squid

Настройка сетевых служб, маршрутизации, фаерволлов. Проблемы с сетевым оборудованием.
Правила форума
Убедительная просьба юзать теги [code] при оформлении листингов.
Сообщения не оформленные должным образом имеют все шансы быть незамеченными.
Аватара пользователя
Time
сержант
Сообщения: 195
Зарегистрирован: 2008-09-04 4:31:16
Откуда: Абакан
Контактная информация:

squid

Непрочитанное сообщение Time » 2009-03-13 5:48:06

TCP_DENIED/403
поставил все как в статье "http://www.lissyara.su/?id=1808"
единственное что сделал это авторизацию по IP.
Все работает когда в фаерволе одно правило т.е. и трафик считает и блокирует сайты и т.д. "ipfw add 100 allow ip from any to any" , НО
Добовляю еще одну строку, чтобы сделать прозрачным прокси "ipfw add 50 fwd 127.0.0.1,3128 tcp from 10.16.32.0/24 to any 80,8080"

после чего, прокси появляеться но перестаеть работать инет т.е. на страницы заити нельзя на самс страницу тоже, но запрещенные страницы при этом блокируються

В самом squid ставил и http_port 127.0.0.1:3128 transparent и http_port 10.16.32.8:3128 transparent , ноль эмоции.

