Netgate Discussion Forum
    • Categories
    • Recent
    • Tags
    • Popular
    • Users
    • Search
    • Register
    • Login

    Squid можно использовать в роли прокси для пол

    Scheduled Pinned Locked Moved Russian
    14 Posts 3 Posters 8.1k Views
    Loading More Posts
    • Oldest to Newest
    • Newest to Oldest
    • Most Votes
    Reply
    • Reply as topic
    Log in to reply
    This topic has been deleted. Only users with topic management privileges can see it.
    • A
      Alximik
      last edited by

      Вопрос в следующем:
      Интернет в локальной сети есть, если указать прокси (прокси на интерфейсе WAN) тоже все работает.

      При попытки подключение к прокси со стороны WAN проходит авторизация но вместо сайта "Доступ запрещен"

      Подозревая проблема в NAT , пока не было правила разрешающего доступа с WAN по порту 8080 (порт прокси) запроса на авторизацию даже не было.

      Сейчас запрос есть но … :(
      NAT.jpg
      NAT.jpg_thumb
      ![Доступ запрещен.jpg](/public/imported_attachments/1/Доступ запрещен.jpg)
      ![Доступ запрещен.jpg_thumb](/public/imported_attachments/1/Доступ запрещен.jpg_thumb)

      1 Reply Last reply Reply Quote 0
      • N
        nickston
        last edited by

        включи логи и посмотри что там пишут или кинь сюда

        кстати в access control - allowed subnets - укажи сети которые могуть пользовать прокси

        1 Reply Last reply Reply Quote 0
        • A
          Alximik
          last edited by

          @nickston:

          включи логи и посмотри что там пишут или кинь сюда

          кстати в access control - allowed subnets - укажи сети которые могуть пользовать прокси

          по порядку: в access control ничего небыло действительно сечас написал:255.255.255.255/32

