Настройка SQUID proxy server

Автор shiko, 12 Августа 2008, 16:40

« предыдущая тема - следующая тема »

0 Пользователей и 1 Гость просматривают эту тему.

baster

такое ощущение, что не работает вот это
http_access deny pornправило, но не могу понять в связи с чем... зато не пускает на google.com и ct.kz...

Vicpo

я вот всегда думал, что слова в этом файле должны быть в звездочках........
Вообще для таких вещей лучше использовать редиректор

shiko

Всем доброго времени суток!!! Есть вопрос, суть в следующем. На клиенских машинах Win XP установлена icq 6, доступ в инет осуществляется естественно через калмара, интернет работает, пользователи довольны, а вот аська не работает. При подключении в обход squid acq запускается, а через проксю не хочет. Я тут полазил по инету почитал статьи и сделал вот так:
http_port 3128
hierarchy_stoplist cgi-bin ?
acl QUERY urlpath_regex cgi-bin ?
no_cache deny QUERY
cache_dir ufs /var/spool/squid 6144 16 256
cache_access_log /var/log/squid/access.log
cache_log /var/log/squid/cache.log
cache_store_log /var/log/squid/store.log
cache_mem 100 MB
maximum_object_size 102400 KB
cache_effective_user squid
cache_effective_group squid

# передаем управление кллиентами редиректору автоизация фильтрация и тп
url_rewrite_program /usr/local/rejik3/redirector -c /usr/local/rejik3/redirector.conf
url_rewrite_children 5
redirector_bypass on

# аутентификация пользователей по login & password
auth_param basic children 5
auth_param basic realm Squid proxy-caching web server
auth_param basic credentialsttl 2 hours
auth_param basic program /usr/lib/squid/ncsa_auth /etc/squid/internet_users

#управление ACL то есть разрешения сервера порты типы файлов и тп
half_closed_clients off
#acl media url_regex -i ftp .exe .mp3 .vqf .avi .mpeg .mpe .mpg .qt .ram .rm .iso .raw .wav .mov .rar .zip .7z .djvu
acl all src 0.0.0.0/0.0.0.0
acl localhost src 127.0.0.1/255.255.255.255
acl to_localhost dst 127.0.0.0/8
dns_nameservers 212.19.149.53
acl INET proxy_auth REQUIRED src 192.168.0.0/255.255.255.0
acl SSL_ports port 80 443 563 4662
acl Safe_ports port 80          # http
acl Safe_ports port 21          # ftp
acl Safe_ports port 443 563     # https, snews
acl Safe_ports port 70          # gopher
acl Safe_ports port 210         # wais
acl Safe_ports port 1025-65535  # unregistered ports
acl Safe_ports port 280         # http-mgmt
acl Safe_ports port 488         # gss-http
acl Safe_ports port 591         # filemaker
acl Safe_ports port 777         # multiling http
acl CONNECT method CONNECT

acl ICQ_PORT port 5190 443
acl ICQ_PROTO proto HTTPS
acl ICQ_ADDR dst 192.168.0.0/255.255.255.0
acl ICQ_DOMAIN dstdomain .icq.com .aol.com

http_access allow localhost
http_access allow INET

http_access allow CONNECT SSL_ports
http_access allow INET ICQ_PORT ICQ_PROTO ICQ_ADDR CONNECT
http_access deny !INET !ICQ_PORT !ICQ_PROTO !ICQ_ADDR CONNECT
always_direct allow ICQ_ADDR ICQ_PORT CONNECT
always_direct allow ICQ_DOMAIN ICQ_PORT CONNECT

http_access deny !Safe_ports
http_access deny CONNECT !SSL_ports
http_access deny to_localhost
http_access deny localhost
http_access deny all
visible_hostname admin@domen.kz

# прописать домен или оставить как есть
append_domain .domen.kz
err_html_text admin@domen.kz
deny_info ERR_CUSTOM_ACCESS_DENIED all
memory_pools off
coredump_dir /var/spool/squid
ie_refresh on
интернет пашет, а вот аська не хочет почему то :help:  Подскажите кто знает, в чем проблема может быть!

Vicpo

Альтернативных клиентов пробовал?
В конфиге вроде все впорядке

shiko

нет не пробовал, на всех компах установлена icq6, а может в самой проге есть какие нибудь настройки позволяющие работать ей через проксю, как в браузере???

Vicpo

Цитироватьнет не пробовал, на всех компах установлена icq6, а может в самой проге есть какие нибудь настройки позволяющие работать ей через проксю, как в браузере???
Есть там такие настройки, правда глубоко запрятаны

shiko

нашел я эти настройки в icq, да вот только непойму что ему надо, вроде все правильно вбиваю. Попробовал разные варианты ничего не выходит, как заговоренный, вот картинка этой настройки !

shiko

Полазил в инете, нашел как настраивать isq для прокси, правда прога другая но суть настройки такая же. СДЕЛАЛ вот так как показано на картинке и все равно не как. Полез в Каспера v7 у него тоже проблема с обновлениями через проксю, залез в настройки. Там практически те же настройки что и в icq, задал параметры, запустил,  обновление прошло на ура! А эта зараза ну никак не хочет, пошарился  по проге вроде бы только вот в этом месте настраивается работа через прокси.

Vicpo

Порт не 5190 если через проксю а 443

shiko

Да я давно уже заменил порт на 443, бестолку! Остается тогда только одно, пробовать другую прогу.

