請(qǐng)教：透明網(wǎng)橋模式下squid無效?

懷戀在子夜

非網(wǎng)橋模式下squid能成功攔截http包,如下：

外網(wǎng)---eth0(10.10.151.210)---eth1(192.168.0.1)---內(nèi)網(wǎng)

iptables -t nat -A POSTROUTING -s 192.168.0.0/24 -o eth0 -j SNAT --to 10.10.151.210
iptables -t nat -A PREROUTING -d 192.168.0.0/24 -i eth1 -p tcp --dport 80 -j REDIRECT --to-ports 3128

acl client2 src 192.168.0.128/32
http_access deny client2
有效，access.log有記錄，netstate能看到N多squid連接。

但是透明網(wǎng)橋下一樣的配置，squid卻無效：

外網(wǎng)---[eth0-bridge-eth1]---內(nèi)網(wǎng)

echo "1" > /proc/sys/net/ipv4/ip_forward
iptables -t nat -A PREROUTING -s 192.168.0.0/24 -i eth1 -p tcp --dport 80 -j REDIRECT --to-ports 3128
網(wǎng)橋自動(dòng)轉(zhuǎn)發(fā)，不需要SNAT了吧
這個(gè)access.log為空，netsate能看到squid一直在listen，沒有一個(gè)已經(jīng)存在的連接，就是說squid根本沒有攔截到http包，iptables錯(cuò)了還是squid配置問題?

[ 本帖最后由 懷戀在子夜 于 2008-7-31 18:04 編輯 ]

懷戀在子夜

原帖由 懷戀在子夜 于 2008-7-31 17:59 發(fā)表


外網(wǎng)---[eth0-bridge-eth1]---內(nèi)網(wǎng)

echo "1" > /proc/sys/net/ipv4/ip_forward
iptables -t nat -A PREROUTING -s 192.168.0.0/24 -i eth1 -p tcp --dport 80 -j REDIRECT --to-ports 3128

OK，成功。
bridge需要配一個(gè)地址，接受數(shù)據(jù)包，這樣netstate就能看到squid的連接了，不然只能用netstate -a看到*:squid *:*了
關(guān)于網(wǎng)橋，目前參考
透明防火墻架設(shè)的完全攻略（bridge＋iptables＋squid)
http://www.elook.net.cn/cms/Site ... Linux312/43520.html
需要如下(具體意思還要研究一下)：
brctl sethello br0 1
brctl setmaxage br0 4
brctl setfd br0 4
ifconfig br0 192.168.0.120 broadcast 192.168.0.255 promisc up
route add default gw 192.168.0.1 netmask 0.0.0.0 metric 1

然后就是：

echo "1" > /proc/sys/net/ipv4/ip_forward
iptables -t nat -A PREROUTING -s 192.168.0.0/24 -i eth1 -p tcp --dport 80 -j REDIRECT --to-ports 3128

即可。