1. Home
  2. pfSense International Support
  3. Russian
  4. Squid можно использовать в роли прокси для пол

Squid можно использовать в роли прокси для пол

  • A

    Вопрос в следующем:
    Интернет в локальной сети есть, если указать прокси (прокси на интерфейсе WAN) тоже все работает.

    При попытки подключение к прокси со стороны WAN проходит авторизация но вместо сайта "Доступ запрещен"

    Подозревая проблема в NAT , пока не было правила разрешающего доступа с WAN по порту 8080 (порт прокси) запроса на авторизацию даже не было.

    Сейчас запрос есть но … :(


    ![Доступ запрещен.jpg](/public/imported_attachments/1/Доступ запрещен.jpg)
    ![Доступ запрещен.jpg_thumb](/public/imported_attachments/1/Доступ запрещен.jpg_thumb)

    0
  • N

    включи логи и посмотри что там пишут или кинь сюда

    кстати в access control - allowed subnets - укажи сети которые могуть пользовать прокси

    0
  • A

    @nickston:

    включи логи и посмотри что там пишут или кинь сюда

    кстати в access control - allowed subnets - укажи сети которые могуть пользовать прокси

    по порядку: в access control ничего небыло действительно сечас написал:255.255.255.255/32

    логи(разбираюсь с SSH … скопировал последнии записи лога)
    2011/09/06 14:48:20| Process ID 3382                                           
    2011/09/06 14:48:20| With 3405 file descriptors available                     
    2011/09/06 14:48:20| Using kqueue for the IO loop                             
    2011/09/06 14:48:20| DNS Socket created at 0.0.0.0, port 40451, FD 11         
    2011/09/06 14:48:20| Adding nameserver 82.117.86.3 from squid.conf             
    2011/09/06 14:48:20| helperOpenServers: Starting 5 'ncsa_auth' processes       
    2011/09/06 14:48:20| Referer logging is disabled.                             
    2011/09/06 14:48:20| logfileOpen: opening log /dev/null                       
    2011/09/06 14:48:20| Unlinkd pipe opened on FD 22                             
    2011/09/06 14:48:20| Swap maxSize 102400 + 8192 KB, estimated 8507 objects     
    2011/09/06 14:48:20| Target number of buckets: 425                             
    2011/09/06 14:48:20| Using 8192 Store buckets                                 
    2011/09/06 14:48:20| Max Mem  size: 8192 KB                                   
    2011/09/06 14:48:20| Max Swap size: 102400 KB                                 
    2011/09/06 14:48:20| Local cache digest enabled; rebuild/rewrite every 3600/3600
    sec                                                                           
    2011/09/06 14:48:20| Store logging disabled                                   
    2011/09/06 14:48:20| Rebuilding storage in /var/squid/cache (DIRTY)           
    2011/09/06 14:48:20| Using Least Load store dir selection                     
    2011/09/06 14:48:20| Current Directory is /usr/local/www                       
    2011/09/06 14:48:20| Loaded Icons.                                             
    2011/09/06 14:48:21| Accepting proxy HTTP connections at 78.136.ХХХ.ХХ, port 808
    0, FD 23.                                                                     
    2011/09/06 14:48:21| Accepting HTCP messages on port 4827, FD 24.             
    2011/09/06 14:48:21| Accepting SNMP messages on port 3401, FD 25.             
    2011/09/06 14:48:21| WCCP Disabled.                                           
    2011/09/06 14:48:21| Ready to serve requests.                                 
    2011/09/06 14:48:21| Done reading /var/squid/cache swaplog (1557 entries)     
    2011/09/06 14:48:21| Finished rebuilding storage from disk.                   
    2011/09/06 14:48:21|      1557 Entries scanned                                 
    2011/09/06 14:48:21|        0 Invalid entries.                               
    2011/09/06 14:48:21|        0 With invalid flags.                             
    2011/09/06 14:48:21|      1557 Objects loaded.                                 
    2011/09/06 14:48:21|        0 Objects expired.                               
    2011/09/06 14:48:21|        0 Objects cancelled.                             
    2011/09/06 14:48:21|        0 Duplicate URLs purged.                         
    2011/09/06 14:48:21|        0 Swapfile clashes avoided.                       
    2011/09/06 14:48:21|  Took 0.9 seconds (1679.1 objects/sec).                 
    2011/09/06 14:48:21| Beginning Validation Procedure                           
    2011/09/06 14:48:21|  Completed Validation Procedure                         
    2011/09/06 14:48:21|  Validated 1557 Entries                                 
    2011/09/06 14:48:21|  store_swap_size = 5850k                                 
    2011/09/06 14:48:21| storeLateRelease: released 0 objects                     
    2011/09/06 14:48:22| Reconfiguring Squid Cache (version 2.7.STABLE9)...
    2011/09/06 14:48:22| FD 23 Closing HTTP connection
    2011/09/06 14:48:22| FD 24 Closing HTCP socket
    2011/09/06 14:48:22| FD 25 Closing SNMP socket
    2011/09/06 14:48:22| logfileClose: closing log /dev/null
    2011/09/06 14:48:22| Including Configuration File: /usr/local/etc/squid/squid.co
    nf (depth 0)
    2011/09/06 14:48:22| Cache dir '/var/squid/cache' size remains unchanged at 1024
    00 KB
    2011/09/06 14:48:22| Initialising SSL.
    2011/09/06 14:48:22| logfileOpen: opening log /dev/null
    2011/09/06 14:48:22| Store logging disabled
    2011/09/06 14:48:22| Referer logging is disabled.
    2011/09/06 14:48:22| DNS Socket created at 0.0.0.0, port 28036, FD 13
    2011/09/06 14:48:22| Adding nameserver 82.117.86.3 from squid.conf
    2011/09/06 14:48:22| helperOpenServers: Starting 5 'ncsa_auth' processes
    2011/09/06 14:48:22| Accepting proxy HTTP connections at 78.136.XXX.XX, port 808
    0, FD 20.
    2011/09/06 14:48:22| Accepting HTCP messages on port 4827, FD 21.
    2011/09/06 14:48:22| Accepting SNMP messages on port 3401, FD 23.
    2011/09/06 14:48:22| WCCP Disabled.
    2011/09/06 14:48:22| Loaded Icons.
    2011/09/06 14:48:22| Ready to serve requests.

