Freesco, NND, CDN, EOS

http://www.freesco.pl
Dzisiaj jest piątek, 29 marca 2024, 01:39

Strefa czasowa UTC+2godz.




Nowy temat Odpowiedz w temacie  [ Posty: 9 ] 
Autor Wiadomość
Post: środa, 21 kwietnia 2010, 11:10 
Offline

Rejestracja: niedziela, 25 lutego 2007, 17:30
Posty: 77
Witam, mam taki problem, od czasu jak postawiłem Squida w trybie transparent (przekierowalem port 80 na ten z konfiguracji) jeden user, króry dodatkowo rozdziela internet u siebie w domu na kilka komputerów ma problemy z poprawnym ładowaniem niektórych stron internetowych. Generalnie wszystkie zwykłe strony (port 80) chodzą dobrze, ale nie może zalogować się przez SSL, a nawet co dziwne GG przestało u niego działać. Na serwerze mam dwie podsieci 1.0/24 i 2.0/24, ten kilent jest w tej drugiej, ja jestem w pierwszej i u mnie wszystko śmiga. Co muszę zrobić aby userowi działały wszystkie strony? Może odblokować jakieś porty u niego na routerze? Z góry dzięki za pomoc.

Konfiguracja squida:
: [/] [] ()
# squid.conf
# Opisy by Adi v 0.5 2005-08-18
# Stworzony przez Generator Konfiguracji Squid'a dla NND by Adi'2005
# Wersja generatora: 0.1 z 2005.09.16
# Data i godzina utworzenia pliku: 2010-03-21 17:36:36
# Kopia poprzedniej konfiguracji (jezeli byla): /etc/squid/squid.conf.bac

# Ustawiamy porty na ktorych pracuje squid (http:3128 lub 8080 icp:3130 8082)
http_port 6669 transparent
icp_port 6668

# Ustawiamy wielkość pamięci Cache (dla 128 MB RAM'u wystarczy 32 MB)
cache_mem 253 MB

# Ustawiamy srednia oczekiwana (14 KB) i maksymalna wielkosc obiektow (2 MB)
# oraz maksymalna wielkosc obiektu w pamieci (16 KB)
store_avg_object_size 32 KB
maximum_object_size 4098 KB
maximum_object_size_in_memory 128 KB

# Jakiego typu bedzie cache, gdzie bedzie cache na dysku
# ile będzie zajmowal miejsca i jaka bedzie struktura katalogow
cache_dir ufs /var/cache/squid 6024 16 128

# Gdzie Squid ma zapisywać logi wylaczamy zmieniajac sciezke na none
# np: cache_log none
cache_log /var/log/squid/cache.log
cache_access_log /var/log/squid/acces.log
cache_store_log /var/log/squid/store.log

# Ile plikow zapasowych do logow
logfile_rotate 7

# Buforujemy logowanie
buffered_logs on

# Ustawiamy komunikaty o bledach na jezyk polski
error_directory /usr/share/squid/errors/Polish

# Logujemy rowniez zapytania ICP
log_icp_queries on

# Poziom logowania
debug_options ALL,1

# Gdzie ma sie znajdowac plik .pid
pid_filename /var/run/squid.pid

# Poziom uzytkownika na ktorym pracuje squid (musi byc zdefiniowany w systemie)
cache_effective_user proxy
cache_effective_group proxy

# Nazwa routera ( nazwa z pliku /etc/HOSTNAME)
visible_hostname wanter

# Serwery DNS dla Squid'a (pobrane z pliku /etc/resolv.conf)
dns_nameservers 192.168.1.1 192.168.2.1

# Korekta odswiezania dla Internet Explorera
ie_refresh on

# Tworzymy grupy i ustawiamy ich parametry
# Grupa all - dla wszystkich uzytkownikow i wszystkich sieci
acl all src 0.0.0.0/0.0.0.0

# Grupa localnet - czyli nasza lokalna siec
acl localnet src 192.168.1.0/255.255.255.0
acl localnet2 src 192.168.2.0/255.255.255.0

