| Freesco, NND, CDN, EOS http://forum.freesco.pl/ |
|
| Squid + 2 podsieci + user za firewallem http://forum.freesco.pl/viewtopic.php?f=24&t=18260 |
Strona 1 z 1 |
| Autor: | wanter [ środa, 21 kwietnia 2010, 11:10 ] |
| Tytuł: | Squid + 2 podsieci + user za firewallem |
Witam, mam taki problem, od czasu jak postawiłem Squida w trybie transparent (przekierowalem port 80 na ten z konfiguracji) jeden user, króry dodatkowo rozdziela internet u siebie w domu na kilka komputerów ma problemy z poprawnym ładowaniem niektórych stron internetowych. Generalnie wszystkie zwykłe strony (port 80) chodzą dobrze, ale nie może zalogować się przez SSL, a nawet co dziwne GG przestało u niego działać. Na serwerze mam dwie podsieci 1.0/24 i 2.0/24, ten kilent jest w tej drugiej, ja jestem w pierwszej i u mnie wszystko śmiga. Co muszę zrobić aby userowi działały wszystkie strony? Może odblokować jakieś porty u niego na routerze? Z góry dzięki za pomoc. Konfiguracja squida: # squid.conf # Opisy by Adi v 0.5 2005-08-18 # Stworzony przez Generator Konfiguracji Squid'a dla NND by Adi'2005 # Wersja generatora: 0.1 z 2005.09.16 # Data i godzina utworzenia pliku: 2010-03-21 17:36:36 # Kopia poprzedniej konfiguracji (jezeli byla): /etc/squid/squid.conf.bac # Ustawiamy porty na ktorych pracuje squid (http:3128 lub 8080 icp:3130 8082) http_port 6669 transparent icp_port 6668 # Ustawiamy wielkość pamięci Cache (dla 128 MB RAM'u wystarczy 32 MB) cache_mem 253 MB # Ustawiamy srednia oczekiwana (14 KB) i maksymalna wielkosc obiektow (2 MB) # oraz maksymalna wielkosc obiektu w pamieci (16 KB) store_avg_object_size 32 KB maximum_object_size 4098 KB maximum_object_size_in_memory 128 KB # Jakiego typu bedzie cache, gdzie bedzie cache na dysku # ile będzie zajmowal miejsca i jaka bedzie struktura katalogow cache_dir ufs /var/cache/squid 6024 16 128 # Gdzie Squid ma zapisywać logi wylaczamy zmieniajac sciezke na none # np: cache_log none cache_log /var/log/squid/cache.log cache_access_log /var/log/squid/acces.log cache_store_log /var/log/squid/store.log # Ile plikow zapasowych do logow logfile_rotate 7 # Buforujemy logowanie buffered_logs on # Ustawiamy komunikaty o bledach na jezyk polski error_directory /usr/share/squid/errors/Polish # Logujemy rowniez zapytania ICP log_icp_queries on # Poziom logowania debug_options ALL,1 # Gdzie ma sie znajdowac plik .pid pid_filename /var/run/squid.pid # Poziom uzytkownika na ktorym pracuje squid (musi byc zdefiniowany w systemie) cache_effective_user proxy cache_effective_group proxy # Nazwa routera ( nazwa z pliku /etc/HOSTNAME) visible_hostname wanter # Serwery DNS dla Squid'a (pobrane z pliku /etc/resolv.conf) dns_nameservers 192.168.1.1 192.168.2.1 # Korekta odswiezania dla Internet Explorera ie_refresh on # Tworzymy grupy i ustawiamy ich parametry # Grupa all - dla wszystkich uzytkownikow i wszystkich sieci acl all src 0.0.0.0/0.0.0.0 # Grupa localnet - czyli nasza lokalna siec acl localnet src 192.168.1.0/255.255.255.0 acl localnet2 src 192.168.2.0/255.255.255.0 # Grupa dla Squid'a acl manager proto cache_object # Grupa dla routera (localhost) acl localhost src 127.0.0.1/255.255.255.255 # Wylaczamy obsluge FTP przez Squid'a acl FTP proto FTP always_direct allow FTP # Wylaczamy skrypty CGI z obslugi przez Squid'a acl QUERY urlpath_regex cgi-bin cgi \? no_cache deny QUERY # Zaufane porty, na których będzie pracował Squid acl SSL_ports port 443 563 acl Safe_ports port 80 21 443 563 70 210 1025-65535 acl Safe_ports port 280 # http-mgmt acl Safe_ports port 488 # gss-http acl Safe_ports port 591 # filemaker acl Safe_ports port 777 # multiling http acl CONNECT method CONNECT # Ustawiamy warunki dostepow dla zdefiniowanych grup http_access allow manager localhost localnet localnet2 all http_access allow manager http_access deny !Safe_ports http_access deny CONNECT !SSL_ports http_access allow localnet http_access allow localnet2 http_access allow all icp_access allow all # Reguly odswiezania - zalecany standard dla Squid'a z dodatkami ;-) refresh_pattern -i (.