    "82.117.86.3 - один из моих DNS..."

    в NAT открыл порты с интернета на proxy :порты 8080;4827;3401

    все мои шаги по настройке прокси
    1)выбрал интерфейс "WAN"
    2)Allow users on interface "галочка"
    3)порт "8080"
    4)Allowed subnets "255.255.255.255/32"
    5)Authentication method "Local"
    6)в Local User создал пользователя

    остальное оставил как есть.. думал будет работать..
    free proxy настраивал на Win думал и тут минимум настроек :(

    0
  • N

    "небыло действительно сечас написал:255.255.255.255/32" - сие по ходу ересь не реальная
    как вариант может стоит попробовать 0.0.0.0/0
    /var/squid/logs в этой папке есть access.log (что то наподобие, их там 2 не промахнешься)
    его смотри

    0
  • A

    @nickston:

    "небыло действительно сечас написал:255.255.255.255/32" - сие по ходу ересь не реальная
    как вариант может стоит попробовать 0.0.0.0/0
    /var/squid/logs в этой папке есть access.log (что то наподобие, их там 2 не промахнешься)
    его смотри

    данный файлик /var/squid/logs/cache.log вот ….
    поисщу access.log.

    нолики пробывал матюгается :) попробую вариации )

    !!!  ЗАработал )
    поменял интерфес прокси снял с WAN прилипил на LAN ... поднастроил NAT..
    буду вечером дома, неспеша скриншетов наделаю

    0
  • A

    скины чего я натыкал в настройках

    Authentication method "local"
    Local user создал пользователей

    • забил IP адреса внешнии для которых авторизация автоматически без запроса пароля

    в NAT открыл порт 8080  на ip внутренней сети 192.168.0.1



    ![acces control.jpg](/public/imported_attachments/1/acces control.jpg)
    ![acces control.jpg_thumb](/public/imported_attachments/1/acces control.jpg_thumb)

    0
  • A

    ???  счастье длилось не долго два дня отработало и все заново .
    настройки не менял!. системник двигал, выкл\вкл.
    access.log

