Hi, All!Мой провайдер говорит - мол, у тебя открыт сквид для обработки запросов извне и присылает мне на это такой лог.
РС> bash-2.05a$ telnet Х.Х.Х.Х 3128
РС> Trying Х.Х.Х.Х...
РС> Connected to Х.Х.Х.Х.
РС> Escape character is '^]'.
РС> ^Q^H^]
telnet>> quit
РС> Connection closed.
РС> bash-2.05a$Услуга установки сквида была куплена у третьей компании, сам файл конфиругации менялся только по мере изменения структуры сети.
В squid прописана следующая конфигурация:http_access deny !users1 !users2 !users3 (users1-2-3 - это мои сети) - я считал, что эта строка в начале запретит сквиду обрабатывать запросы из внешних сетей.
http_access allow manager localhost
http_access allow Safe_ports localhost
http_access deny manager
http_access deny !Safe_ports
http_access deny CONNECT !SSL_portshttp_access allow net1
http_access allow net2
http_access allow net3 (net1-2-3 - Это те сети, которые выходят в инет)
http_access deny allВ логах при попытке доступа из внешних сетей пишется:
195.116.208.249 TCP_DENIED/403 1036 GETНО! - так запросы сквид в принципе принимает и обрабатывает, да и провайдер кивает на это, возник вопрос -
как запретить сквиду В ПРИНЦИПЕ обрабатывать внешние забпросы - именно не давать TCP_DENIED/403, а просто не обрабатывать. Компания, у которой эта услуга приобреталась, "не можеть помочь врешении данной проблемы"Спасибо за ответы, господа.
Счастливо!
>Hi, All!
>
>Мой провайдер говорит - мол, у тебя открыт сквид для обработки запросов
>извне и присылает мне на это такой лог.
>РС> bash-2.05a$ telnet Х.Х.Х.Х 3128
>РС> Trying Х.Х.Х.Х...
>РС> Connected to Х.Х.Х.Х.
>РС> Escape character is '^]'.
>РС> ^Q^H^]
>telnet>> quit
>РС> Connection closed.
>РС> bash-2.05a$
>
>Услуга установки сквида была куплена у третьей компании, сам файл конфиругации менялся
>только по мере изменения структуры сети.
>В squid прописана следующая конфигурация:
>
>http_access deny !users1 !users2 !users3 (users1-2-3 - это мои сети) - я
>считал, что эта строка в начале запретит сквиду обрабатывать запросы из
>внешних сетей.
>http_access allow manager localhost
>http_access allow Safe_ports localhost
>http_access deny manager
>http_access deny !Safe_ports
>http_access deny CONNECT !SSL_ports
>
>http_access allow net1
>http_access allow net2
>http_access allow net3 (net1-2-3 - Это те сети, которые выходят в инет)
>
>http_access deny all
>
>В логах при попытке доступа из внешних сетей пишется:
>195.116.208.249 TCP_DENIED/403 1036 GET
>
>НО! - так запросы сквид в принципе принимает и обрабатывает, да и
>провайдер кивает на это, возник вопрос -
>как запретить сквиду В ПРИНЦИПЕ обрабатывать внешние забпросы - именно не давать
>TCP_DENIED/403, а просто не обрабатывать. Компания, у которой эта услуга приобреталась,
>"не можеть помочь врешении данной проблемы"
>
>Спасибо за ответы, господа.
>Счастливо!
Припиши на каком интерфейсе сидеть и все.
>Припиши на каком интерфейсе сидеть и все.исчерпывающе :-)
Пожалуйста, если не затруднит - кому прописать где сидеть? :-)В отношении структуры линукса - на сервере стоит 2 сетевые карточки, одна из них смотрит в интернет, другая в локальную сеть. К той, что смотрит в локалку, цепляются мои пользователи и через нее выходят в инет.
фаерволом закрыть
>фаерволом закрытьГоспода, пожалуйста!
если Вы пишите ответы на просьбу, пишите их так, чтобы не было необходимо потом переспрашивать.Кого закрыть фаерволом? порт 3128 на вход? какой интерфейс? Тот, что смотрит в инет?
Спасибо.
закрыть фаерволом доступ к серверу по порту скивда (в данном случае судя по всему 3128) от нежелаемых сетей.
Синтаксис правил зависит от системы и типа фаервола на твоей машине.
>закрыть фаерволом доступ к серверу по порту скивда (в данном случае судя
>по всему 3128) от нежелаемых сетей.
>Синтаксис правил зависит от системы и типа фаервола на твоей машине.
Чел спрашивает на кикие кнопки жать, что бы все работало, а ты ему о возвышенном......
http_port 192.168.X.X:3128 127.0.0.1:3128
там все написано.
>http_port 192.168.X.X:3128 127.0.0.1:3128
>там все написано.
А судя по вопросам, вызови спеца, все исправит и настроит.
>>http_port 192.168.X.X:3128 127.0.0.1:3128
>>там все написано.
>
>
>А судя по вопросам, вызови спеца, все исправит и настроит.
(офф)
Хе-хе, именно "спецы" им так и поставили открытый прокси. Именно такой "спец" поставил такой же сквид с открытым на весь инет очком на моей работе. И так далее... Ибо пользователи проверить работу спеца не могут, а "спец" себя не утруждает - см. ответ "фирмы".
(/офф)Надо
а) прописать, как указано http_port АДрес-локального-интерфейса
б) правило deny CONNECT !SSHбла-бла-бла - самым первым в списке денаев, денай нот сейф портс - вторым, ИП, которым "можно" - одним аклем, и в списке денай аксесс - его третьим. МОжно немного изменить, вот из моего сквид.конф:http_access deny CONNECT !SSL_ports
http_access deny !Safe_ports
http_access allow manager localhost
http_access deny manager
http_access allow localhost
http_access allow good_users - это мой комп :)
http_access deny stopor - это порнуха ;)
http_access allow clients - локальная сеть
http_access deny all - все остальное гуляет
Риспект!
Сейчас добавим!!!
Спасибо огромное!
Спасибо всем за советы!Проблема решилась следующим путем:
как оказалось, параметр http_port задает не только порт, на котором слушаюся запросы, но и хост.
установка параметра в
http_port Х.Х.Х.Х:3128 (Х.Х.Х.Х - интерфейс, который смотрит в локальную сеть.)решила проблему.Отдельное спасибо за совет BarS - собственно это и помогло решить проблему. А в отношении возвышенного - ты знаешь, я вырос из возраста, когда меряются пиписьками. Могу помочь человеку - помогаю. Нет - значит нет. Пипиську лучше использовать по назначению. :-)
Всем спасибо.
Счастливо.
>А в отношении возвышенного - ты знаешь, я вырос из возраста,
>когда меряются пиписьками. Могу помочь человеку - помогаю. Нет - значит
>нет. Пипиську лучше использовать по назначению. :-)
>
>Всем спасибо.
>Счастливо.
Ты не правильно понял, просто каждый должен заниматься своим делом. Ты же не идешь за кассира бабки выдавать. Спец может и других проблем порешает. Зря ты так.