https://www.opennet.ru/openforum/vsluhforumID12/7326.html уже есть настроенный прозрачный прокси squid, есть роутер EdgeOSEdgeRouter<br>хочу сделать схему<br>все компьютеры сети -&gt; роутер -&gt; squid<br><br>squid - 109.0.0.110<br>router - 109.0.0.1<br>тестовая винда - 109.0.0.8<br>пробую эту доку<br>http://tldp.org/HOWTO/TransparentProxy-6.html<br><br>если на винде прописываю шлюз - 109.0.0.110, то все работает, без правил файервола, но надо настроить что бы работало через роутер - 109.0.0.1<br><br>прописал<br><br>[code]iptables -t nat -A PREROUTING -i eth0 ! -s 109.0.0.110 -p tcp --dport 80 -j DNAT --to 109.0.0.110:3128<br>iptables -t nat -A POSTROUTING -o eth0 -s 109.0.0.8/32 -d 109.0.0.110/32 -j SNAT --to 109.0.0.1<br>iptables -A FORWARD -s 109.0.0.8/32 -d 109.0.0.110/32 -i eth0 -o eth0 -p tcp --dport 3128 -j ACCEPT [/code]<br><br>пробую на тестовой винде (109.0.0.8) открыть сайт - доступ запрещен, на винде шлюз стоит 109.0.0.1, в логах на squid<br>[code]1546203601.533 0 109.0.0.110 TCP_MISS/403 4857 GET http://myip.ru/ - HIER_NONE/- text/html<br>1546203601.533 1 109.0.0.1 TCP_MISS/403 4977 GET https://www.opennet.ru/openforum/vsluhforumID12/7326.html#13 Sat, 05 Jan 2019 18:05:41 GMT при добавлении правил на роутере<br>[code]iptables -t nat -I PREROUTING -i eth0 -s 109.0.0.8 -p tcp --dport 80 -j DNAT --to 109.0.0.110:3128<br>iptables -t nat -I PREROUTING -i eth0 -s 109.0.0.8 -p tcp --dport 443 -j DNAT --to 109.0.0.110:3129<br>iptables -t nat -I POSTROUTING -o eth0 -s 109.0.0.8 -d 109.0.0.110 -j SNAT --to 109.0.0.1<br>[/code]<br><br>правила на прокси сервере<br>[code]*nat<br>:PREROUTING ACCEPT [314:20555]<br>:INPUT ACCEPT [313:20511]<br>:OUTPUT ACCEPT [844:60999]<br>:POSTROUTING ACCEPT [2:130]<br>-A PREROUTING -s 109.0.0.0/24 -p tcp -m tcp --dport 443 -j REDIRECT --to-ports 3129<br>-A PREROUTING -s 109.0.0.0/24 -p tcp -m tcp --dport 80 -j REDIRECT --to-ports 3128<br>-A PREROUTING -s 192.168.10.0/24 -p tcp -m tcp --dport 443 -j REDIRECT --to-ports 3129<br>-A PREROUTING -s 192.168.10.0/24 -p tcp -m tcp --dport 80 -j REDIRECT --to-ports 3128<br>-A PREROUTING -s 192.168.1.0/24 -p tcp -m tcp --dport 443 -j REDIRECT --to-ports 3129<br>-A PREROUTING -s 192.168.1.0/24 -p tcp -m tcp --dport 80 -j REDIRECT --to-ports 3128<br>-A POSTRO https://www.opennet.ru/openforum/vsluhforumID12/7326.html#12 Fri, 04 Jan 2019 20:23:53 GMT &gt;&gt; если я меняю <br>&gt;&gt; [code]http_port 3128 intercept[/code] <br>&gt;&gt; на <br>&gt;&gt; [code]http_port 3128 accel vhost allow-direct[/code] <br>&gt;&gt; то http начинает загружаться <br>&gt;&gt; но если открываю https, то пишет не действительный сертификат и подставляется сертификат <br>&gt;&gt; сервера прокси, как это обойти?<br>&gt; Убрать перехват SSL?<br><br>почему если я меняю на винде шлюз на прокси, то все работает в режимах<br>http_port 3128 intercept<br>https_port 3129 intercept ssl-bump connection-auth=off cert=/etc/squid/squidCA.pem<br><br>а если настраиваю маршрутизацию с роутера на прокси, то по http - 403, а по https недействительный сертификат<br> https://www.opennet.ru/openforum/vsluhforumID12/7326.html#11 Fri, 04 Jan 2019 20:02:39 GMT &gt; если я меняю <br>&gt; [code]http_port 3128 intercept[/code] <br>&gt; на <br>&gt; [code]http_port 3128 accel vhost allow-direct[/code] <br>&gt; то http начинает загружаться <br>&gt; но если открываю https, то пишет не действительный сертификат и подставляется сертификат <br>&gt; сервера прокси, как это обойти?