    1315503570.766  3002 192.168.0.1 TCP_MISS/301 656 GET http://tbe.tom.ru/? 1 DIR
    ECT/217.18.138.24 text/html
    1315503571.046      5 192.168.0.1 TCP_MISS/200 2007 GET http://c.tbex.ru/x/0!883
    1!ikea-club.ru!c.js? 1 DIRECT/217.18.138.24 application/x-javascript
    1315503571.444      3 192.168.0.1 TCP_MISS/200 751 GET http://c.tbex.ru/x/0!8831
    !ikea-club.ru!c.gif? 1 DIRECT/217.18.138.24 image/gif
    1315503579.969      0 85.26.231.111 TCP_DENIED/403 1350 GET http://www.ikea-club
    .ru/images/skin2/menu_a.png 1 NONE/- text/html
    1315503580.580      0 85.26.231.111 TCP_DENIED/403 1307 GET http://www.ikea-club
    .ru/8/ 1 NONE/- text/html
    1315503879.145    144 192.168.0.1 TCP_MISS/200 449 GET http://forum.ubuntu.ru/in
    dex.php? 1 DIRECT/213.108.252.153 image/gif
    1315503910.549    287 192.168.0.1 TCP_MISS/200 449 GET http://forum.ubuntu.ru/in
    dex.php? 1 DIRECT/213.108.252.153 image/gif

    с локального адреса все ок. а внешнего блокирует!
    мой конфиг
    ++++++++++++++++++++++++++++++++++++++++++++++++

    Do not edit manually !

    http_port 78.136.XXX.XX:8080
    http_port 192.168.0.1:8080
    icp_port 0

    pid_filename /var/run/squid.pid
    cache_effective_user proxy
    cache_effective_group proxy
    error_directory /usr/local/etc/squid/errors/Russian-koi8-r
    icon_directory /usr/local/etc/squid/icons
    visible_hostname localhost
    cache_mgr Alximik_85@mail.ru
    access_log /var/squid/logs/access.log
    cache_log /var/squid/logs/cache.log
    cache_store_log none
    shutdown_lifetime 3 seconds

    Allow local network(s) on interface(s)

    acl localnet src  78.136.193.64/255.255.255.192 192.168.0.0/255.255.255.0
    uri_whitespace strip
    dns_nameservers 213.183.119.8
    cache_mem 8 MB
    maximum_object_size_in_memory 32 KB
    memory_replacement_policy heap GDSF
    cache_replacement_policy heap LFUDA
    cache_dir ufs /var/squid/cache 100 16 256
    minimum_object_size 0 KB
    maximum_object_size 10 KB
    offline_mode off

    No redirector configured

    Setup some default acls

    acl all src 0.0.0.0/0.0.0.0
    acl localhost src 127.0.0.1/255.255.255.255
    acl safeports port 21 70 80 210 280 443 488 563 591 631 777 901  3128 1025-65535

    acl sslports port 443 563
    acl manager proto cache_object
    acl purge method PURGE
    acl connect method CONNECT
    acl dynamic urlpath_regex cgi-bin ?
    acl allowed_subnets src 255.255.255.255/32
    acl whitelist dstdom_regex -i "/var/squid/acl/whitelist.acl"
    cache deny dynamic
    http_access allow manager localhost

    http_access deny manager
    http_access allow purge localhost
    http_access deny purge
    http_access deny !safeports
    http_access deny CONNECT !sslports

    Always allow localhost connections

    http_access allow localhost

    request_body_max_size 0 KB
    reply_body_max_size 0 deny all
    delay_pools 1
    delay_class 1 2
    delay_parameters 1 -1/-1 -1/-1
    delay_initial_bucket_level 100
    delay_access 1 allow all

    Always allow access to whitelist domains

    http_access allow whitelist
    acl noauth src 90.188.XX.XXX # IP с работы он пароль не требовал, так авторизацию проходил.
    auth_param basic program /usr/local/libexec/squid/ncsa_auth /var/etc/squid.passwd

    auth_param basic children 5
    auth_param basic realm Please enter your credentials to access the proxy
    auth_param basic credentialsttl 60 minutes
    acl password proxy_auth REQUIRED
    http_access allow noauth
    http_access allow password localnet
    http_access allow password allowed_subnets

    Default block all to be sure

    http_access deny all

    +++++++++++++++++++++++++++++++++++++++++++++++

    0
  • A

    эх ..
    "ни чё не понимаю…"  :))
    пошел читаать про quid.
    с рабочего компьютера все ОК. прокси работает (на работе IP 90.188.93.ХХХ)
    пробывал в через web интерфес задавать разрешенные адреса 0.0.0.0/0.0.0.0 или 0.0.0.0/0 ругается и не ставит...
    когда дома настраиваю, для проверки пытаюсь подключиться к прокси с 3G модема там подсеть другая начинается с 10....(и чего то там)

    изменял вручную quid.conf но после входа в WEB интерфес в раздел прокси конфиг переписывается...

    0
  • N

    ты меняешь показания каждый раз.
    тебе доступ на прокси из wan нужен?
    если да наверное надо будет вернуть ван в настройки
    с другой стороны лучше будет прокинуть порт на лан интерфейс

    0
  • A

    доступ с wan на прокси… в конфиг который выложил , прокси смотрит на WAN и LAN.

