Skip to content
This seems to be a very common issue when we are configuring the Squid proxy using the transparent or intercept mode. The configuration apparently works fine but we get some errors indicating protocol not available and the log file shows some entries similar to the following ones
2019/12/04 13:16:14 kid1| ERROR: NF getsockopt(ORIGINAL_DST) failed on local=192.168.1.1:3128 remote=192.168.2.1:45937 FD 1855 flags=33: (92) Protocol not available
2019/12/04 13:16:14 kid1| ERROR: NAT/TPROXY lookup failed to locate original IPs on local=192.168.1.1:3128 remote=192.168.2.1:45937 FD 1855 flags=33
The error showing int log the files is being generated by some sections of code which are checking the socket options as shown below
if(getsockopt(fd, SOL_IP, IP_TRANSPARENT, lookup->ai_addr, &lookup->ai_addrlen) != 0) {
The root cause of this problem is that some required kernel modules, all of them related the iptables subsystem, were not loaded basically because the iptables or firewalld have not been installed on the target system. The issue can be easily solved loading the modules manually as can be seen bellow
root@haldane:/etc/squid# modprobe ipt_REJECT
root@haldane:/etc/squid# modprobe ip6t_REJECT
root@haldane:/etc/squid# modprobe ipt_recent
root@haldane:/etc/squid# modprobe ip_conntrack
Those changes will not survive the system boot, hence you should instead plan to install either iptables-services or the firewalld .
Error nat tproxy lookup failed to locate original ips on local
здравствуйте. так случилось что админа в организации не стало, а меня воткнули на его место. С freebsd я новичек, знаю только азы. помер HDD на сервере. Конечно заменил, установил freebsd с пересборкой ядра +pf+squid+openvpn. все работает кроме сквида. уже 2 недели пытаюсь найти решение в интернете да на форумах но пока безуспешно.
pf успешно направляет на squid, а что дальше происходит не пойму.
если оставляю http_port 3128, то на локальной машине с использованием прокси все работает
ставлю прозрачное проксирование http_port 3128 intercept и тишина. http ресурсы недоступны.
конфиги pf u squid удалось вытащить со старой системы. Возможно на новой версии freebsd u squid изменился синтаксис или какие команды..
uname -a
FreeBSD proxy 11.1-RELEASE FreeBSD 11.1-RELEASE #0: Sat Aug 19 15:52:29 MSK 2017 strannik@proxy:/usr/obj/usr/src/sys/GENERIC1 amd64
# squid -v
Squid Cache: Version 3.5.26
и странно что не могу поставить squid 3.5.8, доступен только 3.5.26
squid
acl localnet src 192.168.2.0/24
acl localnet_21 src 10.0.0.0/16
acl localnet_22 src 10.1.22.0/24
acl localnet_23 src 10.1.23.0/24
acl localnet_24 src 10.1.24.0/24
acl localnet_39 src 10.1.39.0/24
acl localnet_40 src 10.1.40.0/24
# Порт SSL для подключений по HTTPS-протоколу
acl SSL_ports port 443
# Список портов, к которым разрешен доступ через прокси-сервер по протоколу HTTP
acl Safe_ports port 80 # http
acl Safe_ports port 21 # ftp
acl Safe_ports port 443 # https
acl Safe_ports port 70 # gopher
acl Safe_ports port 210 # wais
acl Safe_ports port 1025-65535 # unregistered ports
acl Safe_ports port 280 # http-mgmt
acl Safe_ports port 488 # gss-http
acl Safe_ports port 591 # filemaker
acl Safe_ports port 777 # multiling http
acl CONNECT method CONNECT
#acl RestrictedDomains dstdomain «/usr/local/etc/squid/AccessLists/url_block.txt»
#acl RestrictedDomains2 dstdomain «/usr/local/etc/squid/AccessLists/url_block_2.txt»
#acl white url_regex -i «/usr/local/etc/squid/AccessLists/white.txt»
acl AdDomains url_regex -i «/usr/local/etc/squid/AccessLists/url_porno.txt»
http_access allow manager localhost
http_access allow localnet_21 manager
http_access deny manager
# Запретить доступ к портам, отсутствующим в списке выше
http_access deny !Safe_ports
# Запретить метод CONNECT не на SSL-порт
http_access deny CONNECT !SSL_ports
http_access deny AdDomains
# запрещаем доступ к листу 1
http_access deny RestrictedDomains
# открываем этим подсетям доступ ко всему остальному
http_access allow localnet
http_access allow localnet_21
http_access allow localnet_22
http_access allow localnet_24
#http_access allow localnet_39
#http_access allow localnet_40
#закрываем доступ к листу 2
http_access deny RestrictedDomains2
# остальное делаем доступно для подсетей ниже
#http_access allow localnet_22
http_access allow localnet_23
http_access allow localnet_40
# Последнее правило, блокирует все, что не было разрешено выше
http_access deny all
icp_access allow localnet
icp_access allow localnet_21
icp_access allow localnet_22
icp_access allow localnet_23
icp_access allow localnet_24
icp_access allow localnet_39
icp_access allow localnet_40
icp_access deny all
http_port 3129
http_port 3128 intercept
#http_port 127.0.0.1:3128 options=NO_SSLv3:NO_SSLv2
#hierarchy_stoplist cgi-bin ?
always_direct allow all
sslproxy_cert_error allow all
sslproxy_flags DONT_VERIFY_PEER
#ограничение по скорости
delay_class 1 2
delay_parameters 1 -1/-1 256000/128000 #2mb/s
delay_access 1 allow localnet
delay_access 1 allow localnet_21
delay_access 1 allow localnet_22
delay_access 1 allow localnet_23
delay_access 1 allow localnet_24
delay_access 1 allow localnet_39
delay_access 1 allow localnet_40
delay_access 1 deny all
delay_class 2 2
delay_parameters 2 1280000/1280000 256000/256000
#delay_access 2 allow localnet_50
#delay_access 1 allow localnet_34
delay_access 2 deny all
forwarded_for transparent
via off
cache_mem 256 MB
maximum_object_size_in_memory 64 KB
memory_replacement_policy lru
cache_replacement_policy lru
cache_dir ufs /usr/local/squid/cache 4000 16 256
store_dir_select_algorithm least-load
maximum_object_size 8 MB
cache_swap_low 90
cache_swap_high 95
logformat squid %ts.%03tu %6tr %>a %Ss/%03Hs % Оглавление
- freebsd+pf+squid. проблема со squid, Strannik_S, 09:47 , 24-Авг-17, (1)
- freebsd+pf+squid. проблема со squid, eRIC, 10:16 , 24-Авг-17, (2)
- freebsd+pf+squid. проблема со squid, Strannik_S, 14:30 , 24-Авг-17, (3)
- freebsd+pf+squid. проблема со squid, eRIC, 20:59 , 24-Авг-17, (4)
- freebsd+pf+squid. проблема со squid, Strannik_S, 22:29 , 24-Авг-17, (5)
- freebsd+pf+squid. проблема со squid, ALex_hha, 13:20 , 25-Авг-17, ( 6 )
- freebsd+pf+squid. проблема со squid, Strannik_S, 07:53 , 26-Авг-17, ( 7 )
- freebsd+pf+squid. проблема со squid, ALex_hha, 00:07 , 27-Авг-17, ( 8 )
- freebsd+pf+squid. проблема со squid, Strannik_S, 07:53 , 26-Авг-17, ( 7 )
- freebsd+pf+squid. проблема со squid, ALex_hha, 13:20 , 25-Авг-17, ( 6 )
- freebsd+pf+squid. проблема со squid, Strannik_S, 22:29 , 24-Авг-17, (5)
- freebsd+pf+squid. проблема со squid, eRIC, 20:59 , 24-Авг-17, (4)
- freebsd+pf+squid. проблема со squid, Strannik_S, 14:30 , 24-Авг-17, (3)
| Сообщения по теме | [Сортировка по времени | RSS] |
поубирал из конфига кучу сетей чтоб не мешались.
