
平臺(tái) 論壇博客文庫(kù)

› 論壇 › IT運(yùn)維 › 服務(wù)器應(yīng)用 › squid特定網(wǎng)段bypass問(wèn)題

最近訪(fǎng)問(wèn)板塊

查看: 1583 | 回復(fù): 4

[proxy] squid特定網(wǎng)段bypass問(wèn)題 [復(fù)制鏈接]

squawell

白手起家

論壇徽章:: 3

數(shù)據(jù)庫(kù)技術(shù)版塊每日發(fā)帖之星
日期:2016-02-24 06:20:00

15-16賽季CBA聯(lián)賽之廣東
日期:2017-03-04 23:23:51

電梯直達(dá)

1樓 [收藏(0)] [報(bào)告]

發(fā)表于 2014-09-11 14:16 |只看該作者 |倒序?yàn)g覽

現(xiàn)在遇到一個(gè)問(wèn)題就是某個(gè)網(wǎng)段想要bypass squid 進(jìn)出～目前的配置是透通模式～網(wǎng)卡採(cǎi)用bridage模式～iptaables規(guī)則如下：
$IPTABLES -t nat -A PREROUTING -i br0 -p tcp --dport 80 -j REDIRECT --to-port 3128
$IPTABLES -A INPUT -s $LANIPS -p tcp --dport 3128 -j ACCEPT

從紀(jì)錄檔上面看都出現(xiàn)TCP_DENIED的狀態(tài)～該網(wǎng)段的電腦是負(fù)責(zé)web服務(wù)的...小弟猜想應(yīng)該是iptables 的問(wèn)題～但是不確定該怎麼修改？？還請(qǐng)大家給予指教～謝謝

PS:網(wǎng)段為192.168.x.0/24 x從1~120

文庫(kù)|博客

U-Mail郵件服務(wù)器分布式+雙機(jī)熱備方案.doc
kafka刪除topic
大白話(huà)了解哈希洪荒攻擊
cratedb導(dǎo)入json數(shù)據(jù)
REdis一致性方案探討

cryboy2001

版主

論壇徽章:: 26

2014年中國(guó)系統(tǒng)架構(gòu)師大會(huì)
日期:2014-10-14 15:59:00

NBA常規(guī)賽紀(jì)念章
日期:2015-05-04 22:32:03

IT運(yùn)維版塊每日發(fā)帖之星
日期:2016-01-29 06:20:00

2樓 [報(bào)告]

發(fā)表于 2014-09-11 15:44 |只看該作者

透明代理，上面的iptables本身沒(méi)有問(wèn)題啊，如果是從br0進(jìn)入的話(huà)

透明代理一般是通過(guò)防火墻把80端口轉(zhuǎn)發(fā)到squid的3128端口上
你有192.168.x.0/24 這么多網(wǎng)段，上面的路由是如何設(shè)的，防火墻一定要用到這臺(tái)squid上的iptables嗎？

實(shí)戰(zhàn)分享：從技術(shù)角度談機(jī)器學(xué)習(xí)入門(mén)| 【大話(huà)IT】RadonDB低門(mén)檻向MySQL集群下戰(zhàn)書(shū) | ChinaUnix打賞功能已上線(xiàn)！ | 新一代分布式關(guān)系型數(shù)據(jù)庫(kù)RadonDB知多少？

squawell

白手起家

論壇徽章:: 3

3樓 [報(bào)告]

發(fā)表于 2014-09-11 22:54 |只看該作者

cryboy2001 發(fā)表于 2014-09-11 15:44
透明代理，上面的iptables本身沒(méi)有問(wèn)題啊，如果是從br0進(jìn)入的話(huà)

透明代理一般是通過(guò)防火墻把80端口轉(zhuǎn)發(fā)到 ...

