+7 495 320-55-52
- Назад
- Телефоны
- +7 495 320-55-52
- Заказать звонок
info@mikrotik.moscow
г. Москва, ул. Бакунинская, 84
Пн-Пт: 09-00 до 18-00
Сб-Вс: выходной

Squid прозрачный прокси

Squid прозрачный прокси, RouterOS

supfors

Guest

09.10.2013 14:56:00

Я пытаюсь настроить прозрачный прокси Squid с помощью моего Mikrotik, чтобы не настраивать клиентам прокси. Однако это не работает так, как ожидалось, и я немного потерялся, нужна помощь? (Когда я настраиваю прокси в браузере клиента, всё работает как надо) MT: 192.168.1.1 Squid: 192.168.1.2 Клиент: 192.168.1.3 Шлюз клиента: 192.168.1.1 DNS клиента: 8.8.8.8 MT NAT: chain=dstnat action=dst-nat to-addresses=192.168.1.2 to-ports=3128 protocol=tcp src-address=192.168.1.3 dst-port=80 Версия Squid: 3.1.19 Конфигурация Squid: http_port 3128 transparent acl manager proto cache_object acl localhost src 127.0.0.1/32 ::1 acl to_localhost dst 127.0.0.0/8 0.0.0.0/32 ::1 acl localnet src 192.168.1.0/24 http_access allow manager localhost http_access allow localnet http_access allow localhost

Silvano1980 Guest	#2 0 17.09.2014 11:42:00 Привет, я пытаюсь использовать это с DansGuardian, но нет ли у кого-то туториала по этому поводу? Потому что у меня ничего не получается.

CTrain

Guest

08.11.2013 02:08:00

Вам также нужно выполнить srcnat для всего трафика, покидающего клиента, чтобы его трафик проходил через прокси-сервер. То есть chain=srcnat action=dstnat to-addresses=192.168.1.2 to-ports=3128 src-address=192.168.1.3 dst-port=80 protocol=tcp Out-interface=eth1(Gateway) Ваш Dstnat не должен быть необходим, поскольку DSTNAT предназначены для разрешения непрошеных входящих коммуникаций, например, веб-хостинга. Поскольку прокси-сервер сначала запросит страницу, ответ будет запрашиваемым и не на порту 80, следовательно, этот NAT в данный момент не делает ничего. Дайте знать, если это не сработает или сработает.

sirEgghead

Guest

17.12.2013 05:53:00

CTrain, у тебя не может быть dstnat действия в цепочке srcnat. supfors, я нашел лучший способ заставить настройку работать — это включить веб-прокси в вашем RouterOS и установить "родительский прокси" на адрес и порт вашего squid-сервера. После этого я отключил кэширование на Mikrotik. Если решишь сделать это, тебе нужно будет изменить действие правила dstnat на "перенаправить" и установить порт на тот, который ты использовал в веб-прокси RouterOS. sirEgghead