еще момент: squid ругался на строку hierarchy_stoplist cgi-bin ?
я её закоментировал и добавил
always_direct allow all
sslproxy_cert_error allow all
sslproxy_flags DONT_VERIFY_PEER
не уверен что правильно.
ниже конфиг pf
#————————-Интерфейсы————————-#
prov=»re2″
#Адреса интерфейсов ПК
srv_16=»192.168.2.6″
#Не проверяем на локальной петле
set skip on lo0
#Изменяем время для состояния установленного tcp соединения, которое по-умолчанию чересчур большое (24часа).
set timeout
#Собирать пакеты перед отправкой
scrub in all
#Разрешаем ходить в инет через нат
nat on $prov inet from $lan_16 to any -> $prov #2 диапазон с серверами
nat on $prov inet from $lan_21 to any -> $prov #ОИТ
nat on $prov inet from $lan_22 to any -> $prov #У
nat on $prov inet from $lan_23 to any -> $prov #Гя
nat on $prov inet from $lan_24 to any -> $prov #Г
nat on $prov inet from $lan_39 to any -> $prov #В
nat on $prov inet from $lan_40 to any -> $prov #Ф
#Перенаправляем на прокси
#rdr on $int_16 proto tcp from to any port $port_proxy -> $srv_16 port 3128
rdr on $int_16 proto tcp from $lan_39 to any port $port_proxy -> $srv_16 port 3128
rdr on $prov proto tcp from any to $srvprov port 3690 -> 10.0.0.255 port 3690
#————————-Правила фильтрации————————-#
# Блокируем всяких нехороших людей стандартный антиспуфинг средствами pf.
antispoof log quick for lo0
antispoof log quick for $int_16
antispoof log quick for $prov
#————————-Внешние настройки————————-#
#Блокируем все входящие на внешнем интерфейсе
block in on $prov
#Рубаем Мультикастовые рассылки (Данные, предназначенные для приемом группой машин. В отличие от unicast и broadcast)
block in on $prov from any to 240.0.0.0/4
#Блокируем приватные сети на внешний интерфейс
block drop in quick on $prov from $non_route_nets_inet to any
block drop out quick on $prov from any to $non_route_nets_inet
#Разрешаем пинги на внешний интерфейс
#pass in on $prov inet proto icmp all icmp-type $allowed_icmp_types
block in on $prov inet proto icmp all icmp-type $allowed_icmp_types
pass in on $prov inet proto icmp from <188.128.88.21, 87.226.226.242, 94.25.127.70>to $srvprov icmp-type $allowed_icmp_types
#Разрешаем открытые порты на внешнем интерфейсе
pass in on $prov inet proto from any to any port $port_ext flags S/SA keep state
pass in on $prov inet proto from any to any port $port_video flags S/SA keep state
#Разрешить все исходящие на внешнем интерфейсе
pass out on $prov keep state
#————————-VPN————————-#
#block on tun0 from <10.2.0.5, 10.2.0.6, 10.2.0.9, 10.2.0.10, 10.2.0.13, 10.2.0.14>to any
pass in log quick on tun0 from any to any keep state
pass out log quick on tun0 from any to any keep state
#————————-Внутренние настройки————————-#
# Блокируем все входящие на внутр. интерфейсе
block in on $int_16 all
#ICMP — Разрешаем пинговать
pass on $int_16 inet proto icmp all icmp-type $allowed_icmp_types
pass on $int_5 inet proto icmp all icmp-type $allowed_icmp_types
#Для ната
pass in on $int_5 inet proto from $lan_5 to any flags S/SA keep state
pass in on $int_16 inet proto from $lan_16 to any flags S/SA keep state
#!!
pass in on $int_16 inet proto from $lan_21 to any flags S/SA keep state
pass in on $int_16 inet proto from $ip_allp to any keep state
#Temp squid
pass on $int_16 inet proto udp from any to any port 53 keep state
pass in on $int_16 inet proto tcp from $ip_np to any port 80 flags S/SA keep state
#pass in on $int_16 inet proto from to any port < 25, 53, 110, 443, 465, 995>flags S/SA keep state
pass in on $int_16 inet proto from to any port < 25, 53, 80, 110, 443, 465, 995>flags S/SA keep state
pass in on $int_16 inet proto from $lan_39 to any port < 25, 53, 110, 443, 465, 995>flags S/SA keep state
#Разрешаем открытые порты на внутр. интерфейсе
pass in on $int_16 inet proto tcp from $lan_pk to $srv_16 port $port_tcp flags S/SA keep state
pass in on $int_16 inet proto udp from $lan_pk to $srv_16 port $port_udp keep state
#NTop
pass in on $int_16 inet proto tcp from $lan_21 to $srv_16 port 3000 keep state
#————————-Маршрутизация между подсетями————————-#
#vpn
pass quick on <$int_16, tun0>proto from $lan_vpn to $lan_16 keep state
pass quick on <$int_16, tun0>proto from $lan_vpnEv to $lan_16 keep state
pass quick on <$int_16, tun0>proto from $lan_vpnOHO to $lan_16 keep state
pass quick on <$int_16, tun0>proto from $lan_16 to $lan_vpn keep state
pass quick on <$int_16, tun0>proto from $lan_16 to $lan_vpnEv keep state
pass quick on <$int_16, tun0>proto from $lan_16 to $lan_vpnOHO keep state
pass quick on <$int_16, tun0>proto from $lan_vpn to $lan_21 keep state
pass quick on <$int_16, tun0>proto from $lan_21 to $lan_vpn keep state
#lan 5
pass quick on $int_5 proto from $lan_5 to $lan_5 keep state
pass out on $int_16 keep state
pass out on $int_5 keep state
| 1. «freebsd+pf+squid. проблема со squid» | + / – |
| Сообщение от Strannik_S (ok) on 24-Авг-17, 09:47 | |
| Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору |
| 2. «freebsd+pf+squid. проблема со squid» | + / – |
| Сообщение от eRIC (ok) on 24-Авг-17, 10:16 | |
| Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору |
 |
|
| 3. «freebsd+pf+squid. проблема со squid» | + / – |
| Сообщение от Strannik_S (ok) on 24-Авг-17, 14:30 | |
|
выложил. чую что ответ на поверхности, но догадаться не могу, а знаний не хватает. |
|
| Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору |
|
|
| 4. «freebsd+pf+squid. проблема со squid» | + / – |
| Сообщение от eRIC (ok) on 24-Авг-17, 20:59 | |
в /etc/devfs.conf добавить права: own pf root:squid и перезагрузить /etc/rc.d/devfs restart |