Код: Выделить всё

236838799.517      0 10.16.32.8 TCP_DENIED/403 1366 GET http://rambler.ru/ - NONE/- text/html
1236838799.518      1 10.16.32.64 TCP_MISS/403 1472 GET http://rambler.ru/ - DIRECT/81.19.70.3 text/html
1236838799.572      0 10.16.32.8 TCP_DENIED/403 1388 GET http://rambler.ru/favicon.ico - NONE/- text/html
1236838799.573      1 10.16.32.64 TCP_MISS/403 1494 GET http://rambler.ru/favicon.ico - DIRECT/81.19.70.3 text/html
1236838803.821     16 10.16.32.64 TCP_MISS/200 686 GET http://ya.ru/ - DIRECT/127.0.0.1 text/html
1236838805.219      0 10.16.32.8 TCP_DENIED/403 1388 GET http://www.google.com/search? - NONE/- text/html
1236838805.220      1 10.16.32.64 TCP_CLIENT_REFRESH_MISS/403 1494 GET http://www.google.com/search? - DIRECT/74.125.43.104 text/html
1236838952.761      0 10.16.32.79 TCP_DENIED/403 1428 GET http://10.16.32.8/sams/tray.php? - NONE/- text/html
1236838953.925      0 10.16.32.79 TCP_DENIED/403 1428 GET http://10.16.32.8/sams/tray.php? - NONE/- text/html
1236838955.534      0 10.16.32.79 TCP_DENIED/403 1428 GET http://10.16.32.8/sams/tray.php? - NONE/- text/html
1236838957.634      0 10.16.32.79 TCP_DENIED/403 1428 GET http://10.16.32.8/sams/tray.php? - NONE/- text/html
1236838958.940      0 10.16.32.79 TCP_DENIED/403 1428 GET http://10.16.32.8/sams/main.php? - NONE/- text/html
1236838971.306      0 10.16.32.79 TCP_DENIED/403 1376 GET http://10.16.32.8/sams/ - NONE/- text/html
1236838971.773      0 10.16.32.79 TCP_DENIED/403 1388 GET http://10.16.32.8/favicon.ico - NONE/- text/html
1236839027.210      0 10.16.32.79 TCP_DENIED/403 1376 GET http://10.16.32.8/sams/ - NONE/- text/html
1236839424.206     22 10.16.32.8 TCP_DENIED/403 1366 GET http://rambler.ru/ - NONE/- text/html
1236839424.209     26 10.16.32.64 TCP_MISS/403 1472 GET http://rambler.ru/ - DIRECT/81.19.70.3 text/html
1236839424.269      0 10.16.32.8 TCP_DENIED/403 1388 GET http://rambler.ru/favicon.ico - NONE/- text/html
1236839424.270      1 10.16.32.64 TCP_MISS/403 1494 GET http://rambler.ru/favicon.ico - DIRECT/81.19.70.3 text/html
1236839428.590      0 10.16.32.8 TCP_DENIED/403 1366 GET http://rambler.ru/ - NONE/- text/html
1236839428.590      1 10.16.32.64 TCP_CLIENT_REFRESH_MISS/403 1472 GET http://rambler.ru/ - DIRECT/81.19.70.3 text/html
1236839430.819    142 10.16.32.64 TCP_MISS/200 686 GET http://ya.ru/ - DIRECT/127.0.0.1 text/html
1236839431.909     26 10.16.32.64 TCP_MISS/200 686 GET http://ya.ru/ - DIRECT/127.0.0.1 text/html
1236839433.635      0 10.16.32.8 TCP_DENIED/403 1388 GET http://www.google.com/search? - NONE/- text/html
1236839433.635      1 10.16.32.64 TCP_MISS/403 1494 GET http://www.google.com/search? - DIRECT/74.125.43.147 text/html
1236839436.766      0 10.16.32.8 TCP_DENIED/403 1366 GET http://rambler.ru/ - NONE/- text/html
1236839436.766      1 10.16.32.64 TCP_CLIENT_REFRESH_MISS/403 1472 GET http://rambler.ru/ - DIRECT/81.19.70.3 text/html
1236839446.157      0 10.16.32.8 TCP_DENIED/403 1372 GET http://wwwrambler.ru/ - NONE/- text/html
1236839446.157      1 10.16.32.64 TCP_MISS/403 1478 GET http://wwwrambler.ru/ - DIRECT/92.241.169.89 text/html
1236839446.220      0 10.16.32.8 TCP_DENIED/403 1394 GET http://wwwrambler.ru/favicon.ico - NONE/- text/html
1236839446.220      1 10.16.32.64 TCP_MISS/403 1500 GET http://wwwrambler.ru/favicon.ico - DIRECT/92.241.169.89 text/html
1236839489.275     26 10.16.32.64 TCP_MISS/200 686 GET http://ya.ru/ - DIRECT/127.0.0.1 text/html
1236839490.674      0 10.16.32.64 TCP_NEGATIVE_HIT/403 1486 GET http://wwwrambler.ru/ - NONE/- text/html
1236839492.284     26 10.16.32.64 TCP_MISS/200 686 GET http://ya.ru/ - DIRECT/127.0.0.1 text/html
1236839495.400      0 10.16.32.64 TCP_NEGATIVE_HIT/403 1502 GET http://www.google.com/search? - NONE/- text/html
1236839495.467      0 10.16.32.8 TCP_DENIED/403 1396 GET http://www.google.com/favicon.ico - NONE/- text/html
1236839495.468      1 10.16.32.64 TCP_MISS/403 1502 GET http://www.google.com/favicon.ico - DIRECT/74.125.43.99 text/html
1236839599.861      0 10.16.32.79 TCP_DENIED/403 1376 GET http://10.16.32.8/sams/ - NONE/- text/html
1236839601.587      0 10.16.32.79 TCP_DENIED/403 1376 GET http://10.16.32.8/sams/ - NONE/- text/html
1236840240.381      0 10.16.32.8 TCP_DENIED/403 1388 GET http://www.google.com/search? - NONE/- text/html
1236840240.381      1 10.16.32.64 TCP_MISS/403 1494 GET http://www.google.com/search? - DIRECT/74.125.43.147 text/html
1236840242.820     27 10.16.32.64 TCP_MISS/200 686 GET http://ya.ru/ - DIRECT/127.0.0.1 text/html
1236840244.797      0 10.16.32.8 TCP_DENIED/403 1372 GET http://wwwrambler.ru/ - NONE/- text/html
1236840244.798      1 10.16.32.64 TCP_MISS/403 1478 GET http://wwwrambler.ru/ - DIRECT/92.241.169.89 text/html
1236840246.273      0 10.16.32.8 TCP_DENIED/403 1388 GET http://www.google.com/search? - NONE/- text/html
1236840246.274      1 10.16.32.64 TCP_CLIENT_REFRESH_MISS/403 1494 GET http://www.google.com/search? - DIRECT/74.125.43.99 text/html
1236840249.551      0 10.16.32.8 TCP_DENIED/403 1372 GET http://wwwrambler.ru/ - NONE/- text/html
1236840249.551      1 10.16.32.64 TCP_CLIENT_REFRESH_MISS/403 1478 GET http://wwwrambler.ru/ - DIRECT/92.241.169.89 text/html
1236840250.520     28 10.16.32.64 TCP_MISS/200 686 GET http://ya.ru/ - DIRECT/127.0.0.1 text/html
1236840252.139     27 10.16.32.64 TCP_MISS/200 686 GET http://ya.ru/ - DIRECT/127.0.0.1 text/html
1236840252.281     28 10.16.32.64 TCP_MISS/200 697 GET http://ya.ru/favicon.ico - DIRECT/127.0.0.1 text/html
1236840461.467      0 10.16.32.79 TCP_DENIED/403 1366 GET http://10.16.32.8/ - NONE/- text/html
ya.ru это я для теста заблокировал
10.16.32.8 это та машина на кторой крутиться самс , посоветуите что это может быть
Вложения
squid.conf.tar.gz
вот сам кальмар
(51.74 КБ) 22 скачивания

