форумы  помощь  поиск  регистрация  майллист  вход/выход  слежка

Вариант для распечатки		Пред. тема | След. тема
Форумы Настройка Squid и других прокси серверов (Public)
Изначальное сообщение		[ Отслеживать ]

"squid.conf"

Сообщение от Максим (??) on 10-Июн-08, 15:37

Здравствуйте. Проблема в следующем. Есть работающий squid. На сервере, на котором установлен squid крутится web сервер компании и несколько виртуальных хостов. Все прекрасно работает кроме одного: При обращении к web серверу компании из внутренней сети по внутреннему ИП он доступен, при обращении по внешнему ИП и по доменным именам squid блокирует доступ. Без squid все открывается нормально (дело не в firewall). И не ДНС. Ниже код acl all src 0.0.0.0/0.0.0.0 acl ofis src 10.0.0.0/255.255.255.0 acl manager proto cache_object acl localhost src 127.0.0.1/255.255.255.255 acl to_localhost dst 127.0.0.0/8 acl SSL_ports port 443 563 acl Safe_ports port 80 # http acl Safe_ports port 21 # ftp acl Safe_ports port 443 563 # https, snews acl Safe_ports port 70 # gopher acl Safe_ports port 210 # wais acl Safe_ports port 1025-65535 # unregistered ports acl Safe_ports port 280 # http-mgmt acl Safe_ports port 488 # gss-http acl Safe_ports port 591 # filemaker acl Safe_ports port 777 # multiling http acl CONNECT method CONNECT acl Sites dstdomain .site1.ru .site2.ru http_access allow Pupkin SitesWarez http_access allow ofis http_access allow manager localhost http_access deny !Safe_ports http_access deny CONNECT !SSL_ports В чем глюк. Вроде все правильно С уважением Параллельно буду благодарен за оставленную ссылочку http://adminbook.ru

Высказать мнение | Ответить | Правка | Cообщить модератору

Сообщения по теме

[Сортировка по времени | RSS]

1. "squid.conf"

Сообщение от wertik (ok) on 10-Июн-08, 15:52

>[оверквотинг удален] >http_access allow Pupkin SitesWarez >http_access allow ofis >http_access allow manager localhost >http_access deny !Safe_ports >http_access deny CONNECT !SSL_ports > >В чем глюк. Вроде все правильно >С уважением > >Параллельно буду благодарен за оставленную ссылочку http://adminbook.ru дАА а вы что входящие запросы с интернета на 80 порт через сквид обрабатываете?. откуда такая уверенность что это не настройка фаерфола ?

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	3. "squid.conf"
	Сообщение от Максим (??) on 10-Июн-08, 16:00
	>[оверквотинг удален] >>http_access deny CONNECT !SSL_ports >> >>В чем глюк. Вроде все правильно >>С уважением >> >>Параллельно буду благодарен за оставленную ссылочку http://adminbook.ru > >дАА а вы что входящие запросы с интернета на 80 порт через >сквид обрабатываете?. >откуда такая уверенность что это не настройка фаерфола ? Все очень просто если я хожу в инет напрямую через 80 порт (squid отключон) то все нормально. Если через squid то работает как описано выше
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	7. "squid.conf"
	Сообщение от reader (ok) on 10-Июн-08, 16:19
	>[оверквотинг удален] >>> >>>Параллельно буду благодарен за оставленную ссылочку http://adminbook.ru >> >>дАА а вы что входящие запросы с интернета на 80 порт через >>сквид обрабатываете?. >>откуда такая уверенность что это не настройка фаерфола ? > >Все очень просто если я хожу в инет напрямую через 80 порт >(squid отключон) то все нормально. Если через squid то работает как >описано выше а если после http_access allow ofis добавить http_access allow all что в http_port прописано
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	9. "squid.conf"
	Сообщение от Максим (??) on 10-Июн-08, 16:52
	>[оверквотинг удален] >>Все очень просто если я хожу в инет напрямую через 80 порт >>(squid отключон) то все нормально. Если через squid то работает как >>описано выше > >а если после >http_access allow ofis >добавить >http_access allow all > >что в http_port прописано Игрался уже и так хрен все работает точно так же как и без http_access allow all http_port 3128 trensparent
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

2. "squid.conf"