|
| Ответить | Правка | ^ к родителю #3 | Наверх | Cообщить модератору |
|
|
| 5. «freebsd+pf+squid. проблема со squid» | + / – |
| Сообщение от Strannik_S (ok) on 24-Авг-17, 22:29 | |
и побежали данные 🙂 ох как я вам благодарен. большое большое спасибо. есть еще вопросик 🙂 PF states limit reached и еще один момент, если вы не против, и ещё, все в кучу, чтоб не захламлять тему, мне удалось установить из портов версию сквида 3.5.29, но как я понял новая версия 3.5.8 . Почему-то её поставить я не могу . порты обновлял перед сборкой ядра, после сборки ядра. Почему не доступно не пойму. |
|
| Ответить | Правка | ^ к родителю #4 | Наверх | Cообщить модератору |
|
|
| 6 . «freebsd+pf+squid. проблема со squid» | + / – |
| Сообщение от ALex_hha (ok) on 25-Авг-17, 13:20 | |
|
|
| Ответить | Правка | ^ к родителю #5 | Наверх | Cообщить модератору |
|
|
| 7 . «freebsd+pf+squid. проблема со squid» | + / – |
| Сообщение от Strannik_S (ok) on 26-Авг-17, 07:53 | |
прошу прощения. я совсем запутался 🙂 |
|
| Ответить | Правка | ^ к родителю #6 | Наверх | Cообщить модератору |
|
|
| 8 . «freebsd+pf+squid. проблема со squid» | + / – |
| Сообщение от ALex_hha (ok) on 27-Авг-17, 00:07 | |
Ну исходники squid вроде мультиплатформенные. Источник Adblock |
Вот еще информация:
Gateway:
eth0 — 10.17.0.2/24
eth0.3128 — 192.168.20.1/24
iptables -t mangle -I DIVERT ! -i eth0.3128 -s x.x.x.x -p tcp —dport 80 -j MARK —set-mark 4 где x.x.x.x белый ip (что бы гнать на прокси пока только одного пользователя)
iptables -t mangle -I DIVERT ! -i eth0.3128 -d x.x.x.x -p tcp —sport 80 -j MARK —set-mark 4 тот же белый ip
iptables -t mangle -I PREROUTING ! -i eth0.3128 -p tcp -m set ! —match-set tas-ix dst -m tcp —dport 80 -j DIVERT
iptables -t mangle -I PREROUTING ! -i eth0.3128 -p tcp -m set ! —match-set tas-ix src -m tcp —sport 80 -j DIVERT
ip rule add fwmark 4 lookup cache
root@border:~# ip ru list
0: from all lookup local
32763: from all fwmark 0x4 lookup cache — гнать трафик с меткой 4 в талицу cache
32764: from all fwmark 0xa lookup cron
32765: from 10.20.0.0/24 lookup cron
32766: from all lookup main
32767: from all lookup default
root@border:~# ip ro sh table cache
default via 10.17.0.3 dev eth0 — гоню трафик на сквид.
SQUID:
eth0 — 10.17.0.3/24
eth0.3128 — 192.168.20.2/24
*mangle
:PREROUTING ACCEPT [237869:76104852]
:INPUT ACCEPT [325134:79872902]
:FORWARD ACCEPT [7595:7198871]
:OUTPUT ACCEPT [104270:7197275]
:POSTROUTING ACCEPT [111865:14396146]
:DIVERT — [0:0]
-A PREROUTING -p tcp -m socket -j DIVERT
-A PREROUTING -p tcp -m tcp —dport 80 -j TPROXY —on-port 3129 —on-ip 0.0.0.0 —tproxy-mark 0x1/0x1
-A DIVERT -j MARK —set-xmark 0x1/0xffffffff
-A DIVERT -j ACCEPT
root@squid:~# ip ru list
0: from all lookup local
32765: from all fwmark 0x1 lookup border
32766: from all lookup main
32767: from all lookup default
root@squid:~# ip ro sh table border
local default dev eth0 scope host
P.S.: Прикрепляю схемку.
- Печать
Страницы: [1] 2 Все Вниз
Тема: squid3 на другой машине (Прочитано 5065 раз)
0 Пользователей и 1 Гость просматривают эту тему.
Avolon
Доброе время суток
Есть шлюз на нем Squid
в iptables 172.20.1.1
*nat
:PREROUTING ACCEPT [0:0]
:POSTROUTING ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]
-A PREROUTING -i eth0 -s 172.20.1.1 -p tcp -m multiport --dport 80,8080 -j REDIRECT --to-port 3128
-A POSTROUTING -o eth1 -j MASQUERADE
*filter
:INPUT DROP [0:0]
:FORWARD DROP [0:0]
:OUTPUT ACCEPT [0:0]
-A FORWARD -s 172.20.1.1 -j ACCEPT
-A FORWARD -d 172.20.1.1 -j ACCEPT
#Default Rule
-A FORWARD -m state --state RELATED,ESTABLISHED -j ACCEPT
-A INPUT -m conntrack --ctstate ESTABLISHED,RELATED -j ACCEPT
-A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
-A OUTPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
#lan
-A FORWARD -s 172.20.1.0/24 -j ACCEPT
-A FORWARD -d 172.20.1.0/24 -j ACCEPT
Все норм все работает все редиректится
Но вот решил перенести squid на др машинку 172.20.1.220
на шлюзе прописал
-A PREROUTING -s 172.20.1.1 -p tcp -m multiport --dport 80 -j DNAT --to-destination 172.20.1.220:3128Сведенье squid 172.20.1.220
usr/sbin/squid -v
Squid Cache: Version 3.5.16-20160402-r14019
Service Name: squid
configure options: '--prefix=/usr' '--localstatedir=/var' '--libexecdir=/lib/squid' '--srcdir=.' '--datadir=/share/squid' '--sysconfdir=/etc/squid' '--with-default-user=proxy' '--with-logdir=/var/log' '--with-pidfile=/var/run/squid.pid' '--enable-ssl' '--enable-ssl-crtd' '--enable-linux-netfilter' '--with-openssl' '--enable-icap-client' --enable-ltdl-convenience
acl localnet src 172.20.1.0/24
acl SSL_ports port 443
acl Safe_ports port 80 # http
acl Safe_ports port 21 # ftp
acl Safe_ports port 443 # https
acl Safe_ports port 70 # gopher
acl Safe_ports port 210 # wais
acl Safe_ports port 1025-65535 # unregistered ports
acl Safe_ports port 280 # http-mgmt
acl Safe_ports port 488 # gss-http
acl Safe_ports port 591 # filemaker
acl Safe_ports port 777 # multiling http
acl CONNECT method CONNECT
http_access deny !Safe_ports
http_access allow localhost manager
http_access deny manager
http_access allow localnet
http_access allow localhost
http_access deny all
# Squid normally listens to port 3128
http_port 127.0.0.1:3128 intercept
http_port 172.20.1.220:3128
cache_dir ufs /var/cache/squid 100 16 256
coredump_dir /var/cache/squid
refresh_pattern ^ftp: 1440 20% 10080
refresh_pattern ^gopher: 1440 0% 1440
refresh_pattern -i (/cgi-bin/|?) 0 0% 0
refresh_pattern . 0 20% 4320
Не редиректится (( Но если я в ручную пропишу прокси то все ок.
