Ru-Board.club
← Вернуться в раздел «В помощь системному администратору»

» SQUID (только под *nix)

Автор: 0z0n
Дата сообщения: 07.02.2013 20:43
bga83
А чего написать вместо локалнет.
У меня есть локалка у нее запрет на сайты, есть начальство которому вообще никакого запрета нету.

http_access allow localnet - я ж немогу всем запретить? А как они в инет ходить будут?

Я просто принципа не пойму.
Автор: Alukardd
Дата сообщения: 07.02.2013 21:20
0z0n
Цитата:
Я просто принципа не пойму.
правила применяются в порядке их следования в конфиге. Доходит до первого совпадения и дальше не проверяет. В вашем случае видимо как и предположил т. bga83, все вылезают в инет через правило о localnet.
Просто поменяйте правила местами так как Вам надо.
Автор: 0z0n
Дата сообщения: 08.02.2013 10:38
Alukardd
bga83

Да парни поменял местами, и все хорошо. Большое спасибо.


# Example rule allowing access from your local networks.
# Adapt localnet in the ACL section to list your (internal) IP networks
# from where browsing should be allowed

acl ip1 src "/etc/squid/block-ip"
acl blacklist url_regex "/etc/squid/badsites"
http_access deny ip1 blacklist

http_access allow localnet
http_access allow localhost


# And finally deny all other access to this proxy
http_access deny all

# TAG: http_access2
# Allowing or Denying access based on defined access lists
#
# Identical to http_access, but runs after redirectors. If not set
# then only http_access is used.
Автор: PSVI
Дата сообщения: 11.02.2013 15:50
Всем доброго.
Поставил FreeBSd8.3+ipfw+squid2.7st9
Необходимо, как-то заставить работать Https.
Щас, при обращении в гугле на почту, "1." выдаёт сообщение ssl_error_rx_record_too_long (это прозрачный режим), в не прозрачном (Время ожидания ответа от сервера mail.google.com истекло, но если в ipfw прописать allow all, то всё работает), такое ощущение, что во втором случае не хватает обратного правила в ipfw , но что писать в 1. случае мне мало понятно.
Совета на даную траблу найти не смог.
Из правильных строк в squid.conf вписал "cache deny all", "acl SSL method CONNECT", причём если забанить вторую строку, то сообщение в браузере не меняется.

Сертификат генерил в OpenSSL (http://shirker.blog.com/2011/11/10/generate-ssl-certificate-for-squid/), по описанию в Squid - должен быть pem, а pem оно или не pem, хз поймёт! Кто знает как правильно, запостите плз.
Автор: vlary
Дата сообщения: 11.02.2013 15:59
PSVI У squid2.7 какая-то хрень с гуглопочтой. Борол, борол, плюнул и поставил 3.2.5
С ним все работает, хотя все настройки практически те же.
Автор: PSVI
Дата сообщения: 11.02.2013 16:19
VLARY Мне, ко всему этому сброду, нужно прикрутить squidGuard, а у нового Squida версия perl отличается, как предполагают они должны работать вместе, я не понял. Читал как настраивать режик мозг свернулся в трубочку и тихо выплыл в ухо.
Может чего на советуете )
Автор: vlary
Дата сообщения: 11.02.2013 16:28
PSVI
Цитата:
у нового Squida версия perl отличается
При чем здесь perl? Squid его не использует, это самодостаточный бинарник. Да и режик на последнем перле вполне можно запустить.
Автор: PSVI
Дата сообщения: 11.02.2013 16:46
VLARY Perl зачем, хз, я не программист ), но при установке Squid-2.7.stable9 ставит perl-5.12.4_4.
А 3 -ий Squid хочет аж, а чото установить его с полпинка не смог ), какие то error code 1.
Автор: vlary
Дата сообщения: 11.02.2013 21:25
PSVI
Цитата:
при установке Squid-2.7.stable9 ставит perl-5.12.4_4
Похоже, это нормальная цена тех, кто ставит софт из пакетов. Забубенили туда сборщики именно perl-5.12.4_4 - и будь добр его ставить, даже если у тебя стоит более новый.
Я компилил сквид из исходников, все собралось и встало без установки дополнительных пакетов.
Автор: Dkgnim33
Дата сообщения: 12.02.2013 06:58
Рекомендую использовать Zentyal в качестве прокси-сервера. Тот же squid, только с графическим интерфейсом и намного более широкими возможностями. Кстати русифицирован.
Автор: Ruza
Дата сообщения: 12.02.2013 09:47
PSVI

Цитата:
А 3 -ий Squid хочет аж, а чото установить его с полпинка не смог ), какие то error code 1.

А пару тройку строк почитать перед code 1, не?
Мож порты обновить надо... Или последуй совету vlary и собери сам.

Dkgnim33

Цитата:
Тот же squid, только с графическим интерфейсом и намного более широкими возможностями. Кстати русифицирован.


Эта писец!!! Блин ну как оно может быть с более широкими возможностями??? Ты хоть головой думай прежде чем писать!
Это то же самое что плюнуть шире морды... Поколение пепси бля... (извините не удержался)
Автор: PSVI
Дата сообщения: 12.02.2013 13:06
Всем доброго!
Скачал Squid-3.3.1, распаковал в папку /usr/ports/www/squid/squid-3.3.1
Подхожу ближе к трупу
make clean - говорит мне, что клинит пока только меня )
./configure --prefix=/usr/local/squid331 --enable-ssl
make all
make install
Перехожу к squid.conf ->
visible_hostname
cache_effective_user squid - остался после установки из порта
http_port 3128 transparent
https_port 3129 key= cert= (http://shirker.blog.com/2011/11/10/generate-ssl-certificate-for-squid/)
не знаю, насколько правильно написана эта инструкция... )
Ничего не работает, ни с прокси, ни с прозрачным.
Потом вспомнил, что надо было набрать squid -z
Теперь получаю:
creating missing swap directories
no cache_dir stores are configured

Браузер говорит: соединение было сброшено.
Если потушить Ipfw, то браузер грит, что прокси отказывается принимать соединение, ммм

Добавлено:
не хватало --enable-ipfw-transparent )

Добавлено:
помогло не особо, после кучи предупреждений о безопасности, принимаю сертификат, но в итоге на экране ERROR. The requested url could not be retrivied. Invalid URL.

Браузер Firefox, кстати.

Добавлено:
Напомнило из Каретного, а звук у Вас Долбаный и Сраный.

Добавлено:
Прочитал про MITM, сижу думаю, что за фигню я пытаюсь собрать.
Автор: PSVI
Дата сообщения: 13.02.2013 11:43
Кто-нибудь может подсказать, можно ли настроить always_direct для HTTPS протокола?
Автор: vlary
Дата сообщения: 13.02.2013 12:10
PSVI
Цитата:
Кто-нибудь может подсказать, можно ли настроить always_direct для HTTPS протокола?
Ты сам то понял, что написал? Разницу между HTTP и CONNECT понимаешь?

Автор: PSVI
Дата сообщения: 13.02.2013 13:43
честно, не очень )
Автор: Alukardd
Дата сообщения: 13.02.2013 13:53
PSVI
Собственно always_direct нужен только если Ваш прокси кэширует что либо или у Вас иерархия проксей, в противном случае он нафиг не нужен, т.е. почти всегда Кэширование давно не в моде. Каналы широкие и везде динамический контент.

Добавлено:
PSVI
Цитата:
честно, не очень )
HTTPS устроен так, что сначала устанавливается защищённое SSL/TLS соединение с сайтом, а только потом уходит первый HTTP заголовок, т.о. Squid понятия не имеет какой URL и т.п. запросил клиент, для него известны только IP:PORT клиента и сервера, которых он соединил методом CONNECT (domain вроде тоже известен, в любом случае для https domain и ip однозначны). Ни чего читать он в их сессии не могёт, разве что не установлено дополнение SslBumb.
Автор: PSVI
Дата сообщения: 13.02.2013 14:31
другим словом, если есть cache deny all, то always_direct быстрее обрабатывать трафу не станет?
Мой MITM не хочет работать, пишу в squid.conf - https_port 3129 transparent ssl-bump key=* cert=* и при попытке обращения к гуглопочте или яндопочте, получаю (13) permissoin denied
из разрешающих правил
http_access allow localnet

Странная ситуёвина, если в браузере задать прокси, то по HTTP получаю отказ, но почему то пишет уже по русски.

Из интересных вопросов, какой дожен быть доступ к папке SSL (там сертификаты), щас 755 root:wheel, а кеш юзер в сквиде squid
Автор: Alukardd
Дата сообщения: 13.02.2013 14:35
PSVI
Вообще это не есть хорошо перехватывать ssl трафик, особенно не внедряя свой root ca сертификат в браузеры пользователей
Конкретно по SslBumb я Вам не подскажу, не использовал.
Автор: PSVI
Дата сообщения: 13.02.2013 14:49
alukard Что, разве есть другие способы прозрачного проксирования ssl трафы?
Автор: Alukardd
Дата сообщения: 13.02.2013 20:58
PSVI
Эм... NAT? Если используете прозрачный прокси, то увы. Method CONNECT не прокатит.

Добавлено:
PSVI
Ещё и в нике моём ашипку сделали, мде... Ник сам появится в поле ввода в тэге bold, если просто нажать на него.
Автор: PSVI
Дата сообщения: 14.02.2013 08:21
Alukardd Хех, тчоно появился )
А что, разве NAT это прокси?
И чем trusted MITM, отличается от MITM, собираемого руками?
Автор: Alukardd
Дата сообщения: 14.02.2013 08:35
PSVI
Нет, NAT это не proxy, NAT — это NAT.
Однако, в случае прозрачного прокси сервера, самый лучший выход это NAT'ить HTTPS трафик.

Ну, по всей видимости, trusted MITM это когда Ваш сертификат подписан CA которому клиент доверяет, либо Вы заблаговременно внедрили ему в браузер свой изданный CA в доверенные корневые, что по сути возвращает нас ку первой ситуации — мы подписаны валидным корневым CA.
Автор: PSVI
Дата сообщения: 14.02.2013 09:14
Alukardd
Ок, а как вообще выпустить HTTPS NAT'oм через сквид?
В Squid'e есть NAT?

На данный момент, я получаю (13) Access denied в браузере при попытке обращения к гуглопочте, через прозрачный путь.
При этом, если в браузере задать прокси, то браузер получает ответ Доступ запрещён, по русски! и для HTTP трафика, почему Squid для прокси использует русский язык?
Автор: vlary
Дата сообщения: 14.02.2013 09:34
PSVI
Цитата:
Ок, а как вообще выпустить HTTPS NAT'oм через сквид?
В Squid'e есть NAT?
Тебя смотрю в Гугле забанили forever?
Squid и другие прокси это Приложения, являющиеся посредниками и передающие чистые данные от одного хоста другому, NAT - использует сетевой уровень (3 уровень OSI), манипулируя проходящими через него IP пакетами, меняя в них адреса отправителя и получателя.
Автор: PSVI
Дата сообщения: 14.02.2013 09:46
vlary
Прокси это приложения, которые передают клиентские данные от себя искомому ресурсу и обратно от искомого ресурса себе, а потом клиенту! И они уж точно никак не могут быть чистыми, если везде используется алгоритм MITM )
И на мой вопрос ответа в этом посте точно нет ), зачем писал? Тролина
Автор: vlary
Дата сообщения: 14.02.2013 10:02
PSVI
Цитата:
И на мой вопрос ответа в этом посте точно нет ), зачем писал?
Я тебе, если ты конечно понял, ответил на два твоих тупых вопроса:
Цитата:
а как вообще выпустить HTTPS NAT'oм через сквид?

Цитата:
В Squid'e есть NAT?  
Ответ был: постановка вопроса таким образом - полнейшая чушь. Если объяснять человеку что он ни хрена не понимает, по-твоему значит троллить - то да, я тролль.
А выпустить HTTPS наружу ты можешь просто через NAT. Но при чем здесь Сквид?


Автор: gandalf1989
Дата сообщения: 16.02.2013 06:48
Как можно сделать так, чтобы закачке крупных файлов сквид не грузил их себе и только потом отдавал клиенту, а грузил бы как при прямом доступе? Кеш отключил в конфиге cache deny all.
Автор: vlary
Дата сообщения: 16.02.2013 11:34
gandalf1989 Вообще дисковый кэш отключи. Он сейчас нафиг не нужен.
Автор: gandalf1989
Дата сообщения: 16.02.2013 12:54

Цитата:
Вообще дисковый кэш отключи. Он сейчас нафиг не нужен.

То есть это поможет?
Автор: vlary
Дата сообщения: 16.02.2013 14:55
gandalf1989

Цитата:
То есть это поможет?
А что ему еще останется, если файлы сохранять будет некуда? Только отдавать по частям клиенту.
Кстати, еще в конфиге сквида есть настройка maximum_object_size - максимального размера файлов, которые должны кэшироваться.

Страницы: 123456789101112131415161718192021222324252627282930313233343536373839404142434445464748495051525354555657585960616263646566676869707172737475767778798081828384858687

Предыдущая тема: Неполадки в работе DHCP сервера


Форум Ru-Board.club — поднят 15-09-2016 числа. Цель - сохранить наследие старого Ru-Board, истории становления российского интернета. Сделано для людей.