Vicpo

Я вот честно сначало всегда проверяю, работает ли другой клиент или нет, миранда квип и тп если они пашут а родной нет, то в топку такой клиент  :)

shiko

Попробовал я запустить Миранду, без результатно такая же ерунда дает ошибку 11001 и все. Нет здесь проблема не в проге вчем то другом. Программа не может соединиться и инетом, помоему надо еще раз проверить прокси и порты.

Vicpo

Логи читай там все написано

shiko

Спасибо Vicpo! Все разобрался, дело не в проге и даже не в прокси, просто я тормознул.  :D Так самую малость, всего лишь забыл прописать основной шлюз (указать проксю) в свойствах сет. адаптера. А так все работает!!!

baster

Цитироватья вот всегда думал, что слова в этом файле должны быть в звездочках........
Вообще для таких вещей лучше использовать редиректор
со звёздочками у слов происходят мтерки на них...
можно подробнейхотябы в теории о ридеректоре..?

hedgeven

26 Ноября 2010, 09:46 #255 Последнее редактирование: 26 Ноября 2010, 10:56 от Zhek@Ch
Есть у кого-нибудь мысли почему не стартует squid?
Инфо:
FreeBSD 8.1-RELEASE i386
Squid Cache: Version 3.1.9

Вот лог команды squid -X
А вот конфиг squid
В логах /var/log/messages и /var/squid/access.log тишина.

upd :
Ага, все разобрался. забыл посмотреть в /var/squid/cache.log и выполнить squid -z.
Всем спасибо за внимание http://linuxforum.kz/public/style_emoticons/<#EMO_DIR#>/smile.gif\' class=\'bbc_emoticon\' alt=\':)\' />
Jah will give us everything...

hedgeven

26 Ноября 2010, 10:15 #256 Последнее редактирование: 26 Ноября 2010, 10:57 от Zhek@Ch
Тогда следующий вопрос:
в /var/squid/access.log падает только http-траф, хотя пробовал кроме него https и jabber

1290743594.825 445 192.168.0.5 TCP_MISS/200 6880 GET http://ya.ru/ - DIRECT/87.250.251.3 text/html
1290743851.564 494 192.168.0.5 TCP_MISS/302 927 GET http://www.google.com/ - DIRECT/212.154.168.243 text/html
1290743859.936 633 192.168.0.5 TCP_MISS/200 8366 GET http://www.google.kz/ - DIRECT/212.154.168.243 text/html

прописал такие правила в ipfw:

/sbin/ipfw add 12300 fwd 127.0.0.1,3128 tcp from 192.168.0.0/24 to any 80 via rl0
/sbin/ipfw add 12301 fwd 127.0.0.1,3128 tcp from 192.168.0.0/24 to any 8080 via rl0
/sbin/ipfw add 12302 fwd 127.0.0.1,3128 tcp from 192.168.0.0/24 to any 443 via rl0
/sbin/ipfw add 12303 fwd 127.0.0.1,3128 tcp from 192.168.0.0/24 to any 21 via rl0
/sbin/ipfw add 12305 fwd 127.0.0.1,3128 tcp from 192.168.0.0/24 to any 5222 via rl0
/sbin/ipfw add 12306 fwd 127.0.0.1,3128 tcp from 192.168.0.0/24 to any 5223 via rl0

Вот весь конфиг.
Jah will give us everything...

hedgeven

27 Ноября 2010, 09:31 #257 Последнее редактирование: 27 Ноября 2010, 09:32 от hedgeven
еще упростил правила фаера:

#!/bin/sh
ipfw -q -f flush
cmd="ipfw -q add"
skip="skipto 800"
pif="rl0"

$cmd 00090 fwd 192.168.0.1,3128 tcp from 192.168.0.0/24 to any 21,80,443 via $pif
$cmd 00095 check-state
$cmd 00100 divert 8668 ip from 192.168.0.0/24 to any out xmit $pif
$cmd 00110 divert 8668 ip from any to me in recv $pif
$cmd 00190 allow ip from any to any via sk0
$cmd 00195 allow ip from me to any 53 keep-state
$cmd 00196 allow ip from me to any 21 keep-state
$cmd 00197 allow ip from me to any 80 keep-state
$cmd 00198 allow ip from me to any 443 keep-state
$cmd 65000 deny log ip from any to any

теперь через прокси идет только http. ftp и https не работают.
в access.log падает про http, про остальные тишина
в cache.log постоянно падает clientProcessRequest: Invalid Request


полагаю косяк в настройках сквида. есть желающие помочь?
Jah will give us everything...

hedgeven

27 Ноября 2010, 09:40 #258 Последнее редактирование: 27 Ноября 2010, 09:55 от hedgeven
from wiki
ЦитироватьНедостатки
В режиме прозрачности не проксируются FTP- и HTTPS-запросы
сурьезно?

upd1:
ладно, перенастрою на обычный прокси

upd2:
внезапно оказалось что и udp не будет считать, а хотелось бы...
что не может быть open-source замены для kerio?
Jah will give us everything...

Vicpo

27 Ноября 2010, 10:08 #259 Последнее редактирование: 27 Ноября 2010, 10:09 от Vicpo
Цитата: hedgeven от 27 Ноября 2010, 09:40что не может быть open-source замены для kerio?
Керио в первую очередь firewall http://linuxforum.kz/public/style_emoticons/<#EMO_DIR#>/smile.gif\' class=\'bbc_emoticon\' alt=\':)\' />
В общем рекомендую смотреть в сторону netams