From: Ugur Koc (return1997@hotmail.com)
Date: Wed 03 Dec 2003 - 11:22:08 EST
Selam.
Sorunuma hala yanit bulamadim cok daha detayli bir aciklama yaptim umarim
bu defa birileri yardimci olur. (bu arada bu sorun ile yaklasik 15 gundur
ugrasmaktayim)
Onceden Squid i rpm paketinden kuruyodum bu defa derleyerek yaptim. Izledim
yollari asagida sirasi ile acikladim.
baslamadan sunlarida yazayim
Squid local agda 192.168.1.247 ipsi ile eth0 da
test yaptigim makinede 192.168.1.117 ipsi ile eth0 da
groupadd squid
useradd -d /squid/squid -g squid squid
(squid adinda bir user tanimladim birde group)
./configure --prefix=/squid/squid --enable-linux-netfilter
--enable-err-language=Turkish
make
make install
(ile hic hata almadan kurulumunu gerceklestirdim)
chown squid:squid /squid/squid/var/logs
chmod 770 /squid/squid/var/logs
chown squid:squid /squid/squid/var/cache
chown 770 /squid/squid/var/cache
(logs, cache dosyalarinin haklarini ayarladim)
cache_dir ufs /squid/squid/var/cache 30000 16 256
http_port 3128
cache_effective_user squid
cache_effective_group squid
http_access allow all
httpd_accel_host virtual
httpd_accel_uses_host_header on
(yukarida oldugu gibi squid.conf dosyasinda transparanet proxy
calisabilmesi icin gerekli ayarlari yaptim. ve squid kullanicisini
tanimladim)
/squid/squid/sbin/squid -z
2003/11/29 07:28:55| Creating Swap Directories
(bu ciktiyi aldim)
/squid/squid/sbin/squid -N -d 1 -D
2003/11/29 07:28:57| Starting Squid Cache version 2.5.STABLE1 for
i686-pc-linux-gnu...
2003/11/29 07:28:57| Process ID 816
2003/11/29 07:28:57| With 1024 file descriptors available
2003/11/29 07:28:57| DNS Socket created at 0.0.0.0, port 32768, FD 5
2003/11/29 07:28:57| Adding nameserver 212.174.38.161 from /etc/resolv.conf
2003/11/29 07:28:57| Adding nameserver 212.174.38.162 from /etc/resolv.conf
2003/11/29 07:28:57| Unlinkd pipe opened on FD 10
2003/11/29 07:28:57| Swap maxSize 30720000 KB, estimated 2363076 objects
2003/11/29 07:28:57| Target number of buckets: 118153
2003/11/29 07:28:57| Using 131072 Store buckets
2003/11/29 07:28:57| Max Mem size: 8192 KB
2003/11/29 07:28:57| Max Swap size: 30720000 KB
2003/11/29 07:28:57| Rebuilding storage in /squid/squid/var/cache (DIRTY)
2003/11/29 07:28:57| Using Least Load store dir selection
2003/11/29 07:28:57| Set Current Directory to /squid/squid/var/cache
2003/11/29 07:28:57| Loaded Icons.
2003/11/29 07:28:57| Accepting HTTP connections at 0.0.0.0, port 3128, FD
11.
2003/11/29 07:28:57| WCCP Disabled.
2003/11/29 07:28:57| Ready to serve requests.
2003/11/29 07:28:58| Done scanning /squid/squid/var/cache swaplog (0
entries)
2003/11/29 07:28:58| Finished rebuilding storage from disk.
2003/11/29 07:28:58| 0 Entries scanned
2003/11/29 07:28:58| 0 Invalid entries.
2003/11/29 07:28:58| 0 With invalid flags.
2003/11/29 07:28:58| 0 Objects loaded.
2003/11/29 07:28:58| 0 Objects expired.
2003/11/29 07:28:58| 0 Objects cancelled.
2003/11/29 07:28:58| 0 Duplicate URLs purged.
2003/11/29 07:28:58| 0 Swapfile clashes avoided.
2003/11/29 07:28:58| Took 0.5 seconds ( 0.0 objects/sec).
2003/11/29 07:28:58| Beginning Validation Procedure
2003/11/29 07:28:58| Completed Validation Procedure
2003/11/29 07:28:58| Validated 0 Entries
2003/11/29 07:28:58| store_swap_size = 0k
2003/11/29 07:28:58| storeLateRelease: released 0 objects
(calistirdigimda ise yukaridaki ciktiyi aldim)
boylece hic sorunsuz gibi squid makinesi calisti
eğer iptables satırında (bu arada 192.168.1.117 localde bir makine)
iptables -t nat -A PREROUTING -p tcp -s 192.168.1.117 --dport 80 -j DNAT
--to 192.168.1.247:3128
iptables -A INPUT -i eth0 -s 192.168.1.117 -j BAGLANTI
iptables -A FORWARD -i eth0 -o eth0 -s 192.168.1.117 -j BAGLANTI
iptables -A INPUT -d 192.168.1.247 -j ACCEPT
iptables -A FORWARD -d 192.168.1.247 -j ACCEPT
bu prametreler var ise localden bir makina ile explorerdan bağlanmaya
çalıştığımda squid makinesinin netstat sonucunda olduğu gibi 117 nolu
localdeki makine squid de gözüküyo ama hep SYN_RECV olarak kalıyo asla
ESTABLISHED olmuyo
squid:/ # netstat -n
Active Internet connections (w/o servers)
Proto Recv-Q Send-Q Local Address Foreign Address State
tcp 0 0 192.168.1.247:3128 192.168.1.117:1307 SYN_RECV
ve eğer ip tables satırında yukarıdakileri silip bunu eklersem o zaman squid
in netstat sonucunda hiç bir şey göremiyorum
iptables -t nat -A POSTROUTING -s 192.168.1.117 -j MASQUERADE
iptables -t nat -A PREROUTING -p tcp -s 192.168.1.117 --dport 80 -j
REDIRECT --to 3128
hemen sunuda belirteyim 192.168.1.117 nolu makineden internete baglanmaya
calisirsam explorer'in status barinda site bulunuyor diyor bir sure sonra
sitenin ipsini veriyor ve olece uzun sure baglanmaya calisiliyor diyor.