LOG
tail -f /var/log/cache.log B притом в tail -f /var/log/access.log не чего не летит просто браузер кричит конект тайм аут
2016/04/06 11:11:04 kid1| Store logging disabled
2016/04/06 11:11:04 kid1| DNS Socket created at [::], FD 9
2016/04/06 11:11:04 kid1| DNS Socket created at 0.0.0.0, FD 10
2016/04/06 11:11:04 kid1| Adding nameserver 172.20.1.1 from /etc/resolv.conf
2016/04/06 11:11:04 kid1| helperOpenServers: Starting 5/5 'ssl_crtd' processes
2016/04/06 11:11:04 kid1| HTCP Disabled.
2016/04/06 11:11:04 kid1| Finished loading MIME types and icons.
2016/04/06 11:11:04 kid1| Accepting NAT intercepted HTTP Socket connections at local=127.0.0.1:3128 remote=[::] FD 32 flags=41
2016/04/06 11:11:04 kid1| Accepting HTTP Socket connections at local=172.20.1.220:3128 remote=[::] FD 33 flags=9
Немогу понять почему нехочет переноправлять
fisher74
Может покажете все правила netfilter, а нет только свои безобразия?
sudo iptables-save
Avolon
Это на шлюзе 172.20.1.254
sudo iptables-save
# Generated by iptables-save v1.4.7 on Wed Apr 6 14:57:23 2016
*filter
:INPUT DROP [30491:2206821]
:FORWARD DROP [0:0]
:OUTPUT ACCEPT [3001:200298]
:fail2ban-SSH - [0:0]
-A INPUT -p tcp -m tcp --dport 22 -j fail2ban-SSH
-A INPUT -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
-A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
-A INPUT -d 127.0.0.1/32 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 22 -m state --state NEW -m recent --set --name DEFAULT --rsource
-A INPUT -p tcp -m tcp --dport 22 -m state --state NEW -m recent --update --seconds 180 --hitcount 5 --name DEFAULT --rsource -j DROP
-A INPUT -p tcp -m tcp --dport 223 -m state --state NEW -m recent --set --name DEFAULT --rsource
-A INPUT -p tcp -m tcp --dport 223 -m state --state NEW -m recent --update --seconds 180 --hitcount 5 --name DEFAULT --rsource -j DROP
-A INPUT -p tcp -m tcp --dport 22 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 1194 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 1195 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 1196 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 1197 -j ACCEPT
-A INPUT -d 172.20.1.254/32 -p tcp -m tcp --dport 9102 -j ACCEPT
-A INPUT -p icmp -m icmp --icmp-type any -j ACCEPT
-A INPUT -i eth0 -p udp -m udp --dport 53 -j ACCEPT
-A INPUT -d 172.20.1.254/32 -p udp -m udp --dport 53 -j ACCEPT
-A INPUT -d 172.20.2.253/32 -p udp -m udp --dport 53 -j ACCEPT
-A INPUT -i eth0 -p tcp -m tcp --dport 80 -j ACCEPT
-A INPUT -d 172.20.1.254/32 -p tcp -m tcp --dport 80 -j ACCEPT
-A INPUT -d 172.20.2.253/32 -p tcp -m tcp --dport 80 -j ACCEPT
-A INPUT -i eth0 -p udp -m udp --dport 123 -j ACCEPT
-A INPUT -d 172.20.1.254/32 -p udp -m udp --dport 123 -j ACCEPT
-A INPUT -d 172.20.2.253/32 -p udp -m udp --dport 123 -j ACCEPT
-A INPUT -d 172.20.1.254/32 -p tcp -m tcp --dport 3128 -j ACCEPT
-A INPUT -d 172.20.1.220/32 -p tcp -m tcp --dport 3128 -j ACCEPT
-A INPUT -d 172.20.1.254/32 -p tcp -m tcp --dport 3129 -j ACCEPT
-A INPUT -d 172.20.1.220/32 -p tcp -m tcp --dport 3129 -j ACCEPT
-A FORWARD -s 172.20.1.0/24 -p tcp -m multiport --dports 80 -j DROP
-A FORWARD -d 172.20.1.0/24 -p tcp -m multiport --dports 80 -j DROP
-A FORWARD -m state --state RELATED,ESTABLISHED -j ACCEPT
-A FORWARD -s 172.20.1.0/24 -j ACCEPT
-A FORWARD -d 172.20.1.0/24 -j ACCEPT
-A OUTPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
-A fail2ban-SSH -s 58.218.211.244/32 -j REJECT --reject-with icmp-port-unreachable
-A fail2ban-SSH -j RETURN
COMMIT
# Completed on Wed Apr 6 14:57:23 2016
# Generated by iptables-save v1.4.7 on Wed Apr 6 14:57:23 2016
*nat
:PREROUTING ACCEPT [2112568:147405565]
:POSTROUTING ACCEPT [163538:16241929]
:OUTPUT ACCEPT [98628:6605491]
-A PREROUTING -s 172.20.1.1/32 -p tcp -m multiport --dports 80 -j DNAT --to-destination 172.20.1.220:3128
-A PREROUTING -s 172.20.1.1/32 -p tcp -m multiport --dports 443 -j DNAT --to-destination 172.20.1.220:3129
-A POSTROUTING -o eth1 -j MASQUERADE
COMMIT
# Completed on Wed Apr 6 14:57:23 2016
fisher74
Так Вы же сами проксе закрыли интернет
-A FORWARD -s 172.20.1.0/24 -p tcp -m multiport --dports 80 -j DROP
-A FORWARD -d 172.20.1.0/24 -p tcp -m multiport --dports 80 -j DROP
Avolon
убрал нечего не изменилось ((( просто даже в access.log не пишет нечего ((((
А в ручную пропишу все ок!
fisher74
Он у Вас на этом интерефейсе и не должен быть прозначным
Сами же указали
http_port 172.20.1.220:3128
Avolon
http_port 172.20.1.220:3128 intercept
http_port 3130
Делал поразному ((
tail -f /var/log/cache.log
2016/04/06 16:57:48 kid1| Squid plugin modules loaded: 0
2016/04/06 16:57:48 kid1| Adaptation support is off.