<br><br>Убрать перехват SSL?<br> https://www.opennet.ru/openforum/vsluhforumID12/7326.html#10 Fri, 04 Jan 2019 19:37:18 GMT если я меняю<br>[code]http_port 3128 intercept[/code]<br>на<br>[code]http_port 3128 accel vhost allow-direct[/code]<br>то http начинает загружаться<br><br>но если открываю https, то пишет не действительный сертификат и подставляется сертификат сервера прокси, как это обойти?<br> https://www.opennet.ru/openforum/vsluhforumID12/7326.html#9 Fri, 04 Jan 2019 15:24:53 GMT по tcpdump вижу что пакеты проходят на прокси, т.е. правила файервола работают, но почему он отдает 403, если в конфиге <br>acl localnet src 109.0.0.0/24<br>http_access allow localnet<br>разрешена сеть<br> https://www.opennet.ru/openforum/vsluhforumID12/7326.html#8 Fri, 04 Jan 2019 14:20:08 GMT &gt;&gt; значит по доке все делаю правильно <br>&gt;&gt; [code]iptables -t nat -I PREROUTING -i eth0 ! -s 109.0.0.110 -p tcp <br>&gt;&gt; --dport 80 -j DNAT --to 109.0.0.110:3128[/code] <br>&gt;&gt; или нет?<br>&gt; В доке-то как раз <br>&gt; iptables -t nat -A PREROUTING -i eth0 -s ! squid-box -p tcp <br>&gt; --dport 80 -j DNAT --to squid-box:3128 <br>&gt; ...<br><br>так такое правило по доке не проходит<br>[code]iptables -t nat -A PREROUTING -i eth0 -s ! 109.0.0.110 -p tcp --dport 80 -j DNAT --to 109.0.0.110:3128<br>Bad argument `109.0.0.110'<br>Try `iptables -h' or 'iptables --help' for more information.<br>[/code]<br><br>по хелпу надо перенести ! перед -s <br><br><br> https://www.opennet.ru/openforum/vsluhforumID12/7326.html#7 Fri, 04 Jan 2019 11:36:34 GMT &gt; значит по доке все делаю правильно <br>&gt; [code]iptables -t nat -I PREROUTING -i eth0 ! -s 109.0.0.110 -p tcp <br>&gt; --dport 80 -j DNAT --to 109.0.0.110:3128[/code] <br>&gt; или нет?<br><br>В доке-то как раз <br><br>iptables -t nat -A PREROUTING -i eth0 -s ! squid-box -p tcp --dport 80 -j DNAT --to squid-box:3128<br><br>...<br><br> https://www.opennet.ru/openforum/vsluhforumID12/7326.html#6 Fri, 04 Jan 2019 10:18:22 GMT &gt;&gt; поэтому я использую правило <br>&gt;&gt; [code]iptables -t nat -A PREROUTING -i eth0 ! -s 109.0.0.110 -p tcp <br>&gt;&gt; --dport 80 -j DNAT --to 109.0.0.110:3128[/code] <br>&gt;&gt; или я что-то делаю не так?<br>&gt; или я что-то путаю, но отрицание обычно всегда ставилось перед значением, а <br>&gt; не перед опцией. В доке, на которую ссылаешься, именно так.<br><br>значит по доке все делаю правильно<br>[code]iptables -t nat -I PREROUTING -i eth0 ! -s 109.0.0.110 -p tcp --dport 80 -j DNAT --to 109.0.0.110:3128[/code]<br><br>или нет?<br> https://www.opennet.ru/openforum/vsluhforumID12/7326.html#5 Fri, 04 Jan 2019 10:03:12 GMT &gt; поэтому я использую правило <br>&gt; [code]iptables -t nat -A PREROUTING -i eth0 ! -s 109.0.0.110 -p tcp <br>&gt; --dport 80 -j DNAT --to 109.0.0.110:3128[/code] <br>&gt; или я что-то делаю не так?<br><br>или я что-то путаю, но отрицание обычно всегда ставилось перед значением, а не перед опцией. В доке, на которую ссылаешься, именно так.<br>