TEst5 |
|
Темы:
1
Сообщения:
5
Участник с: 09 июля 2018
|
Пытаюсь настроить squid и iptables так, чтобы не приходилось настраивать браузер пользователя, внося настройки прокси-сервера (но если все же браузер настроить, то и интернет появляется, и правила squida срабатывают). Что дано: Прокси-сервер: Сетевой интерфейс, смотрящий в инет: имя - enp0s4, ip - 10.0.0.143 Сетевой интерфейс, смотрящий в локальную сеть: имя - enp0s9, ip - 11.0.0.1
Клиентская машина под Win7 и ip 11.0.0.2 Правила в iptables взял с документации сквида. Конфиг сквида практически дефолдный, за исключением добавленного intercept к порту и убранных закомментированных строк. Надеюсь на вашу помощь. |
indeviral |
|
Темы:
39
Сообщения:
3203
Участник с: 10 августа 2013
|
TEst5как вы это себе представляете? вообще зачем тут proxy?? proxy можно задать через окружение(реестр) и наверно политикой безопасности можно. p.s. 11.* плохой выбор...
Ошибки в тексте-неповторимый стиль автора©
|
TEst5 |
|
Темы:
1
Сообщения:
5
Участник с: 09 июля 2018
|
как вы это себе представляете?Вот так: на компьютере (с ОС WinXP, например), который подключен к прокси, я, для того, чтобы дать ему выход в интернет, лишь указываю определенные сетевые настройки (как на рис. 1), без дополнительного конфигурирования свойств обозревателя (как на рис. 2). вообще зачем тут proxy?Squid в основном я хочу использовать для фильтрации сайтов и распределения скорости(хоть и слабо уверен что он на это способен), а iptables, как мне кажется, необходим для перенаправления трафика с 80 порта на сквидовский 3128. proxy можно задать через окружение(реестр) и наверно политикой безопасности можно.Как мне кажется, вы думаете, что я все это затеял ради контроля доступа над одним компьютером. Как бы то ни было, мне хочется научится пользоваться такими сетевыми инструментами и уметь настраивать их, в том числе и под выше описанные нужды. Поэтому иные варианты ограничения соединения не рассматриваются. |
kurych |
|
Темы:
0
Сообщения:
1394
Участник с: 06 ноября 2011
|
Убедитесь, что на клиентской машине у вас шлюз по умолчанию присутствует и работает разрешение имен. |
TEst5 |
|
Темы:
1
Сообщения:
5
Участник с: 09 июля 2018
|
kurych, шлюз по умолчанию выставлен, днс установлен гугловский. На всякий случай вот скриншот сетевых настроек. |
kurych |
|
Темы:
0
Сообщения:
1394
Участник с: 06 ноября 2011
|
Во первых, сеть 11/8 вы как-то опрометчиво выбрали. Во-первых, для сетей за NAT-ом выделены специальные "серые" диапозоны, а во-вторых, клиентский компьютер внутри сети будет считать, что все эти адреса находятся в локалке и не будет пересылать пакеты шлюзу. Но это ваши проблемы конкретно с этой подсетью... А по сути дела следующий вопрос: настройки настройками, а реально резолвятся адреса? То есть, если открыть окошко CMD (или что там в современной винде?) вы можете пинговать что-то по имени? Покажите, как работают команды
|
TEst5 |
|
Темы:
1
Сообщения:
5
Участник с: 09 июля 2018
|
Честно говоря, про "серые" диапазоны не знал, поэтому и выбрал такую подсеть. Но менять адреса на допустимые я не буду, т.к. с ними так же беспрепятственно можно выйти в интеренет, как и с "серыми", а также, чтобы не создавать путаницы. По поводу пингов и трасеровки, то все три команды выдают "Превышен интервал ожидания для запроса". |
kurych |
|
Темы:
0
Сообщения:
1394
Участник с: 06 ноября 2011
|
Вот сначала с этим и надо разобраться. Первый вариант - поднять проксирующий dns на линуксовой машине и на клиентах в локалке указывать его. Дальше по обстоятельствам: прокси может заработать, а может еще что-то вылезет. Второй вариант - сначала настроить нормальный маскарадинг на линуксовой машине (возможно, у вас просто не включен форвардинг) И когда инет из локалки будет доступен, тогда уже в файрволе закручивать гайки и применять конфиг для перенаправления http запросов на прокси.
|
TEst5 |
|
Темы:
1
Сообщения:
5
Участник с: 09 июля 2018
|
kurych, спасибо, все заработало. Воспользовался вторым вариантам (первый пока кажется сложным и непонятным). В моем случае надо было в добавить строку net.ipv4.ip_forward=1Предложенный kurych вариант выполняет тоже самое, но работает до ближайшего ребута/выключения. |