kilrathi

Guest

08.01.2014 02:01:00

Я использую внешний прозрачный прокси-сервер Squid для своих клиентов. Мы недавно перешли на роутер с RouterOS, и я обнаружил отличный способ перенаправлять трафик на мой прокси, не настраивая прокси-сервер для каждого клиента. Я покопался в интернете и нашел замечательное руководство, которое довольно близко описывает то, что мне нужно. Раньше мы перенаправляли трафик на 80-й порт с межсетевого экрана на IP и номер порта нашего прокси-сервера. MikroTik предлагает способы сделать это, сохраняя при этом исходный IP-адрес. Прежде чем настроить свою новую конфигурацию, любой, у кого не была настроена прокси-программа клиента, отображался как IP-адрес межсетевого экрана в журналах Squid. Вот моя настройка:
Межсетевой экран/Mikrotik 192.168.1.1, Прокси Squid 192.168.1.2 (порт прокси 8080), Клиенты 192.168.100-192.168.1.199.
У меня уже настроены mangle и masquerading для моего основного межсетевого экрана, поэтому я просто перечислю настройки, которые влияют на перенаправление http-трафика на мой прокси-сервер. Сначала я создал список адресов клиентских IP, которые я хотел перенаправить на мой прокси-сервер. В моем случае это адреса из DHCP-пула:
/ip firewall address-list add address=192.168.1.100-192.168.1.199 list=Proxy_Clients.
Затем я настроил mangle для маркировки веб-трафика, который будет перенаправлен позже:
/ip firewall mangle chain=prerouting action=mark-routing new-routing-mark=to_proxy passthrough=yes protocol=tcp src-address-list=Proxy_Clients dst-port=80.
Далее я настроил пользовательский маршрут для отмеченных пакетов:
/ip route add disabled=no distance=1 dst-address=0.0.0.0/0 gateway=192.168.1.2 routing-mark=to_proxy scope=30 target-scope=10.
Теперь мы перенаправляем весь трафик с клиентов 192.168.1.100-192.168.1.199 на 80-й порт к прокси-серверу. Последний элемент головоломки — настроить прокси-сервер (squid) для перенаправления всего трафика на 80-й порт к порту прокси (8080). Это делается легко с помощью iptables:
iptables -t nat -A PREROUTING -p tcp --dport 80 -j DNAT --to 192.168.1.2:8080.
Вот и все. Теперь вы перенаправляете весь трафик на 80-й порт к прокси-серверу Squid. Самое важное — вы сохраняете исходный IP-адрес. Таким образом, если вы хотите использовать отчеты Squid, вы можете отслеживать использование пользователями по IP-адресу. Большую часть информации, которую я использовал для этого решения, я позаимствовал с этого сайта. Я немного изменил синтаксис, чтобы он подходил под мои нужды. Мой следующий проект — выяснить, как исключить стриминговые сервисы (Netflix) из перенаправления на прокси-сервер. Я уже поэкспериментировал с использованием IP-блоков. Главная проблема, с которой я столкнулся, — это добавление всех диапазонов IP Netflix в список адресов. Я постоянно нахожу новые. Для заинтересованных: вот мое модифицированное правило mangle, чтобы не перенаправлять трафик Netflix на прокси, но перенаправлять все остальное:
/ip firewall mangle chain=prerouting action=mark-routing new-routing-mark=to_proxy passthrough=yes protocol=tcp src-address-list=Proxy_Clients dst-address-list=!Netflix dst-port=80.
Мой список адресов для Netflix:
/ip firewall address-list add address=69.164.0.0/18 list=Netflix
add address=208.111.128.0/18 list=Netflix
add address=68.142.64.0/18 list=Netflix
add address=108.175.32.0/20 list=Netflix.

