<div dir="ltr"><div><div><div><div>Hi Uenal, <br><br></div>I tried the steps that you specified but that didn&#39;t help. I already had most of the steps except the one for the nonlocal bind. But I still don&#39;t see any packets getting to squid. <br><br></div>Can someone explain to me what the following two command are suppose to achieve? I am a little confused on that. I think the second command especially is not correct for my setup, because as soon as I issue it all HTTP traffic stops from getting to the internet. <br><br>ip -f inet rule add fwmark 111 lookup 100<br>ip -f inet route add local default dev lo table 100<br><br></div>Thanks,<br></div>Carvaka<br></div><div class="gmail_extra"><br><div class="gmail_quote">On Thu, Feb 26, 2015 at 12:03 PM, U.Mutlu <span dir="ltr">&lt;<a href="mailto:for-forums@mutluit.com" target="_blank">for-forums@mutluit.com</a>&gt;</span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">Hello,<br>
<br>
did you do these steps on the tproxy-host? :<br>
<br>
do_set_as_router()<br>
{<br>
  for f in /proc/sys/net/ipv4/conf/*/rp_filter ; do echo 0 &gt;$f ; done<br>
  echo 1 &gt;/proc/sys/net/ipv4/ip_forward<br>
  for f in /proc/sys/net/ipv4/conf/*/forwarding ; do echo 1 &gt;$f ; done<br>
  echo 1 &gt;/proc/sys/net/ipv4/ip_nonlocal_bind<br>
  for f in /proc/sys/net/ipv4/conf/*/send_redirects ; do echo 1 &gt;$f ; done<br>
  for f in /proc/sys/net/ipv4/conf/*/proxy_arp ; do echo 1 &gt;$f ; done<br>
}<br>
<br>
cu<br>
Uenal<br>
<br>
<br>
Carvaka Guru wrote, On 02/25/2015 08:40 PM:<br>
<div class="HOEnZb"><div class="h5">&gt; Yes, I did and tried the recommendations there too but that is a much more<br>
&gt; complicated setup.<br>
&gt;<br>
&gt; Mine is a simple setup where I have a client PC (192.168.25.107) connected<br>
&gt; directly to my linux firewall router on eth1 (192.168.25.1). The eth0<br>
&gt; (10.1.20.204) of the router is connected to the internet.<br>
&gt;<br>
&gt; Router has -<br>
&gt; 1. squid3 3.4.8<br>
&gt; 2. iptables 1.4.14<br>
&gt; 3. libcap2<br>
&gt; 4. libcap2-dev<br>
&gt;<br>
&gt; Squid config has the directive -<br>
&gt; http_port 3128 tproxy<br>
&gt;<br>
&gt; iptables is setup with the following directives -<br>
&gt;<br>
&gt; iptables -P INPUT ACCEPT<br>
&gt; iptables -P FORWARD ACCEPT<br>
&gt; iptables -P OUTPUT ACCEPT<br>
&gt;<br>
&gt; iptables -t nat -A POSTROUTING -o eth0 MASQUERADE<br>
&gt;<br>
&gt; iptables -t mangle -N DIVERT<br>
&gt; iptables -t mangle -A DIVERT -j MARK --set-mark 111<br>
&gt; iptables -t mangle -A DIVERT -j ACCEPT<br>
&gt; iptables  -t mangle -A PREROUTING -p tcp --match socket -j DIVERT<br>
&gt;<br>
&gt; iptables -t mangle -A PREROUTING -p tcp --match multiport --dport<br>
&gt; http,http-alt -j TPROXY --on-port 3128 --tproxy-mark 111<br>
&gt;<br>
&gt; routing config is -<br>
&gt; ip -f inet rule add fwmark 111 lookup 100<br>
&gt; ip -f inet route add local default dev lo table 100<br>
&gt;<br>
&gt; The moment I add the second line (ip route), all HTTP traffic gets<br>
&gt; black-holed. Not sure where it is going.<br>
&gt;<br>
&gt; I have enabled logging in Squid &quot;ALL,2&quot; which usually shows detailed<br>
&gt; traffic traversing through squid but with this setup, nothing!<br>
&gt;<br>
&gt;<br>
&gt;<br>
&gt;<br>
&gt; On Wed, Feb 25, 2015 at 1:03 PM, Eliezer Croitoru &lt;<a href="mailto:eliezer@ngtech.co.il">eliezer@ngtech.co.il</a>&gt;<br>
&gt; wrote:<br>
&gt;<br>
&gt;&gt; Hey Carvaka,<br>
&gt;&gt;<br>
&gt;&gt; Did you had the chance to read this article:<br>
&gt;&gt; <a href="http://wiki.squid-cache.org/ConfigExamples/UbuntuTproxy4Wccp2" target="_blank">http://wiki.squid-cache.org/ConfigExamples/UbuntuTproxy4Wccp2</a><br>
&gt;&gt;<br>
&gt;&gt; Thanks,<br>
&gt;&gt; Eliezer<br>
&gt;&gt;<br>
&gt;&gt; On 25/02/2015 19:15, Carvaka Guru wrote:<br>
&gt;&gt;&gt; I am building a simple linux firewall router with eth1 LAN port and eth0<br>
&gt;&gt;&gt; WAN port. I have squid3 running on it that I have built with netfilter<br>
&gt;&gt;&gt; enabled. The linux version running on the firewall is debian wheezy which<br>
&gt;&gt;&gt; has iptables with TPROXY and socket support.<br>
&gt;&gt;&gt;<br>
&gt;&gt;&gt; By setting up the iptables to send traffic to squid3 using the original<br>
&gt;&gt; nat<br>
&gt;&gt;&gt; prerouting REDIRECT method everything works fine but I can&#39;t get the<br>
&gt;&gt; TPROXY<br>
&gt;&gt;&gt; method to work. I followed all the steps outlined in<br>
&gt;&gt;&gt; <a href="http://wiki.squid-cache.org/Features/Tproxy4" target="_blank">http://wiki.squid-cache.org/Features/Tproxy4</a>  but no traffic gets to<br>
&gt;&gt; squid3.<br>
&gt;&gt;&gt; In fact all HTTP traffic goes into some hole as soon as I issue the<br>
&gt;&gt;&gt; followng two routing commands -<br>
&gt;&gt;&gt;<br>
&gt;&gt;&gt; ip rule add fwmark 1 lookup 100<br>
&gt;&gt;&gt; ip route add local <a href="http://0.0.0.0/0" target="_blank">0.0.0.0/0</a> dev lo table 100<br>
&gt;&gt;&gt;<br>
&gt;&gt;&gt; Without these two commands the HTTP traffic goes through but never gets<br>
&gt;&gt;&gt; routed to squid3.<br>
&gt;&gt;&gt;<br>
&gt;&gt;&gt; I think the &quot;ip route&quot; command is the culprit but I don&#39;t know why or<br>
&gt;&gt; what<br>
&gt;&gt;&gt; to change it to?<br>
&gt;&gt;&gt;<br>
&gt;&gt;&gt; Any suggestions, help would be much appreciated.<br>
&gt;&gt;&gt;<br>
&gt;&gt;&gt; Thanks,<br>
&gt;&gt;&gt; carvaka<br>
&gt;&gt;&gt;<br>
&gt;&gt;<br>
&gt;&gt;<br>
&gt;&gt; _______________________________________________<br>
&gt;&gt; tproxy mailing list<br>
&gt;&gt; <a href="mailto:tproxy@lists.balabit.hu">tproxy@lists.balabit.hu</a><br>
&gt;&gt; <a href="https://lists.balabit.hu/mailman/listinfo/tproxy" target="_blank">https://lists.balabit.hu/mailman/listinfo/tproxy</a><br>
&gt;&gt;<br>
&gt;<br>
&gt;<br>
&gt;<br>
&gt; _______________________________________________<br>
&gt; tproxy mailing list<br>
&gt; <a href="mailto:tproxy@lists.balabit.hu">tproxy@lists.balabit.hu</a><br>
&gt; <a href="https://lists.balabit.hu/mailman/listinfo/tproxy" target="_blank">https://lists.balabit.hu/mailman/listinfo/tproxy</a><br>
&gt;<br>
<br>
_______________________________________________<br>
tproxy mailing list<br>
<a href="mailto:tproxy@lists.balabit.hu">tproxy@lists.balabit.hu</a><br>
<a href="https://lists.balabit.hu/mailman/listinfo/tproxy" target="_blank">https://lists.balabit.hu/mailman/listinfo/tproxy</a><br>
</div></div></blockquote></div><br></div>