Форум русскоязычного сообщества Ubuntu


Считаете, что Ubuntu недостаточно дружелюбна к новичкам?
Помогите создать новое Руководство для новичков!

Автор Тема: прозрачный прокси squid ubuntu 14.04.5  (Прочитано 1040 раз)

0 Пользователей и 1 Гость просматривают эту тему.

Оффлайн arhangelmike

  • Автор темы
  • Новичок
  • *
  • Сообщений: 5
    • Просмотр профиля
прозрачный прокси squid ubuntu 14.04.5
« : 21 Декабрь 2017, 11:12:34 »
Для начала опишу задачи:
нужен шлюз для фильтрации доступа к интернет ресурсам, прозрачная фильтрация HTTPS и HTTP (в общем блочить соц сети в основном).
Чуть позднее сбор статистики.
есть машина с двумя сетевыми.
Первоначальную настройку приведу ниже, после вступления.
Первый же вопрос какой squid 3.5 или 4. много статей именно про 3.5 но на виртуалке удалось настроить только 4 версию кальмара, фильтровал нормально но в основном только целиком сайт блочился например вконтакте,пришлось использовать метод при обращении к вконтакте блочил сам метод CONNECT,ибо по адресу можно было обойти например вписав перед vk.com www. .

Пользователь добавил сообщение 21 Декабрь 2017, 11:14:20:
в общем забил на виртуалку начал напрямую на железо ставить с двумя сетевыми, ибо тру практис, выбрал сначала Ubuntu 16 но не сраслось заколебало, то что установка не шла от слова совсем ругался на флешку, что нет сиди диска, да и именование интерфейсов бесило, проверил 14 Ubuntu изначально ставил десктопную версию (что странно любая десктопная ставится без проблем, на новый купленный сервак свежее железо, а серверная ругалась на сиди диск) помогло следущее:
на этапе установки после выбора языка нужно смонтировать образ cd-rom-а самому:

копируем на флешку iso образ, например file.iso
после загрузки ОС, на этапе выбора языка жмем: Alt+F2
теперь смотрим какие у нас есть устройства:

ls /dev/

находим нашу флешку, в моем случае она была /dev/sdb1
теперь монтируем её в систему:

mkdir /mnt/flash
mount -tvfat /dev/sdb1 /mnt/flash

теперь монтируем установочный образ как /cdrom:

mkdir /cdrom
mount /mnt/flash/file.iso /cdrom -t iso9660 -o loop

Возвращаемся в окно установки (Alt+F1) и продолжаем её

После таких манипуляция установщик отыскал CD-ROM и нужные ему файлы

Тут так же стоит заметить, что во время установки Вас спросят о необходимости отмонтировать флешку (/dev/sdb1 в моем случае), нужно ответить да ибо иначе Ubuntu !!! не создаст разделы на жестком диске.

Вам потребуется перезагрузиться и вы окажитесь в системе. Далее логинимся, опять монтируем флешку как cd-rom,

НО есть более легкий вариант, образ в варианте netinstall с ним при устнаовке не возникло проблемм!!!!

далее установим mc
и не забываем перед работой по ssh сгенерить ключ
ssh-keygen \ ssh-keygen -t rsa
так как система свежеустановленная, без дополнительных пакетов полностью чистая, обновляемся:

sudo apt-get update
для подтягивания ключей которых нет (репозиторий)
команда
apt-key adv --recv-keys --keyserver keyserver.ubuntu.com `sudo apt-get update 2>&1 | grep -o '[0-9A-Z]\{16\}$' | xargs`

обновим повторно источники
sudo apt-get update
sudo apt-get upgrade
подготовка завершена


_____________________________________________________________________________________________________________
далее все свелось ко второму варианту по статье https://imbicile.pp.ru/ubuntu-16-04-prozrachnyj-squid-https/ до момента с iptables
______________________________________________________________________________________________________________
поиск пакетов
apt-cache search keyword




   
 squid -z 
Применяем конфигурацию
squid -k parse
squid -k reconfigure

если нет ошибок то
squid -k restart
проверяем логи и ошибки.
« Последнее редактирование: 11 Январь 2018, 10:20:50 от arhangelmike »

