не работает squid или правильная настройка

Обсуждение настройки и работы сервисов, резервирования, сетевых настроек и вопросов безопасности ОС для молодых и начинающих системных администраторов.

Модератор: SLEDopit

nicopl
Сообщения: 6

не работает squid или правильная настройка

Сообщение nicopl »

Добрый день!
Прошу не судить строго, с Linux системами ранее дело не имел.
Есть Сервер на Debian 6, он раздаёт интернет на предприятии.
Директор поставил задачу - ограничить определенные машинки на вход в соц.сети.
Погуглив, понял, что надо через squid ограничивать.
на сервер захожу через Webmin. Там эта служба есть и в статусе, она отображается
как активная. Прочитав несколько мануалов, сделал настройку, как там указывалось,
но клиент как ходил, так и ходит. Третью неделю мозг кипит...
Help :wacko:
кусок конфига squid.conf
Spoiler

acl localnet src 192.168.0.0/32 # RFC1918 possible internal network
acl url_filtred src 192.168.0.79
acl blacklist url_regex -i "/etc/squid/blacklist"
http_access deny CONNECT !SSL_ports
http_access deny blacklist url_filtred
http_access allow localnet
http_access allow localhost
Спасибо сказали:

Аватара пользователя
Hephaestus
Сообщения: 3642
Статус: Многоуважаемый джинн...
ОС: Slackware64-14.1/14.2

Re: не работает squid или правильная настройка

Сообщение Hephaestus »

nicopl писал(а):
01.09.2014 14:54
Погуглив, понял, что надо через squid ограничивать.
Это не единственный вариант, хотя, наверно, самый очевидный.
Я в свое время раздачу интернета делал с помощью iptables, но это была отдельная машина в локалке, работающая как шлюз. Локалка была виндовая.

Кстати
nicopl писал(а):
01.09.2014 14:54
Есть Сервер на Debian 6, он раздаёт интернет на предприятии.
он это раздаёт каким образом? Маршрутизация настроена? Примерно, как я описал выше?
Тогда там же можно и ограничения настроить.
Или squid уже задействован и именно он интернет раздаёт? Поясните.

nicopl писал(а):
01.09.2014 14:54
кусок конфига squid.conf
Давайте целиком.
И файл /etc/squid/blacklist.

Если squid у Вас до этого в сети не было и вообще дело с ним имеете впервые, тогда нужно прежде всего добиться минимальной рабочей конфигурации. Чтобы трафик ходил через него. И только потом настраивать ограничения.
Сейчас, судя по всему, у Вас трафик ходит в обход squid.
И кстати, настройки iptables тоже в студию.
Пускай скрипят мои конечности.
Я - повелитель бесконечности...
Мой блог
Спасибо сказали:

nicopl
Сообщения: 6

Re: не работает squid или правильная настройка

Сообщение nicopl »

Hephaestus писал(а):
01.09.2014 15:34
nicopl писал(а):
01.09.2014 14:54
Погуглив, понял, что надо через squid ограничивать.
Это не единственный вариант, хотя, наверно, самый очевидный.
Я в свое время раздачу интернета делал с помощью iptables, но это была отдельная машина в локалке, работающая как шлюз. Локалка была виндовая.

Кстати
nicopl писал(а):
01.09.2014 14:54
Есть Сервер на Debian 6, он раздаёт интернет на предприятии.
он это раздаёт каким образом? Маршрутизация настроена? Примерно, как я описал выше?
Тогда там же можно и ограничения настроить.
Или squid уже задействован и именно он интернет раздаёт? Поясните.

nicopl писал(а):
01.09.2014 14:54
кусок конфига squid.conf
Давайте целиком.
И файл /etc/squid/blacklist.

Если squid у Вас до этого в сети не было и вообще дело с ним имеете впервые, тогда нужно прежде всего добиться минимальной рабочей конфигурации. Чтобы трафик ходил через него. И только потом настраивать ограничения.
Сейчас, судя по всему, у Вас трафик ходит в обход squid.
И кстати, настройки iptables тоже в студию.

Да сервер как шлюз. сквид раньше не был задействован, прошлый одмин ничего про него не обмолвился.


Hephaestus писал(а):
01.09.2014 15:34
nicopl писал(а):
01.09.2014 14:54
Погуглив, понял, что надо через squid ограничивать.
Это не единственный вариант, хотя, наверно, самый очевидный.
Я в свое время раздачу интернета делал с помощью iptables, но это была отдельная машина в локалке, работающая как шлюз. Локалка была виндовая.

