URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID12
Нить номер: 6736
[ Назад ]

Исходное сообщение
"Настройка Squid"
Отправлено m16master , 20-Окт-11 22:33

При настройке squid вознилка такая проблема. Открываются все сайты, кроме сайта Vkontakte.ru, odnoklassniki.ru, gmail.com. Например, открывает сайт одноклассников, но не открывает страницу с сообщениями и т.д.
Вот конфиг:
visible_hostname ats
http_port 3128
acl localnet src 195.222.80.30/255.255.255.255
acl localhost src 192.168.123.5/255.255.255.255
acl Safe_ports port 443
acl CONNECT method CONNECT
acl all src 0.0.0.0/0.0.0.0
http_access allow localnet
http_access allow localhost
http_access deny !Safe_ports
http_access deny CONNECT
http_access deny all
Может кто подскажет как решить проблему?

Содержание

Настройка Squid,Cristian, 10:17 , 21-Окт-11
- Настройка Squid,m16master, 21:53 , 23-Окт-11
  - Настройка Squid,Cristian, 15:42 , 24-Окт-11
    - Настройка Squid,m16master, 21:07 , 24-Окт-11
      - Настройка Squid,Михаил, 23:52 , 01-Авг-12

Сообщения в этом обсуждении

"Настройка Squid"
Отправлено Cristian , 21-Окт-11 10:17

Доброе время суток!
Вы сделали грубую ошибку:
http_access deny !Safe_ports         # этим правилом вы запретили все кроме Safe_port (443)
http_access deny CONNECT             # а этим вы запретили метод CONNECT, который нужен для HTTPS/SSL. Таким образом и не работают выше указанные WEB-ресурсы.
Вам необходимо сделать примерно так:
============================================================
http_access allow localnet
http_access allow localhost
http_access allow CONNECT Safe_ports         #разрешаем метод CONNECT только на порт 443 (Safe_ports)
http_access deny CONNECT                   #Все остальные соединения по методу CONNECT запрещаем
http_access deny all

"Настройка Squid"
Отправлено m16master , 23-Окт-11 21:53

>[оверквотинг удален]
> Вам необходимо сделать примерно так:
> ============================================================
> http_access allow localnet
> http_access allow localhost
> http_access allow CONNECT Safe_ports
> #разрешаем метод CONNECT только на порт 443 (Safe_ports)
> http_access deny CONNECT
>          #Все остальные
> соединения по методу CONNECT запрещаем
> http_access deny all
Сделал такой конфиг, но проблема так и не решилась. Сайт "Вконтакте" так и неоткрывается, в отличии от других сайтов =(
visible_hostname aff
http_port 3128
acl localnet src 195.222.1-255.1-255/255.255.255.255
acl localhost src 192.168.123.3-5/255.255.255.255
acl Safe_ports port 443
acl CONNECT method CONNECT
acl all src 0.0.0.0/0.0.0.0
http_access allow localnet
http_access allow localhost
http_access allow CONNECT Safe_ports
http_access allow all

"Настройка Squid"
Отправлено Cristian , 24-Окт-11 15:42

Пришлите блок текста с access.log-a, важно видеть, что при этом пишется в журнал.
Явно где-то в конфиге есть ошибки, так как правило "http_access allow all" разрешает все всем, и по идее все должно работать.
Пришлите весь конфиг сквида, только замените данные в нем, которые вы бы не хотели показывать в интернете.
Вот пример как получить не за комментированные строки в конфинге:
#cat /././squid.conf | grep -v #

"Настройка Squid"
Отправлено m16master , 24-Окт-11 21:07

> Пришлите блок текста с access.log-a, важно видеть, что при этом пишется в
> журнал.
> Явно где-то в конфиге есть ошибки, так как правило "http_access allow all"
> разрешает все всем, и по идее все должно работать.
> Пришлите весь конфиг сквида, только замените данные в нем, которые вы бы
> не хотели показывать в интернете.
> Вот пример как получить не за комментированные строки в конфинге:
> #cat /././squid.conf | grep -v #
Сервер устанавливался под Win Xp. Access.log я не нашел =(
Вот полный конфиг:
visible_hostname aaa
http_port 3128
acl localnet src 195.222.1-255.1-255/255.255.255.255
acl localhost src 192.168.1-223.3-5/255.255.255.255
acl Safe_ports port 443
acl CONNECT method CONNECT
acl all src 0.0.0.0/0.0.0.0
http_access allow localhost
http_access allow localnet
http_access allow CONNECT
http_access allow CONNECT Safe_ports
http_access allow all
httpd_accel_host virtual
httpd_accel_port 80
httpd_accel_with_proxy on
httpd_accel_uses_host_header on
Почему то не могу зайти на gmail.com и вконтакте. На mail.ru в почту захожу без проблем.

"Настройка Squid"
Отправлено Михаил , 01-Авг-12 23:52

Потому, что первым правилом срабатывает
http_access allow CONNECT
на любой хост и любой порт
При обращении методом CONNECT на 80 порт некоторые web сервера думают, что Вы пытаетесь их использовать как proxy-server и блокируют вас, как злоумышленника.
Вот такой должен быть конфиг, что бы получить доступ на все сервера.
http_port 3128
acl localnet src 195.222.1-255.1-255/255.255.255.255
acl localhost src 192.168.1-223.3-5/255.255.255.255
acl Safe_ports port 443
acl CONNECT method CONNECT
acl all src 0.0.0.0/0.0.0.0
http_access allow localhost
http_access allow localnet
http_access allow CONNECT Safe_ports
http_access allow all