Хостинговая компания Host-Food.ru
Хостинг HostFood.ru
 

Услуги хостинговой компании Host-Food.ru

Хостинг HostFood.ru

Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/

Аватара пользователя
Time
сержант
Сообщения: 195
Зарегистрирован: 2008-09-04 4:31:16
Откуда: Абакан
Контактная информация:

Re: squid

Непрочитанное сообщение Time » 2009-03-13 7:13:33

после того как поставил права на ncsa_auth
вдруг стала открываться страничка самого самс, но ошибки остались...

Код: Выделить всё

1236906515.964     17 10.16.32.64 TCP_MISS/200 686 GET http://ya.ru/ - DIRECT/127.0.0.1 text/html
1236906517.770      0 10.16.32.64 TCP_IMS_HIT/304 310 GET http://10.16.32.8/sams/ - NONE/- text/html
1236906517.922     66 10.16.32.64 TCP_MISS/200 1167 GET http://10.16.32.8/sams/main.php? - DIRECT/10.16.32.8 text/html
1236906517.944     86 10.16.32.64 TCP_MISS/200 1214 GET http://10.16.32.8/sams/tray.php? - DIRECT/10.16.32.8 text/html
1236906517.959    144 10.16.32.64 TCP_MISS/200 37888 GET http://10.16.32.8/sams/lframe.php - DIRECT/10.16.32.8 text/html
1236906518.111     38 10.16.32.64 TCP_MISS/200 1167 GET http://10.16.32.8/sams/main.php? - DIRECT/10.16.32.8 text/html
1236906520.290      0 10.16.32.8 TCP_DENIED/403 1374 GET http://www.rambler.ru/ - NONE/- text/html
1236906520.290      2 10.16.32.64 TCP_MISS/403 1480 GET http://www.rambler.ru/ - DIRECT/81.19.70.1 text/html
1236906528.303      0 10.16.32.8 TCP_DENIED/403 1364 GET http://nakaba.ru/ - NONE/- text/html
1236906528.303      1 10.16.32.64 TCP_MISS/403 1470 GET http://nakaba.ru/ - DIRECT/89.249.130.229 text/html
1236906528.406      0 10.16.32.8 TCP_DENIED/403 1386 GET http://nakaba.ru/favicon.ico - NONE/- text/html
1236906528.406      1 10.16.32.64 TCP_MISS/403 1492 GET http://nakaba.ru/favicon.ico - DIRECT/89.249.130.229 text/html

Аватара пользователя
Time
сержант
Сообщения: 195
Зарегистрирован: 2008-09-04 4:31:16
Откуда: Абакан
Контактная информация:

Re: squid

Непрочитанное сообщение Time » 2009-03-13 7:19:30

Код: Выделить всё

ERROR
The requested URL could not be retrieved

While trying to retrieve the URL: http://rambler.ru/ 

The following error was encountered: 
Access Denied. 

Access control configuration prevents your request from being allowed at this time. Please contact your service provider if you feel this is incorrect. 

Your cache administrator is webmaster. 
Generated Fri, 13 Mar 2009 01:18:21 GMT by 10.16.32.8 (squid/2.7.STABLE6)

paradox
проходил мимо
Сообщения: 11620
Зарегистрирован: 2008-02-21 18:15:41

Re: squid

Непрочитанное сообщение paradox » 2009-03-13 7:33:33

вы уж определитесь транспарент у вас и нужен fwd
или авторизация
потому как вместе они не работают

Аватара пользователя
Time
сержант
Сообщения: 195
Зарегистрирован: 2008-09-04 4:31:16
Откуда: Абакан
Контактная информация:

Re: squid

Непрочитанное сообщение Time » 2009-03-13 7:43:31

т.е. с авторизацией по ip вы хотите сказать прозрачный прокси работать не будет?

Аватара пользователя
manefesto
Группенфюррер
Сообщения: 6934
Зарегистрирован: 2007-07-20 8:27:30
Откуда: Пермь
Контактная информация:

Re: squid

Непрочитанное сообщение manefesto » 2009-03-13 8:18:25

Time писал(а):т.е. с авторизацией по ip вы хотите сказать прозрачный прокси работать не будет?
авторизация по ip это как ???? :shock:
я такой яростный шо аж пиздеЦ
Изображение

Аватара пользователя
Time
сержант
Сообщения: 195
Зарегистрирован: 2008-09-04 4:31:16
Откуда: Абакан
Контактная информация:

Re: squid

Непрочитанное сообщение Time » 2009-03-13 8:19:11

еще один вопросик в догонку, где можно наити описание всех опции сборки squid и что они означают

Аватара пользователя
Time
сержант
Сообщения: 195
Зарегистрирован: 2008-09-04 4:31:16
Откуда: Абакан
Контактная информация:

Re: squid

Непрочитанное сообщение Time » 2009-03-13 8:20:56

manefesto писал(а):
Time писал(а):т.е. с авторизацией по ip вы хотите сказать прозрачный прокси работать не будет?
авторизация по ip это как ???? :shock:
что значит как вы статью читали? указываешь в веб морде sams способ авторизации ip и все прекрасно работает если не прозрачный прокси, а вот с прозрачным я щас борюсь

Аватара пользователя
Time
сержант
Сообщения: 195
Зарегистрирован: 2008-09-04 4:31:16
Откуда: Абакан
Контактная информация:

Re: squid

Непрочитанное сообщение Time » 2009-03-13 13:30:53

может хоть кто-то поможет настроить это фаервол, уже 2-ю неделю мучаюсь с проксей этой.
Правило одно, вот такое с ним и мучу:
${FwCMD} add fwd 127.0.0.1,3128 tcp from 10.16.32.0/24 to any 80,8080 via em0

после чего валяться эти ошибки:

Код: Выделить всё

1236928982.232      0 10.16.32.8 TCP_DENIED/403 1370 GET http://www.lenta.ru/ - NONE/- text/html
1236928982.233      1 10.16.32.64 TCP_MISS/403 1476 GET http://www.lenta.ru/ - DIRECT/81.19.85.116 text/html
1236928982.332      0 10.16.32.8 TCP_DENIED/403 1392 GET http://www.lenta.ru/favicon.ico - NONE/- text/html
1236928982.333      1 10.16.32.64 TCP_MISS/403 1498 GET http://www.lenta.ru/favicon.ico - DIRECT/81.19.85.116 text/html
1236929180.266      0 10.16.32.8 TCP_DENIED/403 1370 GET http://www.lenta.ru/ - NONE/- text/html
1236929180.266    144 10.16.32.64 TCP_CLIENT_REFRESH_MISS/403 1476 GET http://www.lenta.ru/ - DIRECT/81.19.85.116 text/html

Аватара пользователя
Time
сержант
Сообщения: 195
Зарегистрирован: 2008-09-04 4:31:16
Откуда: Абакан
Контактная информация:

Re: squid

Непрочитанное сообщение Time » 2009-03-13 15:20:29

как говориться кто ищт тот всегда наидет...2 недели я настраивал этот сервак с учетом того что я до этого не знал что это где это и как это... в итоге хочу сказать что решило ВСЕ всего 2 строчки...это все настроики для компа с одним интерфеисом ->
в кальмаре стоит:
http_port 127.0.0.1:3128 transparent

а в ipfw

ipfw add fwd 127.0.0.1,3128 tcp from not me to any 80,8080

и это все благодаря вот этои ссылке "http://www.opennet.ru/openforum/vsluhfo ... 98.html#25"
и человеку который боролся тоже с даннои проблемои и открыл мне глаза

Код: Выделить всё

25. "Прозрачное проксирование FreeBSD + IPFW + Squid."  
Сообщение от QuAzI (ok) on 21-Янв-09, 10:50 
В таком виде не работало. Работало как ipfw add 49 fwd 127.0.0.1,3128 tcp from any to not me 80 in 
тоесть ловим входящие пакеты, которые пытаются от нас уйти на 80-ый порт
всем спасибо все было круто какои я молодец :oops:
p.s. попозже я более подробно опишу процес моеи установки и настроики прозрачного прокси сервака с авторизацией по ip, если кому то это конечно интересно!

Аватара пользователя
server801
ст. лейтенант
Сообщения: 1395
Зарегистрирован: 2008-09-27 21:15:16
Откуда: Саратов
Контактная информация:

Re: squid

Непрочитанное сообщение server801 » 2009-03-17 19:02:15

мне очень интересно!напиши...

