Страница 1 из 1
squid снаружи
Добавлено: 2015-05-29 10:01:57
MiguelKi
Всем привет. Ситуация такая.
Поставил Freebsd 9.3 + Squid версии 3.5 + sarg/
И вот в сарге теперь такие отчеты наблюдаю
http://www.screencapture.ru/file/995F5034 хотя если зайти внутрь такого адреса то в отчете у него будет такое
http://www.screencapture.ru/file/DbB9C614 т.е. DENIED
Вопрос такой, т.е. у меня сервак смотрит на ружу и как его тогда закрыть?
конфиги squid
Код: Выделить всё
http_port 3128
http_port localhost:3128 intercept
visible_hostname freebsd2
cache deny all
dns_v4_first on
shutdown_lifetime 1 seconds
coredump_dir /var/squid/cache
access_log /var/squid/logs/access.log squid
cache_log /var/squid/logs/cache.log
cache_dir ufs /var/squid/cache 3000 16 256
log_mime_hdrs on
acl localnet src 192.168.204.0/24 # RFC1918 possible internal network
acl SSL_ports port 443
acl Safe_ports port 80 # http
acl Safe_ports port 21 # ftp
acl Safe_ports port 443 # https
acl Safe_ports port 70 # gopher
acl Safe_ports port 210 # wais
acl Safe_ports port 1025-65535 # unregistered ports
acl Safe_ports port 280 # http-mgmt
acl Safe_ports port 488 # gss-http
acl Safe_ports port 591 # filemaker
acl Safe_ports port 777 # multiling http
acl CONNECT method CONNECT
acl UrlIP url_regex -i ^http://[0-9]{1,3}\.[0-9]{1,3}\.[0-9]{1,3}\.[0-9]{1,3}/.*
http_access deny UrlIP
http_access allow localhost manager
http_access allow CacheManagerIP manager
http_access deny manager
http_access deny !Safe_ports
http_access deny to_localhost
http_access deny CONNECT !SSL_ports
http_access allow localhost manager
http_access deny manager
http_access allow localnet
http_access allow localhost
http_access deny all
refresh_pattern ^ftp: 1440 20% 10080
refresh_pattern ^gopher: 1440 0% 1440
refresh_pattern -i (/cgi-bin/|\?) 0 0% 0
refresh_pattern . 0 20% 4320
cache_effective_user squid
cache_effective_group squid
squid снаружи
Добавлено: 2015-05-29 12:37:39
logout_90
Просто укажи какой интерфейс сквиду слушать
к примеру так:
Доп. информация:
http://www.squid-cache.org/Doc/config/http_port/
squid снаружи
Добавлено: 2015-05-29 13:59:33
MiguelKi
то есть указать ip адрес сетевой карты смотрящей в LAN ?
squid снаружи
Добавлено: 2015-06-01 9:05:48
logout_90
Ну да. То есть, вот этим:
указываешь, какой ип адрес и порт слушает сквид.
Отправлено спустя 2 минуты 51 секунду:
А так у тебя в транспарент режиме сквид слушает локалхост, а не в транспарент, слушает всех. Кстати, проверь конфиг фаервола, на всякий случай. Надеюсь там нет ничего типа
Код: Выделить всё
ipfw add fwd localhost,3128 all from any to any
squid снаружи
Добавлено: 2015-06-01 12:23:03
MiguelKi
${fwcmd} add allow tcp from me to any out via em0 keep-state uid squid
${fwcmd} add fwd 127.0.0.1,3128 tcp from 192.168.204.0/24 to any 80 out via em0
squid снаружи
Добавлено: 2015-06-01 12:31:47
MiguelKi
сейчас в конфиге сквида ввел свой ip адресс шлюза
http_port 192.168.204.7:3128
и при открытии любой страницы пишет следующее:
http://www.screencapture.ru/file/A11Cca8D,
а в логах пишет след:
root@freebsd2:/var/squid/logs # cat ./access.log
1433136473.635 0 192.168.204.191 TAG_NONE/400 3908 GET /news/2015/06/01/kisssheep/ - HIER_NONE/- text/html [] [HTTP/1.1 400 Bad Request\r\nServer: squid/3.5.3\r\nMime-Version: 1.0\r\nDate: Mon, 01 Jun 2015 05:27:53 GMT\r\nContent-Type: text/html;charset=utf-8\r\nContent-Length: 3582\r\nX-Squid-Error: ERR_INVALID_URL 0\r\nVary: Accept-Language\r\nContent-Language: en\r\n\r]
1433136473.812 0 192.168.204.191 TAG_NONE/400 3884 GET /Artwork/SN.png - HIER_NONE/- text/html [] [HTTP/1.1 400 Bad Request\r\nServer: squid/3.5.3\r\nMime-Version: 1.0\r\nDate: Mon, 01 Jun 2015 05:27:53 GMT\r\nContent-Type: text/html;charset=utf-8\r\nContent-Length: 3558\r\nX-Squid-Error: ERR_INVALID_URL 0\r\nVary: Accept-Language\r\nContent-Language: en\r\n\r]
ай нид хелп
squid снаружи
Добавлено: 2015-06-01 12:41:48
logout_90
Так, ок. С наскоку не пошло, давай разбираться))
Конфиг сквид (если изменился), фаервола, ifconfig в студию ))
squid снаружи
Добавлено: 2015-06-01 12:43:04
MiguelKi
иpизменил в ipfw
${fwcmd} add allow tcp from me to any out via em0 keep-state uid squid
${fwcmd} add fwd (МОЙ АДРЕС СЕРВЕРА),3128 tcp from 192.168.204.0/24 to any 80 out via em0
и все прокатило..
Вопрос, так можно делать в правилах или нет?
squid снаружи
Добавлено: 2015-06-01 12:52:40
logout_90
Кстати, хош приколю? ))
Код: Выделить всё
http_port 3128
http_port localhost:3128 intercept
Ты бы на разные порты разнес транспарент режим прокси и обычный, мож проканало бы в прошлый раз ))
Отправлено спустя 40 секунд:
Че то я невнимательно конфиг сквида прочитал у тебя, заметил бы раньше.
Отправлено спустя 1 минуту 38 секунд:
undefined писал(а): Вопрос, так можно делать в правилах или нет?
Конечно можно, вопрос только в целях, которые достичь хочешь. В данном случае, у тебя трафик весь идет через транспарент (вроде бы)
squid снаружи
Добавлено: 2015-06-01 13:01:36
MiguelKi
Главная задача, что бы с снаружи не был виден + какая ни какая безопасность.
По поводу разноски портов, можешь чуть подробней рассказать для чего это и что это даст?