上面的iptables 規(guī)則在使用者進(jìn)出是沒(méi)有問(wèn)題的~但是發(fā)現(xiàn)提供對(duì)外服務(wù)的部分卻有異常~檢視記錄檔發(fā)現(xiàn)都是被squid給拒絕了~

在防火牆上看到的紀(jì)錄狀態(tài)發(fā)現(xiàn)外部連線(xiàn)已通過(guò)防火牆~因此原因應(yīng)該在squid的設(shè)定上有所疏漏~

我這邊是有做二個(gè)動(dòng)作....在原先的規(guī)則上加上server farm網(wǎng)段的進(jìn)出先做處理~剩餘的再透過(guò)原先的規(guī)則做80-->3128的動(dòng)作
再者在squid.conf設(shè)定檔中發(fā)現(xiàn)有個(gè)acl規(guī)則是http access到local的規(guī)則中只有127.0.0.0/8而已~所以我再補(bǔ)上內(nèi)部網(wǎng)段的位址192.168.0.0/16後重啟，再進(jìn)行測(cè)試就可以了~

等明天我再搭建一個(gè)lab環(huán)境來(lái)測(cè)試看看癥結(jié)點(diǎn)在哪~^^

實(shí)戰(zhàn)分享：從技術(shù)角度談機(jī)器學(xué)習(xí)入門(mén)| 【大話(huà)IT】RadonDB低門(mén)檻向MySQL集群下戰(zhàn)書(shū) | ChinaUnix打賞功能已上線(xiàn)！ | 新一代分布式關(guān)系型數(shù)據(jù)庫(kù)RadonDB知多少？

cryboy2001

版主

論壇徽章:: 26

4樓 [報(bào)告]

發(fā)表于 2014-09-12 08:48 |只看該作者

squid的acl功能很強(qiáng)大，但也容易搞混掉，要慢慢測(cè)試才行

實(shí)戰(zhàn)分享：從技術(shù)角度談機(jī)器學(xué)習(xí)入門(mén)| 【大話(huà)IT】RadonDB低門(mén)檻向MySQL集群下戰(zhàn)書(shū) | ChinaUnix打賞功能已上線(xiàn)！ | 新一代分布式關(guān)系型數(shù)據(jù)庫(kù)RadonDB知多少？

squawell

白手起家

論壇徽章:: 3

5樓 [報(bào)告]

發(fā)表于 2014-09-17 04:51 |只看該作者

本帖最后由 squawell 于 2014-09-17 19:36 編輯

目前這個(gè)遇到一個(gè)比較棘手的問(wèn)題.....再經(jīng)由高手指導(dǎo)過(guò)後加上一筆
iptables -t nat -I PREROUTING -i br0 -s $SRV_FARM -j ACCEPT
大致上的伺服器網(wǎng)段機(jī)器進(jìn)出已經(jīng)OK~但目前遇到一個(gè)狀況是某臺(tái)機(jī)器對(duì)外服務(wù)~在登入完畢後會(huì)轉(zhuǎn)到另一個(gè)IP的網(wǎng)頁(yè)去~就會(huì)出現(xiàn)問(wèn)題~我估計(jì)是SESSION的問(wèn)題~
但是內(nèi)部人員連接是沒(méi)問(wèn)題的....現(xiàn)在僅剩這個(gè)問(wèn)題而已~不知道大家有啥想法呢~謝謝

最新更新:
目前採(cǎi)取防火牆及ROUTER的設(shè)定皆不作更改....
SQUID預(yù)設(shè)路由指向防火牆並加上一筆192.168.0.0/16往ROUTER送
再加上

$IPTABLES -t nat -A PREROUTING -i br0 -p tcp --dport 80 -m iprange --src-range 192.168.2.0-192.168.254.254-j REDIRECT --to-port 3128

復(fù)制代碼

就解決了~不過(guò)還要再觀(guān)察看看有無(wú)其他問(wèn)題~

實(shí)戰(zhàn)分享：從技術(shù)角度談機(jī)器學(xué)習(xí)入門(mén)| 【大話(huà)IT】RadonDB低門(mén)檻向MySQL集群下戰(zhàn)書(shū) | ChinaUnix打賞功能已上線(xiàn)！ | 新一代分布式關(guān)系型數(shù)據(jù)庫(kù)RadonDB知多少？

返回列表

Chinaunix › 論壇 › IT運(yùn)維 › 服務(wù)器應(yīng)用 › squid特定網(wǎng)段bypass問(wèn)題

積分 0, 距離下一級(jí)還需積分

亚洲av成人无遮挡网站在线观看,少妇性bbb搡bbb爽爽爽,亚洲av日韩精品久久久久久,兔费看少妇性l交大片免费,无码少妇一区二区三区

[proxy] squid特定網(wǎng)段bypass問(wèn)題 [復(fù)制鏈接]