2016/04/06 16:57:48 kid1| Store logging disabled
2016/04/06 16:57:48 kid1| DNS Socket created at [::], FD 9
2016/04/06 16:57:48 kid1| DNS Socket created at 0.0.0.0, FD 10
2016/04/06 16:57:48 kid1| Adding nameserver 172.20.1.1 from /etc/resolv.conf
2016/04/06 16:57:48 kid1| HTCP Disabled.
2016/04/06 16:57:48 kid1| Finished loading MIME types and icons.
2016/04/06 16:57:48 kid1| Accepting NAT intercepted HTTP Socket connections at local=172.20.1.220:3128 remote=[::] FD 11 flags=41
2016/04/06 16:57:48 kid1| Accepting HTTP Socket connections at local=[::]:3130 remote=[::] FD 12 flags=9
Не работает!
Пользователь добавил сообщение 06 Апреля 2016, 16:10:51:
Добился всетаки чтоб заработало !! Ща просто пишет Доступ запрещен !!
убтл route на сервере где стоит Squid
« Последнее редактирование: 06 Апреля 2016, 16:10:51 от Avolon »
fisher74
Добился всетаки чтоб заработало !! Ща просто пишет Доступ запрещен !!
Ищите почему блочит
убтл route на сервере где стоит Squid
Что? Какой route?
Avolon
сори спешил
просто там где сквид я просто убил route del -net 172.20.1.0/24
fisher74
Зачем убили? Как Вы его убили? В системе ДОЛЖЕН быть маршрут на присоединённую сеть.
Этот маршрут формируется системой автоматически при поднятии интерфейса, подключенного в эту сеть.
Такое ощущение, что Вы уже не просто топором машете не думая — вдруг попадёте?
Avolon
Вот притако route там где стоит squid
route -n
Таблица маршутизации ядра протокола IP
Destination Gateway Genmask Flags Metric Ref Use Iface
0.0.0.0 172.20.1.254 0.0.0.0 UG 0 0 0 eth0
172.20.1.0 0.0.0.0 255.255.255.0 U 0 0 0 eth0
Не зхотит работать
Даже в логе невидно чтоб поподал запрос
Но если уберустрочку route del -n 172.20.1.0/24
то плучаю
root@squid:/home/avolon# tail -f /var/log/cache.log
2016/04/07 21:52:32 kid1| DNS Socket created at [::], FD 9
2016/04/07 21:52:32 kid1| DNS Socket created at 0.0.0.0, FD 10
2016/04/07 21:52:32 kid1| Adding nameserver 172.20.1.1 from /etc/resolv.conf
2016/04/07 21:52:32 kid1| helperOpenServers: Starting 5/5 'ssl_crtd' processes
2016/04/07 21:52:32 kid1| HTCP Disabled.
2016/04/07 21:52:32 kid1| Finished loading MIME types and icons.
2016/04/07 21:52:32 kid1| Accepting NAT intercepted HTTP Socket connections at local=172.20.1.220:3128 remote=[::] FD 23 flags=41
2016/04/07 21:52:32 kid1| Accepting HTTP Socket connections at local=[::]:3130 remote=[::] FD 24 flags=9
2016/04/07 21:52:32 kid1| Accepting NAT intercepted SSL bumped HTTPS Socket connections at local=172.20.1.220:3129 remote=[::] FD 26 flags=41
2016/04/07 21:52:32 kid1| storeLateRelease: released 0 objects
2016/04/07 21:59:22 kid1| ERROR: NF getsockopt(ORIGINAL_DST) failed on local=172.20.1.220:3128 remote=172.20.1.1:54169 FD 7 flags=33: (92) Protocol not available
2016/04/07 21:59:22 kid1| ERROR: NAT/TPROXY lookup failed to locate original IPs on local=172.20.1.220:3128 remote=172.20.1.1:54169 FD 7 flags=33
2016/04/07 21:59:23 kid1| ERROR: NF getsockopt(ORIGINAL_DST) failed on local=172.20.1.220:3128 remote=172.20.1.1:54170 FD 7 flags=33: (92) Protocol not available
2016/04/07 21:59:23 kid1| ERROR: NAT/TPROXY lookup failed to locate original IPs on local=172.20.1.220:3128 remote=172.20.1.1:54170 FD 7 flags=33
2016/04/07 21:59:23 kid1| ERROR: NF getsockopt(ORIGINAL_DST) failed on local=172.20.1.220:3128 remote=172.20.1.1:54172 FD 7 flags=33: (92) Protocol not available
2016/04/07 21:59:23 kid1| ERROR: NAT/TPROXY lookup failed to locate original IPs on local=172.20.1.220:3128 remote=172.20.1.1:54172 FD 7 flags=33
2016/04/07 21:59:26 kid1| ERROR: NF getsockopt(ORIGINAL_DST) failed on local=172.20.1.220:3128 remote=172.20.1.1:54178 FD 7 flags=33: (92) Protocol not available
2016/04/07 21:59:26 kid1| ERROR: NAT/TPROXY lookup failed to locate original IPs on local=172.20.1.220:3128 remote=172.20.1.1:54178 FD 7 flags=33
2016/04/07 21:59:26 kid1| ERROR: NF getsockopt(ORIGINAL_DST) failed on local=172.20.1.220:3128 remote=172.20.1.1:54179 FD 7 flags=33: (92) Protocol not available
2016/04/07 21:59:26 kid1| ERROR: NAT/TPROXY lookup failed to locate original IPs on local=172.20.1.220:3128 remote=172.20.1.1:54179 FD 7 flags=33
2016/04/07 21:59:26 kid1| ERROR: NF getsockopt(ORIGINAL_DST) failed on local=172.20.1.220:3128 remote=172.20.1.1:54180 FD 7 flags=33: (92) Protocol not available
2016/04/07 21:59:26 kid1| ERROR: NAT/TPROXY lookup failed to locate original IPs on local=172.20.1.220:3128 remote=172.20.1.1:54180 FD 7 flags=33
2016/04/07 21:59:27 kid1| ERROR: NF getsockopt(ORIGINAL_DST) failed on local=172.20.1.220:3128 remote=172.20.1.1:54182 FD 7 flags=33: (92) Protocol not available
« Последнее редактирование: 07 Апреля 2016, 21:00:45 от Avolon »
fisher74
ip ; ip r
с этой машины покажите
а заодно
sudo iptables-save
только после перезагрузки — без Вашего вмешательства.
Avolon
ip r
root@squid:/home/avolon# ip r
default via 172.20.1.254 dev eth0
172.20.1.0/24 dev eth0 proto kernel scope link src 172.20.1.220
root@squid:/home/avolon#
iptables-save
iptables-save
# Generated by iptables-save v1.4.21 on Fri Apr 8 10:20:33 2016
*filter
:INPUT ACCEPT [20946:1696308]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [301:24769]
COMMIT
# Completed on Fri Apr 8 10:20:33 2016
Это после reboot
Не работает не как!
fisher74
Так, здесь ничего не трогайте. Здесь всё замечательно.
Как я понял текущую проблему, «прозрачный» трафик не идёт на прокси. Если в браузере задать прокси вручную, то всё работает.
Ещё раз покажите текущий конфиг кальмара:
sudo grep -v "^#|^$" /etc/squid*/squid.conf
С шлюза
ip a; ip r
sudo iptables-save
И не плохо было бы ip a;ip r с клиента
Avolon
sudo grep -v «^#|^$» /etc/squid*/squid.conf
sudo grep -v "^#|^$" /etc/squid*/squid.conf
visible_hostname proxy
acl localnet src 172.20.1.0/24
acl SSL_ports port 443
acl Safe_ports port 80 # http
acl Safe_ports port 21 # ftp
acl Safe_ports port 443 # https
acl Safe_ports port 70 # gopher
acl Safe_ports port 210 # wais
acl Safe_ports port 1025-65535 # unregistered ports
acl Safe_ports port 280 # http-mgmt
acl Safe_ports port 488 # gss-http
acl Safe_ports port 591 # filemaker
acl Safe_ports port 777 # multiling http
acl CONNECT method CONNECT
acl lan src "/etc/squid/lan.acl"
http_access allow lan
http_access allow localnet
http_access allow localhost
http_access deny !Safe_ports
http_access deny CONNECT !SSL_ports
http_access allow localhost manager
http_access deny manager
http_access deny to_localhost
http_access deny all
http_port 172.20.1.220:3128 intercept
http_port 127.0.0.1:3128
https_port 172.20.1.220:3129 intercept ssl-bump generate-host-certificates=on dynamic_cert_mem_cache_size=4MB cert=/etc/squid/ssl/squid.pem key=/etc/squid/ssl/squid.key
cache_dir ufs /var/cache/squid 100 16 256
always_direct allow all
ssl_bump client-first all
sslproxy_cert_error allow all
sslproxy_flags DONT_VERIFY_PEER
sslcrtd_program /lib/squid/ssl_crtd -s /var/lib/ssl-db -M 4MB
sslcrtd_children 5
coredump_dir /var/cache/squid
refresh_pattern ^ftp: 1440 20% 10080
refresh_pattern ^gopher: 1440 0% 1440
refresh_pattern -i (/cgi-bin/|?) 0 0% 0
refresh_pattern . 0 20% 4320
Пользователь добавил сообщение 08 Апреля 2016, 09:39:07:
Клиентт на Винеде !
iptables-save
iptables-save
# Generated by iptables-save v1.4.7 on Fri Apr 8 09:55:55 2016
*filter
:INPUT DROP [290613:23382432]
:FORWARD DROP [14:1064]
:OUTPUT ACCEPT [31235:2116321]
:fail2ban-SSH - [0:0]
-A INPUT -p tcp -m tcp --dport 22 -j fail2ban-SSH
-A INPUT -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
-A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
-A INPUT -d 127.0.0.1/32 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 22 -m state --state NEW -m recent --set --name DEFAULT --rsource
-A INPUT -p tcp -m tcp --dport 22 -m state --state NEW -m recent --update --seconds 180 --hitcount 5 --name DEFAULT --rsource -j DROP
-A INPUT -p tcp -m tcp --dport 223 -m state --state NEW -m recent --set --name DEFAULT --rsource
-A INPUT -p tcp -m tcp --dport 223 -m state --state NEW -m recent --update --seconds 180 --hitcount 5 --name DEFAULT --rsource -j DROP
-A INPUT -p tcp -m tcp --dport 22 -j ACCEPT
-A INPUT -p icmp -m icmp --icmp-type any -j ACCEPT
-A INPUT -i eth0 -p udp -m udp --dport 53 -j ACCEPT
-A INPUT -d 172.20.1.254/32 -p udp -m udp --dport 53 -j ACCEPT
-A INPUT -d 172.20.2.253/32 -p udp -m udp --dport 53 -j ACCEPT
-A INPUT -i eth0 -p tcp -m tcp --dport 80 -j ACCEPT
-A INPUT -d 172.20.1.254/32 -p tcp -m tcp --dport 80 -j ACCEPT
-A INPUT -d 172.20.2.253/32 -p tcp -m tcp --dport 80 -j ACCEPT
-A INPUT -i eth0 -p udp -m udp --dport 123 -j ACCEPT
-A INPUT -d 172.20.1.254/32 -p udp -m udp --dport 123 -j ACCEPT
-A INPUT -d 172.20.2.253/32 -p udp -m udp --dport 123 -j ACCEPT
-A INPUT -d 172.20.1.254/32 -p tcp -m tcp --dport 3128 -j ACCEPT
-A INPUT -d 172.20.1.220/32 -p tcp -m tcp --dport 3128 -j ACCEPT
-A INPUT -d 172.20.1.254/32 -p tcp -m tcp --dport 3129 -j ACCEPT
-A INPUT -d 172.20.1.220/32 -p tcp -m tcp --dport 3129 -j ACCEPT
-A FORWARD -s 172.20.1.220/32 -j ACCEPT
-A FORWARD -d 172.20.1.220/32 -j ACCEPT
-A FORWARD -s 172.20.1.1/32 -j ACCEPT
-A FORWARD -d 172.20.1.1/32 -j ACCEPT
-A FORWARD -m state --state RELATED,ESTABLISHED -j ACCEPT
-A FORWARD -s 172.20.1.0/24 -j ACCEPT
-A FORWARD -d 172.20.1.0/24 -j ACCEPT
-A OUTPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
-A fail2ban-SSH -j RETURN
COMMIT
# Completed on Fri Apr 8 09:55:55 2016
# Generated by iptables-save v1.4.7 on Fri Apr 8 09:55:55 2016
*nat
:PREROUTING ACCEPT [3873582:246581099]
:POSTROUTING ACCEPT [439123:27563602]
:OUTPUT ACCEPT [50000:3457078]
-A PREROUTING -s 172.20.1.1/32 -p tcp -m multiport --dports 80 -j DNAT --to-destination 172.20.1.220:3128
-A PREROUTING -s 172.20.1.1/32 -p tcp -m multiport --dports 443 -j DNAT --to-destination 172.20.1.220:3129
-A POSTROUTING -o eth1 -j MASQUERADE
COMMIT
# Completed on Fri Apr 8 09:55:55 2016
« Последнее редактирование: 08 Апреля 2016, 10:01:16 от Avolon »
- Печать
Страницы: [1] 2 Все Вверх
Good Day All,
i’m new to squid and i have configured squid as an http transparent proxy with a mikrotik.
the squid server has only a single NIC, so i followed a tutorial and set up a dst-nat to squid proxy for traffic on port 80,
Chain:dstnat.