# Grupa dla Squid'a
acl manager proto cache_object

# Grupa dla routera (localhost)
acl localhost src 127.0.0.1/255.255.255.255

# Wylaczamy obsluge FTP przez Squid'a
acl FTP proto FTP
always_direct allow FTP

# Wylaczamy skrypty CGI z obslugi przez Squid'a
acl QUERY urlpath_regex cgi-bin cgi \?
no_cache deny QUERY

# Zaufane porty, na których będzie pracował Squid
acl SSL_ports port 443 563
acl Safe_ports port 80 21 443 563 70 210 1025-65535
acl Safe_ports port 280         # http-mgmt
acl Safe_ports port 488         # gss-http
acl Safe_ports port 591         # filemaker
acl Safe_ports port 777         # multiling http
acl CONNECT method CONNECT

# Ustawiamy warunki dostepow dla zdefiniowanych grup
http_access allow manager localhost localnet localnet2 all
http_access allow manager
http_access deny !Safe_ports
http_access deny CONNECT !SSL_ports
http_access allow localnet
http_access allow localnet2
http_access allow all
icp_access allow all

# Reguly odswiezania - zalecany standard dla Squid'a z dodatkami ;-)
refresh_pattern -i (.*jpg$|.*gif$) 0 50% 28800
refresh_pattern -i (.*html$|.*htm|.*shtml) 0 20% 1440
refresh_pattern (http://.*/$) 0 20% 1440
refresh_pattern ^ftp: 1440 20% 10080
refresh_pattern ^gopher: 1440 0% 1440
refresh_pattern . 0 20% 4320

# Ustawienia TOS dla Niceshaper'a
zph_tos_local 8
zph_tos_peer 0
zph_tos_parent off


Na górę
 Wyświetl profil  
 
 Tytuł:
Post: środa, 21 kwietnia 2010, 11:26 
Offline
Honorowy Admin

Rejestracja: piątek, 5 lipca 2002, 17:30
Posty: 7800
Lokalizacja: Słupsk
SQUID w trybie transparent nie wpływa na SSL. Szukaj gdzie indziej.

_________________
Obrazek Belfer.one.PL
Obrazek Audio Cafe


Na górę
 Wyświetl profil  
 
 Tytuł:
Post: środa, 21 kwietnia 2010, 11:37 
Offline

Rejestracja: niedziela, 25 lutego 2007, 17:30
Posty: 77
Ale jest tak, ze jak dodam ta regułkę
: [/] [] ()
iptables -t nat -A PREROUTING -s 192.168.2.0/24 -d ! 192.168.2.0/24 -p tcp --dport 80 -j REDIRECT --to-port 6669

to SSL i GG przestaje działać u usera a jak ta
: [/] [] ()
iptables -t nat -D PREROUTING -s 192.168.2.0/24 -d ! 192.168.2.0/24 -p tcp --dport 80 -j REDIRECT --to-port 6669

to nagle zaczyna, wiec jestem trochę skołowany.

Może to ma coś wspólnego z tym:
: [/] [] ()
# Zaufane porty, na których będzie pracował Squid
acl SSL_ports port 443 563
acl Safe_ports port 80 21 443 563 70 210 1025-65535


Na górę
 Wyświetl profil  
 
 Tytuł:
Post: środa, 21 kwietnia 2010, 12:35 
Offline
Honorowy Admin

Rejestracja: piątek, 5 lipca 2002, 17:30
Posty: 7800
Lokalizacja: Słupsk
Jeśli on dodatkowo sobie dzieli sieć, to może to jego zasady blokują, bo np puszcza gg po 80.

_________________
Obrazek Belfer.one.PL
Obrazek Audio Cafe


Na górę
 Wyświetl profil  
 
 Tytuł:
Post: środa, 21 kwietnia 2010, 12:39 
Offline

Rejestracja: niedziela, 25 lutego 2007, 17:30
Posty: 77
On się w ogóle na tym nie zna, wszystko ma ustawione standardowo.

Co powodują te wpisy?

