Squid авторизация

Простые/общие вопросы по UNIX системам. Спросите здесь, если вы новичок

Модераторы: vadim64, terminus

Правила форума
Убедительная просьба юзать теги [cоde] при оформлении листингов.
Сообщения не оформленные должным образом имеют все шансы быть незамеченными.
corsik
мл. сержант
Сообщения: 98
Зарегистрирован: 2009-07-31 11:18:58
Откуда: Калининград
Контактная информация:

Squid авторизация

Непрочитанное сообщение corsik » 2011-07-21 13:36:35

Обьясните, стоит сквид + самс, все работает трафик видит пользователей заводит все хорошо.
Только вот сквид дает инет всем без разбору.

Код: Выделить всё

# Example rule allowing access from your local networks.
# Adapt localnet in the ACL section to list your (internal) IP networks
# from where browsing should be allowed
http_access allow localnet

# And finally deny all other access to this proxy
http_access deny all
вроде же http_access deny all запрещает всем ходить в инет без авторизации в самсе?

Хостинговая компания Host-Food.ru
Хостинг HostFood.ru
 

Услуги хостинговой компании Host-Food.ru

Хостинг HostFood.ru

Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/

Аватара пользователя
bagas
лейтенант
Сообщения: 922
Зарегистрирован: 2010-08-18 19:49:01
Откуда: Воронеж
Контактная информация:

Re: Squid авторизация

Непрочитанное сообщение bagas » 2011-07-21 14:00:27

причем тут авторизация самса?
самс это как бы вэб морда сквида..
вы разрешили доступ из локальной сети
Что бы ты не делал , жизнь слишком коротка!
Блог о BSD системах.

corsik
мл. сержант
Сообщения: 98
Зарегистрирован: 2009-07-31 11:18:58
Откуда: Калининград
Контактная информация:

Re: Squid авторизация

Непрочитанное сообщение corsik » 2011-07-21 14:46:33

Я в курсе что сам это просто веб морда, я просто имел ввиду, что требуется чтобы в самсе добавил юзера и он имеет доступ к инету. А получается, что всем кто просто пропишет проксю есть инет.
т.е. доступ из локальной сети? грю же инет есть все работает, как сделать авторизацию по IP.

В самсе выбрал авторизацию по IP.

Аватара пользователя
ivan_k
мл. сержант
Сообщения: 103
Зарегистрирован: 2010-01-27 16:00:37
Откуда: Иваново

Re: Squid авторизация

Непрочитанное сообщение ivan_k » 2011-07-21 19:00:44


corsik
мл. сержант
Сообщения: 98
Зарегистрирован: 2009-07-31 11:18:58
Откуда: Калининград
Контактная информация:

Re: Squid авторизация

Непрочитанное сообщение corsik » 2011-07-22 9:16:29

Все решило просто, закоментил в конфиге сквида

Код: Выделить всё

http_access allow localnet

Аватара пользователя
ivan_k
мл. сержант
Сообщения: 103
Зарегистрирован: 2010-01-27 16:00:37
Откуда: Иваново

Re: Squid авторизация

Непрочитанное сообщение ivan_k » 2011-07-22 10:06:45

corsik писал(а): Все решило просто, закоментил в конфиге сквида

Код: Выделить всё

http_access allow localnet
а при реконфигуре из веб-морды, самс вроде затирает строчки, котрые вручную правишь, на свои

corsik
мл. сержант
Сообщения: 98
Зарегистрирован: 2009-07-31 11:18:58
Откуда: Калининград
Контактная информация:

Re: Squid авторизация

Непрочитанное сообщение corsik » 2011-07-22 16:01:35

такой вопрос, а что через squid нельзя почту пускать :shock:
Я прописал порты 25 И 110 почта не идет. Начал рыться в инете пишут что мол нельзя через сквида почту пускать

Аватара пользователя
ivan_k
мл. сержант
Сообщения: 103
Зарегистрирован: 2010-01-27 16:00:37
Откуда: Иваново

