squid特定網段bypass問題
現在遇到一個問題就是某個網段想要bypass squid 進出~目前的配置是透通模式~網卡採用bridage模式~iptaables規則如下:$IPTABLES -t nat -A PREROUTING -i br0 -p tcp --dport 80 -j REDIRECT --to-port 3128
$IPTABLES -A INPUT -s $LANIPS -p tcp --dport 3128 -j ACCEPT
從紀錄檔上面看都出現TCP_DENIED的狀態~該網段的電腦是負責web服務的...小弟猜想應該是iptables 的問題~但是不確定該怎麼修改??還請大家給予指教~謝謝
PS:網段為192.168.x.0/24x從1~120 透明代理,上面的iptables本身没有问题啊,如果是从br0进入的话
透明代理一般是通过防火墙把80端口转发到squid的3128端口上
你有192.168.x.0/24这么多网段,上面的路由是如何设的,防火墙一定要用到这台squid上的iptables吗? cryboy2001 发表于 2014-09-11 15:44 static/image/common/back.gif
透明代理,上面的iptables本身没有问题啊,如果是从br0进入的话
透明代理一般是通过防火墙把80端口转发到 ...
上面的iptables 規則在使用者進出是沒有問題的~但是發現提供對外服務的部分卻有異常~檢視記錄檔發現都是被squid給拒絕了~
在防火牆上看到的紀錄狀態發現外部連線已通過防火牆~因此原因應該在squid的設定上有所疏漏~
我這邊是有做二個動作....在原先的規則上加上server farm網段的進出先做處理~剩餘的再透過原先的規則做80-->3128的動作
再者在squid.conf設定檔中發現有個acl規則是http access到local的規則中只有127.0.0.0/8而已~所以我再補上內部網段的位址192.168.0.0/16後重啟,再進行測試就可以了~
等明天我再搭建一個lab環境來測試看看癥結點在哪~^^ squid的acl功能很强大,但也容易搞混掉,要慢慢测试才行 本帖最后由 squawell 于 2014-09-17 19:36 编辑
目前這個遇到一個比較棘手的問題.....再經由高手指導過後加上一筆
iptables -t nat -I PREROUTING -i br0 -s $SRV_FARM -j ACCEPT
大致上的伺服器網段機器進出已經OK~但目前遇到一個狀況是某台機器對外服務~在登入完畢後會轉到另一個IP的網頁去~就會出現問題~我估計是SESSION的問題~
但是內部人員連接是沒問題的....現在僅剩這個問題而已~不知道大家有啥想法呢~謝謝
最新更新:
目前採取防火牆及ROUTER的設定皆不作更改....
SQUID預設路由指向防火牆並加上一筆192.168.0.0/16往ROUTER送
再加上$IPTABLES -t nat -A PREROUTING -i br0 -p tcp --dport 80 -m iprange --src-range 192.168.2.0-192.168.254.254-j REDIRECT --to-port 3128就解決了~不過還要再觀察看看有無其他問題~
页:
[1]