Mikrotik + Squid

Автор feAr23, 24 марта 2014, 11:41:32

« назад - далее »

0 Пользователи и 1 гость просматривают эту тему.

feAr23

Доброго времени суток.
Возникла проблема.
Поднял на Debian Squid сервер.
Разрешил только localnet, localhost.
Если конектить к нему через браузер FireFox, то всё нормально работает.
Настройки: http://fear23.ru/files/screenshots/clip-2014-03-24-11-39-06.png

Если настраивать NAT на Mikrotik, то пакеты пробрасываются на сервер (смотрю по TCPDump), но в логах Squid не отображаются.
Не понимаю в чём дело, может в настройках Squid?

sandaksatru


endru

[ot]sandaksatru, там ничего особенного.[/ot]

feAr23

Скриншот вернул. Но там действительно нет ничего важного.

sandaksatru

endru,
[ot]о, открывается)[/ot]
feAr23, распишите более подробно структуры сети. Файерфоксом коннектитесь с сервера. Какую роль играет Mikrotik? Что в итоге хотите получить?

feAr23

Ситуация следующая:
Есть необходимость контролировать посещаемые сайты сотрудниками.
На входе в офис стоит MikroTik.
В офисе стоит сервер на Debian.
На нём поднял Squid, хочу весь трафик на 80-ый порт пустить через Squid.
Первый раз делаю это. Почитал статейки, пишут, что нужно MikroTik-ом, при помощи NAT, пустить весь трафик с портом назначение 80 на 3128 (мой порт Squid на сервере) на Squid.
Так же, чтобы не циклить пакеты, необходимо трафик с портом назначения 80, который идёт с сервера пропускать на сквозь.
Всё сделал.
Пакеты идут на сервер, но Squid вообще не реагирует на них.

endru

squid.conf показывайте

feAr23


acl all src all
acl manager proto cache_object
acl localhost src 127.0.0.1/32
acl to_localhost dst 127.0.0.0/8 0.0.0.0/32
acl localnet src 192.168.88.0/24
acl SSL_ports port 443
acl SSL_ports port 563
acl SSL_ports port 873
acl Safe_ports port 80
acl Safe_ports port 21
acl Safe_ports port 443
acl Safe_ports port 70
acl Safe_ports port 210
acl Safe_ports port 1025-65535
acl Safe_ports port 280
acl Safe_ports port 488
acl Safe_ports port 591
acl Safe_ports port 777
acl Safe_ports port 631
acl Safe_ports port 873
acl Safe_ports port 901
acl purge method PURGE
acl CONNECT method CONNECT
http_access allow manager localhost
http_access deny manager
http_access allow purge localhost
http_access deny purge
http_access deny !Safe_ports
http_access deny CONNECT !SSL_ports
http_access allow localnet
http_access allow localhost
http_access deny all
icp_access allow localnet
icp_access deny all
htcp_access allow localnet
htcp_access allow localhost
htcp_access deny all
http_port 3128
hierarchy_stoplist cgi-bin ?
access_log /var/log/squid/access.log squid
refresh_pattern ^ftp: 1440 20% 10080
refresh_pattern ^gopher: 1440 0% 1440
refresh_pattern -i (/cgi-bin/|\?) 0 0% 0
refresh_pattern (Release|Packages(.gz)*)$ 0 20% 2880
refresh_pattern . 0 20% 4320
acl shoutcast rep_header X-HTTP09-First-Line ^ICY.[0-9]
upgrade_http0.9 deny shoutcast
acl apache rep_header Server ^Apache
broken_vary_encoding allow apache
extension_methods REPORT MERGE MKACTIVITY CHECKOUT
hosts_file /etc/hosts
coredump_dir /var/spool/squid

endru

Цитата: feAr23 от 26 марта 2014, 09:58:29
Почитал статейки, пишут, что нужно MikroTik-ом, при помощи NAT, пустить весь трафик с портом назначение 80 на 3128 (мой порт Squid на сервере) на Squid.
проброс портов совершенно не нужен в вашей ситуации. если есть интернет на машине с debian всё должно работать.
Цитата: feAr23 от 26 марта 2014, 09:58:29
Пакеты идут на сервер, но Squid вообще не реагирует на них.
а как он должен на них реагировать? порт 3128 используется клиентами прокси сервера.

feAr23

Цитата: endru
проброс портов совершенно не нужен в вашей ситуации. если есть интернет на машине с debian всё должно работать.
А как по другому заводить пакеты на сервер? Я не хочу прописывать настройки у каждого браузера в офисе. Хочу, чтобы все пакеты, которые идут на MikroTik, шли на Squid.
Цитата: endru
а как он должен на них реагировать? порт 3128 используется клиентами прокси сервера.
В случае проброшенного пакета на 3128, он ведь должен проходить через Squid, верно?

endru

#10
Цитата: feAr23 от 26 марта 2014, 11:34:37
Я не хочу прописывать настройки у каждого браузера в офисе. Хочу, чтобы все пакеты, которые идут на MikroTik, шли на Squid.
нужно настраивать таблицу маршрутизации на MikroTik, только с клиентских IP нужно делать перенаправление пакета на порт squid.
Цитата: feAr23 от 26 марта 2014, 11:34:37
В случае проброшенного пакета на 3128, он ведь должен проходить через Squid, верно?
смотрите в логах squid ошибки, возможно там есть ответ на ваш вопрос.

feAr23

Цитата: endru от 26 марта 2014, 11:49:55нужно настраивать таблицу маршрутизации на MikroTik, только с клиентских IP нужно делать перенаправление пакета на порт squid.
Это я понимаю. Так и сделал. Пакеты идут на сервер со сквидом. Отображаются при дампе сети.
Цитата: endru от 26 марта 2014, 11:49:55смотрите в логах squid ошибки, возможно там есть ответ на ваш вопрос.
Но в логах сквида вообще тишина.

endru

feAr23, версия squid какая?
dpkg -l | grep squid

feAr23


ii  squid                              2.7.STABLE9-4.1                    amd64        Internet object cache (WWW proxy cache)
ii  squid-common                       2.7.STABLE9-4.1                    all          Internet object cache (WWW proxy cache) - common files
ii  squid-langpack                     20120616-1                         all          Localized error pages for Squid

endru

#14
feAr23,
http_port 3128 замените на http_port 3128 transparent