synology.forum архив спільноти · 2005–2022
ai.synology.forum →
ГлавнаяУстановка, Загрузка и Настройка › Прозрачный Squid и проброс трафика

Прозрачный Squid и проброс трафика

satoorn · 07.03.2016

Здравствуйте. Для подсчёта трафика и для ограждения малолетних установил на 415 squid. Всё настроил, всё работает. Но работает, если прописать на компах адрес прокси, а хочу прозрачный с фильтрацией HTTPS. Хочу пробросить весь трафик с роутера на прокси и после опять на роутер. IPTABLES не могу настроить для проброса трафика. Один вариант заработал, но на половину. )) На 415 надо или пробросить порт с 80 на 3128 или запустить squid на 80 порту, который у меня занят. Делал по этой схеме: http://macrodmin.ru/2011/08/osobennosti-prozrachnogo-proksi

 

# cat squid.conf

pid_filename /opt/var/run/squid.pid

acl localnet src 192.168.0.0/24

#acl localhost src 127.0.0.1/32

 

acl SSL_ports port 443

acl Safe_ports port 80 # http

acl Safe_ports port 21 # ftp

acl Safe_ports port 443 # https

acl Safe_ports port 70 # gopher

acl Safe_ports port 210 # wais

acl Safe_ports port 1025-65535 # unregistered ports

acl Safe_ports port 280 # http-mgmt

acl Safe_ports port 488 # gss-http

acl Safe_ports port 591 # filemaker

acl Safe_ports port 777 # multiling http

acl CONNECT method CONNECT

 

http_access deny !Safe_ports

http_access deny CONNECT !SSL_ports

http_access allow localhost manager

http_access deny manager

http_access deny to_localhost

http_access allow localnet

http_access allow localhost

http_access deny all

 

http_port 3128

http_port 3128 intercept

 

################################################################################

###################################################

#указываем HTTPS порт с нужными опциями

https_port 3129 intercept ssl-bump options=ALL:NO_SSLv3:NO_SSLv2 connection-auth=off cert=/opt/etc/squid/squidCA.pem

 

always_direct allow all

sslproxy_cert_error allow all

sslproxy_flags DONT_VERIFY_PEER

 

#укажем правило со списком блокируемых ресурсов (в файле домены вида .domain.com)

acl blocked ssl::server_name /opt/etc/squid/blocked_https

acl step1 at_step SslBump1

ssl_bump peek step1

 

#терминируем соединение, если клиент заходит на запрещенный ресурс

ssl_bump terminate blocked

ssl_bump splice all

 

sslcrtd_program /usr/lib/squid/ssl_crtd -s /var/lib/ssl_db -M 4MB

 

################################################################################

####################################################

 

refresh_pattern ^ftp: 1440 20% 10080

refresh_pattern ^gopher: 1440 0% 1440

refresh_pattern -i (/cgi-bin/|\?) 0 0% 0

refresh_pattern . 0 20% 4320

 

access_log daemon:/opt/var/log/squid/access.log squid

netdb_filename stdio:/opt/var/log/squid/netdb.state

cache_store_log stdio:/opt/var/log/squid/store.log

cache_log /opt/var/log/squid/cache.log

 

cache_dir ufs /opt/var/cache/squid 2048 16 256

maximum_object_size 10024.00 bytes

logfile_rotate 7

 

 

---------------------------------------------------------------------

 

#iptables -t nat -L

Chain PREROUTING (policy ACCEPT)

target prot opt source destination

DEFAULT_PREROUTING all -- anywhere anywhere

 

Chain INPUT (policy ACCEPT)

target prot opt source destination

 

Chain OUTPUT (policy ACCEPT)

target prot opt source destination

 

Chain POSTROUTING (policy ACCEPT)

target prot opt source destination

DEFAULT_POSTROUTING all -- anywhere anywhere

 

Chain DEFAULT_POSTROUTING (1 references)

target prot opt source destination

MASQUERADE all -- 10.8.0.0/24 anywhere

 

Chain DEFAULT_PREROUTING (1 references)

target prot opt source destination

REDIRECT tcp -- anywhere anywhere tcp dpt:http redir ports 3128

 

satoorn · 09.03.2016

Хорошо, тогда простой вопрос. Как освободить на Synology, 80 порт от Web Station? Т.е. перевесить его (Web Station) допустим на 8080.

SergeyASV · 09.03.2016

del