Обратный прокси на squid 3.0

Настройка сетевых служб, маршрутизации, фаерволлов. Проблемы с сетевым оборудованием.
Правила форума
Убедительная просьба юзать теги [code] при оформлении листингов.
Сообщения не оформленные должным образом имеют все шансы быть незамеченными.
back2base
проходил мимо

Обратный прокси на squid 3.0

Непрочитанное сообщение back2base » 2011-09-29 9:36:18

Уважаемые коллеги, прошу помочь разобраться.
Ситуация такая:
Нужно дать доступ из инета к OWA на Exchange 2010.
на FreeBSD 8.1-RELEASE установил Squid 3.0 Затем стал лепить конфиг для обратной прокси в основном использовал статьи по ссылкам:
http://mmmmm.ru/archives/103
http://wiki.squid-cache.org/ConfigExamp ... kWebAccess

вот что получилось:

Код: Выделить всё

https_port 172.16.1.3:443 cert=/etc/ssl/crt/server-cert.crt key=/etc/ssl/key/server-key.key defaultsite=external.domain.name

cache_peer 10.200.210.25 parent 443 0 no-query originserver login=PASS front-end-https=on name=mailhq-srv.internal.domain.name

acl OWA dstdomain external.domain.name
cache_peer_access mailhq-srv.internal.domain.name allow OWA
never_direct allow OWA

# lock down access to only query the OWA server!
http_access allow OWA
http_access deny all
miss_access allow OWA
miss_access deny all
172.16.1.3 - dmz интерфейс squid
10.200.210.25 - lan интерфейс exchange

Проблема в том что Squid не стартует в логах выдаёт следующее:

Код: Выделить всё

2011/09/29 09:33:23| Starting Squid Cache version 3.0.STABLE25 for i386-portbld-freebsd8.1...
2011/09/29 09:33:23| Process ID 48502
2011/09/29 09:33:23| With 11072 file descriptors available
2011/09/29 09:33:23| DNS Socket created at 0.0.0.0, port 20028, FD 7
2011/09/29 09:33:23| Adding domain external.domain.ru from /etc/resolv.conf
2011/09/29 09:33:23| Adding nameserver 10.200.210.14 from /etc/resolv.conf
2011/09/29 09:33:24| Unlinkd pipe opened on FD 11
2011/09/29 09:33:24| Local cache digest enabled; rebuild/rewrite every 3600/3600 sec
2011/09/29 09:33:24| Swap maxSize 102400 + 8192 KB, estimated 8507 objects
2011/09/29 09:33:24| Target number of buckets: 425
2011/09/29 09:33:24| Using 8192 Store buckets
2011/09/29 09:33:24| Max Mem  size: 8192 KB
2011/09/29 09:33:24| Max Swap size: 102400 KB
2011/09/29 09:33:24| Version 1 of swap file with LFS support detected... 
2011/09/29 09:33:24| Rebuilding storage in /var/squid/cache (DIRTY)
2011/09/29 09:33:24| Using Least Load store dir selection
2011/09/29 09:33:24| Current Directory is /var/squid/logs
2011/09/29 09:33:24| Loaded Icons.
2011/09/29 09:33:24| commBind: Cannot bind socket FD 13 to 172.16.1.3:443: (13) Permission denied
FATAL: Cannot open HTTP Port
Squid Cache (Version 3.0.STABLE25): Terminated abnormally.
CPU Usage: 0.058 seconds = 0.044 user + 0.015 sys
Maximum Resident Size: 12204 KB
Page faults with physical i/o: 0
Порты 80 и 443 не заняты никаких служб на них нет. Из лога видно что squidу не хватает прав для открытия порта но как это решить я не знаю. Саму службу запускаю из консоли рута.
Помогите решить плииз!

Хостинговая компания Host-Food.ru
Хостинг HostFood.ru
 

Услуги хостинговой компании Host-Food.ru

Хостинг HostFood.ru

Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/

Аватара пользователя
Alvares
прапорщик
Сообщения: 485
Зарегистрирован: 2008-07-10 12:48:08
Откуда: Воронеж
Контактная информация:

Re: Обратный прокси на squid 3.0

Непрочитанное сообщение Alvares » 2011-09-29 12:31:54

попробуйте перевесить на порт больший 1024
Бог создал людей сильными и слабыми. Сэмюэл Кольт сделал их равными...

back2base
проходил мимо
Сообщения: 3
Зарегистрирован: 2011-09-29 9:38:47

Re: Обратный прокси на squid 3.0

Непрочитанное сообщение back2base » 2011-09-29 13:52:18

с более высоким портом (1234) squid стартует. соединение из инета принимает но вот на exchange попасть не получается. может кто подскажет правильный конфиг?

squid сидит в DMZ 172.16.1.3 а Exchange в LAN 10.200.210.25
на squid попадаю принимаю сертификат затем ожидание а потом

ERROR

The requested URL could not be retrieved
The following error was encountered while trying to retrieve the URL: https://10.200.210.25
Access Denied.
с самого squida на exchange (https://10.200.210.25/owa) захожу без проблем.

back2base
проходил мимо
Сообщения: 3
Зарегистрирован: 2011-09-29 9:38:47

Re: Обратный прокси на squid 3.0

Непрочитанное сообщение back2base » 2011-09-29 14:06:43

поменял конфиг на примерно такой же как указан здесь http://mmmmm.ru/archives/103 и доступ к OWA появился.
Теперь вопрос такой:
как сделать так чтобы squid требовал сертификат от клиента перед тем как пустить его на exchange?

back2base
проходил мимо
Сообщения: 3
Зарегистрирован: 2011-09-29 9:38:47

Re: Обратный прокси на squid 3.0

Непрочитанное сообщение back2base » 2011-09-30 10:11:22

в общем squid настроил теперь подключение к OWA происходит только после проверки клиентского сертифика самим squid-ом.
теперь вопрос такой:
Возможно ли ограничить директории Exchange через конфиг squid-а на которые пользователь может заходить?
сейчас после того как получен доступ к OWA я могу поменять директорию в ссылке скажем с https://owa.internal.domain/owa на https://owa.internal.domain/rpc и получаю окошко для ввода логина и пароля а хотелось бы чтобы кроме как на https://owa.internal.domain/owa никуда больше не лазили.

Вот как сейчас выглядит конфинг squid

Код: Выделить всё

visible_hostname external.domain
cache_mgr squid
https_port 172.16.1.3:1234 accel defaultsite=10.200.210.25 cert=/etc/ssl/crt/server-cert.crt key=/etc/ssl/key/server-key.key sslflags=DONT_VERIFY_DOMAIN clientca=/etc/ssl/CA/cacert.pem cafile=/etc/ssl/CA/cacert.pem capath=/etc/ssl/CA/ sslcontext=id
cache_peer 10.200.210.25 parent 443 0 proxy-only no-query originserver name=owa.internal.domain ssl sslflags=DONT_VERIFY_DOMAIN front-end-https
cache_dir ufs /var/squid/cache 100 16 256
cache_access_log /var/squid/logs/access.log squid
cache_log /var/squid/logs/cache.log squid
cache_store_log /var/squid/logs/store.log squid
logfile_rotate 100
pid_filename /var/squid/squid.pid
error_directory /usr/local/etc/squid/errors/Russian-1251
acl OWA dstdomain owa.internal.domain
acl OWA-DIRS urlpath_regex (\/owa\/)
acl OWA-SITE url_regex ^https://owa.internal.domain
cache_peer_access owa.internal.domain allow OWA
http_access allow OWA OWA-DIRS OWA-SITE
http_access deny all
deny_info https://owa.internal.domain/owa/ all