|
Внимание! Теперь для входа на форум необходимо вводить единый пароль регистрации сервисов sibnet.ru!
Здравствуйте, гость ( Вход | Регистрация )
Сейчас обсуждают
 
| |
|
|
Настройка Squid3 под Debian, ПК не хочет подключаться к прокси-серверу |
|
|
makadjamba |
6.5.2016, 14:28
|
Болтун :)
Группа: Модераторы
Сообщений: 8 723
Регистрация: 15.7.2010
Из: Усолье-Сибирское
Пользователь №: 281 112
Репутация: 335
|
День добрый комрады. Сижу копаюсь в настройке сквид под линукс. Опыт владения линуксом около недели, совсем новичок. Пытаюсь настроить проксю. Делал по этому мануалу. Вроде бы сделал что нужно, проверил на наличие ошибок, не ругается... но возникла проблемка. Мой пк (IP 192.168.1.58) не хочет подключаться к прокси (ip 192.168.1.85). Пробовал пропинговать прокси с пк, обмен пакетами удачный. Даже попробовал пропинговать яндекс, тоже удачно. Но прокси в интернет никак не пускает. Потом решил создать порт индивидуальный, та же фигня. В логах access.log , кстати, пустота. Будто никто и не стучится. Прикладываю конфигурацию под спойлер, может кто опытный ошибки увидит? Я совсем новичок, поэтому можно не жалеть. » Спойлер (нажмите, чтобы прочесть) « Код # заккометировал тут, потому что сквид3 почему то очень не любит эти строки #acl manager proto cache_object #acl localhost src 127.0.0.1/32 ::1 #acl to_localhost dst 127.0.0.0/8 0.0.0.0/32 ::1 # Основные ресурсы нашей офисной сети acl classbank.ru src 192.168.1.0/24 # наша сеть acl users src "/etc/allow.txt" # Перечень IP-адресов пользователей, которым разрешён Интернет в принципе
acl me src 192.168.1.58 # это я уже пытался прямо в конфиге IP ПК прописать http_access allow me
acl SSL_ports port 443 acl Safe_ports port 80 # http acl Safe_ports port 1025-65535 #unregistered ports acl Safe_ports port 8098 # это я уже пытался придумать свой порт для ПК acl CONNECT method CONNECT
http_access allow manager localhost http_access deny manager http_access deny !Safe_ports http_access deny CONNECT !SSL_ports # Остальное запрещаем для всех http_access deny all icp_access deny all htcp_access deny all
# transparent (прозрачный) меняем на intercept делая прокси прозрачным для пользователя http_port 3128 intercept
#список слов, правил, которые объект будет обрабатывать непосредственно этим кэшом. # этот параметр используем, чтобы не запрашивать соседние кэши для определенных объектов. hierarchy_stoplist cgi-bin ?
# no_cache оъвляет объекты которые не должны кэшироваться acl QUERY urlpath_regex cgi-bin \? no_cache deny QUERY no_cache deny directurls
# эмейл адрес админа локального кэша или того, кт будет получать уведомления, если кэш умрет, # так же это адрес на который будет ссылка на страницах ошибках squid3 #cache_mgr admin@office.by cache_mem 256 MB
# остальные комментарии в файле ReadMe.txt half_closed_clients on
maximum_object_size_in_memory 512 KB maximum_object_size 8192 KB
access_log /var/log/squid3/access.log squid cache_log /var/log/squid3/cache.log cache_store_log none
# Начиная с версии 3.1 эта опция устарела и ротирует только cache.log logfile_rotate 31
pid_filename /var/run/squid3.pid
# Сюда переехала ротация логов debug_options ALL,1 rotate=31
refresh_pattern ^ftp: 1440 20% 10080 refresh_pattern ^gopher: 1440 0% 1440 refresh_pattern -i (/cgi-bin/|\?) 0 0% 0 refresh_pattern . 0 20% 4320
quick_abort_min 16 KB quick_abort_max 16 KB quick_abort_pct 95
