Ru-Board.club
← Вернуться в раздел «В помощь системному администратору»

» SQUID (только под *nix)

Автор: Brodyaga222
Дата сообщения: 17.09.2013 04:13
ipmanyak
nslookup выдал следующее:
Server: ns.burnet.ru
Address: 212.0.65.2

*** ns.burnet.ru can't find ya.ru: Query refused

(видимо что-то с днс-сервером?)

Вернул дефолтный конфиг:
1. Добавил dns_nameserver 212.0.65.2 (хотя этот адрес есть в свойствах tcp-протокола сетевой карты)
2. Добавил visible_hostname my_proxy
3. Закоментировал строку http_access deny all

Перезапустил службу squid'а.
И все равно такая же ошибка.
Но если на этой же машине убрать в свойствах обозревателя настройку на прокси, то эксплорер нормально заходит на ya.ru.
Автор: ipmanyak
Дата сообщения: 17.09.2013 05:57
Brodyaga222 Ваша машина пытается сначала резолвить через 212.0.65.2 , который вас бреет. Где вы взяли этот нэймсервер? Вы должны указывать нэймсерверы вашего провайдера, а не чужого, или открытые нэймсерверы. Нэймсерверы чужого провайдера вас будут отшивать.
212.0.65.2 и 212.0.65.2 принадлежат провайдеру Электросвязь
92.124.194.206 и 90.188.32.22 - Сибирьтелеком.
Судя по всему вы должны юзать последние от Сибирьтелекома, но и это еще вопрос, поскольку вашего прова я н знаю.
Пропишите гуглевские, укажите в конфиге сквида dns_nameserver 8.8.8.8 8.8.4.4. и проверьте еще раз .
Автор: Brodyaga222
Дата сообщения: 17.09.2013 10:35
ipmanyak
Спасибо огромное!!! Заработало. ДНС-сервера просто были давно уже кем-то вбиты. Один сибирьтелекомовский добавил и заработало. Сейчас еще остальные добавлю. Получается днс-сервера, указанные в конфиге, имеют приоритет перед системными настройками сетевых карт.
Теперь буду с access-листами экспериментировать. Еще раз спасибо за помощь!
Автор: ipmanyak
Дата сообщения: 17.09.2013 12:02
Brodyaga222 Если не указываете сами в конфиге сквида в dns_nameserver, то берет из реестра с настроек сетевых карт. В никсах берет из etc/resolv.conf. Советую вам и на сетевых картах сменить и поубирать 212.0.65.2 и 212.0.65.2.
Автор: fly_house
Дата сообщения: 24.09.2013 12:55
кто-то уже пробовал новые acl random в 3.2 ? Что происходит если один из шлюзов падает ?
Автор: kot488
Дата сообщения: 09.10.2013 10:23
Люди добрые, день добрый. Установил SQUID на Centos (сделал первый раз) вроде с настройками разобрался все нормально, люди в интернет выходят замечательно, но есть некоторые клиенты у которых нет возможности прописать адрес прокси сервера, может можно как то указать в настройках что определенным IP можно в мир без прописания прокси?

Вот мой файл настроек. сильно не ругайтесь только учусь)



Код: acl microsoft-341806 src 192.168.5.122
http_access allow microsoft-341806
http_access deny all


acl manager proto cache_object
acl localhost src 127.0.0.1/32 ::1
acl to_localhost dst 127.0.0.0/8 0.0.0.0/32 ::1

# Example rule allowing access from your local networks.
# Adapt to list your (internal) IP networks from where browsing
# should be allowed
acl localnet src 10.0.0.0/8    # RFC1918 possible internal network
acl localnet src 172.16.0.0/12    # RFC1918 possible internal network
acl localnet src 192.168.5.0/24    # RFC1918 possible internal network
acl localnet src fc00::/7 # RFC 4193 local private network range
acl localnet src fe80::/10 # RFC 4291 link-local (directly plugged) machines

acl SSL_ports port 443
acl Safe_ports port 80        # http
acl Safe_ports port 21        # ftp
acl Safe_ports port 443        # https
acl Safe_ports port 70        # gopher
acl Safe_ports port 210        # wais
acl Safe_ports port 1025-65535    # unregistered ports
acl Safe_ports port 280        # http-mgmt
acl Safe_ports port 488        # gss-http
acl Safe_ports port 591        # filemaker
acl Safe_ports port 777        # multiling http
acl Safe_ports port 9081    #edbo
acl SSl_ports port 9081        #edbo
acl CONNECT method CONNECT

#
# Recommended minimum Access Permission configuration:
#
# Only allow cachemgr access from localhost
http_access allow manager localhost
http_access deny manager

# Deny requests to certain unsafe ports
http_access allow !Safe_ports

# Deny CONNECT to other than secure SSL ports
http_access allow CONNECT !SSL_ports

# We strongly recommend the following be uncommented to protect innocent
# web applications running on the proxy server who think the only
# one who can access services on "localhost" is a local user
#http_access deny to_localhost

#
# INSERT YOUR OWN RULE(S) HERE TO ALLOW ACCESS FROM YOUR CLIENTS
#

# Example rule allowing access from your local networks.
# Adapt localnet in the ACL section to list your (internal) IP networks
# from where browsing should be allowed
http_access allow localnet
http_access allow localhost

# And finally deny all other access to this proxy
http_access deny all

# Squid normally listens to port 3128
http_port 8080

# We recommend you to use at least the following line.
hierarchy_stoplist cgi-bin ?

# Uncomment and adjust the following to add a disk cache directory.
#cache_dir ufs /var/spool/squid 100 16 256

# Leave coredumps in the first cache dir
coredump_dir /var/spool/squid

# Add any of your own refresh_pattern entries above these.
refresh_pattern ^ftp:        1440    20%    10080
refresh_pattern ^gopher:    1440    0%    1440
refresh_pattern -i (/cgi-bin/|\?) 0    0%    0
refresh_pattern .        0    20%    4320
Автор: ipmanyak
Дата сообщения: 09.10.2013 10:39
kot488 ИЛи делать прозрачный прокси или выпускать избранных мимо прокси через NAT
Автор: kot488
Дата сообщения: 09.10.2013 11:40

Цитата:
kot488 ИЛи делать прозрачный прокси или выпускать избранных мимо прокси через NAT



Спасибо буду пробовать, может подскажите ответ еще на один вопрос, где что нужно изменить что бы можно было к ящику с squid подключаться с мира с помощью putty, машина пингуется а вот к себе не пускает((
Автор: ooptimum
Дата сообщения: 09.10.2013 12:46
Необходимо установить sshd и убедиться, что порт 22/tcp не режется файрволом.
Автор: ipmanyak
Дата сообщения: 09.10.2013 12:59
kot488 Много вы в ящике через putty наработаете? Может проще WEB морду к вашему почтовику прикрутить, если он тоже у вас под никсами?
Автор: vlary
Дата сообщения: 09.10.2013 13:02
ipmanyak
Цитата:
Много вы в ящике через putty наработаете?
Видимо, kot488
имел в виду сам сервер со SQUID как "черный ящик", а вовсе не почтовый ящик.
Автор: kot488
Дата сообщения: 09.10.2013 13:46

Цитата:
kot488 Много вы в ящике через putty наработаете? Может проще WEB морду к вашему почтовику прикрутить, если он тоже у вас под никсами?


А причем почтовик?

просто нужно иметь доступ, вдруг кому то надо будет дать доступ в мир или еще что то. не переться же ради этого на робоу
Автор: ipmanyak
Дата сообщения: 09.10.2013 13:49
kot488 Так и говорите, что нужен доступ к консоли сервера. Этот вопрос в этой ветке
Автор: kot488
Дата сообщения: 09.10.2013 14:32

Цитата:
kot488 Так и говорите, что нужен доступ к консоли сервера. Этот вопрос в этой ветке



А можно сслыку? нужно насколько я понял открыть доступ по определенному порту)
Автор: vlary
Дата сообщения: 09.10.2013 16:22
kot488
Цитата:
А можно сслыку? нужно насколько я понял открыть доступ по определенному порту)
"Определенный порт" для SSH - это 22, обычно пол умолчанию он уже открыт в iptables. Но поскольку ты хозяин сервера, можешь повесить sshd на любой другой незанятый порт.
Автор: kot488
Дата сообщения: 09.10.2013 17:05

Цитата:
"Определенный порт" для SSH - это 22, обычно пол умолчанию он уже открыт в iptables. Но поскольку ты хозяин сервера, можешь повесить sshd на любой другой незанятый порт.


Это я знаю, я iptables вообще пока отключил изза него почему squid не стартовал но не пускает достучаться

вот настройки squid


Код: acl manager proto cache_object
acl localhost src 127.0.0.1/32 ::1
acl to_localhost dst 127.0.0.0/8 0.0.0.0/32 ::1

# Example rule allowing access from your local networks.
# Adapt to list your (internal) IP networks from where browsing
# should be allowed
acl localnet src 10.0.0.0/8    # RFC1918 possible internal network
acl localnet src 172.16.0.0/12    # RFC1918 possible internal network
acl localnet src 192.168.5.0/24    # RFC1918 possible internal network
acl localnet src fc00::/7 # RFC 4193 local private network range
acl localnet src fe80::/10 # RFC 4291 link-local (directly plugged) machines

acl SSL_ports port 443
acl Safe_ports port 80        # http
acl Safe_ports port 21        # ftp
acl Safe_ports port 443        # https
acl Safe_ports port 70        # gopher
acl Safe_ports port 210        # wais
acl Safe_ports port 1025-65535    # unregistered ports
acl Safe_ports port 280        # http-mgmt
acl Safe_ports port 488        # gss-http
acl Safe_ports port 591        # filemaker
acl Safe_ports port 777        # multiling http
acl Safe_ports port 9081    #edbo
acl SSl_ports port 9081        #edbo
acl SSL_ports port 443 65023     #SSH
acl SSL_ports port 22         #SSH
acl CONNECT method CONNECT

#
# Recommended minimum Access Permission configuration:
#
# Only allow cachemgr access from localhost
http_access allow manager localhost
http_access deny manager

# Deny requests to certain unsafe ports
http_access allow !Safe_ports

# Deny CONNECT to other than secure SSL ports
http_access allow CONNECT !SSL_ports

# We strongly recommend the following be uncommented to protect innocent
# web applications running on the proxy server who think the only
# one who can access services on "localhost" is a local user
#http_access deny to_localhost

#
# INSERT YOUR OWN RULE(S) HERE TO ALLOW ACCESS FROM YOUR CLIENTS
#

# Example rule allowing access from your local networks.
# Adapt localnet in the ACL section to list your (internal) IP networks
# from where browsing should be allowed
http_access allow localnet
http_access allow localhost

