Я чайник в *nix системах. Но по ряду причин мне пришлось сейчас поднимать прокси сервер SQUID на Centos. Сделал все как по мануалу. Отредактировал только IP для внутренней сети в squid.conf. На прокси сервере интернет есть через порт прокси, а с клиентской станции Windows 7 через прокси сервер интернета нет. Кто может посоветовать?
советую нанять админа.
> советую нанять админа.Подождем советов других коллег...
>> советую нанять админа.
> Подождем советов других коллег...Если время терпит, начните с изучения основ, причем не только nix систем, хотя бы до уровня, чтобы сформулировать вопрос.
Если времени нет - прислушайтесь к совету выше.
>>> советую нанять админа.
>> Подождем советов других коллег...
> Если время терпит, начните с изучения основ, причем не только nix систем,
> хотя бы до уровня, чтобы сформулировать вопрос.
> Если времени нет - прислушайтесь к совету выше.Спасибо за советы. Сам администратор Windows серверов (так же TMG). Думаю, знаю о чем спрашиваю. Тем не менее спасибо, обращусь к другим форумам.
придирка не к твоим незнаниям. придирка к твоему вопросу. его нет.
обратись сразу на передачу битва экстрасенсов - они тебя и конфиги показывать и логи не попросят. даже не спросят каким маном пользовался.
тобишь проблема не в форуме.
> придирка не к твоим незнаниям. придирка к твоему вопросу. его нет.
> обратись сразу на передачу битва экстрасенсов - они тебя и конфиги показывать
> и логи не попросят. даже не спросят каким маном пользовался.
> тобишь проблема не в форуме.Уже хорошо, что появляются хоть какие-то прояснения. Да, я понимаю, что не дал всю необходимую информацию по проблеме (будь по другой Оси ситуация была бы другая). Вопрос был, "кто может посоветовать?". Кроме того, я чайник, пока не спросят, что надо, не смогу предоставить.
> Я чайник в *nix системах. Но по ряду причин мне пришлось сейчас
> поднимать прокси сервер SQUID на Centos. Сделал все как по мануалу.
> Отредактировал только IP для внутренней сети в squid.conf. На прокси сервере
> интернет есть через порт прокси, а с клиентской станции Windows 7
> через прокси сервер интернета нет. Кто может посоветовать?В какой директиве отредактировал IP?
для простой настройки обычно требуется 3 изменения:
http_port твой_IP:порт
acl net src 192.168.0.0/24
http_access allow netгде net - любое имя (это имя правила)
192.168.0.0/24 - диапазон сети которая попадает в правило
http_access allow net - разрешает http трафик для этого правила
> В какой директиве отредактировал IP?
> для простой настройки обычно требуется 3 изменения:
> http_port твой_IP:порт
> acl net src 192.168.0.0/24
> http_access allow net
> где net - любое имя (это имя правила)
> 192.168.0.0/24 - диапазон сети которая попадает в правило
> http_access allow net - разрешает http трафик для этого правилаВерсия ОС - CentOS release 6.3 (Final)
В какой директиве отредактировал IP?
viпредставляю содержимое /etc/squid/squid.conf
*****************************************
#
# Recommended minimum configuration:
#
acl manager proto cache_object
acl localhost src 127.0.0.1/32 ::1
acl to_localhost dst 127.0.0.0/8 0.0.0.0/32 ::1# Example rule allowing access from your local networks.
# Adapt to list your (internal) IP networks from where browsing
# should be allowed
acl localnet src 10.0.0.0/8 # RFC1918 possible internal network
acl localnet src 172.16.0.0/12 # RFC1918 possible internal network
acl localnet src 192.168.9.0/24 # RFC1918 possible internal network
acl localnet src fc00::/7 # RFC 4193 local private network range
acl localnet src fe80::/10 # RFC 4291 link-local (directly plugged) machinesacl SSL_ports port 443
acl Safe_ports port 80 # http
acl Safe_ports port 21 # ftp
acl Safe_ports port 443 # https
acl Safe_ports port 70 # gopher
acl Safe_ports port 210 # wais
acl Safe_ports port 1025-65535 # unregistered ports
acl Safe_ports port 280 # http-mgmt
acl Safe_ports port 488 # gss-http
acl Safe_ports port 591 # filemaker
acl Safe_ports port 777 # multiling http
acl CONNECT method CONNECT#
# Recommended minimum Access Permission configuration:
#
# Only allow cachemgr access from localhost
http_access allow manager localhost
http_access deny manager# Deny requests to certain unsafe ports
http_access deny !Safe_ports# Deny CONNECT to other than secure SSL ports
http_access deny CONNECT !SSL_ports# We strongly recommend the following be uncommented to protect innocent
# web applications running on the proxy server who think the only
# one who can access services on "localhost" is a local user
#http_access deny to_localhost#
# INSERT YOUR OWN RULE(S) HERE TO ALLOW ACCESS FROM YOUR CLIENTS
## Example rule allowing access from your local networks.
# Adapt localnet in the ACL section to list your (internal) IP networks
# from where browsing should be allowed
http_access allow localnet
http_access allow localhost# And finally deny all other access to this proxy
http_access deny all# Squid normally listens to port 3128
http_port 192.168.9.1:3128# We recommend you to use at least the following line.
hierarchy_stoplist cgi-bin ?# Uncomment and adjust the following to add a disk cache directory.
#cache_dir ufs /var/spool/squid 100 16 256# Leave coredumps in the first cache dir
coredump_dir /var/spool/squid# Add any of your own refresh_pattern entries above these.
refresh_pattern ^ftp: 1440 20% 10080
refresh_pattern ^gopher: 1440 0% 1440
refresh_pattern -i (/cgi-bin/|\?) 0 0% 0
refresh_pattern . 0 20% 4320# http_port 192.168.9.1:3129
visible_hostname 192.168.9.1
>[оверквотинг удален]
>> интернет есть через порт прокси, а с клиентской станции Windows 7
>> через прокси сервер интернета нет. Кто может посоветовать?
> В какой директиве отредактировал IP?
> для простой настройки обычно требуется 3 изменения:
> http_port твой_IP:порт
> acl net src 192.168.0.0/24
> http_access allow net
> где net - любое имя (это имя правила)
> 192.168.0.0/24 - диапазон сети которая попадает в правило
> http_access allow net - разрешает http трафик для этого правилаifconfig
eth0 Link encap:Ethernet HWaddr 00:0C:29:D2:2A:7D
inet addr:192.168.9.1 Bcast:192.168.9.255 Mask:255.255.255.0
inet6 addr: fe80::20c:29ff:fed2:2a7d/64 Scope:Link
UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1
RX packets:476572 errors:0 dropped:0 overruns:0 frame:0
TX packets:9193 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:1000
RX bytes:43472164 (41.4 MiB) TX bytes:683740 (667.7 KiB)eth1 Link encap:Ethernet HWaddr 00:0C:29:D2:2A:87
inet addr:192.168.10.149 Bcast:192.168.10.255 Mask:255.255.255.0
inet6 addr: fe80::20c:29ff:fed2:2a87/64 Scope:Link
UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1
RX packets:718799 errors:0 dropped:0 overruns:0 frame:0
TX packets:288309 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:1000
RX bytes:197305882 (188.1 MiB) TX bytes:63107393 (60.1 MiB)lo Link encap:Local Loopback
inet addr:127.0.0.1 Mask:255.0.0.0
inet6 addr: ::1/128 Scope:Host
UP LOOPBACK RUNNING MTU:16436 Metric:1
RX packets:378069 errors:0 dropped:0 overruns:0 frame:0
TX packets:378069 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:0
RX bytes:245479226 (234.1 MiB) TX bytes:245479226 (234.1 MiB)192.168.10.0/24 - Внешняя сеть
192.168.9.0/24 - внутренняя
В конфиге ничего подозрительного я не увидел.
Сеть 192.168.9.0/24, по идее, должна обслуживаться.
Насколько я мог понять из Вашего описания, браузер молчит, если указать прокси 192.168.17.1:3128.Попробуйте:
1. Проверить (напр. через netstat -lpn) слушает ли скуид на 192.168.17.1:3128.
2. Используется ли selinux? Если да, отключите для проверки. Потом, если нужно, настройте.
...
> В конфиге ничего подозрительного я не увидел.
> Сеть 192.168.9.0/24, по идее, должна обслуживаться.
> Насколько я мог понять из Вашего описания, браузер молчит, если указать прокси
> 192.168.17.1:3128.не 192.168.17.1:3128, а 192.168.9.1:3128
> Попробуйте:
> 1. Проверить (напр. через netstat -lpn) слушает ли скуид на 192.168.17.1:3128.да, вроде есть строка, указывающая что squid слушает порт 192.168.9.1:3128
> 2. Используется ли selinux? Если да, отключите для проверки. Потом, если нужно,
> настройте.