Аватара пользователя
Time
сержант
Сообщения: 195
Зарегистрирован: 2008-09-04 4:31:16
Откуда: Абакан
Контактная информация:

Re: squid

Непрочитанное сообщение Time » 2009-03-18 5:46:15

Я все делал по вот этои статье, единственное я поменял некоторые значения под себя: "http://www.lissyara.su/?id=1718"

Код: Выделить всё

uname -a
FreeBSD XXX.local 7.1-RELEASE FreeBSD 7.1-RELEASE #2: Thu Mar 12 14:33:52 VLAT 2009     time@XXX.local:/usr/obj/usr/src/sys/main_kernell.2009-12-03  i386
Не забываем обновить порты и пересобрать ядро, у меня вот такие вот опции:

Код: Выделить всё

options         IPFIREWALL
options         IPFIREWALL_VERBOSE
options         IPFIREWALL_VERBOSE_LIMIT=10
options         IPFIREWALL_DEFAULT_TO_ACCEPT
options         DUMMYNET
options         IPDIVERT
options         IPFIREWALL_FORWARD
options         IPFILTER
options         IPFILTER_LOG
#options         IPSEC
#options        IPSEC_FILTERTUNNEL
options         NETGRAPH
С IPSEC не собиралось почему то, выдавало ошибку, кто знает решение стукните

В squid я добавил
http_port 127.0.0.1:3128 transparent
и
auth_param basic program /usr/local/libexec/squid/ncsa_auth /usr/local/etc/squid/default.sams
auth_param basic children 5
auth_param basic realm Squid proxy-caching web server
auth_param basic credentialsttl 2 hours
auth_param basic casesensitive off
еще выставил права на фаил ncsa_auth : "chmod 777 ncsa_auth"
на серваке всего один интерфеис в котором всего одно правило которое и делает проксю прозрачной "${FwCMD} add fwd 127.0.0.1,3128 tcp from not me to any 80,8080"
Ну и далее сами настроики в самом самсе:

Код: Выделить всё

Заходим в веб интерфейс, по умолчанию пользователь admin, пароль qwerty (всегда так)
 
 Настройки WEB интерфейса -> 
 Язык: Russian KOI8-R
 Сохранить изменения
 ############################################################################################
 Администрирование SAMS ->
 
 
 Домен по умолчанию: Оставляем_пустым
 Способ аутентификации пользователя: IP   <------ вот тут
 Настройка samsdaemon: Проверять наличие команды на реконфигурирование squid каждые 1 секунду
 Обрабатывать логи SQUID:  [X]
 Используя: Запускать обработчик логов через N минут
 обрабатывать через: 1 минута
 Автоматически очищать счетчики трафика пользователей: [X]
 Путь к wbinfo:  /usr/local/bin
 файл перенаправления запроса: http://ip_tachki/sams/icon/classic/blank.gif
 Путь к каталогу, где лежат файлы запрета запроса: http://ip_tachki/sams/messages
 Редиректор: Пока ставим "Не использовать редиректор"
 Включить ограничение скорости доступа пользователей (delaypool): [ ]
 Сохранять данные о трафике в базе за последние: Не сохранять
 Сохранить изменения
 ############################################################################################
 Шаблоны пользователей -> Default
 Cписки SAMS:
 Перенаправление запроса
                      [X] Banners
                      [X] Counters
 [ ] Доступ запрещен ко всем URL
     Запрет доступа
                      [X] Chats 
                      [X] Porno 
                      [X] Localdomains
 Способ авторизации пользователей: NCSA
 ############################################################################################
 Пользователи -> Добавить пользователя
 
 Пользователь:                       test
 Домен:                              Оставляем поле пустым
 Пароль для допуска пользователя
 в интернет и просмотра статистики:  ******
 IP адрес/маска:                     / 255.255.255.255
 Имя:                                Тест
 Отчество:                           Тестович
 Фамилия:                            Тестов
 Группа:                             Users
 Разрешенный
 трафик (Мб):                        100
 Пользователь активен:               [X]
 Шаблон:                             Default
 ############################################################################################
 SAMS -> Локальные домены
 И добавляем свои локальные сети
 127.0.0.1        Добавить URL
 192.168.55.0/24  Добавить URL
 domain.local     Добавить URL
 итд итп.
 
Ну вроде бы все,теперь у меня в конторе прозрачный прокси!

nik
проходил мимо

squid

Непрочитанное сообщение nik » 2009-03-21 23:20:36

а можно ли в сквиде зделать чтоб он кроме адреса страницы в логи записывал и её IP?