Здравствуйте !
принимайте новичка :)
Озадачился созданием прокси SQUID, на Ubuntu
Создал сервер, установил squid/3.5.12
Поднял NAT.
СОДЕРЖАНИЕ squid.config :
acl url_filtred src 192.168.0.1-192.168.1.250acl localnet src 192.168.0.0/24 192.168.1.0/24
access_log daemon:/var/log/squid/access.log squid
logfile_rotate 31
acl SSL_ports port 443
acl Safe_ports port 80 # http
acl Safe_ports port 21 # ftp
acl Safe_ports port 443 # https
acl Safe_ports port 70 # gopher
acl Safe_ports port 210 # wais
acl Safe_ports port 1025-65535 # unregistered ports
acl Safe_ports port 280 # http-mgmt
acl Safe_ports port 488 # gss-http
acl Safe_ports port 591 # filemaker
acl Safe_ports port 777 # multiling http
acl CONNECT method CONNECT
http_access deny CONNECT !SSL_ports
http_access allow localhost manager
http_access deny manager
#http_access allow localnet
http_access allow localhost
# And finally deny all other access to this proxy
auth_param basic program /usr/lib/squid/ncsa_auth /etc/squid/internet_users
auth_param basic children 5
auth_param basic realm =My PROXY serveR=
auth_param basic credentialsttl 2 hours
acl internet_users proxy_auth REQUIRED
http_access allow internet_users
http_access deny all
http_port 192.168.1.252:3128 intercept
maximum_object_size 4 MB
cache_dir ufs /var/spool/squid 2048 16 256
СОДЕРЖАНИЕ nat:
#!/bin/sh
#Включаем форвардинг пакетов
echo 1 > /proc/sys/net/ipv4/ip_forward
#Разрешаем траффик на lo
iptables -A INPUT -i lo -j ACCEPT
# Запрещаем HTTP через NAT
#iptables -A FORWARD -i eth1 -p tcp --dport 80 -j REJECT
#Разрешаем доступ из внутренней сети наружу
iptables -A FORWARD -i ens160 -o ens192 -j ACCEPT
#Включаем NAT
iptables -t nat -A POSTROUTING -o ens192 -s 192.168.0.0/23 -j MASQUERADE
#Разрешаем ответы из внешней сети
iptables -A FORWARD -i ens192 -m state --state ESTABLISHED,RELATED -j ACCEPT
#Запрещаем доступ снаружи во внутреннюю сеть
iptables -A FORWARD -i ens192 -o ens160 -j REJECT
# Заворачиваем http на прокси
iptables -t nat -A PREROUTING -i ens160 ! -d 192.168.0.0/23 -p tcp -m multiport --dport 80,8080 -j DNAT --to 192.168.1.252:3128
# Заворачиваем http на прокси
iptables -t nat -A PREROUTING -i ens160 ! -d 192.168.1.0/23 -p tcp -m multiport --dport 80,8080 -j DNAT --to 192.168.1.252:3128
Если в конфиге квида вместо строки
http_port 192.168.1.252:3128 intercept
оставить http_port 3128
и убрать :
# And finally deny all other access to this proxy
auth_param basic program /usr/lib/squid/ncsa_auth /etc/squid/internet_users
auth_param basic children 5
auth_param basic realm =My PROXY serveR=
auth_param basic credentialsttl 2 hours
acl internet_users proxy_auth REQUIRED
http_access allow internet_users
то пускает всех из локалки (с указанием прокси в браузере)
Ткните носом - что не так.
Заранее спасибо !!!
Вариант для распечатки
(ok) on 01-Фев-17, 10:32 