Кстати
nicopl писал(а):
01.09.2014 14:54
Есть Сервер на Debian 6, он раздаёт интернет на предприятии.
он это раздаёт каким образом? Маршрутизация настроена? Примерно, как я описал выше?
Тогда там же можно и ограничения настроить.
Или squid уже задействован и именно он интернет раздаёт? Поясните.

nicopl писал(а):
01.09.2014 14:54
кусок конфига squid.conf
Давайте целиком.
И файл /etc/squid/blacklist.

Если squid у Вас до этого в сети не было и вообще дело с ним имеете впервые, тогда нужно прежде всего добиться минимальной рабочей конфигурации. Чтобы трафик ходил через него. И только потом настраивать ограничения.
Сейчас, судя по всему, у Вас трафик ходит в обход squid.
И кстати, настройки iptables тоже в студию.

Да сервер как шлюз. сквид раньше не был задействован, прошлый одмин ничего про него не обмолвился.
У вас нет необходимых прав для просмотра вложений в этом сообщении.
Спасибо сказали:

Аватара пользователя
Hephaestus
Сообщения: 3642
Статус: Многоуважаемый джинн...
ОС: Slackware64-14.1/14.2

Re: не работает squid или правильная настройка

Сообщение Hephaestus »

nicopl писал(а):
01.09.2014 15:53
Да сервер как шлюз. сквид раньше не был задействован, прошлый одмин ничего про него не обмолвился.
Если squid раньше не был, можно попробовать обойтись без него.
Если интернет у Вас раздаётся с помощью iptables, то нужно будет добавить правила, запрещающие доступ куда надо. Тогда squid не нужен.
Если же использовать squid, то нужно будет опять-таки корректировать правила iptables, чтобы трафик заворачивался на squid и дальше шёл через него.
Так или иначе, нужны настройки iptables.

Если же интернет сейчас раздаётся каким-то другим способом (каким?), то нужно исходить из этого и опять-таки настройки в студию.
Пускай скрипят мои конечности.
Я - повелитель бесконечности...
Мой блог
Спасибо сказали:

nicopl
Сообщения: 6

Re: не работает squid или правильная настройка

Сообщение nicopl »

Извините за дубли :blush:

Hephaestus писал(а):
01.09.2014 16:00
nicopl писал(а):
01.09.2014 15:53
Да сервер как шлюз. сквид раньше не был задействован, прошлый одмин ничего про него не обмолвился.
Если squid раньше не был, можно попробовать обойтись без него.
Если интернет у Вас раздаётся с помощью iptables, то нужно будет добавить правила, запрещающие доступ куда надо. Тогда squid не нужен.
Если же использовать squid, то нужно будет опять-таки корректировать правила iptables, чтобы трафик заворачивался на squid и дальше шёл через него.
Так или иначе, нужны настройки iptables.

Если же интернет сейчас раздаётся каким-то другим способом (каким?), то нужно исходить из этого и опять-таки настройки в студию.

настройки iptables
У вас нет необходимых прав для просмотра вложений в этом сообщении.
Спасибо сказали:

Аватара пользователя
Bizdelnick
Модератор
Сообщения: 18089
Статус: grammatikführer
ОС: Debian GNU/Linux

Re: не работает squid или правильная настройка

Сообщение Bizdelnick »

Код: Выделить всё

-A PREROUTING -p tcp -m tcp -s 192.168.0.55 --dport 80 -j REDIRECT --to-ports 3128
На пркси направляете запросы только с 192.168.0.55, но при этом хотите фильтровать запросы с 192.168.0.79.
Пишите правильно:
в консоли
вку́пе (с чем-либо)
в общем
вообще
в течение (часа)
новичок
нюанс
по умолчанию
приемлемо
проблема
пробовать
трафик
Спасибо сказали:

nicopl
Сообщения: 6

Re: не работает squid или правильная настройка

Сообщение nicopl »

Подскажите пожалуйста, как мне тогда правильно перенаправить все соединения (из диапазона 192.168.0.1-192.168.0.253)
на порт 3128 (SQUID) ? :console:
Спасибо сказали:

Sleeping Daemon
Сообщения: 1450

Re: не работает squid или правильная настройка

Сообщение Sleeping Daemon »

nicopl писал(а):
02.09.2014 09:24
Подскажите пожалуйста, как мне тогда правильно перенаправить все соединения (из диапазона 192.168.0.1-192.168.0.253)
на порт 3128 (SQUID) ? :console:


-s 192.168.0.0/24
Если нужно одельно -s 192.168.0.254 - то правило отдельное до этого правила.
Спасибо сказали:

Аватара пользователя
Bizdelnick
Модератор
Сообщения: 18089
Статус: grammatikführer
ОС: Debian GNU/Linux

Re: не работает squid или правильная настройка

Сообщение Bizdelnick »

Именно так, а не для всей подсети 192.168.0.0/24? Тогда -m iprange --src-range 192.168.0.1-192.168.0.253.
Пишите правильно:
в консоли
вку́пе (с чем-либо)
в общем
вообще
в течение (часа)
новичок
нюанс
по умолчанию
приемлемо
проблема
пробовать
трафик
Спасибо сказали:

nicopl
Сообщения: 6

Re: не работает squid или правильная настройка

Сообщение nicopl »

Bizdelnick писал(а):
02.09.2014 10:34
Именно так, а не для всей подсети 192.168.0.0/24? Тогда -m iprange --src-range 192.168.0.1-192.168.0.253.

При попытке в iptables прописать строку

Код: Выделить всё

-A PREROUTING -m iprange --src-range 192.168.0.1-192.168.0.253 --dport 80 -j REDIRECT --to-ports 3128

Webmin пишет:
Не удалось применить конфигурацию :
iptables-restore v1.4.8: unknown option `--dport'
Error occurred at line: 19
Try `iptables-restore -h' or 'iptables-restore --help' for more information.

Пишет, что ошибка в этой строке((
Спасибо сказали:

Аватара пользователя
Bizdelnick
Модератор
Сообщения: 18089
Статус: grammatikführer
ОС: Debian GNU/Linux

Re: не работает squid или правильная настройка

Сообщение Bizdelnick »

--dport - это из расширения tcp, а Вы его зачем-то убрали (-m tcp). И указание протокола (-p tcp) тоже.
Вообще рекомендую заглядывать в man iptables, много полезного можно почерпнуть.
Пишите правильно:
в консоли
вку́пе (с чем-либо)
в общем
вообще
в течение (часа)
новичок
нюанс
по умолчанию
приемлемо
проблема
пробовать
трафик
Спасибо сказали:

nicopl
Сообщения: 6

Re: не работает squid или правильная настройка

Сообщение nicopl »

Bizdelnick писал(а):
02.09.2014 12:55
--dport - это из расширения tcp, а Вы его зачем-то убрали (-m tcp). И указание протокола (-p tcp) тоже.
Вообще рекомендую заглядывать в man iptables, много полезного можно почерпнуть.

Спасибо, добрый человек)
переделал
-A PREROUTING -m iprange -m tcp --src-range 192.168.0.1-192.168.0.253 -p tcp --dport 80 -j REDIRECT --to-ports 3128
теперь весь трафик заблочен, кроме HTTPS :blush:
Трафик перенаправил, теперь настройки squid осталось поправить?!
или я криво перенаправил :wacko:
Спасибо сказали:

Sleeping Daemon
Сообщения: 1450

Re: не работает squid или правильная настройка

Сообщение Sleeping Daemon »

nicopl писал(а):
02.09.2014 13:41
Bizdelnick писал(а):
02.09.2014 12:55
--dport - это из расширения tcp, а Вы его зачем-то убрали (-m tcp). И указание протокола (-p tcp) тоже.
Вообще рекомендую заглядывать в man iptables, много полезного можно почерпнуть.

Спасибо, добрый человек)
переделал
-A PREROUTING -m iprange -m tcp --src-range 192.168.0.1-192.168.0.253 -p tcp --dport 80 -j REDIRECT --to-ports 3128
теперь весь трафик заблочен, кроме HTTPS :blush:
Трафик перенаправил, теперь настройки squid осталось поправить?!
или я криво перенаправил :wacko:

https - не 80-й порт.
Спасибо сказали:

westwild
Сообщения: 1
ОС: linux ubuntu+windows

Re: не работает squid или правильная настройка

Сообщение westwild »

:ohmy: помогите разобраться!!! Есть два сервера настроен интернет с 1-го винда через прокси squid+havp 2-й ubuntu 12.04. Проблема вот в чем интернет через прокси перестал раздаваться причем частично HTTPS открывает а HTTP пишет "соединение было сброшено" куда смотреть и что делать? (сразу предупреждаю с linux не сильно дружу)
Спасибо сказали: