Iptables + Squid Transparent proxy kurulumu

[garafatma]

Squidin gerekli ayarlarını yapmama rağmen, kernelden ip yönlendirmesi yapmama rağmen, iptables yüzünden squid'i transparent yapamadım.

Daha önce bu işle uğraşan biri bana yardım ederse çok mutlu olacağım.

öğrenicem diye iptables'ın tüm çalışma mantığını kavramdım. Google sağolsun, sayesinde bu konu hakkında gezmediğim, okumadığım forum, mail listesi kalmadı.

[localhost]

Ben de calistiramadim.  Senin gibi internette ne kadar belge oldugunun farkina vardim

[garafatma]

Dimi?, çoğu aynı şeyi söylemiş, türk birisini buldum, sistemimden bahsedip, ne yapmam gerektiğini sordum. onun söylediği şekilde yaptım (ki bilgisine güveniyorum çünkü ciddi bir makalesi var iptables ile ilgili, istersen paylaşabilirim) ancak yok olmuyor olmuyor. Delirmek içten değil.

[localhost]

Ben bir firmaya server kurulumu yapmistim. Oradaki denemelerimde basarisiz kaldi. Normal kullaniyorlar.

[garafatma]

bana transparan gerekiyor şimdilik ama, yoksa bende normal taraftarıyım

[Felâsife]

Bu transparan olayının aslında bu kadar zor olmaması gerek ama demek ki var bi zorlukları
Burada Ubuntu server +squid3+transparan olayı kısaca anlatılmış.
Belki faydası olur.

[garafatma]

@Mono bunuda okumuştum ama burada eksik olan birşey bile var. Kernelden yönlendirmeyi yazmamışlar, doğal olarak çalışmayacaktır. ancak diğer ayarları da denedim ama maalesef sonuç aynı.

[Felâsife]

Makinede Debian mı kurulu?
Eğer öyleyse Debian da iptables olayı değişikmiş.

[garafatma]

Ubuntu server var 9.04

[Felâsife]

Ubuntu server var 9.04

Vakti zamanında şurada ki konuda Debian da bi firewall_reset.bash diye script'i çalıştırayım demiştim ama çalışmamıştı tabii ve ben de saç baş yolmuştum, sağ olasın @eXSİR sayesinde öğredim ki Debian da iptables yok muş (18.ileti)

Sözün özü Ubuntu server de de böyle bir şey olabilir mi? o yüzden ayar tutmuyordur.

Debian da iptables araması böyle çıkıyor mesela

Kod Seç Genişlet

debian:/home/mono# find / -name iptables
/usr/share/doc/iptables
/usr/share/iptables
/usr/share/lintian/overrides/iptables
/sbin/iptables


[garafatma]

Anladım demek istediğini @mono

ancak iptables varmı yokmu diye baktım sisteme ve minik bi araştırma yaptım

artık iptables ön tanımlı olarak bütün kernellerde geliyormuş. Tabi mutlaka gelmeyen vardır ama benim sistemde var iptables.

bende bir iki script denedim çalıştırdım ama nafile yine olmadı. Dün bi arkadaşım bağlandı ssh, olması gerekenleri yaptı ancak yine olmadı.

Dediğin gibi ubuntu server'larla ilgili bir değişiklik olabilir. Bu akşam başka bir dağıtım kurup onun üzerinde deneme yapacağım. bakalım onun sonucu ne olacak.

[heartsmagic]

Diyorlar ki eğer Squid'i 2.6 ve üzerinde kullanıyorsan:

httpd_accel_host virtual
httpd_accel_port 80
httpd_accel_with_proxy on
httpd_accel_uses_host_header on

kullanma.

http_port 3128 transparent

şeklinde bir kullanım dene.

[garafatma]

Diyorlar ki eğer Squid'i 2.6 ve üzerinde kullanıyorsan:

httpd_accel_host virtual
httpd_accel_port 80
httpd_accel_with_proxy on
httpd_accel_uses_host_header on

kullanma.

http_port 3128 transparent

şeklinde bir kullanım dene.

Evet zaten o şekilde hazır squid'im

Ayrıca kernelden yönlendirme yapmak gerekli diyolar eğer makinede çift ethernet kartı var ise, oda;

Kod Seç Genişlet

echo 1 > /proc/sys/net/ipv4/ip_forward

komutunu kullanın.

ardından iptables ile ilgili kurallar var, onları uygulamama rağmen yinede yönlendirme olmuyor. benimde sıkıntım iptables ile alakalı sanırsam

[heartsmagic]

Pekii,

Kod Seç Genişlet

iptables -t nat -A PREROUTING -i eth1 -p tcp -m tcp --dport 80 -j DNAT --to-destination 192.168.0.1:3128
iptables -t nat -A PREROUTING -i eth0 -p tcp -m tcp --dport 80 -j REDIRECT --to-ports 3128

gibi bir ayarlama yapıldı mı?

[garafatma]

Iptables'a her türlü taklayı attırdım diyebilirim

Üst satırdaki yerel ağ tarafındaki ethernet kartı için olması gerekiyor değil mi?

gerçi iki türlüde denedim ama yine de olmadı

[heartsmagic]

Evet eth1 iç, eth0 dış olsa gerek. Aslında bir arama yapınca herkes problem iletmiş bu konuda. Kimisi oluyor demiş kimisi olmuyor. Ortada bir gariplik var.

Hiç anlamam bu işlerden ancak kurcalamak istesem bile başında olmadığımdan katmerli atış oluyor benim tavsiyeler

[garafatma]

Yook aksine sağol yine de Ne atması, gayette düzgün olması gereken şeyleri tavsiye ettin. Google'da

"transparent proxy" "transparent proxy iptables" "iptables squid transparent proxy" "squid 2.6 transparent" vs....

şeklinde yaklaşık 15 arama yaptım. ve her birinin ilk 7-8 sayfasını okudum, söylenenleri yaptım ve inanırmısın, iptables hakkında bilgim sıfırdı, şimdi bana herhangi bir iptables kuralı versen çok güzel tercüme ederim

Dediiğin gibi o olanda var olmayanda var, aynı şeyleri yapan, ama netteki çoğu belge eski kalmış.

Bu konuda çok iyi bilgisi olan "Enver Altın" diye bir bey var, sitesine rastlayıp ona sordum, doğrumu yaptım şeklinde, yaptıklarımı. Sağolsun ilgilendi o kadar yoğun olmasına rağmen. Doğru dedi, hatta bir iki öneride verdi, gel gör ki yine de olmadı.


Çözemedim bu işi, acaba ubuntu serverda bug olabilirmi düşüncesi kapladı, bugün fedora ile deneme yapacağım.

[heartsmagic]

Evet bir böcek de olabilir bu. Bilhassa son kernellerle de alakalı olabilir gibi geliyor bana.

[garafatma]

Bakalım, bugün bir deneyeyim, biraz geç olacak, eğer çözebilirsem problemi geri bildirim yaparım.


Ekleme: Launchpad'e bir göz gezdirdim, anladığım kadarıyla ubuntu için bir bugmış bu ve squid'in yeni versiyonunda aşılacakmış. Öyle anladım. Eve henüz gidemedim işten çıkıp. Gidince Suseyle bir deneme yapacağım bakalım sonuç ne olacak çok merak ediyorum.

[Felâsife]

Selam keiser_soze

Ne yaptın bu konuda bir gelişme kaydedebildin mi?

[garafatma]

Maalesef, Ubuntu server ile olmadığını gördüm çünkü çalıştıranlar var. Yeni yazılar buldum bir iki tanesini denedim ancak olmadı.

http://ubuntuforums.org/showthread.php?t=474917&page=2

Bu bağlantıda yapabildiğini yazmış verilen komut ile, ben aynı komutu verince hata verdi, daha bugün bulduğum için kafamı verip nerede yanlış yazılmış bulamadım. Eve gidince sakin kafayla bakıp tekrar denemeyi düşünüyorum. Orada yapılanların aynısını yapmama rağmen (kendime göre uyarlayarak) bir sonuç çıkmadı.

Çözdükten sonra buraya çözümü, hatta yeni bir başlık açarak anlatım yapmayı planlıyorum.

[Felâsife]

Bu konuya gerçekten çok canım sıkıldı ama elden de bir şey gelmiyor, sorunda İptables'te o belli oldu herhalde iyice.

Bu arada Squid versiyon değiştirmesi filan yaptın mı?

httpd_accel_host virtual
httpd_accel_port 80
httpd_accel_with_proxy on
httpd_accel_uses_host_header on

Ayrıca bu tag içinde ki komutlar galiba Squid3'te kullanılmıyor diye bir yerden aklımda kalmış.

[garafatma]

Bu kodlar Squid 2.5 ve öncesinde kullanılıyormuş.

2.5 ve sonrası için http_port satırına portu yazdıktan sonra transparent yazmak yeterli oluyormuş. Hatta 3.1 versiyonlarında "interlace" gibi bir değişiklik yapmışlar ancak kelime tam aklımda değil.

Sorun iptables'ta bu ortada çünkü squid herşeyiyle gayet düzgün çalışıyor. Logları takip ettiğimde herhangi bir sorun görmüyorum.

iptables'ın sihirli komutunu bulursam iş bitecek ama aramadayım halen. Gerçekten can sıkıcı olmaya başladı.

[localhost]

@keiser_soze ; eger unutmazsan, konuyu cözersen bana haber verirmisin?

[garafatma]

Konu üzerinde hergün çalışıyorum @kırmızı. * tabi ki haber veririm.