: [/] [] ()
# Zaufane porty, na których będzie pracował Squid
acl SSL_ports port 443 563
acl Safe_ports port 80 21 443 563 70 210 1025-65535

http_access deny !Safe_ports


Na górę
 Wyświetl profil  
 
 Tytuł:
Post: środa, 21 kwietnia 2010, 12:47 
Offline
Honorowy Admin

Rejestracja: piątek, 5 lipca 2002, 17:30
Posty: 7800
Lokalizacja: Słupsk
Nic nie powodują, co by zabraniało działać GG.
GG działa na zasadniczym porcie 8074 a rezerwowo na 443 i 80. Squid nie blokuje GG, chyba, że zablokowano inne porty.

_________________
Obrazek Belfer.one.PL
Obrazek Audio Cafe


Na górę
 Wyświetl profil  
 
 Tytuł:
Post: środa, 21 kwietnia 2010, 12:52 
Offline

Rejestracja: niedziela, 25 lutego 2007, 17:30
Posty: 77
Już pomijając fakt GG, co zresztą też wydaje mi się bardzo dziwne, to czy nie powinienem u usera odblokować portu ssl na jego routerze?


Na górę
 Wyświetl profil  
 
 Tytuł:
Post: środa, 21 kwietnia 2010, 12:56 
Offline
Honorowy Admin

Rejestracja: piątek, 5 lipca 2002, 17:30
Posty: 7800
Lokalizacja: Słupsk
Jeśli jego router blokuje ruch SSL, to być może tak, nie mam pojęcia co to za router i jakie zasady ruchu wprowadza.

_________________
Obrazek Belfer.one.PL
Obrazek Audio Cafe


Na górę
 Wyświetl profil  
 
 Tytuł:
Post: środa, 21 kwietnia 2010, 12:59 
Offline

Rejestracja: niedziela, 25 lutego 2007, 17:30
Posty: 77
Właśnie normalnie nie blokuje. Kurcze nie potrafię tego wszystkie powiązać jakoś. Jedno jest pewnie jak włączę tą regułkę to przestaje działać SSL. No nic, dziękuję za chęci. Coś może wymyślę. Pozdrawiam

Rozwiązanie:
Już na szczęście to rozgryzłem. Maciek, oczywiście miałeś rację, to ja sobie namieszałem w skryptach. Napisze o co chodziło, gdyby ktoś miał podobny problem. Napisałem skrypt, który sprawdza ilość połączeń danego usera i jeżeli przez kolejne 3 próby jest równa zero to odcina internet regułką:
: [/] [] ()
iptables -A PREROUTING -t nat -s 192.168.2.2 -p tcp --dport 1:65535 -j DNAT --to- 192.168.1.1:84

Na porcie 84 oczywiście stoi sobie strona, która pozwala odblokować internet, ale teraz przyszła z kolei regułka:
: [/] [] ()
iptables -t nat -A PREROUTING -s 192.168.2.0/24 -d ! 192.168.2.0/24 -p tcp --dport 80 -j REDIRECT --to-port 6669

która to pogryzła się z wczesniejszą, skutkiem czego było to, że zwykłe stronki chodzące na portach 80 działały przez proxy a reszta programów i innego sortu oprogramowania była blokowana. Tyle w tym temacie.


Na górę
 Wyświetl profil  
 
Wyświetl posty nie starsze niż:  Sortuj wg  
Nowy temat Odpowiedz w temacie  [ Posty: 9 ] 

Strefa czasowa UTC+2godz.


Kto jest online

Użytkownicy przeglądający to forum: Obecnie na forum nie ma żadnego zarejestrowanego użytkownika i 17 gości


Nie możesz tworzyć nowych tematów
Nie możesz odpowiadać w tematach
Nie możesz zmieniać swoich postów
Nie możesz usuwać swoich postów
Nie możesz dodawać załączników

Szukaj:
Przejdź do:  
cron
Technologię dostarcza phpBB® Forum Software © phpBB Group
Hosting: Compus-Net
RobertKonik.pl