kilrathi

Guest

09.01.2014 05:34:00

Я нашел лучший способ обрабатывать трафик Netflix. Список адресов в порядке, но после дальнейшего поиска я нашел способ динамически генерировать этот список. Этот гайд показывает систему очередей для приоритизации или ограничения скорости видео-сайтов. Я взял его пример и адаптировал его под свое решение по пересылке прокси. Я по-прежнему использую свой маршрут /ip route add disabled=no distance=1 dst-address=0.0.0.0/0 gateway=192.168.1.2 routing-mark=to_proxy scope=30 target-scope=10 Помните, что мой внешний IP-адрес squid-прокси — 192.168.1.2, а адрес моего файрвола — 192.168.1.1. Что я изменил, так это способ генерации списка адресов. Вместо добавления целых IP-блоков я добавил 2 правила mangle перед моим правилом пересылки прокси. Вот как они выглядят (я перечислил их в нужном порядке. Правило mangle с маршрутом прокси должно быть последним.) /ip firewall mangle chain=prerouting action=add-dst-to-address-list protocol=tcp address-list=Netflix address-list-timeout=1d dst-port=80 content=nflxvideo.net chain=prerouting action=add-dst-to-address-list protocol=tcp address-list=Netflix address-list-timeout=1d dst-port=80 content=netflix.com chain=prerouting action=add-dst-to-address-list protocol=tcp address-list=Netflix address-list-timeout=1d layer7-protocol="Netflix llnwd" dst-port=80 В гайде парень не установил тайм-аут для списка адресов. Это значит, что список в конечном итоге вырастет, чтобы включить каждый IP-адрес, который использует Netflix. Теоретически это звучит хорошо, но надо помнить, что это будет происходить по одному IP-адресу за раз, а не по целому блоку подсетей. Я подумал, что 1 день — это достаточно времени. Я по-прежнему использую свое правило mangle для добавления тега маршрута к трафику с указанным маркером. Я добавил отрицательный список адресов назначения, чтобы исключить мой вновь созданный список адресов Netflix, который генерируется. (Это правило mangle должно быть последним.) /ip firewall mangle chain=prerouting action=mark-routing new-routing-mark=to_proxy passthrough=yes protocol=tcp src-address-list=Proxy_Clients dst-address-list=!Netflix dst-port=80 У меня также есть протокол layer7. Я не очень хорошо разбираюсь в regexp, но тот, который я использую, работает лучше всех других примеров, которые я нашел. /ip firewall layer7-protocol name="Netflix llnwd" regexp="netflix-[0-9][0-9][0-9]\.vo\.llnwd\.net" Я уверен, что выражение regex можно немного улучшить. Я запустил несколько пакетов и пытался увидеть, на что именно роутер смотрит, когда использует regex для анализа пакетов. Это было лучшее, что я смог сделать. По крайней мере, я не исключаю весь llnwd.net из прокси. Я хотел только контент Netflix, который они размещают. Что это делает — создает динамическую запись в списке адресов Netflix каждый раз, когда кто-то пытается получить доступ к netflix.com, nflxvideo.net или одному из множества серверов контента, у которых netflix-####.vo.llnwd.net. Поскольку список адресов "Netflix" исключен из тегирования прокси, мой файрвол не пытается пересылать трафик Netflix на мой внешний сервер squid-прокси. Есть еще один домен Netflix, который я не включил. nflximg.com Netflix, похоже, не возражает против кэширования изображений, связанных с видео, поэтому я оставил его за пределами. Я бы предпочел, чтобы этот трафик проксировался и экономил немного полосы. Если вы хотите включить его, все, что нужно сделать, это добавить еще одно правило mangle. Просто скопируйте первое правило mangle и измените значение контента на nflximg.com (не забудьте, что порядок важен). Пока что все работает довольно хорошо. Нагрузки на роутер, похоже, не растет, даже при одновременной работе 6 различных устройств. Я думаю, поскольку я помечаю соединения для роутера, это очень помогает.

alsur

Guest

22.05.2014 15:46:00

Эти правила очень помогли, так как мы немного застряли с учебниками, которые указывали на конфигурации, где внешний прокси Squid подключался через выделенный Ethernet и другую подсеть LAN. Мы внедрили ваше решение, но у нас возникла странная проблема с задержкой на первом соединении с веб-сайтом, когда это прозрачное правило применяется. Первая загрузка страницы может занимать несколько секунд, а последующие загрузки с того же домена улучшаются немного, но скорость все равно оставляет желать лучшего. Мы тестировали сервер Squid с прямым доступом (через настройки прокси в браузере), и это работает отлично. Наша главная разница с вашей настройкой заключается в том, что у нас есть балансировка PCC через 2 исходящих WAN, поэтому у нас много марок соединений, применяемых к исходящим и входящим соединениям, и мы не знаем, как это может повлиять. Мы не уверены, как проводить какие-либо тесты, так как маршруты/фаервол и т.д. кажутся правильными. Спасибо.

Silvano1980

Guest

17.09.2014 10:45:00

Привет, я использовал этот замечательный туториал, и все работает отлично, но я также хотел бы использовать фильтр контента, как dansguardian, но не могу сделать так, чтобы он работал. У кого-то есть опыт с этим? Я думаю, что проблема в rc.local, потому что не знаю, как перенаправить с 3128 на 8080 для dansguardian.

madods Guest	#9 0 28.10.2015 00:21:00 Я смог заставить решение килрати работать, перенаправив трафик на DansGuardian. Единственный нюанс заключался в том, чтобы убедиться, что маскировка роутера не применялась к пакетам, отправляемым на DansGuardian. Изначально это было так, из-за чего DansGuardian видел все пакеты как исходящие с внутреннего IP роутера, а не с IP рабочей станции.

Читают тему

Главная Каталог 0 Корзина 0 Избранные Кабинет 0 Сравнение Акции Контакты Услуги Бренды Отзывы Компания Лицензии Документы Реквизиты Поиск Блог Обзоры