squid特定網段bypass問題

squawell

現在遇到一個問題就是某個網段想要bypass squid 進出～目前的配置是透通模式～網卡採用bridage模式～iptaables規則如下：
$IPTABLES -t nat -A PREROUTING -i br0 -p tcp --dport 80 -j REDIRECT --to-port 3128
$IPTABLES -A INPUT -s $LANIPS -p tcp --dport 3128 -j ACCEPT

從紀錄檔上面看都出現TCP_DENIED的狀態～該網段的電腦是負責web服務的...小弟猜想應該是iptables 的問題～但是不確定該怎麼修改？？還請大家給予指教～謝謝

PS:網段為192.168.x.0/24  x從1~120

cryboy2001

透明代理，上面的iptables本身没有问题啊，如果是从br0进入的话

透明代理一般是通过防火墙把80端口转发到squid的3128端口上
你有192.168.x.0/24  这么多网段，上面的路由是如何设的，防火墙一定要用到这台squid上的iptables吗？

squawell

cryboy2001 发表于 2014-09-11 15:44
透明代理，上面的iptables本身没有问题啊，如果是从br0进入的话

透明代理一般是通过防火墙把80端口转发到 ...

上面的iptables 規則在使用者進出是沒有問題的~但是發現提供對外服務的部分卻有異常~檢視記錄檔發現都是被squid給拒絕了~

在防火牆上看到的紀錄狀態發現外部連線已通過防火牆~因此原因應該在squid的設定上有所疏漏~

我這邊是有做二個動作....在原先的規則上加上server farm網段的進出先做處理~剩餘的再透過原先的規則做80-->3128的動作
再者在squid.conf設定檔中發現有個acl規則是http access到local的規則中只有127.0.0.0/8而已~所以我再補上內部網段的位址192.168.0.0/16後重啟，再進行測試就可以了~

等明天我再搭建一個lab環境來測試看看癥結點在哪~^^

cryboy2001

squid的acl功能很强大，但也容易搞混掉，要慢慢测试才行

squawell

目前這個遇到一個比較棘手的問題.....再經由高手指導過後加上一筆
iptables -t nat -I PREROUTING -i br0 -s $SRV_FARM -j ACCEPT
大致上的伺服器網段機器進出已經OK~但目前遇到一個狀況是某台機器對外服務~在登入完畢後會轉到另一個IP的網頁去~就會出現問題~我估計是SESSION的問題~
但是內部人員連接是沒問題的....現在僅剩這個問題而已~不知道大家有啥想法呢~謝謝



最新更新:
目前採取防火牆及ROUTER的設定皆不作更改....
SQUID預設路由指向防火牆並加上一筆192.168.0.0/16往ROUTER送
再加上

1. $IPTABLES -t nat -A PREROUTING -i br0 -p tcp --dport 80 -m iprange --src-range 192.168.2.0-192.168.254.254-j REDIRECT --to-port 3128

复制代码

就解決了~不過還要再觀察看看有無其他問題~