          логи(разбираюсь с SSH … скопировал последнии записи лога)
          2011/09/06 14:48:20| Process ID 3382                                           
          2011/09/06 14:48:20| With 3405 file descriptors available                     
          2011/09/06 14:48:20| Using kqueue for the IO loop                             
          2011/09/06 14:48:20| DNS Socket created at 0.0.0.0, port 40451, FD 11         
          2011/09/06 14:48:20| Adding nameserver 82.117.86.3 from squid.conf             
          2011/09/06 14:48:20| helperOpenServers: Starting 5 'ncsa_auth' processes       
          2011/09/06 14:48:20| Referer logging is disabled.                             
          2011/09/06 14:48:20| logfileOpen: opening log /dev/null                       
          2011/09/06 14:48:20| Unlinkd pipe opened on FD 22                             
          2011/09/06 14:48:20| Swap maxSize 102400 + 8192 KB, estimated 8507 objects     
          2011/09/06 14:48:20| Target number of buckets: 425                             
          2011/09/06 14:48:20| Using 8192 Store buckets                                 
          2011/09/06 14:48:20| Max Mem  size: 8192 KB                                   
          2011/09/06 14:48:20| Max Swap size: 102400 KB                                 
          2011/09/06 14:48:20| Local cache digest enabled; rebuild/rewrite every 3600/3600
          sec                                                                           
          2011/09/06 14:48:20| Store logging disabled                                   
          2011/09/06 14:48:20| Rebuilding storage in /var/squid/cache (DIRTY)           
          2011/09/06 14:48:20| Using Least Load store dir selection                     
          2011/09/06 14:48:20| Current Directory is /usr/local/www                       
          2011/09/06 14:48:20| Loaded Icons.                                             
          2011/09/06 14:48:21| Accepting proxy HTTP connections at 78.136.ХХХ.ХХ, port 808
          0, FD 23.                                                                     
          2011/09/06 14:48:21| Accepting HTCP messages on port 4827, FD 24.             
          2011/09/06 14:48:21| Accepting SNMP messages on port 3401, FD 25.             
          2011/09/06 14:48:21| WCCP Disabled.                                           
          2011/09/06 14:48:21| Ready to serve requests.                                 
          2011/09/06 14:48:21| Done reading /var/squid/cache swaplog (1557 entries)     
          2011/09/06 14:48:21| Finished rebuilding storage from disk.                   
          2011/09/06 14:48:21|      1557 Entries scanned                                 
          2011/09/06 14:48:21|        0 Invalid entries.                               
          2011/09/06 14:48:21|        0 With invalid flags.                             
          2011/09/06 14:48:21|      1557 Objects loaded.                                 
          2011/09/06 14:48:21|        0 Objects expired.                               
          2011/09/06 14:48:21|        0 Objects cancelled.                             
          2011/09/06 14:48:21|        0 Duplicate URLs purged.                         
          2011/09/06 14:48:21|        0 Swapfile clashes avoided.                       
          2011/09/06 14:48:21|  Took 0.9 seconds (1679.1 objects/sec).                 
          2011/09/06 14:48:21| Beginning Validation Procedure                           
          2011/09/06 14:48:21|  Completed Validation Procedure                         
          2011/09/06 14:48:21|  Validated 1557 Entries                                 
          2011/09/06 14:48:21|  store_swap_size = 5850k                                 
          2011/09/06 14:48:21| storeLateRelease: released 0 objects                     
          2011/09/06 14:48:22| Reconfiguring Squid Cache (version 2.7.STABLE9)...
          2011/09/06 14:48:22| FD 23 Closing HTTP connection
          2011/09/06 14:48:22| FD 24 Closing HTCP socket
          2011/09/06 14:48:22| FD 25 Closing SNMP socket
          2011/09/06 14:48:22| logfileClose: closing log /dev/null
          2011/09/06 14:48:22| Including Configuration File: /usr/local/etc/squid/squid.co
          nf (depth 0)
          2011/09/06 14:48:22| Cache dir '/var/squid/cache' size remains unchanged at 1024
          00 KB
          2011/09/06 14:48:22| Initialising SSL.
          2011/09/06 14:48:22| logfileOpen: opening log /dev/null
          2011/09/06 14:48:22| Store logging disabled
          2011/09/06 14:48:22| Referer logging is disabled.
          2011/09/06 14:48:22| DNS Socket created at 0.0.0.0, port 28036, FD 13
          2011/09/06 14:48:22| Adding nameserver 82.117.86.3 from squid.conf
          2011/09/06 14:48:22| helperOpenServers: Starting 5 'ncsa_auth' processes
          2011/09/06 14:48:22| Accepting proxy HTTP connections at 78.136.XXX.XX, port 808
          0, FD 20.
          2011/09/06 14:48:22| Accepting HTCP messages on port 4827, FD 21.
          2011/09/06 14:48:22| Accepting SNMP messages on port 3401, FD 23.
          2011/09/06 14:48:22| WCCP Disabled.
          2011/09/06 14:48:22| Loaded Icons.
          2011/09/06 14:48:22| Ready to serve requests.

          "82.117.86.3 - один из моих DNS..."

          в NAT открыл порты с интернета на proxy :порты 8080;4827;3401

          все мои шаги по настройке прокси
          1)выбрал интерфейс "WAN"
          2)Allow users on interface "галочка"
          3)порт "8080"
          4)Allowed subnets "255.255.255.255/32"
          5)Authentication method "Local"
          6)в Local User создал пользователя

          остальное оставил как есть.. думал будет работать..
          free proxy настраивал на Win думал и тут минимум настроек :(

          1 Reply Last reply Reply Quote 0
          • N
            nickston
            last edited by

            "небыло действительно сечас написал:255.255.255.255/32" - сие по ходу ересь не реальная
            как вариант может стоит попробовать 0.0.0.0/0
            /var/squid/logs в этой папке есть access.log (что то наподобие, их там 2 не промахнешься)
            его смотри

            1 Reply Last reply Reply Quote 0
            • A
              Alximik
              last edited by

              @nickston:

              "небыло действительно сечас написал:255.255.255.255/32" - сие по ходу ересь не реальная
              как вариант может стоит попробовать 0.0.0.0/0
              /var/squid/logs в этой папке есть access.log (что то наподобие, их там 2 не промахнешься)
              его смотри

              данный файлик /var/squid/logs/cache.log вот ….
              поисщу access.log.