Сообщение от reader (ok) on 10-Июн-08, 16:00

>[оверквотинг удален] >http_access allow Pupkin SitesWarez >http_access allow ofis >http_access allow manager localhost >http_access deny !Safe_ports >http_access deny CONNECT !SSL_ports > >В чем глюк. Вроде все правильно >С уважением > >Параллельно буду благодарен за оставленную ссылочку http://adminbook.ru А squid внешний адрес слушает? Из конфига это не видно. NAT на внешнем интерфейсе работает? Если да, то возможно пакетики на squid приходят не с адресами ofis src 10.0.0.0/255.255.255.0 и соответственно с такими правилами squid их не примет. Так же не плохо было бы версию squid указать.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	4. "squid.conf"
	Сообщение от wertik (ok) on 10-Июн-08, 16:02
	>[оверквотинг удален] >>В чем глюк. Вроде все правильно >>С уважением >> >>Параллельно буду благодарен за оставленную ссылочку http://adminbook.ru > >А squid внешний адрес слушает? Из конфига это не видно. >NAT на внешнем интерфейсе работает? Если да, то возможно пакетики на squid >приходят не с адресами ofis src 10.0.0.0/255.255.255.0 и соответственно с такими >правилами squid их не примет. >Так же не плохо было бы версию squid указать. Для начала я думаю стоило бы пояснить внимательнее. Если запросы из локальной сети идут на сайт на внешний ip то нужно использовать dnat. типо -A PREROUTING -d внешний ip сайта -p tcp -m tcp --dport 80 -j DNAT --to-destination local ip:80
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	5. "squid.conf"
	Сообщение от reader (ok) on 10-Июн-08, 16:14
	>[оверквотинг удален] >>NAT на внешнем интерфейсе работает? Если да, то возможно пакетики на squid >>приходят не с адресами ofis src 10.0.0.0/255.255.255.0 и соответственно с такими >>правилами squid их не примет. >>Так же не плохо было бы версию squid указать. > >Для начала я думаю стоило бы пояснить внимательнее. Если запросы из локальной >сети идут на сайт на внешний ip то нужно использовать dnat. > >типо -A PREROUTING -d внешний ip сайта -p tcp -m tcp --dport >80 -j DNAT --to-destination local ip:80 :) этого мало. Так сайт с локального ip ответит клиенту на прямую, если он будет в одной подсети с клиентом.
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	10. "squid.conf"
	Сообщение от TopperBG (ok) on 11-Июн-08, 09:50
	>[оверквотинг удален] >>NAT на внешнем интерфейсе работает? Если да, то возможно пакетики на squid >>приходят не с адресами ofis src 10.0.0.0/255.255.255.0 и соответственно с такими >>правилами squid их не примет. >>Так же не плохо было бы версию squid указать. > >Для начала я думаю стоило бы пояснить внимательнее. Если запросы из локальной >сети идут на сайт на внешний ip то нужно использовать dnat. > >типо -A PREROUTING -d внешний ip сайта -p tcp -m tcp --dport >80 -j DNAT --to-destination local ip:80 $IPTABLES -t nat -A PREROUTING -i INTERLAN_IF -p tcp -m multiport --dport 80,88,443 -j REDIRECT --to-port squid_ip:3128
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	6. "squid.conf"
	Сообщение от Максим (??) on 10-Июн-08, 16:15
	>[оверквотинг удален] >>В чем глюк. Вроде все правильно >>С уважением >> >>Параллельно буду благодарен за оставленную ссылочку http://adminbook.ru > >А squid внешний адрес слушает? Из конфига это не видно. >NAT на внешнем интерфейсе работает? Если да, то возможно пакетики на squid >приходят не с адресами ofis src 10.0.0.0/255.255.255.0 и соответственно с такими >правилами squid их не примет. >Так же не плохо было бы версию squid указать. squid 2.6 Я же говорю не работает только обращение на мой web сервер. Все остальное работает без проблем.
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	8. "squid.conf"
	Сообщение от reader (ok) on 10-Июн-08, 16:27
	>[оверквотинг удален] >> >>А squid внешний адрес слушает? Из конфига это не видно. >>NAT на внешнем интерфейсе работает? Если да, то возможно пакетики на squid >>приходят не с адресами ofis src 10.0.0.0/255.255.255.0 и соответственно с такими >>правилами squid их не примет. >>Так же не плохо было бы версию squid указать. > >squid 2.6 >Я же говорю не работает только обращение на мой web сервер. Все >остальное работает без проблем. Правильно я понял, что при прописывании в браузере внешнего адреса, как адрес прокси, на opennet.ru вы попадаете, а на свой сайт - нет?
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить	Индекс форумов | Темы | Пред. тема | След. тема
Оцените тред (1=ужас, 5=супер)? [ 1 | 2 | 3 | 4 | 5 ] [Рекомендовать для помещения в FAQ]