Здравствуйте. Для подсчёта трафика и для ограждения малолетних установил на 415 squid. Всё настроил, всё работает. Но работает, если прописать на компах адрес прокси, а хочу прозрачный с фильтрацией HTTPS. Хочу пробросить весь трафик с роутера на прокси и после опять на роутер. IPTABLES не могу настроить для проброса трафика. Один вариант заработал, но на половину. )) На 415 надо или пробросить порт с 80 на 3128 или запустить squid на 80 порту, который у меня занят. Делал по этой схеме: http://macrodmin.ru/2011/08/osobennosti-prozrachnogo-proksi
# cat squid.conf
pid_filename /opt/var/run/squid.pid
acl localnet src 192.168.0.0/24
#acl localhost src 127.0.0.1/32
acl SSL_ports port 443
acl Safe_ports port 80 # http
acl Safe_ports port 21 # ftp
acl Safe_ports port 443 # https
acl Safe_ports port 70 # gopher
acl Safe_ports port 210 # wais
acl Safe_ports port 1025-65535 # unregistered ports
acl Safe_ports port 280 # http-mgmt
acl Safe_ports port 488 # gss-http
acl Safe_ports port 591 # filemaker
acl Safe_ports port 777 # multiling http
acl CONNECT method CONNECT
http_access deny !Safe_ports
http_access deny CONNECT !SSL_ports
http_access allow localhost manager
http_access deny manager
http_access deny to_localhost
http_access allow localnet
http_access allow localhost
http_access deny all
http_port 3128
http_port 3128 intercept
################################################################################
###################################################
#указываем HTTPS порт с нужными опциями
https_port 3129 intercept ssl-bump options=ALL:NO_SSLv3:NO_SSLv2 connection-auth=off cert=/opt/etc/squid/squidCA.pem
always_direct allow all
sslproxy_cert_error allow all
sslproxy_flags DONT_VERIFY_PEER
#укажем правило со списком блокируемых ресурсов (в файле домены вида .domain.com)
acl blocked ssl::server_name /opt/etc/squid/blocked_https
acl step1 at_step SslBump1
ssl_bump peek step1
#терминируем соединение, если клиент заходит на запрещенный ресурс
ssl_bump terminate blocked
ssl_bump splice all
sslcrtd_program /usr/lib/squid/ssl_crtd -s /var/lib/ssl_db -M 4MB
################################################################################
####################################################
refresh_pattern ^ftp: 1440 20% 10080
refresh_pattern ^gopher: 1440 0% 1440
refresh_pattern -i (/cgi-bin/|\?) 0 0% 0
refresh_pattern . 0 20% 4320
access_log daemon:/opt/var/log/squid/access.log squid
netdb_filename stdio:/opt/var/log/squid/netdb.state
cache_store_log stdio:/opt/var/log/squid/store.log
cache_log /opt/var/log/squid/cache.log
cache_dir ufs /opt/var/cache/squid 2048 16 256
maximum_object_size 10024.00 bytes
logfile_rotate 7
---------------------------------------------------------------------
#iptables -t nat -L
Chain PREROUTING (policy ACCEPT)
target prot opt source destination
DEFAULT_PREROUTING all -- anywhere anywhere
Chain INPUT (policy ACCEPT)
target prot opt source destination
Chain OUTPUT (policy ACCEPT)
target prot opt source destination
Chain POSTROUTING (policy ACCEPT)
target prot opt source destination
DEFAULT_POSTROUTING all -- anywhere anywhere
Chain DEFAULT_POSTROUTING (1 references)
target prot opt source destination
MASQUERADE all -- 10.8.0.0/24 anywhere
Chain DEFAULT_PREROUTING (1 references)
target prot opt source destination
REDIRECT tcp -- anywhere anywhere tcp dpt:http redir ports 3128