              нолики пробывал матюгается :) попробую вариации )

              !!!  ЗАработал )
              поменял интерфес прокси снял с WAN прилипил на LAN ... поднастроил NAT..
              буду вечером дома, неспеша скриншетов наделаю

              1 Reply Last reply Reply Quote 0
              • A
                Alximik
                last edited by

                скины чего я натыкал в настройках

                Authentication method "local"
                Local user создал пользователей

                • забил IP адреса внешнии для которых авторизация автоматически без запроса пароля

                в NAT открыл порт 8080  на ip внутренней сети 192.168.0.1

                general.jpg
                general.jpg_thumb
                ![acces control.jpg](/public/imported_attachments/1/acces control.jpg)
                ![acces control.jpg_thumb](/public/imported_attachments/1/acces control.jpg_thumb)

                1 Reply Last reply Reply Quote 0
                • A
                  Alximik
                  last edited by

                  ???  счастье длилось не долго два дня отработало и все заново .
                  настройки не менял!. системник двигал, выкл\вкл.
                  access.log

                  1315503570.766  3002 192.168.0.1 TCP_MISS/301 656 GET http://tbe.tom.ru/? 1 DIR
                  ECT/217.18.138.24 text/html
                  1315503571.046      5 192.168.0.1 TCP_MISS/200 2007 GET http://c.tbex.ru/x/0!883
                  1!ikea-club.ru!c.js? 1 DIRECT/217.18.138.24 application/x-javascript
                  1315503571.444      3 192.168.0.1 TCP_MISS/200 751 GET http://c.tbex.ru/x/0!8831
                  !ikea-club.ru!c.gif? 1 DIRECT/217.18.138.24 image/gif
                  1315503579.969      0 85.26.231.111 TCP_DENIED/403 1350 GET http://www.ikea-club
                  .ru/images/skin2/menu_a.png 1 NONE/- text/html
                  1315503580.580      0 85.26.231.111 TCP_DENIED/403 1307 GET http://www.ikea-club
                  .ru/8/ 1 NONE/- text/html
                  1315503879.145    144 192.168.0.1 TCP_MISS/200 449 GET http://forum.ubuntu.ru/in
                  dex.php? 1 DIRECT/213.108.252.153 image/gif
                  1315503910.549    287 192.168.0.1 TCP_MISS/200 449 GET http://forum.ubuntu.ru/in
                  dex.php? 1 DIRECT/213.108.252.153 image/gif

                  с локального адреса все ок. а внешнего блокирует!
                  мой конфиг
                  ++++++++++++++++++++++++++++++++++++++++++++++++

                  Do not edit manually !

                  http_port 78.136.XXX.XX:8080
                  http_port 192.168.0.1:8080
                  icp_port 0

                  pid_filename /var/run/squid.pid
                  cache_effective_user proxy
                  cache_effective_group proxy
                  error_directory /usr/local/etc/squid/errors/Russian-koi8-r
                  icon_directory /usr/local/etc/squid/icons
                  visible_hostname localhost
                  cache_mgr Alximik_85@mail.ru
                  access_log /var/squid/logs/access.log
                  cache_log /var/squid/logs/cache.log
                  cache_store_log none
                  shutdown_lifetime 3 seconds