negative_ttl 0 seconds positive_dns_ttl 6 hours negative_dns_ttl 1 minutes
# Обезличим нашу локальную сеть, отключив передачу во внешний мир информации о том, что организация сидит за прокси. forwarded_for off
# Исключим передачу некоторых видов заголовков request_header_access From deny all #request_header_access Referer deny all request_header_access Server deny all request_header_access User-Agent deny all request_header_access WWW-Authenticate deny all request_header_access Link deny all
cache_effective_user proxy cache_effective_group proxy
# Наш хост classbank.ru visible_hostname classbank.ru
icp_port 3130
error_directory /usr/share/squid3/errors/Russian-1251
deny_info ERR_ACCESS_DENIED_BANNERS banner banner_reg deny_info ERR_ACCESS_DENIED_DATING dating dating_reg deny_info ERR_ACCESS_DENIED_REDIRECTOR redirector redirector_reg deny_info ERR_ACCESS_DENIED_PORNO porno porno_reg deny_info ERR_ACCESS_DENIED_SOCIALNET socialnet socialnet_reg deny_info ERR_ACCESS_DENIED_SPYWARE spyware spyware_reg deny_info ERR_ACCESS_DENIED manual manual_reg
always_direct allow directurls
hosts_file /etc/hosts
coredump_dir /var/spool/squid3
Сообщение отредактировал makadjamba - 6.5.2016, 14:29
|
|
|
|
QzrTime |
6.5.2016, 16:56
|
Молчун
Группа: Пользователи
Сообщений: 50
Регистрация: 18.3.2016
Пользователь №: 542 835
Репутация: 0
|
Цитата(makadjamba @ 6.5.2016, 13:28) День добрый комрады. Сижу копаюсь в настройке сквид под линукс. Опыт владения линуксом около недели, совсем новичок. Пытаюсь настроить проксю. Делал по этому мануалу. Вроде бы сделал что нужно, проверил на наличие ошибок, не ругается... но возникла проблемка. Мой пк (IP 192.168.1.58) не хочет подключаться к прокси (ip 192.168.1.85). Пробовал пропинговать прокси с пк, обмен пакетами удачный. Даже попробовал пропинговать яндекс, тоже удачно. Но прокси в интернет никак не пускает. Потом решил создать порт индивидуальный, та же фигня. В логах access.log , кстати, пустота. Будто никто и не стучится. Прикладываю конфигурацию под спойлер, может кто опытный ошибки увидит? Я совсем новичок, поэтому можно не жалеть. » Спойлер (нажмите, чтобы прочесть) « Код # заккометировал тут, потому что сквид3 почему то очень не любит эти строки #acl manager proto cache_object #acl localhost src 127.0.0.1/32 ::1 #acl to_localhost dst 127.0.0.0/8 0.0.0.0/32 ::1 # Основные ресурсы нашей офисной сети acl classbank.ru src 192.168.1.0/24 # наша сеть acl users src "/etc/allow.txt" # Перечень IP-адресов пользователей, которым разрешён Интернет в принципе
acl me src 192.168.1.58 # это я уже пытался прямо в конфиге IP ПК прописать http_access allow me
acl SSL_ports port 443 acl Safe_ports port 80 # http acl Safe_ports port 1025-65535 #unregistered ports acl Safe_ports port 8098 # это я уже пытался придумать свой порт для ПК acl CONNECT method CONNECT
http_access allow manager localhost http_access deny manager http_access deny !Safe_ports http_access deny CONNECT !SSL_ports # Остальное запрещаем для всех http_access deny all icp_access deny all htcp_access deny all
# transparent (прозрачный) меняем на intercept делая прокси прозрачным для пользователя http_port 3128 intercept
#список слов, правил, которые объект будет обрабатывать непосредственно этим кэшом. # этот параметр используем, чтобы не запрашивать соседние кэши для определенных объектов. hierarchy_stoplist cgi-bin ?
# no_cache оъвляет объекты которые не должны кэшироваться acl QUERY urlpath_regex cgi-bin \? no_cache deny QUERY no_cache deny directurls
# эмейл адрес админа локального кэша или того, кт будет получать уведомления, если кэш умрет, # так же это адрес на который будет ссылка на страницах ошибках squid3 #cache_mgr admin@office.by cache_mem 256 MB
# остальные комментарии в файле ReadMe.txt half_closed_clients on
maximum_object_size_in_memory 512 KB maximum_object_size 8192 KB
access_log /var/log/squid3/access.log squid cache_log /var/log/squid3/cache.log cache_store_log none
# Начиная с версии 3.1 эта опция устарела и ротирует только cache.log logfile_rotate 31
pid_filename /var/run/squid3.pid
# Сюда переехала ротация логов debug_options ALL,1 rotate=31
refresh_pattern ^ftp: 1440 20% 10080 refresh_pattern ^gopher: 1440 0% 1440 refresh_pattern -i (/cgi-bin/|\?) 0 0% 0 refresh_pattern . 0 20% 4320
quick_abort_min 16 KB quick_abort_max 16 KB quick_abort_pct 95
negative_ttl 0 seconds positive_dns_ttl 6 hours negative_dns_ttl 1 minutes
# Обезличим нашу локальную сеть, отключив передачу во внешний мир информации о том, что организация сидит за прокси. forwarded_for off
# Исключим передачу некоторых видов заголовков request_header_access From deny all #request_header_access Referer deny all request_header_access Server deny all request_header_access User-Agent deny all request_header_access WWW-Authenticate deny all request_header_access Link deny all
cache_effective_user proxy cache_effective_group proxy
# Наш хост classbank.ru visible_hostname classbank.ru
icp_port 3130
error_directory /usr/share/squid3/errors/Russian-1251
deny_info ERR_ACCESS_DENIED_BANNERS banner banner_reg deny_info ERR_ACCESS_DENIED_DATING dating dating_reg deny_info ERR_ACCESS_DENIED_REDIRECTOR redirector redirector_reg deny_info ERR_ACCESS_DENIED_PORNO porno porno_reg deny_info ERR_ACCESS_DENIED_SOCIALNET socialnet socialnet_reg deny_info ERR_ACCESS_DENIED_SPYWARE spyware spyware_reg deny_info ERR_ACCESS_DENIED manual manual_reg
always_direct allow directurls
hosts_file /etc/hosts
coredump_dir /var/spool/squid3
acl users src "/etc/allow.txt" # Перечень IP-адресов пользователей, которым разрешён Интернет в - в этом файле что-то есть ? Порт открыт на сервере? Проверяли ? Настройки в браузере сделали ? Сообщение отредактировал QzrTime - 6.5.2016, 17:01
|
|
|
|
makadjamba |
6.5.2016, 17:07
|
Болтун :)
Группа: Модераторы
Сообщений: 8 723
Регистрация: 15.7.2010
Из: Усолье-Сибирское
Пользователь №: 281 112
Репутация: 335
|
Цитата(QzrTime @ 6.5.2016, 15:56) acl users src "/etc/allow.txt" # Перечень IP-адресов пользователей, которым разрешён Интернет в - в этом файле что-то есть ?
Да,я сначала туда прописал ip в виде 192.168.1.58 Настройки сделал, да. Цитата(QzrTime @ 6.5.2016, 15:56) Порт открыт на сервере? Проверяли ?
Правильно ли я понимаю, что этот кусочек конфигурации отвечает за открытые порты? Цитата acl SSL_ports port 443 acl Safe_ports port 80 # http acl Safe_ports port 1025-65535 #unregistered ports acl Safe_ports port 8098 # это я уже пытался придумать свой порт для ПК acl CONNECT method CONNECT
Если я правильно понял, то даже вписал отдельный порт, отмеченный комментарием. Всё равно не пускает туда. попробовал проверить, включен ли сам сквид. Пишу ps ax | grep squid ниже строки 7835 ? Ss 0:00 /usr/sbin/squid3 -YC -f /etc/squid3/squid.conf 7842 ? S 0:07 (squid-1) -YC -f /etc/squid3/squid.conf 7861 tty S+ 0:00 grep squid Сообщение отредактировал makadjamba - 6.5.2016, 17:09
|
|
|
|
QzrTime |
6.5.2016, 17:12
|
Молчун
Группа: Пользователи
Сообщений: 50
Регистрация: 18.3.2016
Пользователь №: 542 835
Репутация: 0
|
Цитата(makadjamba @ 6.5.2016, 16:07)
Если я правильно понял, то даже вписал отдельный порт, отмеченный комментарием. Всё равно не пускает туда.
