作者 主題: squid內部特定網段ByPASS(新問題內詳)  (閱讀 973 次)

0 會員 與 1 訪客 正在閱讀本文。

Squawell

  • 懷疑的國中生
  • **
  • 文章數: 53
    • 檢視個人資料
想請教各位學長一個問題,小弟目前有個做透通代理的squid,然後二張網卡做橋接模式連接firewall跟router然後使用以下的iptables
代碼: [選擇]
$IPTABLES -t nat -A PREROUTING -i br0 -p tcp --dport 80 -j REDIRECT --to-port 3128
$IPTABLES -I INPUT -s $LANIPS -p tcp --dport 3128 -j ACCEPT
但現在有一個問題想排除Server Farm網段不經由squid的埠號轉導(80->3128)那該怎麼修改以上的代碼呢??還請大家給予指教~謝謝


補充說明:
防火牆上有筆靜態路由192.168.0.0/16 --> squid IP
squid 上有筆靜態路由將192.168.0.0/16 --> router IP
squid本身的GW設定為防火牆IP

更新:
在使用過netman學長的規則後~目前運作正常(內部)...唯一目前遇到比較棘手的問題是有台機器是對外服務的...
使用者登入後會在轉到另一個IP的系統上繼續運作....但是從外部連線進來的人員就會出問題~但是透過內部連線是正常的.....
不知道這樣子使不適規則少了什麼所導致的??還請知道的學長賜教~感激不盡^^


1030917更新:
目前問題已排除...
squid預設路由指向防火牆
router跟防火牆的路由都沒變更採原設定值
squid上加上一筆192.168.0.0/16往192.168.1.254的router送
代碼: [選擇]
$IPTABLES -t nat -A PREROUTING -i br0 -p tcp --dport 80 -m iprange --src-range 192.168.2.0-192.168.254.254-j REDIRECT --to-port 3128
這樣子後就都解決了~不過後續還要觀察看看有無其他狀況

1031003更新:
請教各位學長,再上述的1030917的作法後大致上沒有問題,唯在防火牆上有一現象不解可見附件圖示,只要是用戶端的目的埠號是80的都轉成squid本身的IP出去,小弟猜想應該是iptables規則上使用了 nat,不曉得在這部份該怎麼樣處理才能讓用戶端目的是埠號80的都帶自己的IP資訊呢??謝謝大家




« 上次編輯: 2014-10-03 08:43 由 Squawell »

netman

  • 管理員
  • 俺是博士!
  • *****
  • 文章數: 17463
    • 檢視個人資料
    • http://www.study-area.org
Re: squid內部特定網段ByPASS
« 回覆 #1 於: 2014-09-11 22:05 »
SRV_FARM=xxx.xxx.xxx.xxx/nn

$IPTABLES -t nat -I PREROUTING -i br0 -s $SRV_FARM -j ACCEPT

Squawell

  • 懷疑的國中生
  • **
  • 文章數: 53
    • 檢視個人資料
Re: squid內部特定網段ByPASS
« 回覆 #2 於: 2014-09-12 09:06 »
感謝netman學長的指導︿︿

小弟我在測試看看