                  Allow local network(s) on interface(s)

                  acl localnet src  78.136.193.64/255.255.255.192 192.168.0.0/255.255.255.0
                  uri_whitespace strip
                  dns_nameservers 213.183.119.8
                  cache_mem 8 MB
                  maximum_object_size_in_memory 32 KB
                  memory_replacement_policy heap GDSF
                  cache_replacement_policy heap LFUDA
                  cache_dir ufs /var/squid/cache 100 16 256
                  minimum_object_size 0 KB
                  maximum_object_size 10 KB
                  offline_mode off

                  No redirector configured

                  Setup some default acls

                  acl all src 0.0.0.0/0.0.0.0
                  acl localhost src 127.0.0.1/255.255.255.255
                  acl safeports port 21 70 80 210 280 443 488 563 591 631 777 901  3128 1025-65535

                  acl sslports port 443 563
                  acl manager proto cache_object
                  acl purge method PURGE
                  acl connect method CONNECT
                  acl dynamic urlpath_regex cgi-bin ?
                  acl allowed_subnets src 255.255.255.255/32
                  acl whitelist dstdom_regex -i "/var/squid/acl/whitelist.acl"
                  cache deny dynamic
                  http_access allow manager localhost

                  http_access deny manager
                  http_access allow purge localhost
                  http_access deny purge
                  http_access deny !safeports
                  http_access deny CONNECT !sslports

                  Always allow localhost connections

                  http_access allow localhost

                  request_body_max_size 0 KB
                  reply_body_max_size 0 deny all
                  delay_pools 1
                  delay_class 1 2
                  delay_parameters 1 -1/-1 -1/-1
                  delay_initial_bucket_level 100
                  delay_access 1 allow all

                  Always allow access to whitelist domains

                  http_access allow whitelist
                  acl noauth src 90.188.XX.XXX # IP с работы он пароль не требовал, так авторизацию проходил.
                  auth_param basic program /usr/local/libexec/squid/ncsa_auth /var/etc/squid.passwd

                  auth_param basic children 5
                  auth_param basic realm Please enter your credentials to access the proxy
                  auth_param basic credentialsttl 60 minutes
                  acl password proxy_auth REQUIRED
                  http_access allow noauth
                  http_access allow password localnet
                  http_access allow password allowed_subnets

                  Default block all to be sure

                  http_access deny all

                  +++++++++++++++++++++++++++++++++++++++++++++++

                  1 Reply Last reply Reply Quote 0
                  • A
                    Alximik
                    last edited by

                    эх ..
                    "ни чё не понимаю…"  :))
                    пошел читаать про quid.
                    с рабочего компьютера все ОК. прокси работает (на работе IP 90.188.93.ХХХ)
                    пробывал в через web интерфес задавать разрешенные адреса 0.0.0.0/0.0.0.0 или 0.0.0.0/0 ругается и не ставит...
                    когда дома настраиваю, для проверки пытаюсь подключиться к прокси с 3G модема там подсеть другая начинается с 10....(и чего то там)

                    изменял вручную quid.conf но после входа в WEB интерфес в раздел прокси конфиг переписывается...

                    1 Reply Last reply Reply Quote 0
                    • N
                      nickston
                      last edited by

                      ты меняешь показания каждый раз.
                      тебе доступ на прокси из wan нужен?
                      если да наверное надо будет вернуть ван в настройки
                      с другой стороны лучше будет прокинуть порт на лан интерфейс

                      1 Reply Last reply Reply Quote 0
                      • A
                        Alximik
                        last edited by

                        доступ с wan на прокси… в конфиг который выложил , прокси смотрит на WAN и LAN.

                        ставил отдельно на WAN (не работает)
                        ставил на LAN и прокидывал порт прокси через нат (эффект тот же)

                        нужно добавить судя по всему Allowed subnets ... вот только как указать весь диапозон интернета

                        на данный момент прокси пропускает меня с рабочего компьютера у него 90.188.93.XXX ,
                        а через модемное подключение когда на машине IP 10.117.29.11 авторизация на прокси проходит а потом Доступ запрещен.