Protocol:tcp
Dst-port:80
Action:dst-nat
To Addresses:192.168.2.2 (squid proxy)
To ports:8080
but after setup, only https traffic works correctly,
http traffic client error is «This page isn’t working ERR_EMPTY_RESPONSE»
squid access.log is empty then in squid cache.log these are the errors
«`
please find below my squid.conf contents
«`
acl localnet src 192.168.1.0/24
acl SSL_ports port 443
acl Safe_ports port 80
acl Safe_ports port 21
acl Safe_ports port 443
acl Safe_ports port 70
acl Safe_ports port 210
acl Safe_ports port 1025-65535
acl Safe_ports port 280
acl Safe_ports port 488
acl Safe_ports port 591
acl Safe_ports port 777
acl CONNECT method CONNECT
icap_enable off
icap_service service_req reqmod_precache 1 icap://127.0.0.1:1344/REQMOD
adaptation_service_set class_req service_req
adaptation_access class_req allow all
icap_service service_resp respmod_precache 0 icap://127.0.0.1:1344/RESPMOD
adaptation_service_set class_resp service_resp
adaptation_access class_resp allow all
http_access deny !Safe_ports
http_access deny CONNECT !SSL_ports
http_access allow localhost manager
http_access deny manager
http_access deny to_localhost
http_access allow localnet
http_access allow localhost
http_access allow all
http_port 3128
http_port 8080 transparent
access_log daemon:/var/log/squid/access.log squid
coredump_dir /var/spool/squid
refresh_pattern ^ftp: 1440 20% 10080
refresh_pattern ^gopher: 1440 0% 1440
refresh_pattern -i (/cgi-bin/|?) 0 0% 0
refresh_pattern (Release|Packages(.gz)*)$ 0 20% 2880
refresh_pattern . 0 20% 4320
«`
please any help or correction would be highly appreciated, i am not even sure if the approach is correct.
_______________________________________________ squid-users mailing list squid-users@xxxxxxxxxxxxxxxxxxxxx http://lists.squid-cache.org/listinfo/squid-users
Пытаюсь настроить прозрачный прокси. Почитал гайды, вроде настроил, но не работает, интерфейсы пингуются. Прошу помочь в настройке. Прикладываю настройки squid, лог работы, настройки интерфейсов.
squid.conf
#Разрешаем доступ из своей сети
acl localnet src 10.86.0.0/24
acl localnet src 192.168.0.0/24
#Набор правил для доступа
acl SSL_ports port 443
acl Safe_ports port 80 # http
acl Safe_ports port 21 # ftp
acl Safe_ports port 443 # https
acl Safe_ports port 70 # gopher
acl Safe_ports port 210 # wais
acl Safe_ports port 1025-65535 # unregistered ports
acl Safe_ports port 280 # http-mgmt
acl Safe_ports port 488 # gss-http
acl Safe_ports port 591 # filemaker
acl Safe_ports port 777 # multiling http
acl CONNECT method CONNECT
# HTTP доступ
http_access deny !Safe_ports
http_access deny CONNECT !SSL_ports
http_access allow localhost manager
http_access deny manager
http_access allow localhost
http_access deny all
# Порт и IP-адрес сервера
http_port 3128 intercept
http_port 192.168.2.1:3128 transparent
# Допустимый обьем памяти ОЗУ
cache_mem 1024 MB
# Максимальный и минимальный размер кэшируемого файла
maximum_object_size_in_memory 512 KB
maximum_object_size 4 MB
# Директория кэша и размер
cache_dir ufs /var/spool/squid 2048 16 256
# Делаем прокси анонимным
via off
forwarded for deleteinterfaces
# This file describes the network interfaces available on your system
# and how to activate them. For more information, see interfaces(5).
source /etc/network/interfaces.d/*
# The loopback network interface
auto lo
iface lo inet loopback
# WAN Interface
auto enp3s2
iface enp3s2 inet static
address 10.86.0.18
netmask 255.255.255.0
gateway 192.168.0.1
# LAN Interface
auto enp1s0
iface enp1s0 inet static
address 192.168.2.1
netmask 255.255.255.0
post -up /etc/natnat
echo 1 > /proc/sys/net/ipv4/ip_forward
iptables -A INPUT -i lo -j ACCEPT
iptables -A FORWARD -i enp1s0 -o enp3s2 -j ACCEPT
iptables -t nat -A POSTROUTING -o enp3s2 -s 10.86.0.0/24 -j MASQUERADE
iptables -A FORWARD -i enp3s2 -m state --state ESTABLISHED, RELATED -j ACCEPT
iptables -A FORWARD -i enp3s2 -o enp1s0 -j REJECT
iptables -t nat -A PREROUTING -i enp1s0 ! -d 10.86.0.0/24 -p tcp -m multiport --dport 80,8080 -j DNAT --to 192.168.2.1:3128log
2016/09/20 16:22:56 kid1| Adaptation support is off.
2016/09/20 16:22:56 kid1| Accepting NAT intercepted HTTP Socket connections at local=[::]:3128 remote=[::] FD 17 flags=41
2016/09/20 16:22:56 kid1| Done reading /var/spool/squid swaplog (0 entries)
2016/09/20 16:22:56 kid1| Store rebuilding is 0.00% complete
2016/09/20 16:22:56 kid1| Finished rebuilding storage from disk.
2016/09/20 16:22:56 kid1| 0 Entries scanned
2016/09/20 16:22:56 kid1| 0 Invalid entries.
2016/09/20 16:22:56 kid1| 0 With invalid flags.
2016/09/20 16:22:56 kid1| 0 Objects loaded.
2016/09/20 16:22:56 kid1| 0 Objects expired.
2016/09/20 16:22:56 kid1| 0 Objects cancelled.
2016/09/20 16:22:56 kid1| 0 Duplicate URLs purged.
2016/09/20 16:22:56 kid1| 0 Swapfile clashes avoided.
2016/09/20 16:22:56 kid1| Took 0.06 seconds ( 0.00 objects/sec).
2016/09/20 16:22:56 kid1| Beginning Validation Procedure
2016/09/20 16:22:56| pinger: Initialising ICMP pinger ...
2016/09/20 16:22:56| pinger: ICMP socket opened.
2016/09/20 16:22:56| pinger: ICMPv6 socket opened
2016/09/20 16:22:56 kid1| Completed Validation Procedure
2016/09/20 16:22:56 kid1| Validated 0 Entries
2016/09/20 16:22:56 kid1| store_swap_size = 0.00 KB
2016/09/20 16:22:56 kid1| ERROR: No forward-proxy ports configured.
