 Локальные запросы через прокси,  Monty, 22-Окт-05, 11:24 [смотреть все]Имеется сервер под управление FreeBSD. На нем установлен squid.
Адрес внешнего интерфейса 192.168.111.1 (реальный считаем). Если сделать прямой запрос, например, lynx www.mail.ru то все работает.Сделал прохождение www запросов через прокси:\
ipfw add 02500 fwd 127.0.0.1,3128 tcp from 192.168.111.1 to any dst-port 80 out via внеш_интерфейс В squid.conf прописаны следующие строки:
acl all src 0.0.0.0/0
http_access allow all Пробую lynx mail.ru
Выдает
The requested URL could not be retrieved
_______________________________________________________________________________________________________________________________________________ While trying to retrieve the URL: http://www.mail.ru/ The following error was encountered:
* Access Denied.
Access control configuration prevents your request from being allowed at this time. Please contact your service provider if you feel this is
incorrect. Почему же сквид не разрешает? |
- Локальные запросы через прокси, SselemaN, 21:54 , 22-Окт-05 (1)
>Имеется сервер под управление FreeBSD. На нем установлен squid.
>Адрес внешнего интерфейса 192.168.111.1 (реальный считаем). Если сделать прямой запрос, например, lynx
>www.mail.ru то все работает.
>
>Сделал прохождение www запросов через прокси:\
>ipfw add 02500 fwd 127.0.0.1,3128 tcp from 192.168.111.1 to any dst-port 80
>out via внеш_интерфейс
>
>В squid.conf прописаны следующие строки:
>acl all src 0.0.0.0/0
>http_access allow all
>
>Пробую lynx mail.ru
>Выдает
>The requested URL could not be retrieved
> _______________________________________________________________________________________________________________________________________________
>
> While trying to retrieve the URL: http://www.mail.ru/
>
> The following error was encountered:
> * Access Denied.
> Access control configuration prevents your
>request from being allowed at this time. Please contact your service
>provider if you feel this is
> incorrect.
>
>Почему же сквид не разрешает?
Дай весь squid.conf
- Локальные запросы через прокси, Monty, 22:38 , 22-Окт-05 (2)
### squid.conf ###http_port 3128
hierarchy_stoplist cgi-bin ? acl QUERY urlpath_regex cgi-bin \?
no_cache deny QUERY
refresh_pattern ^ftp: 1440 20% 10080
refresh_pattern ^gopher: 1440 0% 1440
refresh_pattern . 0 20% 4320
acl all src 0.0.0.0/0.0.0.0
acl manager proto cache_object
acl localhost src 127.0.0.1/255.255.255.255
acl to_localhost dst 127.0.0.0/8
acl SSL_ports port 443 563
acl Safe_ports port 80 # http
acl Safe_ports port 21 # ftp
acl Safe_ports port 443 563 # https, snews
acl Safe_ports port 70 # gopher
acl Safe_ports port 210 # wais
acl Safe_ports port 1025-65535 # unregistered ports
acl Safe_ports port 280 # http-mgmt
acl Safe_ports port 488 # gss-http
acl Safe_ports port 591 # filemaker
acl Safe_ports port 777 # multiling http
acl CONNECT method CONNECT http_access allow manager localhost
http_access deny manager
http_access deny !Safe_ports
http_access deny CONNECT !SSL_ports
acl our_networks src 10.30.0.0/16 192.168.111.0/24 127.0.0.0/8
http_access allow our_networks
http_access deny all
http_reply_access allow all
icp_access allow all
httpd_accel_host virtual
httpd_accel_port 80
httpd_accel_with_proxy on
httpd_accel_uses_host_header on
- Локальные запросы через прокси, Андрей Слободяник, 00:18 , 23-Окт-05 (3)
Посмотри в access.log с какого ip-адреса идет обращение, что ему выдается DENY.
- Локальные запросы через прокси, Monty, 08:34 , 23-Окт-05 (4)
>Посмотри в access.log с какого ip-адреса идет обращение, что ему выдается DENY.
>1130042067.506 0 192.168.111.1 TCP_DENIED/403 1353 GET http://www.mail.ru/ - NONE/- text/html
1130042067.507 5 192.168.111.1 TCP_MISS/403 1387 GET http://www.mail.ru/ - DIRECT/194.67.57.26 text/html
- Локальные запросы через прокси, Monty, 09:38 , 23-Окт-05 (5)
Во всей этой схеме меня смущает одна вещь.
Смотри, когда я запускаю lynx www.mail.ru браузер отправляет запрос на www.mail.ru:80 и адрес отправитель при этом 192.168.111.1 (адрес внешнего интерфейса). Пакет попадает в файрвол и срабатывает правильно "fwd 127.0.0.1,3128 tcp from 192.168.111.1 to any 80 out via внеш_интерфейс". Пакет нашего браузера перенаправляется на проксик на этой же машине. Проксик, получив этот пакет, в свою очередь, отправляет запрос на www.mail.ru:80 и при этом адрес отправителя будет 192.168.111.1 (т.к. это адрес внешнего интерфейса), а далее этот пакет попадает в файрвол и соответствует правилу fwd. В результате запрос самого проксика, должен быть перенправлен на его же вход (127.0.0.1:3128). По логике получается петля. В полне возможно, что проксик от этого защищается, выдавая сообщение, что доступ запрещен. Потому что, в конфиге все списки доступа прописаны более чем достаточно.
Только я пока не могу придумать, как корректно решить эту задачу.
|
Версия для распечатки