                        ставил 0.0.0.0/0 " The following input errors were detected: The subnet '0.0.0.0/0' is not a valid CIDR range"

                        1 Reply Last reply Reply Quote 0
                        • D
                          DasTieRR
                          last edited by

                          @Alximik:

                          доступ с wan на прокси… в конфиг который выложил , прокси смотрит на WAN и LAN.

                          ставил отдельно на WAN (не работает)
                          ставил на LAN и прокидывал порт прокси через нат (эффект тот же)

                          нужно добавить судя по всему Allowed subnets ... вот только как указать весь диапозон интернета

                          на данный момент прокси пропускает меня с рабочего компьютера у него 90.188.93.XXX ,
                          а через модемное подключение когда на машине IP 10.117.29.11 авторизация на прокси проходит а потом Доступ запрещен.

                          ставил 0.0.0.0/0 " The following input errors were detected: The subnet '0.0.0.0/0' is not a valid CIDR range"

                          Можно попробовать ковырнуть конфиг сквида и прописать 0.0.0.0/0 там.

                          P.S. Вычитал на opennet:  "Acl src all 0.0.0.0/0 - ACL задает описывает вообще все IP- сети"
                          http://www.opennet.ru/base/net/squid_auth.txt.html

                          1 Reply Last reply Reply Quote 0
                          • N
                            nickston
                            last edited by

                            @Alximik:

                            доступ с wan на прокси… в конфиг который выложил , прокси смотрит на WAN и LAN.

                            ставил отдельно на WAN (не работает)
                            ставил на LAN и прокидывал порт прокси через нат (эффект тот же)

                            нужно добавить судя по всему Allowed subnets ... вот только как указать весь диапозон интернета

                            на данный момент прокси пропускает меня с рабочего компьютера у него 90.188.93.XXX ,
                            а через модемное подключение когда на машине IP 10.117.29.11 авторизация на прокси проходит а потом Доступ запрещен.

                            ставил 0.0.0.0/0 " The following input errors were detected: The subnet '0.0.0.0/0' is not a valid CIDR range"

                            а у тебя маршутизация частных сетей на wan разрешена? ибо 10. . . . оттуда может фаер и не пускает

                            а так по идее "вся сеть" это как  раз 0.0.0.0/0 а 255.255.255.255/255 по идее вообще "никакой"

                            1 Reply Last reply Reply Quote 0
                            • A
                              Alximik
                              last edited by

                              Извиняюсь что долго не появлялся.
                              Собака порылась точно в Allowed subnets!!! в нат открыл только порт прокси , Allowed subnets прописал конкретную внешнию подсеть… законнектилось!!! :)

                              что было сделано ДО =========== ". законнектилось!!! :)  "===
                              255.255.255.255/255 убрал. )
                              конфиг переписывал целая история сначало поставил пакет SSH потом Vi редактор вспоминал ;) эт еще то !!!
                              0.0.0.0/0 прописал , но после захода в web, конфигурация переписывается..

                              вообщем остановился пока на том что открыл доступ нужной мне внешней подсети! впринципе вот в чем и хотел разобраться в squid. ВСЕМ СПАСИБО!!!
                              p.s: из-за чего сыр бор и почему мне нужен был прокси с WAN ;)
                              я из Томска у нас ентернет делиться на "томский" и внешний . Томский без ограничения объема трафика и максимальные скоростя (в зависемости от провайдеров от ADSL до оптики) Внешний интернет тарифы с ограничением скорости(хоть такие, раньше безлимитный внешний интернет вообще стоил как самолет). воот на домашнем компе безлимитка внешний (pfsense и прокси) а у Брата (живет в другом конце города) ток томский интерент.. вот нужно было делиться ;)

                              1 Reply Last reply Reply Quote 0
                              • N
                                nickston
                                last edited by

                                мне думается не самый лучший выход ты нашел для решения проблемы.

                                1 Reply Last reply Reply Quote 0
                                • First post
                                  Last post
                                Copyright 2025 Rubicon Communications LLC (Netgate). All rights reserved.