squid снаружи

MiguelKi

Всем привет. Ситуация такая.
Поставил Freebsd 9.3 + Squid версии 3.5 + sarg/
И вот в сарге теперь такие отчеты наблюдаю http://www.screencapture.ru/file/995F5034 хотя если зайти внутрь такого адреса то в отчете у него будет такое http://www.screencapture.ru/file/DbB9C614 т.е. DENIED

Вопрос такой, т.е. у меня сервак смотрит на ружу и как его тогда закрыть?

конфиги squid

Код: Выделить всё

http_port 3128
http_port localhost:3128 intercept

visible_hostname freebsd2
cache deny all

dns_v4_first on
shutdown_lifetime 1 seconds

coredump_dir /var/squid/cache
access_log /var/squid/logs/access.log squid
cache_log /var/squid/logs/cache.log
cache_dir ufs /var/squid/cache 3000 16 256


log_mime_hdrs on


acl localnet src 192.168.204.0/24 # RFC1918 possible internal network

acl SSL_ports port 443
acl Safe_ports port 80 # http
acl Safe_ports port 21 # ftp
acl Safe_ports port 443 # https
acl Safe_ports port 70 # gopher
acl Safe_ports port 210 # wais
acl Safe_ports port 1025-65535 # unregistered ports
acl Safe_ports port 280 # http-mgmt
acl Safe_ports port 488 # gss-http
acl Safe_ports port 591 # filemaker
acl Safe_ports port 777 # multiling http
acl CONNECT method CONNECT


acl UrlIP url_regex -i ^http://[0-9]{1,3}\.[0-9]{1,3}\.[0-9]{1,3}\.[0-9]{1,3}/.*
http_access deny UrlIP
http_access allow localhost manager
http_access allow CacheManagerIP manager
http_access deny manager
http_access deny !Safe_ports
http_access deny to_localhost
http_access deny CONNECT !SSL_ports
http_access allow localhost manager
http_access deny manager
http_access allow localnet
http_access allow localhost
http_access deny all


refresh_pattern ^ftp:           1440    20%     10080
refresh_pattern ^gopher:        1440    0%      1440
refresh_pattern -i (/cgi-bin/|\?) 0     0%      0
refresh_pattern .               0       20%     4320
cache_effective_user squid
cache_effective_group squid

Хостинг HostFood.ru · **Хостинг HostFood.ru**

Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/

logout_90

Просто укажи какой интерфейс сквиду слушать
к примеру так:

Код: Выделить всё

http_port 1.2.3.4:3128

Доп. информация: http://www.squid-cache.org/Doc/config/http_port/

MiguelKi

то есть указать ip адрес сетевой карты смотрящей в LAN ?

logout_90

Ну да. То есть, вот этим:

Код: Выделить всё

http_port 1.2.3.4:3128

указываешь, какой ип адрес и порт слушает сквид.

Отправлено спустя 2 минуты 51 секунду:
А так у тебя в транспарент режиме сквид слушает локалхост, а не в транспарент, слушает всех. Кстати, проверь конфиг фаервола, на всякий случай. Надеюсь там нет ничего типа

Код: Выделить всё

ipfw add fwd localhost,3128 all from any to any

MiguelKi

${fwcmd} add allow tcp from me to any out via em0 keep-state uid squid
${fwcmd} add fwd 127.0.0.1,3128 tcp from 192.168.204.0/24 to any 80 out via em0

MiguelKi

сейчас в конфиге сквида ввел свой ip адресс шлюза
http_port 192.168.204.7:3128

и при открытии любой страницы пишет следующее: http://www.screencapture.ru/file/A11Cca8D,
а в логах пишет след:
root@freebsd2:/var/squid/logs # cat ./access.log
1433136473.635 0 192.168.204.191 TAG_NONE/400 3908 GET /news/2015/06/01/kisssheep/ - HIER_NONE/- text/html [] [HTTP/1.1 400 Bad Request\r\nServer: squid/3.5.3\r\nMime-Version: 1.0\r\nDate: Mon, 01 Jun 2015 05:27:53 GMT\r\nContent-Type: text/html;charset=utf-8\r\nContent-Length: 3582\r\nX-Squid-Error: ERR_INVALID_URL 0\r\nVary: Accept-Language\r\nContent-Language: en\r\n\r]
1433136473.812 0 192.168.204.191 TAG_NONE/400 3884 GET /Artwork/SN.png - HIER_NONE/- text/html [] [HTTP/1.1 400 Bad Request\r\nServer: squid/3.5.3\r\nMime-Version: 1.0\r\nDate: Mon, 01 Jun 2015 05:27:53 GMT\r\nContent-Type: text/html;charset=utf-8\r\nContent-Length: 3558\r\nX-Squid-Error: ERR_INVALID_URL 0\r\nVary: Accept-Language\r\nContent-Language: en\r\n\r]

ай нид хелп

logout_90

Так, ок. С наскоку не пошло, давай разбираться))
Конфиг сквид (если изменился), фаервола, ifconfig в студию ))

MiguelKi

иpизменил в ipfw

${fwcmd} add allow tcp from me to any out via em0 keep-state uid squid
${fwcmd} add fwd (МОЙ АДРЕС СЕРВЕРА),3128 tcp from 192.168.204.0/24 to any 80 out via em0

и все прокатило..
Вопрос, так можно делать в правилах или нет?

logout_90

Кстати, хош приколю? ))

Код: Выделить всё

http_port 3128
http_port localhost:3128 intercept

Ты бы на разные порты разнес транспарент режим прокси и обычный, мож проканало бы в прошлый раз ))

Отправлено спустя 40 секунд:
Че то я невнимательно конфиг сквида прочитал у тебя, заметил бы раньше.

Отправлено спустя 1 минуту 38 секунд:

undefined писал(а): Вопрос, так можно делать в правилах или нет?

Конечно можно, вопрос только в целях, которые достичь хочешь. В данном случае, у тебя трафик весь идет через транспарент (вроде бы)

MiguelKi

Главная задача, что бы с снаружи не был виден + какая ни какая безопасность.
По поводу разноски портов, можешь чуть подробней рассказать для чего это и что это даст?

forum.lissyara.su