2016/09/20 16:22:57 kid1| storeLateRelease: released 0 objects
2016/09/20 16:32:52 kid1| ERROR: NF getsockopt(ORIGINAL_DST) failed on local=192.168.2.1:3128 remote=192.168.2.24:57805 FD 12 flags$
2016/09/20 16:32:52 kid1| ERROR: NAT/TPROXY lookup failed to locate original IPs on local=192.168.2.1:3128 remote=192.168.2.24:5780$
2016/09/20 16:32:52 kid1| ERROR: NF getsockopt(ORIGINAL_DST) failed on local=192.168.2.1:3128 remote=192.168.2.24:57807 FD 12 flags$
2016/09/20 16:32:52 kid1| ERROR: NAT/TPROXY lookup failed to locate original IPs on local=192.168.2.1:3128 remote=192.168.2.24:5780$
2016/09/20 16:32:52 kid1| ERROR: NF getsockopt(ORIGINAL_DST) failed on local=192.168.2.1:3128 remote=192.168.2.24:57809 FD 12 flags$
2016/09/20 16:32:52 kid1| ERROR: NAT/TPROXY lookup failed to locate original IPs on local=192.168.2.1:3128 remote=192.168.2.24:5780$
2016/09/20 16:32:52 kid1| ERROR: NF getsockopt(ORIGINAL_DST) failed on local=192.168.2.1:3128 remote=192.168.2.24:57811 FD 12 flags$
2016/09/20 16:32:52 kid1| ERROR: NAT/TPROXY lookup failed to locate original IPs on local=192.168.2.1:3128 remote=192.168.2.24:5781$
2016/09/20 16:33:12 kid1| ERROR: NF getsockopt(ORIGINAL_DST) failed on local=192.168.2.1:3128 remote=192.168.2.24:57880 FD 12 flags$
2016/09/20 16:33:12 kid1| ERROR: NAT/TPROXY lookup failed to locate original IPs on local=192.168.2.1:3128 remote=192.168.2.24:5788$
2016/09/20 16:33:12 kid1| ERROR: NF getsockopt(ORIGINAL_DST) failed on local=192.168.2.1:3128 remote=192.168.2.24:57879 FD 12 flags$
2016/09/20 16:33:12 kid1| ERROR: NAT/TPROXY lookup failed to locate original IPs on local=192.168.2.1:3128 remote=192.168.2.24:5787$
2016/09/20 16:33:12 kid1| ERROR: NF getsockopt(ORIGINAL_DST) failed on local=192.168.2.1:3128 remote=192.168.2.24:57882 FD 12 flags$
2016/09/20 16:33:12 kid1| ERROR: NAT/TPROXY lookup failed to locate original IPs on local=192.168.2.1:3128 remote=192.168.2.24:5788$
2016/09/20 16:33:12 kid1| ERROR: NF getsockopt(ORIGINAL_DST) failed on local=192.168.2.1:3128 remote=192.168.2.24:57884 FD 12 flags$
2016/09/20 16:33:12 kid1| ERROR: NAT/TPROXY lookup failed to locate original IPs on local=192.168.2.1:3128 remote=192.168.2.24:5788$
2016/09/20 16:33:17 kid1| ERROR: NAT/TPROXY lookup failed to locate original IPs on local=192.168.2.1:3128 remote=192.168.2.24:5788$
2016/09/20 16:33:23 kid1| ERROR: NF getsockopt(ORIGINAL_DST) failed on local=192.168.2.1:3128 remote=192.168.2.24:57888 FD 12 flags$
2016/09/20 16:33:23 kid1| ERROR: NAT/TPROXY lookup failed to locate original IPs on local=192.168.2.1:3128 remote=192.168.2.24:5788$
2016/09/20 16:33:38 kid1| ERROR: NF getsockopt(ORIGINAL_DST) failed on local=10.86.0.18:3128 remote=10.86.0.24:57891 FD 12 flags=33$
2016/09/20 16:33:38 kid1| ERROR: NAT/TPROXY lookup failed to locate original IPs on local=10.86.0.18:3128 remote=10.86.0.24:57891 F$
2016/09/20 16:33:38 kid1| ERROR: NF getsockopt(ORIGINAL_DST) failed on local=10.86.0.18:3128 remote=10.86.0.24:57892 FD 12 flags=33$
2016/09/20 16:33:38 kid1| ERROR: NAT/TPROXY lookup failed to locate original IPs on local=10.86.0.18:3128 remote=10.86.0.24:57892 F$
2016/09/20 16:33:38 kid1| ERROR: NF getsockopt(ORIGINAL_DST) failed on local=10.86.0.18:3128 remote=10.86.0.24:57894 FD 12 flags=33$
2016/09/20 16:33:38 kid1| ERROR: NAT/TPROXY lookup failed to locate original IPs on local=10.86.0.18:3128 remote=10.86.0.24:57894 F$
2016/09/20 16:33:39 kid1| ERROR: NF getsockopt(ORIGINAL_DST) failed on local=10.86.0.18:3128 remote=10.86.0.24:57896 FD 12 flags=33$
2016/09/20 16:33:39 kid1| ERROR: NAT/TPROXY lookup failed to locate original IPs on local=10.86.0.18:3128 remote=10.86.0.24:57896 F$
2016/09/20 16:33:44 kid1| ERROR: NF getsockopt(ORIGINAL_DST) failed on local=10.86.0.18:3128 remote=10.86.0.24:57900 FD 12 flags=33$
2016/09/20 16:33:44 kid1| ERROR: NAT/TPROXY lookup failed to locate original IPs on local=10.86.0.18:3128 remote=10.86.0.24:57900 F$
2016/09/20 16:36:23 kid1| Preparing for shutdown after 0 requests
2016/09/20 16:36:23 kid1| Waiting 30 seconds for active connections to finish
2016/09/20 16:36:23 kid1| Closing HTTP port [::]:3128
2016/09/20 16:36:23 kid1| Closing HTTP port 192.168.2.1:3128
2016/09/20 16:36:23 kid1| Closing Pinger socket on FD 20
2016/09/20 16:36:37| Pinger exiting.
2016/09/20 16:36:54 kid1| Shutdown: NTLM authentication.
2016/09/20 16:36:54 kid1| Shutdown: Negotiate authentication.
2016/09/20 16:36:54 kid1| Shutdown: Digest authentication.
2016/09/20 16:36:54 kid1| Shutdown: Basic authentication.
2016/09/20 16:36:54 kid1| Shutting down...
2016/09/20 16:36:54 kid1| Closing unlinkd pipe on FD 14
2016/09/20 16:36:54 kid1| storeDirWriteCleanLogs: Starting...
2016/09/20 16:36:54 kid1| Finished. Wrote 0 entries.
2016/09/20 16:36:54 kid1| Took 0.00 seconds ( 0.00 entries/sec).
CPU Usage: 0.120 seconds = 0.056 user + 0.064 sys
Maximum Resident Size: 108768 KB
Page faults with physical i/o: 1
2016/09/20 16:36:54 kid1| Logfile: closing log daemon:/var/log/squid/access.log
2016/09/20 16:36:54 kid1| Logfile Daemon: closing log daemon:/var/log/squid/access.log
2016/09/20 16:36:54 kid1| Open FD UNSTARTED 6 DNS Socket IPv6
2016/09/20 16:36:54 kid1| Open FD UNSTARTED 8 DNS Socket IPv4
2016/09/20 16:36:54 kid1| Open FD UNSTARTED 9 IPC UNIX STREAM Parent
2016/09/20 16:36:54 kid1| Squid Cache (Version 3.5.12): Exiting normally.
На момент настройки, оборудование размещается так: