нужно делать перенаправление пакета на порт squid.

Это я понимаю. Так и сделал. Пакеты идут на сервер со сквидом. Отображаются при дампе сети.

смотрите в логах squid ошибки, возможно там есть ответ на ваш вопрос.

Но в логах сквида вообще тишина.

[endru]

feAr23, версия squid какая?

Код Выделить Развернуть

dpkg -l | grep squid

[feAr23]

Код Выделить Развернуть


ii  squid                              2.7.STABLE9-4.1                    amd64        Internet object cache (WWW proxy cache)
ii  squid-common                       2.7.STABLE9-4.1                    all          Internet object cache (WWW proxy cache) - common files
ii  squid-langpack                     20120616-1                         all          Localized error pages for Squid


[endru]

feAr23,
http_port 3128 замените на http_port 3128 transparent