https://www.opennet.ru/openforum/vsluhforumID12/7136.html День добрый. Ситуация следующая. <br>Есть отдельно стоящий компьютер, ip 10.10.0.3/24, gateway 10.10.0.2. Больше на нем ничего не настроено, ни dns, ни proxy, только эти параметры. <br>Этим интерфейсом он смотрит на сервер с установленным Squid. У Squid две сетевые карты - одна ip 10.10.0.2/24, вторая 192.168.1.222/22, смотрит в локальную сеть с интернетом и вторым Squid в ней. <br>Вот squid.conf<br><br>[code]<br>dns_nameservers 192.168.0.122 192.168.0.10<br>dns_v4_first on<br>shutdown_lifetime 10 seconds<br>coredump_dir /usr/local/squid<br>visible_hostname serv.altest.net<br>tcp_outgoing_address 192.168.1.222<br>cache_peer 192.168.0.162 parent 3128 0 proxy-only no-query default<br>never_direct allow all<br>#ICAP SECTION<br>icap_enable on<br>icap_service_failure_limit 500<br>icap_service_revival_delay 30<br>icap_service Zgate_ICAP_Proxy reqmod_precache bypass=0 icap://192.168.0.231:1344/reqmod<br>icap_service Zgate_ICAP_Logger respmod_precache routing=1 icap://192.168.0.231:1344/respmod<br>icap_send_client_ip on<br>icap_send_client_username on<br>adapt https://www.opennet.ru/openforum/vsluhforumID12/7136.html#7 Fri, 19 Sep 2014 08:09:55 GMT &gt;&gt; tcp_outgoing_address 192.168.1.222 <br>&gt; С этого интерфейса Squid отправляет запросы <br>&gt;&gt; cache_peer 192.168.0.162 parent 3128 0 proxy-only no-query default <br>&gt; Как у вас пакеты из х.х.1.х попадают в х.х.0.х?<br><br>там маска 22. <br> https://www.opennet.ru/openforum/vsluhforumID12/7136.html#6 Fri, 19 Sep 2014 07:29:23 GMT &gt; tcp_outgoing_address 192.168.1.222 <br><br>С этого интерфейса Squid отправляет запросы<br>&gt; cache_peer 192.168.0.162 parent 3128 0 proxy-only no-query default <br><br>Как у вас пакеты из х.х.1.х попадают в х.х.0.х?<br> https://www.opennet.ru/openforum/vsluhforumID12/7136.html#5 Fri, 19 Sep 2014 05:13:38 GMT &gt;&gt; SECURITY ALERT: Host header forgery detected on local=10.10.0.2:3128 remote=10.10.0.3:2368 <br>&gt;&gt; FD 11 flags=33 (intercepted port does not match 443) <br>&gt; Может, все порты на ssl-bump-прозрачный порт завернул, может, непрозрачно настроенным <br>&gt; броузером на прозрачный порт пошёл, может ещё чего, кто ж его <br>&gt; знает.<br><br>Ок. <br>Поправил squid.conf дабы не бампить SSl<br>[code]<br>http_port 127.0.0.1:3129<br>http_port 127.0.0.1:3128 intercept<br>[/code]<br>Все просто и прозрачно.<br>Все равно не пускает. На https ругается в cache.loc так<br>[code]<br>2014/09/19 09:06:24.647 kid1&#124; SECURITY ALERT: Host header forgery detected on local=192.168.1.222:3128 remote=10.10.0.3:2545 FD 12 flags=33 (intercepted port does not match 443)<br>2014/09/19 09:06:24.647 kid1&#124; SECURITY ALERT: By user agent: Mozilla/5.0 (Windows NT 5.1; rv:32.0) Gecko/20100101 Firefox/32.0<br>2014/09/19 09:06:24.647 kid1&#124; SECURITY ALERT: on URL: mail.ru:443<br>2014/09/19 09:06:24.647 kid1&#124; abandoning local=192.168.1.222:3128 remote=10.10.0.3:2545 FD 12 https://www.opennet.ru/openforum/vsluhforumID12/7136.html#4 Thu, 18 Sep 2014 14:01:12 GMT &gt; SECURITY ALERT: Host header forgery detected on local=10.10.0.2:3128 remote=10.10.0.3:2368 <br>&gt; FD 11 flags=33 (intercepted port does not match 443) <br><br>Может, все порты на ssl-bump-прозрачный порт завернул, может, непрозрачно настроенным броузером на прозрачный порт пошёл, может ещё чего, кто ж его знает.<br> https://www.opennet.ru/openforum/vsluhforumID12/7136.html#3 Thu, 18 Sep 2014 13:08:39 GMT &gt;&gt; Подскажите пожалуйста, что я делаю не так.<br>&gt; В логи не смотрите.<br><br>Последовал совету, посмотрел в логи. Сейчас в cache.log торчит ошибка: <br>SECURITY ALERT: Host header forgery detected on local=10.10.0.2:3128 remote=10.10.0.3:2368 FD 11 flags=33 (intercepted port does not match 443)<br><br>И не гуглится. Может быть, кто-то встречался с чем-то подобным? <br> https://www.opennet.ru/openforum/vsluhforumID12/7136.html#2 Thu, 18 Sep 2014 08:32:06 GMT &gt;&gt; Подскажите пожалуйста, что я делаю не так.<br>&gt; В логи не смотрите.<br><br>Лог родительского прокси чист. <br>К дочернему логу добавил в раздел http_port опцию intercept. <br>Лог родительского по прежнему чист, лог дочернего выдает:<br>[code]<br>1411026960.368 3 192.168.1.222 TCP_MISS/403 5226 GET http://www.google.ru/url? - HIER_NONE/- text/html<br>1411026960.372 12 192.168.0.231 TCP_MISS/403 5298 GET http://www.google.ru/url? - HIER_DIRECT/192.168.1.222 text/html<br>1411026960.463 3 192.168.1.222 TCP_MISS/403 4467 GET http://www.squid-cache.org/Artwork/SN.png - HIER_NONE/- text/html<br>1411026960.468 12 192.168.0.231 TCP_MISS/403 4539 GET http://www.squid-cache.org/Artwork/SN.png - HIER_DIRECT/192.168.1.222 text/html<br>1411026961.210 0 192.168.0.231 NONE/409 3846 CONNECT mail.google.com:443 - HIER_NONE/- text/html<br>1411026962.270 0 10.10.0.3 NONE/409 3825 CONNECT jim43.mail.ru:443 - HIER_NONE/- text/html<br>1411026971.922 0 10.10.0.3 NONE/409 3831 CONNECT mail.google.com:443 - HIER_NONE/- text/h https://www.opennet.ru/openforum/vsluhforumID12/7136.html#1 Thu, 18 Sep 2014 08:17:57 GMT &gt; Подскажите пожалуйста, что я делаю не так. <br><br>В логи не смотрите.<br> <br><br><br>