Squid можно использовать в роли прокси для пол
-
Вопрос в следующем:
Интернет в локальной сети есть, если указать прокси (прокси на интерфейсе WAN) тоже все работает.При попытки подключение к прокси со стороны WAN проходит авторизация но вместо сайта "Доступ запрещен"
Подозревая проблема в NAT , пока не было правила разрешающего доступа с WAN по порту 8080 (порт прокси) запроса на авторизацию даже не было.
Сейчас запрос есть но … :(
![ДоÑтуп запрещен.jpg](/public/imported_attachments/1/ДоÑтуп запрещен.jpg)
![ДоÑтуп запрещен.jpg_thumb](/public/imported_attachments/1/ДоÑтуп запрещен.jpg_thumb) -
включи логи и посмотри что там пишут или кинь сюда
кстати в access control - allowed subnets - укажи сети которые могуть пользовать прокси
-
включи логи и посмотри что там пишут или кинь сюда
кстати в access control - allowed subnets - укажи сети которые могуть пользовать прокси
по порядку: в access control ничего небыло действительно сечас написал:255.255.255.255/32
логи(разбираюсь с SSH … скопировал последнии записи лога)
2011/09/06 14:48:20| Process ID 3382
2011/09/06 14:48:20| With 3405 file descriptors available
2011/09/06 14:48:20| Using kqueue for the IO loop
2011/09/06 14:48:20| DNS Socket created at 0.0.0.0, port 40451, FD 11
2011/09/06 14:48:20| Adding nameserver 82.117.86.3 from squid.conf
2011/09/06 14:48:20| helperOpenServers: Starting 5 'ncsa_auth' processes
2011/09/06 14:48:20| Referer logging is disabled.
2011/09/06 14:48:20| logfileOpen: opening log /dev/null
2011/09/06 14:48:20| Unlinkd pipe opened on FD 22
2011/09/06 14:48:20| Swap maxSize 102400 + 8192 KB, estimated 8507 objects
2011/09/06 14:48:20| Target number of buckets: 425
2011/09/06 14:48:20| Using 8192 Store buckets
2011/09/06 14:48:20| Max Mem size: 8192 KB
2011/09/06 14:48:20| Max Swap size: 102400 KB
2011/09/06 14:48:20| Local cache digest enabled; rebuild/rewrite every 3600/3600
sec
2011/09/06 14:48:20| Store logging disabled
2011/09/06 14:48:20| Rebuilding storage in /var/squid/cache (DIRTY)
2011/09/06 14:48:20| Using Least Load store dir selection
2011/09/06 14:48:20| Current Directory is /usr/local/www
2011/09/06 14:48:20| Loaded Icons.
2011/09/06 14:48:21| Accepting proxy HTTP connections at 78.136.ХХХ.ХХ, port 808
0, FD 23.
2011/09/06 14:48:21| Accepting HTCP messages on port 4827, FD 24.
2011/09/06 14:48:21| Accepting SNMP messages on port 3401, FD 25.
2011/09/06 14:48:21| WCCP Disabled.
2011/09/06 14:48:21| Ready to serve requests.
2011/09/06 14:48:21| Done reading /var/squid/cache swaplog (1557 entries)
2011/09/06 14:48:21| Finished rebuilding storage from disk.
2011/09/06 14:48:21| 1557 Entries scanned
2011/09/06 14:48:21| 0 Invalid entries.
2011/09/06 14:48:21| 0 With invalid flags.
2011/09/06 14:48:21| 1557 Objects loaded.
2011/09/06 14:48:21| 0 Objects expired.
2011/09/06 14:48:21| 0 Objects cancelled.
2011/09/06 14:48:21| 0 Duplicate URLs purged.
2011/09/06 14:48:21| 0 Swapfile clashes avoided.
2011/09/06 14:48:21| Took 0.9 seconds (1679.1 objects/sec).
2011/09/06 14:48:21| Beginning Validation Procedure
2011/09/06 14:48:21| Completed Validation Procedure
2011/09/06 14:48:21| Validated 1557 Entries
2011/09/06 14:48:21| store_swap_size = 5850k
2011/09/06 14:48:21| storeLateRelease: released 0 objects
2011/09/06 14:48:22| Reconfiguring Squid Cache (version 2.7.STABLE9)...