    ставил отдельно на WAN (не работает)
    ставил на LAN и прокидывал порт прокси через нат (эффект тот же)

    нужно добавить судя по всему Allowed subnets ... вот только как указать весь диапозон интернета

    на данный момент прокси пропускает меня с рабочего компьютера у него 90.188.93.XXX ,
    а через модемное подключение когда на машине IP 10.117.29.11 авторизация на прокси проходит а потом Доступ запрещен.

    ставил 0.0.0.0/0 " The following input errors were detected: The subnet '0.0.0.0/0' is not a valid CIDR range"

    0
  • D

    @Alximik:

    доступ с wan на прокси… в конфиг который выложил , прокси смотрит на WAN и LAN.

    ставил отдельно на WAN (не работает)
    ставил на LAN и прокидывал порт прокси через нат (эффект тот же)

    нужно добавить судя по всему Allowed subnets ... вот только как указать весь диапозон интернета

    на данный момент прокси пропускает меня с рабочего компьютера у него 90.188.93.XXX ,
    а через модемное подключение когда на машине IP 10.117.29.11 авторизация на прокси проходит а потом Доступ запрещен.

    ставил 0.0.0.0/0 " The following input errors were detected: The subnet '0.0.0.0/0' is not a valid CIDR range"

    Можно попробовать ковырнуть конфиг сквида и прописать 0.0.0.0/0 там.

    P.S. Вычитал на opennet:  "Acl src all 0.0.0.0/0 - ACL задает описывает вообще все IP- сети"
    http://www.opennet.ru/base/net/squid_auth.txt.html

    0
  • N

    @Alximik:

    доступ с wan на прокси… в конфиг который выложил , прокси смотрит на WAN и LAN.

    ставил отдельно на WAN (не работает)
    ставил на LAN и прокидывал порт прокси через нат (эффект тот же)

    нужно добавить судя по всему Allowed subnets ... вот только как указать весь диапозон интернета

    на данный момент прокси пропускает меня с рабочего компьютера у него 90.188.93.XXX ,
    а через модемное подключение когда на машине IP 10.117.29.11 авторизация на прокси проходит а потом Доступ запрещен.

    ставил 0.0.0.0/0 " The following input errors were detected: The subnet '0.0.0.0/0' is not a valid CIDR range"

    а у тебя маршутизация частных сетей на wan разрешена? ибо 10. . . . оттуда может фаер и не пускает

    а так по идее "вся сеть" это как  раз 0.0.0.0/0 а 255.255.255.255/255 по идее вообще "никакой"

    0
  • A

    Извиняюсь что долго не появлялся.
    Собака порылась точно в Allowed subnets!!! в нат открыл только порт прокси , Allowed subnets прописал конкретную внешнию подсеть… законнектилось!!! :)

    что было сделано ДО =========== ". законнектилось!!! :)  "===
    255.255.255.255/255 убрал. )
    конфиг переписывал целая история сначало поставил пакет SSH потом Vi редактор вспоминал ;) эт еще то !!!
    0.0.0.0/0 прописал , но после захода в web, конфигурация переписывается..

    вообщем остановился пока на том что открыл доступ нужной мне внешней подсети! впринципе вот в чем и хотел разобраться в squid. ВСЕМ СПАСИБО!!!
    p.s: из-за чего сыр бор и почему мне нужен был прокси с WAN ;)
    я из Томска у нас ентернет делиться на "томский" и внешний . Томский без ограничения объема трафика и максимальные скоростя (в зависемости от провайдеров от ADSL до оптики) Внешний интернет тарифы с ограничением скорости(хоть такие, раньше безлимитный внешний интернет вообще стоил как самолет). воот на домашнем компе безлимитка внешний (pfsense и прокси) а у Брата (живет в другом конце города) ток томский интерент.. вот нужно было делиться ;)

    0
  • N

    мне думается не самый лучший выход ты нашел для решения проблемы.

    0
Log in to reply
 

Products

Services

Support

News

Resources

Company

Our Mission

We provide leading-edge network security at a fair price - regardless of organizational size or network sophistication. We believe that an open-source security model offers disruptive pricing along with the agility required to quickly address emerging threats.

Subscribe to our Newsletter

Product information, software announcements, and special offers. See our newsletter archive to sign up for future newsletters and to read past announcements.

© 2020 Rubicon Communications, LLC | Privacy Policy