URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID12
Нить номер: 6986
[ Назад ]

Исходное сообщение
"Интернет через SQUID"

Отправлено Maq , 03-Май-13 01:50 
Я чайник в *nix системах. Но по ряду причин мне пришлось сейчас поднимать прокси сервер SQUID на Centos. Сделал все как по мануалу. Отредактировал только IP для внутренней сети в squid.conf. На прокси сервере интернет есть через порт прокси, а с клиентской станции Windows 7 через прокси сервер интернета нет. Кто может посоветовать?

Содержание

Сообщения в этом обсуждении
"Интернет через SQUID"
Отправлено parad , 03-Май-13 22:37 
советую нанять админа.

"Интернет через SQUID"
Отправлено Maq , 05-Май-13 02:14 
> советую нанять админа.

Подождем советов других коллег...


"Интернет через SQUID"
Отправлено gg , 05-Май-13 23:04 
>> советую нанять админа.
> Подождем советов других коллег...

Если время терпит, начните с изучения основ, причем не только nix систем, хотя бы до  уровня, чтобы сформулировать вопрос.
Если времени нет - прислушайтесь к совету выше.


"Интернет через SQUID"
Отправлено Maq , 06-Май-13 00:23 
>>> советую нанять админа.
>> Подождем советов других коллег...
> Если время терпит, начните с изучения основ, причем не только nix систем,
> хотя бы до  уровня, чтобы сформулировать вопрос.
> Если времени нет - прислушайтесь к совету выше.

Спасибо за советы. Сам администратор Windows серверов (так же TMG). Думаю, знаю о чем спрашиваю. Тем не менее спасибо, обращусь к другим форумам.


"Интернет через SQUID"
Отправлено parad , 06-Май-13 14:28 
придирка не к твоим незнаниям. придирка к твоему вопросу. его нет.
обратись сразу на передачу битва экстрасенсов - они тебя и конфиги показывать и логи не попросят. даже не спросят каким маном пользовался.
тобишь проблема не в форуме.

"Интернет через SQUID"
Отправлено Maq , 06-Май-13 22:35 
> придирка не к твоим незнаниям. придирка к твоему вопросу. его нет.
> обратись сразу на передачу битва экстрасенсов - они тебя и конфиги показывать
> и логи не попросят. даже не спросят каким маном пользовался.
> тобишь проблема не в форуме.

Уже хорошо, что появляются хоть какие-то прояснения. Да, я понимаю, что не дал всю необходимую информацию по проблеме (будь по другой Оси ситуация была бы другая). Вопрос был, "кто может посоветовать?". Кроме того, я чайник, пока не спросят, что надо, не смогу предоставить.


"Интернет через SQUID"
Отправлено Dmitry , 06-Май-13 11:34 
> Я чайник в *nix системах. Но по ряду причин мне пришлось сейчас
> поднимать прокси сервер SQUID на Centos. Сделал все как по мануалу.
> Отредактировал только IP для внутренней сети в squid.conf. На прокси сервере
> интернет есть через порт прокси, а с клиентской станции Windows 7
> через прокси сервер интернета нет. Кто может посоветовать?

В какой директиве отредактировал IP?
для простой настройки обычно требуется 3 изменения:
http_port твой_IP:порт
acl net src 192.168.0.0/24
http_access allow net

где net - любое имя (это имя правила)
192.168.0.0/24 - диапазон сети которая попадает в правило
http_access allow net - разрешает http трафик для этого правила


"Интернет через SQUID"
Отправлено Maq , 06-Май-13 23:13 
> В какой директиве отредактировал IP?
> для простой настройки обычно требуется 3 изменения:
> http_port твой_IP:порт
> acl net src 192.168.0.0/24
> http_access allow net
> где net - любое имя (это имя правила)
> 192.168.0.0/24 - диапазон сети которая попадает в правило
> http_access allow net - разрешает http трафик для этого правила

Версия ОС - CentOS release 6.3 (Final)

В какой директиве отредактировал IP?
vi

представляю содержимое /etc/squid/squid.conf

*****************************************
#
# Recommended minimum configuration:
#
acl manager proto cache_object
acl localhost src 127.0.0.1/32 ::1
acl to_localhost dst 127.0.0.0/8 0.0.0.0/32 ::1

# Example rule allowing access from your local networks.
# Adapt to list your (internal) IP networks from where browsing
# should be allowed
acl localnet src 10.0.0.0/8    # RFC1918 possible internal network
acl localnet src 172.16.0.0/12    # RFC1918 possible internal network
acl localnet src 192.168.9.0/24    # RFC1918 possible internal network
acl localnet src fc00::/7       # RFC 4193 local private network range
acl localnet src fe80::/10      # RFC 4291 link-local (directly plugged) machines

acl SSL_ports port 443
acl Safe_ports port 80        # http
acl Safe_ports port 21        # ftp
acl Safe_ports port 443        # https
acl Safe_ports port 70        # gopher
acl Safe_ports port 210        # wais
acl Safe_ports port 1025-65535    # unregistered ports
acl Safe_ports port 280        # http-mgmt
acl Safe_ports port 488        # gss-http
acl Safe_ports port 591        # filemaker
acl Safe_ports port 777        # multiling http
acl CONNECT method CONNECT

#
# Recommended minimum Access Permission configuration:
#
# Only allow cachemgr access from localhost
http_access allow manager localhost
http_access deny manager

# Deny requests to certain unsafe ports
http_access deny !Safe_ports

# Deny CONNECT to other than secure SSL ports
http_access deny CONNECT !SSL_ports

# We strongly recommend the following be uncommented to protect innocent
# web applications running on the proxy server who think the only
# one who can access services on "localhost" is a local user
#http_access deny to_localhost

#
# INSERT YOUR OWN RULE(S) HERE TO ALLOW ACCESS FROM YOUR CLIENTS
#

# Example rule allowing access from your local networks.
# Adapt localnet in the ACL section to list your (internal) IP networks
# from where browsing should be allowed
http_access allow localnet
http_access allow localhost

# And finally deny all other access to this proxy
http_access deny all

# Squid normally listens to port 3128
http_port 192.168.9.1:3128

# We recommend you to use at least the following line.
hierarchy_stoplist cgi-bin ?

# Uncomment and adjust the following to add a disk cache directory.
#cache_dir ufs /var/spool/squid 100 16 256

# Leave coredumps in the first cache dir
coredump_dir /var/spool/squid

# Add any of your own refresh_pattern entries above these.
refresh_pattern ^ftp:        1440    20%    10080
refresh_pattern ^gopher:    1440    0%    1440
refresh_pattern -i (/cgi-bin/|\?) 0    0%    0
refresh_pattern .        0    20%    4320

# http_port 192.168.9.1:3129
visible_hostname 192.168.9.1


"Интернет через SQUID"
Отправлено Maq , 06-Май-13 23:18 
>[оверквотинг удален]
>> интернет есть через порт прокси, а с клиентской станции Windows 7
>> через прокси сервер интернета нет. Кто может посоветовать?
> В какой директиве отредактировал IP?
> для простой настройки обычно требуется 3 изменения:
> http_port твой_IP:порт
> acl net src 192.168.0.0/24
> http_access allow net
> где net - любое имя (это имя правила)
> 192.168.0.0/24 - диапазон сети которая попадает в правило
> http_access allow net - разрешает http трафик для этого правила

ifconfig

eth0      Link encap:Ethernet  HWaddr 00:0C:29:D2:2A:7D  
          inet addr:192.168.9.1  Bcast:192.168.9.255  Mask:255.255.255.0
          inet6 addr: fe80::20c:29ff:fed2:2a7d/64 Scope:Link
          UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1
          RX packets:476572 errors:0 dropped:0 overruns:0 frame:0
          TX packets:9193 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:1000
          RX bytes:43472164 (41.4 MiB)  TX bytes:683740 (667.7 KiB)