(acaba dedim dns lerdemi problem var gerci dns de problem olsa localdeki
test ettigim makinede explorerda bir sayfa acmaya calistigimda orn.
www.hotmail.com onun ipsini bulmamasi gerekiyo ki zaten yukaridada dedigim
gibi www.hotmail.com un status barda ipsi bi sure sonra geliyo)
birde pry olan makineyi kapadigim zaman bu defa localdeki makine nin yine
i.e den www.hotmail.com u denedigimde status barda bu defa 192.168.1.247
yani (squid) makinesine baglanmaya calisiliyor diyor (buda sanirim iptables
kurallarinda problem olmadigini yonlendirilmenin gerceklestigini gosteriyor.
yonlendirme konusundada bir problem olacagini dusundugum icin
iptables -t nat -A PREROUTING -p tcp -s 192.168.1.117 --dport 80 -j
REDIRECT --to $hotmail_ip
dedigimde 117 olan makinenin i.e sinden nreyi denersem deneyim hotmail e
baglaniyo (buda yonlendirme tablomdada bir sorun olmadigini gosteriyor
kanaatindeyim)
yinede yonlendirme kurallarindan kusku duyarak
iptables -P INPUT ACCEPT
iptables -P OUTPUT ACCEPT
iptables -P FORWARD ACCEPT
iptables -t nat -P PREROUTING ACCEPT
iptables -t nat -P POSTROUTING ACCEPT
iptables -t nat -P OUTPUT ACCEPT
iptables -t mangle -P PREROUTING ACCEPT
iptables -t mangle -P OUTPUT ACCEPT
butun nat ve diger default Policy lari ACCEPT yapip deniyorum ama yine
farketmiyor.
acaba dedim bir sekilde paketler firewall tarafindan engelleniyormu
dusuncesi ile
iptables -A INPUT -s 192.168.1.0/24 -j ISTENMEYEN_PAKET
iptables -A FORWARD -s 192.168.1.0/24 -j ISTENMEYEN_PAKET
local agdan cikmaya calisan butun drop paketleri firewall ile log tutup
inceliyorm ama hic bir problem gozukmuyor.
zaten istek proxy makinesine geliyo proxy makinesinde netstat cektigimde
ise
squid:/ # netstat -n
Active Internet connections (w/o servers)
Proto Recv-Q Send-Q Local Address Foreign Address State
tcp 0 0 192.168.1.247:3128 192.168.1.117:1279 SYN_RECV
SYN_RECV ne ise hep bunda kaliyo bir turlu ESTABLISHED olmuyo
internette ne kadar dokuman varsa hepsini okudum hatta squşd in kendi
sitesinde 204 sayfalik FAQ.pdf i her bir satır satır okudum. olmadi dedim
belki squid de sorun vardir squid 3.0 denedim olmadi 2.5 denedim olmadi 2.4
denedim
sonra kendi firewallimdan kuskulandim makineyi yeniden kurdum ama nafile.
localde ki (192.168.1.117) olan makinemin i.e sinin proxy ayarlarindan
proxy ip ve proxy portunu yazarsam (proxy kullan diyerek) o zaman sorunsuz
calisiyo ama bizim localde 120 tane filan makine var her biri icin bu islemi
yapmak istemiyorum birde uyaniik clientler var onlar degistiriyolar. gerci
onlarida firewall dan proxy kullanmaya zorluyorum aksi taktrde
baglanamiyolar ama bu isi gurur yaptim.
proxynin loglari olsun firewall in loglari olsun butun sistemi alt ust ettim
ama malesef her seyin dogru gozukmesine ragmen hic bir sekilde paketler
proxy makinesine geliyo ama proxy onu web e cikarip geri client e vermiyo.
bu arada aklima gelmisken
iptables -t nat -A POSTROUTING -p tcp -s 192.168.1.247 -j SNAT --dport 80
--to $EXT_IP
iptables -A INPUT -i eth0 -p tcp -s 192.168.1.247 --dport 80 -j BAGLANTI
iptables -A FORWARD -i eth0 -p tcp -s 192.168.1.247 --dport 80 -j BAGLANTI
yukaridaki rule da oldugu gibi proxy yi SNAT ile disari cikartiyorum
Lutfen birileri yardim etsin delirmek uzereyim..
Eger musait olan varsa msn den bana ulassinlar gerekirse ssh ile biri girsin
systemime kontrol etsin.
Cevabinizi bekliyorum. (umarim cevap verir birileri)
Hatta yardim edenlere bir ogle yemegi ismarlayabilirim :))
yukaridaki her bir seyi denedim belki atlamis olabilecegim ve buraya
yazmadigim birseyler olabilir ama olabilecek butun ayrintilari denedim....
_________________________________________________________________
Add photos to your messages with MSN 8. Get 2 months FREE*.
http://join.msn.com/?page=features/featuredemail