2011/09/06 14:48:22| FD 23 Closing HTTP connection
2011/09/06 14:48:22| FD 24 Closing HTCP socket
2011/09/06 14:48:22| FD 25 Closing SNMP socket
2011/09/06 14:48:22| logfileClose: closing log /dev/null
2011/09/06 14:48:22| Including Configuration File: /usr/local/etc/squid/squid.co
nf (depth 0)
2011/09/06 14:48:22| Cache dir '/var/squid/cache' size remains unchanged at 1024
00 KB
2011/09/06 14:48:22| Initialising SSL.
2011/09/06 14:48:22| logfileOpen: opening log /dev/null
2011/09/06 14:48:22| Store logging disabled
2011/09/06 14:48:22| Referer logging is disabled.
2011/09/06 14:48:22| DNS Socket created at 0.0.0.0, port 28036, FD 13
2011/09/06 14:48:22| Adding nameserver 82.117.86.3 from squid.conf
2011/09/06 14:48:22| helperOpenServers: Starting 5 'ncsa_auth' processes
2011/09/06 14:48:22| Accepting proxy HTTP connections at 78.136.XXX.XX, port 808
0, FD 20.
2011/09/06 14:48:22| Accepting HTCP messages on port 4827, FD 21.
2011/09/06 14:48:22| Accepting SNMP messages on port 3401, FD 23.
2011/09/06 14:48:22| WCCP Disabled.
2011/09/06 14:48:22| Loaded Icons.
2011/09/06 14:48:22| Ready to serve requests."82.117.86.3 - один из моих DNS..."
в NAT открыл порты с интернета на proxy :порты 8080;4827;3401
все мои шаги по настройке прокси
1)выбрал интерфейс "WAN"
2)Allow users on interface "галочка"
3)порт "8080"
4)Allowed subnets "255.255.255.255/32"
5)Authentication method "Local"
6)в Local User создал пользователяостальное оставил как есть.. думал будет работать..
free proxy настраивал на Win думал и тут минимум настроек :( -
"небыло действительно сечас написал:255.255.255.255/32" - сие по ходу ересь не реальная
как вариант может стоит попробовать 0.0.0.0/0
/var/squid/logs в этой папке есть access.log (что то наподобие, их там 2 не промахнешься)
его смотри -
"небыло действительно сечас написал:255.255.255.255/32" - сие по ходу ересь не реальная
как вариант может стоит попробовать 0.0.0.0/0
/var/squid/logs в этой папке есть access.log (что то наподобие, их там 2 не промахнешься)
его смотриданный файлик /var/squid/logs/cache.log вот ….
поисщу access.log.нолики пробывал матюгается :) попробую вариации )
!!! ЗАработал )
поменял интерфес прокси снял с WAN прилипил на LAN ... поднастроил NAT..
буду вечером дома, неспеша скриншетов наделаю -
скины чего я натыкал в настройках
Authentication method "local"
Local user создал пользователей- забил IP адреса внешнии для которых авторизация автоматически без запроса пароля
в NAT открыл порт 8080 на ip внутренней сети 192.168.0.1
![acces control.jpg](/public/imported_attachments/1/acces control.jpg)
![acces control.jpg_thumb](/public/imported_attachments/1/acces control.jpg_thumb) -
??? счастье длилось не долго два дня отработало и все заново .
настройки не менял!. системник двигал, выкл\вкл.
access.log1315503570.766 3002 192.168.0.1 TCP_MISS/301 656 GET http://tbe.tom.ru/? 1 DIR
ECT/217.18.138.24 text/html
1315503571.046 5 192.168.0.1 TCP_MISS/200 2007 GET http://c.tbex.ru/x/0!883
1!ikea-club.ru!c.js? 1 DIRECT/217.18.138.24 application/x-javascript
1315503571.444 3 192.168.0.1 TCP_MISS/200 751 GET http://c.tbex.ru/x/0!8831
!ikea-club.ru!c.gif? 1 DIRECT/217.18.138.24 image/gif
1315503579.969 0 85.26.231.111 TCP_DENIED/403 1350 GET http://www.ikea-club
.ru/images/skin2/menu_a.png 1 NONE/- text/html
1315503580.580 0 85.26.231.111 TCP_DENIED/403 1307 GET http://www.ikea-club
.ru/8/ 1 NONE/- text/html
1315503879.145 144 192.168.0.1 TCP_MISS/200 449 GET http://forum.ubuntu.ru/in
dex.php? 1 DIRECT/213.108.252.153 image/gif
1315503910.549 287 192.168.0.1 TCP_MISS/200 449 GET http://forum.ubuntu.ru/in
dex.php? 1 DIRECT/213.108.252.153 image/gifс локального адреса все ок. а внешнего блокирует!
мой конфиг
++++++++++++++++++++++++++++++++++++++++++++++++Do not edit manually !
http_port 78.136.XXX.XX:8080
http_port 192.168.0.1:8080
icp_port 0pid_filename /var/run/squid.pid
cache_effective_user proxy
cache_effective_group proxy
error_directory /usr/local/etc/squid/errors/Russian-koi8-r
icon_directory /usr/local/etc/squid/icons
visible_hostname localhost
cache_mgr Alximik_85@mail.ru
access_log /var/squid/logs/access.log
cache_log /var/squid/logs/cache.log
cache_store_log none
shutdown_lifetime 3 secondsAllow local network(s) on interface(s)
acl localnet src 78.136.193.64/255.255.255.192 192.168.0.0/255.255.255.0
uri_whitespace strip
dns_nameservers 213.183.119.8
cache_mem 8 MB
maximum_object_size_in_memory 32 KB
memory_replacement_policy heap GDSF
cache_replacement_policy heap LFUDA
cache_dir ufs /var/squid/cache 100 16 256
minimum_object_size 0 KB
maximum_object_size 10 KB
offline_mode offNo redirector configured
Setup some default acls
acl all src 0.0.0.0/0.0.0.0
acl localhost src 127.0.0.1/255.255.255.255
acl safeports port 21 70 80 210 280 443 488 563 591 631 777 901 3128 1025-65535acl sslports port 443 563
acl manager proto cache_object
acl purge method PURGE
acl connect method CONNECT
acl dynamic urlpath_regex cgi-bin ?
acl allowed_subnets src 255.255.255.255/32
acl whitelist dstdom_regex -i "/var/squid/acl/whitelist.acl"
cache deny dynamic
http_access allow manager localhosthttp_access deny manager
http_access allow purge localhost
http_access deny purge
http_access deny !safeports
http_access deny CONNECT !sslportsAlways allow localhost connections
http_access allow localhost
request_body_max_size 0 KB
reply_body_max_size 0 deny all
delay_pools 1
delay_class 1 2
delay_parameters 1 -1/-1 -1/-1
delay_initial_bucket_level 100
delay_access 1 allow allAlways allow access to whitelist domains
http_access allow whitelist
acl noauth src 90.188.XX.XXX # IP с работы он пароль не требовал, так авторизацию проходил.
auth_param basic program /usr/local/libexec/squid/ncsa_auth /var/etc/squid.passwdauth_param basic children 5
auth_param basic realm Please enter your credentials to access the proxy
auth_param basic credentialsttl 60 minutes
acl password proxy_auth REQUIRED
http_access allow noauth
http_access allow password localnet
http_access allow password allowed_subnetsDefault block all to be sure
http_access deny all
+++++++++++++++++++++++++++++++++++++++++++++++
-
эх ..
"ни чё не понимаю…" :))
пошел читаать про quid.
с рабочего компьютера все ОК. прокси работает (на работе IP 90.188.93.ХХХ)
пробывал в через web интерфес задавать разрешенные адреса 0.0.0.0/0.0.0.0 или 0.0.0.0/0 ругается и не ставит...
когда дома настраиваю, для проверки пытаюсь подключиться к прокси с 3G модема там подсеть другая начинается с 10....(и чего то там)изменял вручную quid.conf но после входа в WEB интерфес в раздел прокси конфиг переписывается...
-
ты меняешь показания каждый раз.
тебе доступ на прокси из wan нужен?
если да наверное надо будет вернуть ван в настройки
с другой стороны лучше будет прокинуть порт на лан интерфейс -
доступ с wan на прокси… в конфиг который выложил , прокси смотрит на WAN и LAN.
ставил отдельно на WAN (не работает)
ставил на LAN и прокидывал порт прокси через нат (эффект тот же)нужно добавить судя по всему Allowed subnets ... вот только как указать весь диапозон интернета
на данный момент прокси пропускает меня с рабочего компьютера у него 90.188.93.XXX ,
а через модемное подключение когда на машине IP 10.117.29.11 авторизация на прокси проходит а потом Доступ запрещен.ставил 0.0.0.0/0 " The following input errors were detected: The subnet '0.0.0.0/0' is not a valid CIDR range"
-
доступ с wan на прокси… в конфиг который выложил , прокси смотрит на WAN и LAN.
ставил отдельно на WAN (не работает)
ставил на LAN и прокидывал порт прокси через нат (эффект тот же)нужно добавить судя по всему Allowed subnets ... вот только как указать весь диапозон интернета
на данный момент прокси пропускает меня с рабочего компьютера у него 90.188.93.XXX ,
а через модемное подключение когда на машине IP 10.117.29.11 авторизация на прокси проходит а потом Доступ запрещен.ставил 0.0.0.0/0 " The following input errors were detected: The subnet '0.0.0.0/0' is not a valid CIDR range"
Можно попробовать ковырнуть конфиг сквида и прописать 0.0.0.0/0 там.
P.S. Вычитал на opennet: "Acl src all 0.0.0.0/0 - ACL задает описывает вообще все IP- сети"
http://www.opennet.ru/base/net/squid_auth.txt.html -
доступ с wan на прокси… в конфиг который выложил , прокси смотрит на WAN и LAN.
ставил отдельно на WAN (не работает)
ставил на LAN и прокидывал порт прокси через нат (эффект тот же)нужно добавить судя по всему Allowed subnets ... вот только как указать весь диапозон интернета
на данный момент прокси пропускает меня с рабочего компьютера у него 90.188.93.XXX ,
а через модемное подключение когда на машине IP 10.117.29.11 авторизация на прокси проходит а потом Доступ запрещен.ставил 0.0.0.0/0 " The following input errors were detected: The subnet '0.0.0.0/0' is not a valid CIDR range"
а у тебя маршутизация частных сетей на wan разрешена? ибо 10. . . . оттуда может фаер и не пускает
а так по идее "вся сеть" это как раз 0.0.0.0/0 а 255.255.255.255/255 по идее вообще "никакой"
-
Извиняюсь что долго не появлялся.
Собака порылась точно в Allowed subnets!!! в нат открыл только порт прокси , Allowed subnets прописал конкретную внешнию подсеть… законнектилось!!! :)что было сделано ДО =========== ". законнектилось!!! :) "===
255.255.255.255/255 убрал. )
конфиг переписывал целая история сначало поставил пакет SSH потом Vi редактор вспоминал ;) эт еще то !!!
0.0.0.0/0 прописал , но после захода в web, конфигурация переписывается..вообщем остановился пока на том что открыл доступ нужной мне внешней подсети! впринципе вот в чем и хотел разобраться в squid. ВСЕМ СПАСИБО!!!
p.s: из-за чего сыр бор и почему мне нужен был прокси с WAN ;)
я из Томска у нас ентернет делиться на "томский" и внешний . Томский без ограничения объема трафика и максимальные скоростя (в зависемости от провайдеров от ADSL до оптики) Внешний интернет тарифы с ограничением скорости(хоть такие, раньше безлимитный внешний интернет вообще стоил как самолет). воот на домашнем компе безлимитка внешний (pfsense и прокси) а у Брата (живет в другом конце города) ток томский интерент.. вот нужно было делиться ;) -
мне думается не самый лучший выход ты нашел для решения проблемы.