eth1      Link encap:Ethernet  HWaddr 00:0C:29:D2:2A:87  
          inet addr:192.168.10.149  Bcast:192.168.10.255  Mask:255.255.255.0
          inet6 addr: fe80::20c:29ff:fed2:2a87/64 Scope:Link
          UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1
          RX packets:718799 errors:0 dropped:0 overruns:0 frame:0
          TX packets:288309 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:1000
          RX bytes:197305882 (188.1 MiB)  TX bytes:63107393 (60.1 MiB)

lo        Link encap:Local Loopback  
          inet addr:127.0.0.1  Mask:255.0.0.0
          inet6 addr: ::1/128 Scope:Host
          UP LOOPBACK RUNNING  MTU:16436  Metric:1
          RX packets:378069 errors:0 dropped:0 overruns:0 frame:0
          TX packets:378069 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:0
          RX bytes:245479226 (234.1 MiB)  TX bytes:245479226 (234.1 MiB)

192.168.10.0/24 - Внешняя сеть
192.168.9.0/24 - внутренняя


"Интернет через SQUID"
Отправлено gg , 07-Май-13 21:55 
В конфиге ничего подозрительного я не увидел.
Сеть 192.168.9.0/24, по идее, должна обслуживаться.
Насколько я мог понять из Вашего описания, браузер молчит, если указать прокси 192.168.17.1:3128.

Попробуйте:
1. Проверить (напр. через netstat -lpn) слушает ли скуид на 192.168.17.1:3128.
2. Используется ли selinux? Если да, отключите для проверки. Потом, если нужно, настройте.
...


"Интернет через SQUID"
Отправлено Maq , 10-Май-13 00:08 
> В конфиге ничего подозрительного я не увидел.
> Сеть 192.168.9.0/24, по идее, должна обслуживаться.
> Насколько я мог понять из Вашего описания, браузер молчит, если указать прокси
> 192.168.17.1:3128.

не 192.168.17.1:3128, а 192.168.9.1:3128

> Попробуйте:
> 1. Проверить (напр. через netstat -lpn) слушает ли скуид на 192.168.17.1:3128.

да, вроде есть строка, указывающая что squid слушает порт 192.168.9.1:3128

> 2. Используется ли selinux? Если да, отключите для проверки. Потом, если нужно,
> настройте.
> ...

не имею понятия, что это и как проверить. Можете подсказать?

Повторюсь, на самом сервере прописав прокси в браузере, нормально работает.


"Интернет через SQUID"
Отправлено Maq , 10-Май-13 00:48 
>> 2. Используется ли selinux? Если да, отключите для проверки. Потом, если нужно,
>> настройте.
>> ...

отключил, рестарт дал, без разницы


"Интернет через SQUID"
Отправлено gg , 10-Май-13 14:06 
>>> 2. Используется ли selinux? Если да, отключите для проверки. Потом, если нужно,
>>> настройте.
>>> ...
> отключил, рестарт дал, без разницы

Может фаревол перекрывает?
Покажите вывод iptables-save.


"Интернет через SQUID"
Отправлено Maq , 11-Май-13 01:00 
> Может фаревол перекрывает?
> Покажите вывод iptables-save.

iptables-save

# Generated by iptables-save v1.4.7 on Sat May 11 01:57:00 2013
*filter
:INPUT ACCEPT [0:0]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [4124:269328]
-A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
-A INPUT -p icmp -j ACCEPT
-A INPUT -i lo -j ACCEPT
-A INPUT -p tcp -m state --state NEW -m tcp --dport 22 -j ACCEPT
-A INPUT -j REJECT --reject-with icmp-host-prohibited
-A FORWARD -j REJECT --reject-with icmp-host-prohibited
COMMIT
# Completed on Sat May 11 01:57:00 2013