http_port 3128 intercept - этот порт доступен ? у вас прокси работает на этом порту
|
|
|
|
makadjamba |
6.5.2016, 17:16
|
Болтун :)
Группа: Модераторы
Сообщений: 8 723
Регистрация: 15.7.2010
Из: Усолье-Сибирское
Пользователь №: 281 112
Репутация: 335
|
Цитата(QzrTime @ 6.5.2016, 16:12) http_port 3128 intercept - этот порт доступен ? у вас прокси работает на этом порту
При указании этого порта, браузер хром пишет Страница www.yandex.ru не работает Сайт www.yandex.ru не отправил данных. ERR_EMPTY_RESPONSE При указании других портов, браузер ругается на недоступность прокси-сервера
|
|
|
|
QzrTime |
6.5.2016, 17:21
|
Молчун
Группа: Пользователи
Сообщений: 50
Регистрация: 18.3.2016
Пользователь №: 542 835
Репутация: 0
|
Цитата(makadjamba @ 6.5.2016, 16:16) При указании этого порта, браузер хром пишет Страница www.yandex.ru не работает
Сайт www.yandex.ru не отправил данных. ERR_EMPTY_RESPONSE
При указании других портов, браузер ругается на недоступность прокси-сервера
А в логах у сквида что ? Пробовал другой браузер ?
|
|
|
|
makadjamba |
6.5.2016, 17:28
|
Болтун :)
Группа: Модераторы
Сообщений: 8 723
Регистрация: 15.7.2010
Из: Усолье-Сибирское
Пользователь №: 281 112
Репутация: 335
|
Цитата(QzrTime @ 6.5.2016, 16:21) А в логах у сквида что ? Пробовал другой браузер ?
Логи access.log вообще пусты - 0 размер, единственное что меняется в размере, это cache.log. Сейчас посмотрел его, вижу много много всего... последние строки. 18:24:04 kid1:| ERROR: NF getsockopt (ORIGINAL_DST) failed on local=192.168.1.85:3128 remote=192.168.1.58:54055 FD 12 flags=33: (92) protocol not value это кстати IP компа, с которого я пытаюсь постучать в прокси. Стало быть мне удалось? Сообщение отредактировал makadjamba - 6.5.2016, 17:29
|
|
|
|
QzrTime |
6.5.2016, 17:54
|
Молчун
Группа: Пользователи
Сообщений: 50
Регистрация: 18.3.2016
Пользователь №: 542 835
Репутация: 0
|
Цитата(makadjamba @ 6.5.2016, 16:28) Логи access.log вообще пусты - 0 размер, единственное что меняется в размере, это cache.log. Сейчас посмотрел его, вижу много много всего... последние строки. 18:24:04 kid1:| ERROR: NF getsockopt (ORIGINAL_DST) failed on local=192.168.1.85:3128 remote=192.168.1.58:54055 FD 12 flags=33: (92) protocol not value это кстати IP компа, с которого я пытаюсь постучать в прокси. Стало быть мне удалось?
У тебя проблема с https протоколом. Попробуй зайти на сайты которые не используют https протокол.
|
|
|
|
makadjamba |
6.5.2016, 18:00
|
Болтун :)
Группа: Модераторы
Сообщений: 8 723
Регистрация: 15.7.2010
Из: Усолье-Сибирское
Пользователь №: 281 112
Репутация: 335
|
Цитата(QzrTime @ 6.5.2016, 16:54) У тебя проблема с https протоколом. Попробуй зайти на сайты которые не используют https протокол.
Хм. Попробовал несколько других, всё равно не пускает в интернет. Это я пробовал без https протокола, конечно же. Ошибка: Сайт не отправил данных. Сообщение отредактировал makadjamba - 6.5.2016, 18:01
|
|
|
|
QzrTime |
6.5.2016, 18:19
|
Молчун
Группа: Пользователи
Сообщений: 50
Регистрация: 18.3.2016
Пользователь №: 542 835
Репутация: 0
|
Цитата(makadjamba @ 6.5.2016, 17:00) Хм. Попробовал несколько других, всё равно не пускает в интернет. Это я пробовал без https протокола, конечно же. Ошибка: Сайт не отправил данных.
