squid: победа разума или осталось добиться POP3

[prajenik]

господа
после долгой и упорной возьни с конфигом этой божественной программы, работает инет у юзеров, коннектиться аська, даже FTP через все любимый WinCommander и то работает)) вообщем все не так плохо - думалось что будет хуже почему то... Но есть одно НО. POP3 же или SMTP не пропишешь в настройках жешь например Outlook Exprs мол типа HTTP:3128 )))))))
как мне дать в локалку доступ к поп3 и смтп через сквид? кто нибудь сталкивался?

[7biohazard7]

Через squid никак. Вот и всё

[SashaAl]

Через squid никак. Вот и всё

100%
надо давать возможность маскарадится по почтовым портам

[Loky]

господа
после долгой и упорной возьни с конфигом этой божественной программы, работает инет у юзеров, коннектиться аська, даже FTP через все любимый WinCommander и то работает)) вообщем все не так плохо - думалось что будет хуже почему то... Но есть одно НО. POP3 же или SMTP не пропишешь в настройках жешь например Outlook Exprs мол типа HTTP:3128 )))))))
как мне дать в локалку доступ к поп3 и смтп через сквид? кто нибудь сталкивался?

Если не ошибаюсь, то летучий мышь (зе бат) умеет через проксю работать. давно дело было...

[prajenik]

iptables нас спасет

[7biohazard7]

Специально поставил The BAT! в вирт.машине
ничего со словом прокси не нашел
облазил все настройки.

теоретически можно предположить что соединение
с почтовым сервером можно осуществить через метод CONNECT.
но это только теоретически.

Ещё можно настроить MTA на сервере типа связки sendmail + fetchmail,
но все-таки iptables + NAT наиболее приемлимый вариант, как для меня.
Можете ещё под это дело прозрачное проксирование прикрутить,
в случае если у вас пользователи без авторизации ходят.

[prajenik]

да в баню пользователей
они все бесплатными ящиками пользуються - пусть через http сидят))

однако iptables все равно надо настраивать - банк клиент и все дела должны работать.
Соответственно я так понимаю надо будет в iptables запретить маскарадинг для http ? что бы запросы шли тока черех squid - правильно рассуждаю?

[7biohazard7]

Да правильно. Можно самому хватать пакеты на 80 порт
и к себе на squid кидать.
И правильнее кроме разрешённых порт, все остальные дропить.
могу пример подкинуть.

[prajenik]

было бы неплохо
если вам не сложно
на примерах куда удобнее "врубатся" нежели по страничкам man

[SashaAl]

однако iptables все равно надо настраивать - банк клиент и все дела должны работать.

Клиент-банк может и через сквиду ходить

[prajenik]

ваши слова надо понимать так "telnet на порт 1024 так же легко настраивается как ftp например", я правильно вас понял?

[7biohazard7]

было бы неплохо
если вам не сложно
на примерах куда удобнее "врубатся" нежели по страничкам man

Вчера не смог ответить

Вот пример, только здесь прозрачное проксирование
то есть клиенты не догадываются(ну почти) что ходят
через squid
В файле.

[prajenik]

я тут придумал вывесить на обсуждение листинг squid.conf дабы все могли обсудить, посмотреть или воспользоватся у кого трудности с настройкой были
кроме того обсудим, я надеюсь старшие братья уделят минутку добавят, ткнут носом в ошибки или посоветуют что нить полезное

http_port 192.168.1.1:3128
dns_nameservers 192.168.0.5
visible_hostname 192.168.0.111

acl all src 0.0.0.0/0.0.0.0
acl localnet src 192.168.1.0/255.255.255.0
http_access allow LocalNet
http_access deny all

acl ftpproto proto ftp
http_access allow Office ftpproto

acl Office src 192.168.1.1-192.168.1.254
http_access allow Office
http_access deny all

hierarchy_stoplist cgi-bin ?
acl QUERY urlpath_regex cgi-bin \?
no_cache deny QUERY

acl to_localhost dst 127.0.0.0/8
acl SSL_ports port 443 563
acl Safe_ports port 80 # http
acl Safe_ports port 21 # ftp
acl Safe_ports port 443 563 # https, snews
acl Safe_ports port 70 # gopher
acl Safe_ports port 210 # wais
acl Safe_ports port 1025-65535 # unregistered ports
acl Safe_ports port 280 # http-mgmt
acl Safe_ports port 488 # gss-http
acl Safe_ports port 591 # filemaker
acl Safe_ports port 777 # multiling http
acl CONNECT method CONNECT

icp_access allow all
http_access allow !Safe_ports
icon_directory /usr/share/squid/icons
coredump_dir /var/spool/squid

# ICQ settings
acl MY_USERS src 192.168.1.0/24
acl ICQ_DOMAIN dstdomain icq.com aol.com login.icq.com
acl ICQ_ADDR dst 64.12.0.0/16 205.188.0.0/16
acl ICQ_PORT port 5190
acl ICQ_PROTO proto HTTPS
http_access allow MY_USERS ICQ_ADDR ICQ_PORT ICQ_PROTO CONNECT
always_direct allow ICQ_DOMAIN ICQ_PORT CONNECT
always_direct allow ICQ_ADDR ICQ_PORT CONNECT
acl CONNECT method CONNECT

[Badfile]

Привет, посмотрел листинг 7biohazard7.
Есть одно замечание:

Собственно у тебя прозрачный прокси включен так:

iptables -t nat -A PREROUTING -p tcp --dport 80 -j REDIRECT --to-port 3128
iptables -t nat -A PREROUTING -p tcp --dport 8080 -j REDIRECT --to-port 3128
iptables -t nat -A PREROUTING -p tcp --dport 443 -j REDIRECT --to-port 3128
iptables -t nat -A PREROUTING -p tcp --dport 8081 -j REDIRECT --to-port 3128

Для тех, кто собирается пользовать прозрачный прокси рекомендую воспользоваться правилом multiport, тогда не придется для каждого порта писать строчку. То есть эти четыре строки превратяться в одну вида:

iptables -t nat -A PREROUTING -p tcp -m multiport --dport 80,8080,443,8081 -j REDIRECT --to-port 3128

Результат тот же, а правил писать меньше ;-) Это я типа поумничать решил. Хе-хе-хе! Спасибо за внимание.

Кстати, вот вспомнил. Может кто уже такой прикол делал. Я вот у себя как-то делал публичный HASP ключ для 1С прикола ради. Написал на маршрутизаторе DNAT для ключика. После этого можно было из инета любым компом использовать мой HASP-ключ. Программер 1С, для которого я собственно и делал это долго ржал как конь, но идея ему понравилась. Прикиньте, один HASP сервер на весь инет ;-) Проблем с лицензиями нету.
Ладно, пошел я дальше.

[7biohazard7]

эх, спасибо!
а что про конфиг для squid? <_<

Кто из спецов подскажет? Себя к таким не отношу,
потому и интересуюсь.