"Интернет через SQUID"
Отправлено gg , 11-Май-13 13:37 
> -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
> -A INPUT -p icmp -j ACCEPT
> -A INPUT -i lo -j ACCEPT
> -A INPUT -p tcp -m state --state NEW -m tcp --dport 22
> -j ACCEPT
> -A INPUT -j REJECT --reject-with icmp-host-prohibited
> -A FORWARD -j REJECT --reject-with icmp-host-prohibited

Попробуйте написать
iptables -I INPUT -p tcp --dport 3128 -j ACCEPT


"Интернет через SQUID"
Отправлено Maq , 12-Май-13 00:16 
>> -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
>> -A INPUT -p icmp -j ACCEPT
>> -A INPUT -i lo -j ACCEPT
>> -A INPUT -p tcp -m state --state NEW -m tcp --dport 22
>> -j ACCEPT
>> -A INPUT -j REJECT --reject-with icmp-host-prohibited
>> -A FORWARD -j REJECT --reject-with icmp-host-prohibited
> Попробуйте написать
> iptables -I INPUT -p tcp --dport 3128 -j ACCEPT

отлично, заработало.


"Интернет через SQUID"
Отправлено Maq , 12-Май-13 01:18 
>>> -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
>>> -A INPUT -p icmp -j ACCEPT
>>> -A INPUT -i lo -j ACCEPT
>>> -A INPUT -p tcp -m state --state NEW -m tcp --dport 22
>>> -j ACCEPT
>>> -A INPUT -j REJECT --reject-with icmp-host-prohibited
>>> -A FORWARD -j REJECT --reject-with icmp-host-prohibited
>> Попробуйте написать
>> iptables -I INPUT -p tcp --dport 3128 -j ACCEPT
> отлично, заработало.

вопрос вдогонку. Каким правилом разрешить/блокировать ICMP запросы и ответы?


"Интернет через SQUID"
Отправлено gg , 12-Май-13 21:03 
> вопрос вдогонку. Каким правилом разрешить/блокировать ICMP запросы и ответы?

В самом простом случае
iptables -A OUTPUT -p ICMP -j ACCEPT
iptables -A INPUT -p ICMP -j DROP
и т.д.
man iptables расскажет много интересного.


"Интернет через SQUID"
Отправлено Maq , 13-Май-13 00:06 
>> вопрос вдогонку. Каким правилом разрешить/блокировать ICMP запросы и ответы?
> В самом простом случае
> iptables -A OUTPUT -p ICMP -j ACCEPT
> iptables -A INPUT -p ICMP -j DROP
> и т.д.
> man iptables расскажет много интересного.

спасибо, буду копать в этом направлении :-)


"Интернет через SQUID"
Отправлено ipmanyak , 08-Май-13 06:31 
> Я чайник в *nix системах. Но по ряду причин мне пришлось сейчас
> поднимать прокси сервер SQUID на Centos. Сделал все как по мануалу.
> Отредактировал только IP для внутренней сети в squid.conf. На прокси сервере
> интернет есть через порт прокси, а с клиентской станции Windows 7
> через прокси сервер интернета нет. Кто может посоветовать?

покажите  кусок лога cache.log


"Интернет через SQUID"
Отправлено Maq , 10-Май-13 00:24 
>> Я чайник в *nix системах. Но по ряду причин мне пришлось сейчас
>> поднимать прокси сервер SQUID на Centos. Сделал все как по мануалу.
>> Отредактировал только IP для внутренней сети в squid.conf. На прокси сервере
>> интернет есть через порт прокси, а с клиентской станции Windows 7
>> через прокси сервер интернета нет. Кто может посоветовать?
> покажите  кусок лога cache.log