попробуйте другой вариант Squid + SAMS
|
|
|
|
makadjamba |
6.5.2016, 18:21
|
Болтун :)
Группа: Модераторы
Сообщений: 8 723
Регистрация: 15.7.2010
Из: Усолье-Сибирское
Пользователь №: 281 112
Репутация: 335
|
Цитата(QzrTime @ 6.5.2016, 17:19) попробуйте другой вариант Squid + SAMS
Мне разобраться нужно, узнать в чем проблема. С новым лучше поэтапно разбираться. Но всё же спасибо, я теперь понял, что мой комп хотя бы стучится в прокси. До этого я думал, что вообще беда какая то. Сообщение отредактировал makadjamba - 6.5.2016, 18:22
|
|
|
|
QzrTime |
6.5.2016, 18:42
|
Молчун
Группа: Пользователи
Сообщений: 50
Регистрация: 18.3.2016
Пользователь №: 542 835
Репутация: 0
|
Цитата(makadjamba @ 6.5.2016, 17:21) Мне разобраться нужно, узнать в чем проблема. С новым лучше поэтапно разбираться. Но всё же спасибо, я теперь понял, что мой комп хотя бы стучится в прокси. До этого я думал, что вообще беда какая то.
Я вам и предлагаю начать с нуля и облегчить задачу для новичка. Используйте визуальную оболочку SAMS для сервера сквид на русском языке.
» Спасибо сказали: «
|
|
|
|
makadjamba |
6.5.2016, 23:38
|
Болтун :)
Группа: Модераторы
Сообщений: 8 723
Регистрация: 15.7.2010
Из: Усолье-Сибирское
Пользователь №: 281 112
Репутация: 335
|
Цитата(Jek @ 6.5.2016, 19:20) Прозрачный прокси нужен только в том случае, если железка со сквидом указана как основной шлюз у тех машин, которые будут этим прокси пользоваться (соответственно, на ней должно быть две сетевухи и настроен NAT). Ошибка из cache.log, которую ты показал, намекает на то, что железка со сквидом не настроена как шлюз.
Также неплохо было бы посмотреть iptables -L - возможно, там есть какие-то запреты.
Ааа, ну это кое что проясняет. Ибо шлюз стоит отдельно. В мануале по которому я делал конфигурацию, указано, что конечно сквид лучше ставить на шлюз, но можно и на отдельной железке. И iptables я ещё не настроил, как я понимаю, это отдельный скрипт и очень важная штука? Я вообще подумал, что с помощью iptables можно будет перенаправить трафик через проксю.
|
|
|
|
Jek |
7.5.2016, 0:12
|
Группа: Супермодераторы
Сообщений: 16 246
Регистрация: 27.9.2007
Из: N44.785780 E37.385650 WEB: https://irc.k-42.ru IRC: irc.sibnet.ru #iclub
Пользователь №: 6 588
Репутация: 1856
|
Цитата(makadjamba @ 6.5.2016, 23:38) И iptables я ещё не настроил, как я понимаю, это отдельный скрипт и очень важная штука? Это фаервол. Он может быть настроен так, что не позволит принимать никакие входящие соединения. Хотя у тебя скорее всего беда из-за прозрачного прокси, но взглянуть на правила не мешает. Цитата(makadjamba @ 6.5.2016, 23:38) Я вообще подумал, что с помощью iptables можно будет перенаправить трафик через проксю. Можно, конечно, но только в том случае, когда сквид настроен на шлюзе. В этом случае с помощью iptables весь трафик по 80 порту заворачивается на порт, на котором работает squid. Получится прозрачный прокси - на других машинах в сети не нужно ничего в браузерах прописывать.
» Спасибо сказали: «
|
|
|
|
makadjamba |
7.5.2016, 10:59
|
Болтун :)
Группа: Модераторы
Сообщений: 8 723
Регистрация: 15.7.2010
Из: Усолье-Сибирское
Пользователь №: 281 112
Репутация: 335
|
Цитата(Jek @ 6.5.2016, 23:12) Это фаервол. Он может быть настроен так, что не позволит принимать никакие входящие соединения. Хотя у тебя скорее всего беда из-за прозрачного прокси, но взглянуть на правила не мешает.