Re: Squid авторизация

Непрочитанное сообщение ivan_k » 2011-07-22 16:49:06

corsik писал(а):такой вопрос, а что через squid нельзя почту пускать :shock:
Я прописал порты 25 И 110 почта не идет. Начал рыться в инете пишут что мол нельзя через сквида почту пускать
нельзя

Аватара пользователя
UBRIUM
мл. сержант
Сообщения: 125
Зарегистрирован: 2009-11-16 4:05:34
Откуда: Ростов-на-Дону
Контактная информация:

Re: Squid авторизация

Непрочитанное сообщение UBRIUM » 2011-07-22 22:39:16

Тема под стать!

А вот действительно, какие пути решения с почтой в такой ситуации??

Аватара пользователя
ivan_k
мл. сержант
Сообщения: 103
Зарегистрирован: 2010-01-27 16:00:37
Откуда: Иваново

Re: Squid авторизация

Непрочитанное сообщение ivan_k » 2011-07-22 23:01:33

UBRIUM писал(а):Тема под стать!

А вот действительно, какие пути решения с почтой в такой ситуации??
Открывать для локалки доступ к 25 и 110 портам через нат в инет

corsik
мл. сержант
Сообщения: 98
Зарегистрирован: 2009-07-31 11:18:58
Откуда: Калининград
Контактная информация:

Re: Squid авторизация

Непрочитанное сообщение corsik » 2011-07-25 7:38:18

ivan_k писал(а):
UBRIUM писал(а):Тема под стать!

А вот действительно, какие пути решения с почтой в такой ситуации??
Открывать для локалки доступ к 25 и 110 портам через нат в инет
Каким образом тогда резать остальные порты? Ибо изначально была мысль как раз чтобы в инет ходили только разрешенные юзеры!

Аватара пользователя
ivan_k
мл. сержант
Сообщения: 103
Зарегистрирован: 2010-01-27 16:00:37
Откуда: Иваново

Re: Squid авторизация

Непрочитанное сообщение ivan_k » 2011-07-25 9:02:19

corsik писал(а):
ivan_k писал(а):
UBRIUM писал(а):Тема под стать!

А вот действительно, какие пути решения с почтой в такой ситуации??
Открывать для локалки доступ к 25 и 110 портам через нат в инет
Каким образом тогда резать остальные порты? Ибо изначально была мысль как раз чтобы в инет ходили только разрешенные юзеры!
для почты, в ipfw добавить правила для компов в локалке

Код: Выделить всё

allow tcp from 192.168.100.0/24 to any 25
allow tcp from 192.168.100.0/24 to any 110
allow tcp from 192.168.100.0/24 to any 995
allow tcp from 192.168.100.0/24 to any 465
как-то так

corsik
мл. сержант
Сообщения: 98
Зарегистрирован: 2009-07-31 11:18:58
Откуда: Калининград
Контактная информация:

Re: Squid авторизация

Непрочитанное сообщение corsik » 2011-07-25 9:29:16

спасибо. Уже погугли почитал че к чему. Ща будем пробовать. :smile:

corsik
мл. сержант
Сообщения: 98
Зарегистрирован: 2009-07-31 11:18:58
Откуда: Калининград
Контактная информация:

Re: Squid авторизация

Непрочитанное сообщение corsik » 2011-07-27 11:03:42

Код: Выделить всё

# -- sysinstall generated deltas -- # Tue Jul  5 22:05:08 2011
# Created: Tue Jul  5 22:05:08 2011
# Enable network daemons for user convenience.
# Please make all changes to this file, not to /etc/defaults/rc.conf.
# This file now contains just the overrides from /etc/defaults/rc.conf.
hostname="freebsd"
ifconfig_le0="DHCP"
ifconfig_le1="inet 192.168.1.100 netmask 255.255.255.0"

keymap="ru.koi8-r"
moused_enable="YES"
moused_type="auto"
apache22_enable="YES"
#squid_enable="YES"
mysql_enable="YES"

font8x14="cp866-8x14"
font8x16="cp866b-8x16"
font8x8="cp866-8x8"
scrnmap="koi8-r2cp866"

hald_ebable="YES"
dbus_ebable="YES"
sams_enable="YES"

firewall_enable="YES"
firewall_script="/etc/rc.firewall"
gateway_enable="YES"
natd_enable="YES"
natd_interface="le0"
сквид отключен, т.к. сейчас хочу протести работоспособность ната.