cache.log полностью

2013/05/08 20:48:51| Starting Squid Cache version 3.1.10 for x86_64-redhat-linux-gnu...
2013/05/08 20:48:51| Process ID 6431
2013/05/08 20:48:51| With 1024 file descriptors available
2013/05/08 20:48:51| Initializing IP Cache...
2013/05/08 20:48:51| DNS Socket created at [::], FD 7
2013/05/08 20:48:51| DNS Socket created at 0.0.0.0, FD 8
2013/05/08 20:48:51| Adding domain NLINK.LAN from /etc/resolv.conf
2013/05/08 20:48:51| Adding nameserver 192.168.10.6 from /etc/resolv.conf
2013/05/08 20:48:51| Adding nameserver 192.168.10.7 from /etc/resolv.conf
2013/05/08 20:48:51| Adding nameserver 8.8.8.8 from /etc/resolv.conf
2013/05/08 20:48:51| User-Agent logging is disabled.
2013/05/08 20:48:51| Referer logging is disabled.
2013/05/08 20:48:52| Unlinkd pipe opened on FD 13
2013/05/08 20:48:52| Local cache digest enabled; rebuild/rewrite every 3600/3600 sec
2013/05/08 20:48:52| Store logging disabled
2013/05/08 20:48:52| Swap maxSize 0 + 262144 KB, estimated 20164 objects
2013/05/08 20:48:52| Target number of buckets: 1008
2013/05/08 20:48:52| Using 8192 Store buckets
2013/05/08 20:48:52| Max Mem  size: 262144 KB
2013/05/08 20:48:52| Max Swap size: 0 KB
2013/05/08 20:48:52| Using Least Load store dir selection
2013/05/08 20:48:52| Set Current Directory to /var/spool/squid
2013/05/08 20:48:52| Loaded Icons.
2013/05/08 20:48:52| Accepting  HTTP connections at 192.168.9.1:3128, FD 14.
2013/05/08 20:48:52| HTCP Disabled.
2013/05/08 20:48:52| Squid plugin modules loaded: 0
2013/05/08 20:48:52| Adaptation support is off.
2013/05/08 20:48:52| Ready to serve requests.
2013/05/08 20:48:53| storeLateRelease: released 0 objects

При этом, постоянно идет попытка пинга на IP прокси сервера и внешние сервера, а также попытки открытия сайтов


"Интернет через SQUID"
Отправлено Maq , 10-Май-13 00:28 
>[оверквотинг удален]
> 2013/05/08 20:48:52| Set Current Directory to /var/spool/squid
> 2013/05/08 20:48:52| Loaded Icons.
> 2013/05/08 20:48:52| Accepting  HTTP connections at 192.168.9.1:3128, FD 14.
> 2013/05/08 20:48:52| HTCP Disabled.
> 2013/05/08 20:48:52| Squid plugin modules loaded: 0
> 2013/05/08 20:48:52| Adaptation support is off.
> 2013/05/08 20:48:52| Ready to serve requests.
> 2013/05/08 20:48:53| storeLateRelease: released 0 objects
> При этом, постоянно идет попытка пинга на IP прокси сервера и внешние
> сервера, а также попытки открытия сайтов

Для интереса посмотрел и access.log, ни одной записи с IP клиентских машин. Такое ощущение, что какой-то файервол стоит.


"Интернет через SQUID"
Отправлено ipmanyak , 13-Май-13 11:46 
>[оверквотинг удален]
> 2013/05/08 20:48:52| Set Current Directory to /var/spool/squid
> 2013/05/08 20:48:52| Loaded Icons.
> 2013/05/08 20:48:52| Accepting  HTTP connections at 192.168.9.1:3128, FD 14.
> 2013/05/08 20:48:52| HTCP Disabled.
> 2013/05/08 20:48:52| Squid plugin modules loaded: 0
> 2013/05/08 20:48:52| Adaptation support is off.
> 2013/05/08 20:48:52| Ready to serve requests.
> 2013/05/08 20:48:53| storeLateRelease: released 0 objects
> При этом, постоянно идет попытка пинга на IP прокси сервера и внешние
> сервера, а также попытки открытия сайтов

В явном виде криминала не вижу. Но не вижу данных про дисковый кэш. Вы его включали и инициализировали?
# Uncomment and adjust the following to add a disk cache directory.
#cache_dir ufs /var/spool/squid 100 16 256

Для эксперимента отключите фаервол на линуксе совсем и проверьте  прокси с рабочих станций.