> ...не имею понятия, что это и как проверить. Можете подсказать?
Повторюсь, на самом сервере прописав прокси в браузере, нормально работает.
>> 2. Используется ли selinux? Если да, отключите для проверки. Потом, если нужно,
>> настройте.
>> ...отключил, рестарт дал, без разницы
>>> 2. Используется ли selinux? Если да, отключите для проверки. Потом, если нужно,
>>> настройте.
>>> ...
> отключил, рестарт дал, без разницыМожет фаревол перекрывает?
Покажите вывод iptables-save.
> Может фаревол перекрывает?
> Покажите вывод iptables-save.iptables-save
# Generated by iptables-save v1.4.7 on Sat May 11 01:57:00 2013
*filter
:INPUT ACCEPT [0:0]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [4124:269328]
-A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
-A INPUT -p icmp -j ACCEPT
-A INPUT -i lo -j ACCEPT
-A INPUT -p tcp -m state --state NEW -m tcp --dport 22 -j ACCEPT
-A INPUT -j REJECT --reject-with icmp-host-prohibited
-A FORWARD -j REJECT --reject-with icmp-host-prohibited
COMMIT
# Completed on Sat May 11 01:57:00 2013
> -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
> -A INPUT -p icmp -j ACCEPT
> -A INPUT -i lo -j ACCEPT
> -A INPUT -p tcp -m state --state NEW -m tcp --dport 22
> -j ACCEPT
> -A INPUT -j REJECT --reject-with icmp-host-prohibited
> -A FORWARD -j REJECT --reject-with icmp-host-prohibitedПопробуйте написать
iptables -I INPUT -p tcp --dport 3128 -j ACCEPT
>> -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
>> -A INPUT -p icmp -j ACCEPT
>> -A INPUT -i lo -j ACCEPT
>> -A INPUT -p tcp -m state --state NEW -m tcp --dport 22
>> -j ACCEPT
>> -A INPUT -j REJECT --reject-with icmp-host-prohibited
>> -A FORWARD -j REJECT --reject-with icmp-host-prohibited
> Попробуйте написать
> iptables -I INPUT -p tcp --dport 3128 -j ACCEPTотлично, заработало.
>>> -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
>>> -A INPUT -p icmp -j ACCEPT
>>> -A INPUT -i lo -j ACCEPT
>>> -A INPUT -p tcp -m state --state NEW -m tcp --dport 22
>>> -j ACCEPT
>>> -A INPUT -j REJECT --reject-with icmp-host-prohibited
>>> -A FORWARD -j REJECT --reject-with icmp-host-prohibited
>> Попробуйте написать
>> iptables -I INPUT -p tcp --dport 3128 -j ACCEPT
> отлично, заработало.вопрос вдогонку. Каким правилом разрешить/блокировать ICMP запросы и ответы?
> вопрос вдогонку. Каким правилом разрешить/блокировать ICMP запросы и ответы?В самом простом случае
iptables -A OUTPUT -p ICMP -j ACCEPT
iptables -A INPUT -p ICMP -j DROP
и т.д.
man iptables расскажет много интересного.
>> вопрос вдогонку. Каким правилом разрешить/блокировать ICMP запросы и ответы?
> В самом простом случае
> iptables -A OUTPUT -p ICMP -j ACCEPT
> iptables -A INPUT -p ICMP -j DROP
> и т.д.
> man iptables расскажет много интересного.спасибо, буду копать в этом направлении :-)
> Я чайник в *nix системах. Но по ряду причин мне пришлось сейчас
> поднимать прокси сервер SQUID на Centos. Сделал все как по мануалу.
> Отредактировал только IP для внутренней сети в squid.conf. На прокси сервере
> интернет есть через порт прокси, а с клиентской станции Windows 7
> через прокси сервер интернета нет. Кто может посоветовать?покажите кусок лога cache.log
>> Я чайник в *nix системах. Но по ряду причин мне пришлось сейчас
>> поднимать прокси сервер SQUID на Centos. Сделал все как по мануалу.
>> Отредактировал только IP для внутренней сети в squid.conf. На прокси сервере
>> интернет есть через порт прокси, а с клиентской станции Windows 7
>> через прокси сервер интернета нет. Кто может посоветовать?
> покажите кусок лога cache.logcache.log полностью
2013/05/08 20:48:51| Starting Squid Cache version 3.1.10 for x86_64-redhat-linux-gnu...
2013/05/08 20:48:51| Process ID 6431
2013/05/08 20:48:51| With 1024 file descriptors available
2013/05/08 20:48:51| Initializing IP Cache...
2013/05/08 20:48:51| DNS Socket created at [::], FD 7
2013/05/08 20:48:51| DNS Socket created at 0.0.0.0, FD 8
2013/05/08 20:48:51| Adding domain NLINK.LAN from /etc/resolv.conf
2013/05/08 20:48:51| Adding nameserver 192.168.10.6 from /etc/resolv.conf
2013/05/08 20:48:51| Adding nameserver 192.168.10.7 from /etc/resolv.conf
2013/05/08 20:48:51| Adding nameserver 8.8.8.8 from /etc/resolv.conf
2013/05/08 20:48:51| User-Agent logging is disabled.
2013/05/08 20:48:51| Referer logging is disabled.
2013/05/08 20:48:52| Unlinkd pipe opened on FD 13
2013/05/08 20:48:52| Local cache digest enabled; rebuild/rewrite every 3600/3600 sec
2013/05/08 20:48:52| Store logging disabled
2013/05/08 20:48:52| Swap maxSize 0 + 262144 KB, estimated 20164 objects
2013/05/08 20:48:52| Target number of buckets: 1008
2013/05/08 20:48:52| Using 8192 Store buckets
2013/05/08 20:48:52| Max Mem size: 262144 KB
2013/05/08 20:48:52| Max Swap size: 0 KB
2013/05/08 20:48:52| Using Least Load store dir selection
2013/05/08 20:48:52| Set Current Directory to /var/spool/squid
2013/05/08 20:48:52| Loaded Icons.
2013/05/08 20:48:52| Accepting HTTP connections at 192.168.9.1:3128, FD 14.
2013/05/08 20:48:52| HTCP Disabled.
2013/05/08 20:48:52| Squid plugin modules loaded: 0
2013/05/08 20:48:52| Adaptation support is off.
2013/05/08 20:48:52| Ready to serve requests.
2013/05/08 20:48:53| storeLateRelease: released 0 objectsПри этом, постоянно идет попытка пинга на IP прокси сервера и внешние сервера, а также попытки открытия сайтов
>[оверквотинг удален]
> 2013/05/08 20:48:52| Set Current Directory to /var/spool/squid
> 2013/05/08 20:48:52| Loaded Icons.
> 2013/05/08 20:48:52| Accepting HTTP connections at 192.168.9.1:3128, FD 14.
> 2013/05/08 20:48:52| HTCP Disabled.
> 2013/05/08 20:48:52| Squid plugin modules loaded: 0
> 2013/05/08 20:48:52| Adaptation support is off.
> 2013/05/08 20:48:52| Ready to serve requests.
> 2013/05/08 20:48:53| storeLateRelease: released 0 objects
> При этом, постоянно идет попытка пинга на IP прокси сервера и внешние
> сервера, а также попытки открытия сайтовДля интереса посмотрел и access.log, ни одной записи с IP клиентских машин. Такое ощущение, что какой-то файервол стоит.
>[оверквотинг удален]
> 2013/05/08 20:48:52| Set Current Directory to /var/spool/squid
> 2013/05/08 20:48:52| Loaded Icons.
> 2013/05/08 20:48:52| Accepting HTTP connections at 192.168.9.1:3128, FD 14.
> 2013/05/08 20:48:52| HTCP Disabled.
> 2013/05/08 20:48:52| Squid plugin modules loaded: 0
> 2013/05/08 20:48:52| Adaptation support is off.
> 2013/05/08 20:48:52| Ready to serve requests.
> 2013/05/08 20:48:53| storeLateRelease: released 0 objects
> При этом, постоянно идет попытка пинга на IP прокси сервера и внешние
> сервера, а также попытки открытия сайтовВ явном виде криминала не вижу. Но не вижу данных про дисковый кэш. Вы его включали и инициализировали?
# Uncomment and adjust the following to add a disk cache directory.
#cache_dir ufs /var/spool/squid 100 16 256Для эксперимента отключите фаервол на линуксе совсем и проверьте прокси с рабочих станций.