# And finally deny all other access to this proxy
http_access deny all

# Squid normally listens to port 3128
http_port 8080

# We recommend you to use at least the following line.
hierarchy_stoplist cgi-bin ?

# Uncomment and adjust the following to add a disk cache directory.
#cache_dir ufs /var/spool/squid 100 16 256

# Leave coredumps in the first cache dir
coredump_dir /var/spool/squid

# Add any of your own refresh_pattern entries above these.
refresh_pattern ^ftp:        1440    20%    10080
refresh_pattern ^gopher:    1440    0%    1440
refresh_pattern -i (/cgi-bin/|\?) 0    0%    0
refresh_pattern .        0    20%    4320
Автор: kot488
Дата сообщения: 10.10.2013 17:16
Люди помогие с доступом с мира к железу(((( пожалуйста
Автор: ipmanyak
Дата сообщения: 10.10.2013 18:21
kot488 Чем вам помочь, если вы речь ведете о консоли, а вопросы задаете в ветку про прокси? Чтобы достучаться к железу по ssh или telnet делайте правила в iptables, сейчас у вас их там нет. И сквид тут вообще не при делах. Я вам уже говорил, что тут топик по сквиду, а не по фаерволу. Вы видимо не понимаете, что такое прокси SQUID - это HTTP прокси и более ничего. Кроме http трафика он ничего не знает и не должен знать, ни про ssh ни про telnet ни про pop и smtp !!!
P.S.
Сходите сюда http://easyfwgen.morizot.net/gen/
по мере заполнения полей и жмаканья каждый раз кнопы Generate firewall получите в конце готовый текстовик с правилами фаервола. Изначально отметьте птицу - Allow Inbound Services, после жмаканья кнопы Generate firewall появятся новые поля для входящих сервисов, отмечайте нужные, SSH там уже будет отмечен. Дерзайте и больше про фаер, не касательно сквида, в эту ветку не пишите.
Автор: k3NGuru
Дата сообщения: 16.10.2013 15:22
Приветствую коллеги
Подскажите такую штуку, есть локальная сеть DC - WS2008R2 и прокся Squid (NTLM+Sams) на FreeBSD.
Так вот, настроили наши коллеги у себя RDWEB и теперь мы подключаемся к московским коллегам через RemoteApp. Но дело в том, если в IE стоит галка "Автоматическое определение параметров" http://d.pr/i/LLHG то выкидывает такую ошибку http://d.pr/i/uigP и как ее победить я не понимаю. Убираешь галочку, все подключается и работает.
Уже начал изучать wpad.dat, но не помогает. Куда копать и что можете посоветовать?
Автор: Alukardd
Дата сообщения: 16.10.2013 20:22
k3NGuru
В настройках squid сделать так что бы на сервер RemoteApp он не требовал аутентификацию.
Автор: k3NGuru
Дата сообщения: 17.10.2013 03:44
Alukardd
а как это сделать? Каким образом?
Автор: Alukardd
Дата сообщения: 17.10.2013 09:06
k3NGuru
Код: auth_param ntlm ...
. . .
acl authorized proxy_auth REQUIRED
acl RemoteApp dst 11.22.33.44/32
. . .
http_access allow RemoteApp
http_access deny !authorized
Автор: DieMaN
Дата сообщения: 17.10.2013 12:35
Прошу сильно не ругаться, но возможно ли средствами Squid запретить доступ к конкретному url, а не к целому домену? В частности нужно запретить к просмотру на youtube ряд роликов которые на сайте Минюста причислены к экстремистским.
Сейчас в конфигурации прописано следующее:
acl banurl url_regex -i "c:/squid/etc/tr.url"
http_access deny banurl
Содержимое banurl (кусок):
.youtube.com/watch?v=46uPyOhX5bQ
.www.youtube.com/watch?v=46uPyOhX5bQ
.infokavkaz.com
.djamagat.wordpress.com
Такой вариант с ютубом не работает. Если поменять содержимое banurl на
.youtube.com
.www.youtube.com
.infokavkaz.com
.djamagat.wordpress.com
то закрывается весь домен.
Заранее спасибо.
Автор: ipmanyak
Дата сообщения: 17.10.2013 13:03
В манах и в примерах же есть описание.
acl aclname url_regex [-i] ^http:// ... # regex matching on whole URL
в твоем случае
acl banyoutube1 url_regex ^http://youtube.com/watch?v=46uPyOhX5bQ

а этот www.youtube.com/watch?v=46uPyOhX5bQ и так забанен на самом ютьюбе

Код:
Этот контент недоступен в вашей стране: в данный момент мы рассматриваем связанную с ним юридическую претензию.
Автор: vlary
Дата сообщения: 17.10.2013 13:07
DieMaN
Цитата:
возможно ли средствами Squid запретить доступ к конкретному url, а не к целому домену?
Да
Цитата:
Содержимое banurl (кусок):
.youtube.com/watch?v=46uPyOhX5bQ
Внимательно составляй регулярные выражения для запретов. Например, ? означает любой единичный символ, кроме самого ?. Чтобы совпадало именно с вопросительным знаком, его надо эскейпить обратной косой:
.youtube.com/watch\?v=46uPyOhX5bQ

Автор: DieMaN
Дата сообщения: 17.10.2013 13:38
vlary
ipmanyak
Спасибо!
Автор: kot488
Дата сообщения: 22.10.2013 17:19
Народ срочно нужна ваша помощь, нужно выпустить в мир пару телефоном, но у меня пользователь может выйти в интернет только указав в браузере адрес прокси сервера. Как можно сделать что бы при попытке выйти в мир с определенного IP не нужно было бы указывать адрес прокси?

Вот что выдает при попытке зайти без указания прокси

acl allowed_hosts src 192.168.1.0/255.255.255.0

Автор: golychev
Дата сообщения: 22.10.2013 17:59
kot488
чтобы "выпустить" наружу чтото кроме веб и всего сопутствующего, тебе нужен НАТ.

Добавлено:
м кальмар тут непричем.
Автор: vlary
Дата сообщения: 22.10.2013 21:17
kot488 Чтобы не надо было указывать прокси в браузере, прокси должен быть прозрачным.
Гугли transparent squid либо ищи в этой теме, обсуждалось неоднократно.
Автор: kot488
Дата сообщения: 23.10.2013 09:11
vlary

Указал вот так http_port 192.168.5.1:8080 transparent и вроде работает

Страницы: 123456789101112131415161718192021222324252627282930313233343536373839404142434445464748495051525354555657585960616263646566676869707172737475767778798081828384858687

Предыдущая тема: Неполадки в работе DHCP сервера


Форум Ru-Board.club — поднят 15-09-2016 числа. Цель - сохранить наследие старого Ru-Board, истории становления российского интернета. Сделано для людей.