*jpg$|.*gif$) 0 50% 28800 refresh_pattern -i (.*html$|.*htm|.*shtml) 0 20% 1440 refresh_pattern (http://.*/$) 0 20% 1440 refresh_pattern ^ftp: 1440 20% 10080 refresh_pattern ^gopher: 1440 0% 1440 refresh_pattern . 0 20% 4320 # Ustawienia TOS dla Niceshaper'a zph_tos_local 8 zph_tos_peer 0 zph_tos_parent off |
|
| Autor: | Maciek [ środa, 21 kwietnia 2010, 11:26 ] |
| Tytuł: | |
SQUID w trybie transparent nie wpływa na SSL. Szukaj gdzie indziej. |
|
| Autor: | wanter [ środa, 21 kwietnia 2010, 11:37 ] |
| Tytuł: | |
Ale jest tak, ze jak dodam ta regułkę iptables -t nat -A PREROUTING -s 192.168.2.0/24 -d ! 192.168.2.0/24 -p tcp --dport 80 -j REDIRECT --to-port 6669 to SSL i GG przestaje działać u usera a jak ta iptables -t nat -D PREROUTING -s 192.168.2.0/24 -d ! 192.168.2.0/24 -p tcp --dport 80 -j REDIRECT --to-port 6669 to nagle zaczyna, wiec jestem trochę skołowany. Może to ma coś wspólnego z tym: # Zaufane porty, na których będzie pracował Squid acl SSL_ports port 443 563 acl Safe_ports port 80 21 443 563 70 210 1025-65535 |
|
| Autor: | Maciek [ środa, 21 kwietnia 2010, 12:35 ] |
| Tytuł: | |
Jeśli on dodatkowo sobie dzieli sieć, to może to jego zasady blokują, bo np puszcza gg po 80. |
|
| Autor: | wanter [ środa, 21 kwietnia 2010, 12:39 ] |
| Tytuł: | |
On się w ogóle na tym nie zna, wszystko ma ustawione standardowo. Co powodują te wpisy? # Zaufane porty, na których będzie pracował Squid acl SSL_ports port 443 563 acl Safe_ports port 80 21 443 563 70 210 1025-65535 http_access deny !Safe_ports |
|
| Autor: | Maciek [ środa, 21 kwietnia 2010, 12:47 ] |
| Tytuł: | |
Nic nie powodują, co by zabraniało działać GG. GG działa na zasadniczym porcie 8074 a rezerwowo na 443 i 80. Squid nie blokuje GG, chyba, że zablokowano inne porty. |
|
| Autor: | wanter [ środa, 21 kwietnia 2010, 12:52 ] |
| Tytuł: | |
Już pomijając fakt GG, co zresztą też wydaje mi się bardzo dziwne, to czy nie powinienem u usera odblokować portu ssl na jego routerze? |
|
| Autor: | Maciek [ środa, 21 kwietnia 2010, 12:56 ] |
| Tytuł: | |
Jeśli jego router blokuje ruch SSL, to być może tak, nie mam pojęcia co to za router i jakie zasady ruchu wprowadza. |
|
| Autor: | wanter [ środa, 21 kwietnia 2010, 12:59 ] |
| Tytuł: | |
Właśnie normalnie nie blokuje. Kurcze nie potrafię tego wszystkie powiązać jakoś. Jedno jest pewnie jak włączę tą regułkę to przestaje działać SSL. No nic, dziękuję za chęci. Coś może wymyślę. Pozdrawiam Rozwiązanie: Już na szczęście to rozgryzłem. Maciek, oczywiście miałeś rację, to ja sobie namieszałem w skryptach. Napisze o co chodziło, gdyby ktoś miał podobny problem. Napisałem skrypt, który sprawdza ilość połączeń danego usera i jeżeli przez kolejne 3 próby jest równa zero to odcina internet regułką: iptables -A PREROUTING -t nat -s 192.168.2.2 -p tcp --dport 1:65535 -j DNAT --to- 192.168.1.1:84 Na porcie 84 oczywiście stoi sobie strona, która pozwala odblokować internet, ale teraz przyszła z kolei regułka: iptables -t nat -A PREROUTING -s 192.168.2.0/24 -d ! 192.168.2.0/24 -p tcp --dport 80 -j REDIRECT --to-port 6669 która to pogryzła się z wczesniejszą, skutkiem czego było to, że zwykłe stronki chodzące na portach 80 działały przez proxy a reszta programów i innego sortu oprogramowania była blokowana. Tyle w tym temacie. |
|
| Strona 1 z 1 | Strefa czasowa UTC+2godz. |
| Powered by phpBB® Forum Software © phpBB Group https://www.phpbb.com/ |
|