Код: Выделить всё

#!/bin/sh

FwCMD=/sbin/ipfw # собственно где лежит бинарник ipfw
LanOut=le0            # внешний интерфейс
LanIn=le1            # внутренний интерфейс
IpOut=192.168.0.113 # внешний IP адрес машины
IpIn=192.168.1.100   # внутренний IP машины
NetMask=24            # маска сети

NetIn=192.168.1.0    # Внутренняя сеть

# Сбрасываем все правила:
${FwCMD} -f flush

# Проверяем - соответствует ли пакет динамическим правилам:
${FwCMD} add check-state

# Разрешаем весь траффик по внутреннему интерфейсу (петле)
${FwCMD} add allow ip from any to any via lo0

# Вводим запреты:.
# рубим частные сeти
${FwCMD} add deny ip from any to 10.0.0.0/8 in via ${LanOut}
${FwCMD} add deny ip from any to 172.16.0.0/12 in via ${LanOut}
#${FwCMD} add deny ip from any to 192.168.0.0/16 in via ${LanOut}
${FwCMD} add deny ip from any to 0.0.0.0/8 in via ${LanOut}

# рубим автоконфигуреную частную сеть
${FwCMD} add deny ip from any to 169.254.0.0/16 in via ${LanOut}
# рубаем мультикастовые рассылки
${FwCMD} add deny ip from any to 240.0.0.0/4 in via ${LanOut}
# рубим фрагментированные icmp
${FwCMD} add deny icmp from any to any frag
# рубим широковещательные icmp на внешнем интерфейсе
${FwCMD} add deny log icmp from any to 255.255.255.255 in via ${LanOut}
${FwCMD} add deny log icmp from any to 255.255.255.255 out via ${LanOut}

# а тут собственно файрволл и начался:

# отправляем всех на frox
#${FwCMD} add fwd ${IpIn},2121 tcp from ${NetIn}/${NetMask} to any 21 via ${LanOut}
# отправляем всех на squid
#${FwCMD} add fwd 127.0.0.1,3128 tcp from ${NetIn}/${NetMask} to any 80 via ${LanOut}


# пропускаем траффик через трансляцию сетевых адресов (NAT)
${FwCMD} add divert natd ip from ${NetIn}/${NetMask} to any out via ${LanOut}
${FwCMD} add divert natd ip from any to ${IpOut} in via ${LanOut}

# рубим траффик к частным сетям через внешний интерфейс
${FwCMD} add deny ip from 10.0.0.0/8 to any out via ${LanOut}
${FwCMD} add deny ip from 172.16.0.0/12 to any out via ${LanOut}
#${FwCMD} add deny ip from 192.168.0.0/16 to any out via ${LanOut}
${FwCMD} add deny ip from 0.0.0.0/8 to any out via ${LanOut}
# рубим автоконфигуреную частную сеть
${FwCMD} add deny ip from 169.254.0.0/16 to any out via ${LanOut}
# рубаем мультикастовые рассылки
${FwCMD} add deny ip from 224.0.0.0/4 to any out via ${LanOut}
# рубаем мультикастовые рассылки
${FwCMD} add deny ip from 240.0.0.0/4 to any out via ${LanOut}


# разрешаем все установленные соединения (если они установились - 
# значит по каким-то правилам они проходили.)
${FwCMD} add allow tcp from any to any established
# разрешаем весь исходящий траффик (серверу-то в инет можно? :))
${FwCMD} add allow ip from ${IpOut} to any out xmit ${LanOut}

# разрешаем DNS снаружи (нам же надо узнавать IP по именам машин?)
${FwCMD} add allow udp from any 53 to any via ${LanOut}

# разрешаем UDP (для синхронизации времени - 123 порт)
${FwCMD} add allow udp from any to any 123 via ${LanOut}
# разрешаем ftp снаружи (оба правила - для пасивного режима)
# для узнавания портранджа по которому будет работать, лезем в 
#/usr/home/lissyara/>sysctl net.inet.ip.portrange.first
# net.inet.ip.portrange.first: 49152
# /usr/home/lissyara/>sysctl net.inet.ip.portrange.last
# net.inet.ip.portrange.last: 65535
${FwCMD} add allow tcp from any to ${IpOut} 21 via ${LanOut}
#Можно изгалиться примерно так, если есть желание, но я предпочитаю руками
${FwCMD} add allow tcp from any to ${IpOut} \
#`sysctl net.inet.ip.portrange.first | awk '{print $2}'`-\
#`sysctl net.inet.ip.portrange.last | awk '{print $2}'` via ${LanOut}
#${FwCMD} add allow tcp from any to ${IpOut} 49152-65535 via ${LanOut}
# разрешаем некоторые типы ICMP траффика - эхо-запрос, 
# эхо-ответ и время жизни пакета истекло
${FwCMD} add allow icmp from any to any icmptypes 0,8,11
# открываем снаружи 80 порт - если у нас есть WWW сервер на машине
${FwCMD} add allow tcp from any to ${IpOut} 80 via ${LanOut}
# открываем снаружи 25 порт (SMTP) если на машине крутится почта
${FwCMD} add allow tcp from any to ${IpOut} 25 via ${LanOut}
# открываем снаружи 22 порт - если надо будет ходить на машину по ssh
${FwCMD} add allow tcp from any to ${IpOut} 22 via ${LanOut}
# открываем снаружи 143 порт(если надо смотреть почту снаружи по IMAP)
${FwCMD} add allow tcp from any to ${IpOut} 143 via ${LanOut}
# открываем снаружи 110 порт(если надо смотреть почту снаружи по POP)
${FwCMD} add allow tcp from any to ${IpOut} 110 via ${LanOut}
#шифрованные порты почты
${FwCMD} add allow tcp from any to ${IpOut} 995 via ${LanOut}
${FwCMD} add allow tcp from any to ${IpOut} 465 via ${LanOut}

# по поводу следующих трёх правил, для tcp, udp и icmp - их можно
# заменить одним правилом:
${FwCMD} add allow ip from any to any via ${LanIn}

# запрещаем всё и всем.
#${FwCMD} add deny ip from any to any

Код: Выделить всё

freebsd# ps -ax | grep natd
  849  ??  Is     0:00,00 /sbin/natd -dynamic -n le0
Да копипастил, ибо настраиваю в первыз раз. Все перечитал 3 раза.

Все вроде правильно, но чет не понимаю одного где прописано, обращение внутреней сетевухи ко внешней при выходе в инет компов их сети? (не пинайте если совсем глупый вопрос)

corsik
мл. сержант
Сообщения: 98
Зарегистрирован: 2009-07-31 11:18:58
Откуда: Калининград
Контактная информация:

Re: Squid авторизация

Непрочитанное сообщение corsik » 2011-07-27 11:16:32

Самое главное запустить нат, чтобы он работал. Каких самых бональных правил хватит для запуска ната? Все остальное буду дописывать по ходу дела!

snorlov
подполковник
Сообщения: 3714
Зарегистрирован: 2008-09-04 11:51:25
Откуда: Санкт-Петербург

Re: Squid авторизация

Непрочитанное сообщение snorlov » 2011-07-27 12:25:12

corsik писал(а):

Код: Выделить всё

gateway_enable="YES"
Все вроде правильно, но чет не понимаю одного где прописано, обращение внутреней сетевухи ко внешней при выходе в инет компов их сети? (не пинайте если совсем глупый вопрос)
Вот оно

corsik
мл. сержант
Сообщения: 98
Зарегистрирован: 2009-07-31 11:18:58
Откуда: Калининград
Контактная информация:

Re: Squid авторизация

Непрочитанное сообщение corsik » 2011-07-27 13:20:22

А что по поводу почему нат не работает?

corsik
мл. сержант
Сообщения: 98
Зарегистрирован: 2009-07-31 11:18:58
Откуда: Калининград
Контактная информация:

Re: Squid авторизация

Непрочитанное сообщение corsik » 2011-07-27 14:33:06

В общем задача простая, надо настроить НАТ. Есть компьютер надо на нем протестить всю работу, 2 сетевухи, на 1 поступает инет, со 2й надо раздавать. Стоит сквид самс, все работает хорошо требуется пускать через нат почту, аську и все что может еще понадобиться.
IP сети с инетом 192.168.0.113
С машин в сети 192.168.1. отлично пингует и le1 и le0, но почему то дальше пинг не идет если я например пингую роутер 192.168.0.1 не пингует. Получается он не видит сеть дальше freebsd почему?

Код: Выделить всё

# -- sysinstall generated deltas -- # Tue Jul  5 22:05:08 2011
# Created: Tue Jul  5 22:05:08 2011
# Enable network daemons for user convenience.
# Please make all changes to this file, not to /etc/defaults/rc.conf.
# This file now contains just the overrides from /etc/defaults/rc.conf.
hostname="freebsd"
ifconfig_le0="DHCP"
ifconfig_le1="inet 192.168.1.100 netmask 255.255.255.0"

keymap="ru.koi8-r"
moused_enable="YES

firewall_enable="YES"
firewall_type="open"
gateway_enable="YES"
natd_enable="YES"
natd_interface="le0"

apache22_enable="YES"
#squid_enable="YES"
mysql_enable="YES"

font8x14="cp866-8x14"
font8x16="cp866b-8x16"
font8x8="cp866-8x8"
scrnmap="koi8-r2cp866"

hald_ebable="YES"
dbus_ebable="YES"
sams_enable="YES"
Все стартует, нат не работает.

Решил попробовать все заного т.к. сказать может если с нуля все начать пойму в чем была ошибка. Но почему компы не видят сеть дальше freebsd? Ipfw Же стоит на Open

corsik
мл. сержант
Сообщения: 98
Зарегистрирован: 2009-07-31 11:18:58
Откуда: Калининград
Контактная информация:

Re: Squid авторизация

Непрочитанное сообщение corsik » 2011-07-27 14:35:13

И еще вопрос, как самс привязать к опеределенному IP? а то получается если DHCP дает другой айпишник на сайм зайти не могу!

corsik
мл. сержант
Сообщения: 98
Зарегистрирован: 2009-07-31 11:18:58
Откуда: Калининград
Контактная информация:

Re: Squid авторизация

Непрочитанное сообщение corsik » 2011-07-27 14:49:26

Код: Выделить всё

freebsd# ipfw show
00100  250  226442 allow ip from any to any via lo0
00200    0       0 deny ip from any to 127.0.0.0/8
00300    0       0 deny ip from 127.0.0.0/8 to any
00400    0       0 deny ip from any to ::1
00500    0       0 deny ip from ::1 to any
00600    0       0 allow ipv6-icmp from :: to ff02::/16
00700    0       0 allow ipv6-icmp from fe80::/10 to fe80::/10
00800    0       0 allow ipv6-icmp from fe80::/10 to ff02::/16
00900    0       0 allow ipv6-icmp from any to any ip6 icmp6types 1
01000    0       0 allow ipv6-icmp from any to any ip6 icmp6types 2,135,136
65000 2968 1666126 allow ip from any to any
[b]65535    0       0 deny ip from any to any[/b]
не понимаю почему запрещено? файрвол же открытый?