Понял, как приду на работу, первым делом полезу посмотрю это дело. Цитата(Jek @ 6.5.2016, 23:12) Можно, конечно, но только в том случае, когда сквид настроен на шлюзе. В этом случае с помощью iptables весь трафик по 80 порту заворачивается на порт, на котором работает squid. Получится прозрачный прокси - на других машинах в сети не нужно ничего в браузерах прописывать.
Раз так, значит мне придется изучать FreeBSD) на шлюзе стоит она и давно, а сейчас её вообще никто не знает. Сейчас к компу доступа нет, так что продолжу ковыряние со вторника, спасибо за отклик!
|
|
|
|
makadjamba |
12.5.2016, 11:59
|
Болтун :)
Группа: Модераторы
Сообщений: 8 723
Регистрация: 15.7.2010
Из: Усолье-Сибирское
Пользователь №: 281 112
Репутация: 335
|
Есть новый вопрос. Иногда сайты открываются не с первого раза. В браузере открываю параллельно несколько ссылок, с небольшой вероятностью может выдать ошибку. В FF например Цитата Прокси-сервер отказывается принимать соединения
Firefox настроен на использование прокси-сервера, который отказывает в соединении.
Проверьте настройки прокси-сервера и убедитесь, что они верны. Свяжитесь с вашим системным администратором и убедитесь, что прокси-сервер работает.
После f5 (обновление) они подгружаются в нормальном виде. В чем может быть проблемка? Последние строки с access.log Код 1463028722.302 120144 192.168.1.58 TCP_MISS/200 434 CONNECT yandex.ru:443 - HIER_DIRECT/5.255.255.5 - 1463028862.445 5101 192.168.1.58 TCP_MISS/200 824 GET http://yandex.ru/clck/jsredir? - HIER_DIRECT/5.255.255.55 text/html 1463028862.750 0 192.168.1.58 TCP_DENIED/403 3672 CONNECT vk.com:443 - HIER_NONE/- text/html 1463028862.785 112 192.168.1.58 TCP_MISS/302 655 GET http://yandex.ru/favicon.ico - HIER_DIRECT/5.255.255.55 text/html 1463028879.777 0 192.168.1.58 TCP_DENIED/403 3672 CONNECT vk.com:443 - HIER_NONE/- text/html 1463028880.568 0 192.168.1.58 TCP_DENIED/403 3672 CONNECT vk.com:443 - HIER_NONE/- text/html 1463028881.140 0 192.168.1.58 TCP_DENIED/403 3672 CONNECT vk.com:443 - HIER_NONE/- text/html 1463028881.407 0 192.168.1.58 TCP_DENIED/403 3672 CONNECT vk.com:443 - HIER_NONE/- text/html 1463028884.962 102 192.168.1.58 TCP_MISS/200 828 GET http://yandex.ru/clck/jsredir? - HIER_DIRECT/5.255.255.5 text/html 1463028885.148 100 192.168.1.58 TCP_MISS/302 655 GET http://yandex.ru/favicon.ico - HIER_DIRECT/5.255.255.5 text/html 1463028885.921 76 192.168.1.58 TCP_MISS/200 818 GET http://yandex.ru/clck/jsredir? - HIER_DIRECT/5.255.255.5 text/html 1463028886.130 108 192.168.1.58 TCP_MISS/302 655 GET http://yandex.ru/favicon.ico - HIER_DIRECT/5.255.255.5 text/html 1463028888.782 78 192.168.1.58 TCP_MISS/200 830 GET http://yandex.ru/clck/jsredir? - HIER_DIRECT/5.255.255.5 text/html 1463028889.035 87 192.168.1.58 TCP_MISS/302 655 GET http://yandex.ru/favicon.ico - HIER_DIRECT/5.255.255.5 text/html
ПРОБЛЕМУ РЕШИЛ!!!Сообщение отредактировал makadjamba - 12.5.2016, 15:17
|
|
|
|
|
|
1 чел. просматривают этот форум (гостей: 1, скрытых пользователей: 0)
Пользователей: 0
|