Оффлайн fisher74

  • Заслуженный пользователь
  • Старожил
  • *
  • Сообщений: 13719
    • Просмотр профиля
Re: прозрачный прокси squid ubuntu 14.04.5
« Ответ #1 : 22 Декабрь 2017, 07:42:12 »
Надоело читать незаконченные мемуары по ректальному запуску сервера. Бросил на разделе описания работы с vi
Принимаю благодарности в WMR и WMZ на кошельки:
R158160676909 и Z313280060764

Оффлайн fisher74

  • Заслуженный пользователь
  • Старожил
  • *
  • Сообщений: 13719
    • Просмотр профиля
Re: прозрачный прокси squid ubuntu 14.04.5
« Ответ #2 : 25 Декабрь 2017, 14:34:00 »
https на кальмаре из коробки в прозрачность не увести. Но к Вашему случаю это уже не относится.
На хабре была статейка как это замутить, причём без подмены сертификатов.

равда почему-то через  /usr/local/squid/sbin/squid  а не /etc/init.d/squid
Видимо потому что в 17 в работе systemd
Принимаю благодарности в WMR и WMZ на кошельки:
R158160676909 и Z313280060764

Оффлайн fisher74

  • Заслуженный пользователь
  • Старожил
  • *
  • Сообщений: 13719
    • Просмотр профиля
Re: прозрачный прокси squid ubuntu 14.04.5
« Ответ #3 : 25 Декабрь 2017, 16:43:46 »
пока не ясно зачем
Оно и понятно, что незачем
ибо параметр dns_nsmeservers кальмар берёт из resolv.conf. Ну или в край можно ему самому указать в его же конфиге.
Принимаю благодарности в WMR и WMZ на кошельки:
R158160676909 и Z313280060764

Оффлайн Дмитрий Бо

  • Погонщик серверов
  • Модератор раздела
  • Старожил
  • *
  • Сообщений: 3538
  • Я не техподдержка, я за порядком слежу
    • Просмотр профиля
    • LinkedIn
Re: прозрачный прокси squid ubuntu 14.04.5
« Ответ #4 : 02 Январь 2018, 04:28:10 »
2017/12/27 14:44:15| ERROR: Directive 'sslproxy_flags' is obsolete

sslproxy_flags
    Replaced by tls_outgoing_options flags=.
(из Release Notes v4.0.5)
Не опускай рук, а то пропустишь в бороду

Оффлайн arhangelmike

  • Автор темы
  • Новичок
  • *
  • Сообщений: 5
    • Просмотр профиля
Re: прозрачный прокси squid ubuntu 14.04.5
« Ответ #5 : 10 Январь 2018, 13:11:20 »
В общем вернулся к истокам, начал снова, по статье (все встало, даже версия совпала кальмара)--- Ubuntu 16.04 прозрачный Squid HTTPS.
Дошел до фразы -- Для работы необходимо настроить iptables.
более ничего не делал, так как первая же команда ничего не выводит (систему ставил с нетинсталл дистрибутива) при этом скуид радостно репортует что стартовал без ошибок.
Согласно некоторым статьям нужно настроить NAT и iptables.
Иначе как показала практика (253 ип адрес это прокся со скуидом), при попытке со стороннего компа выйти через кальмар в интернет выдает ошибку
 11:17:33 kid1| ERROR: NF getsockopt(ORIGINAL_DST) failed on local=192.168.88.253:3128 remote=192.168.88.200:52199 FD 11 flags=33: (92) Protocol not available

Нужно чтобы данный комп с двумя сетевыми картами стоял между роутером и локалкой, собирая статистику и блокируя некоторые сайты. И некоторый диапазон пускал свободно, некоторый с ограничением в интернет (но это я знаю, из списка файлов можно акл сделать).
« Последнее редактирование: 10 Январь 2018, 14:18:24 от arhangelmike »

Оффлайн fisher74

  • Заслуженный пользователь
  • Старожил
  • *
  • Сообщений: 13719
    • Просмотр профиля
Re: прозрачный прокси squid ubuntu 14.04.5
« Ответ #6 : 11 Январь 2018, 09:31:03 »
по статье
я даже не понял по какой статье.

так как первая же команда ничего не выводит
это же хорошо. Значит правило введено без ошибок (синтаксис) и принято ядром.
Согласно некоторым статьям нужно настроить NAT и iptables.
У Вас в голове пока мешанина из определений. Масло масляное. iptables - инструмент доя настройки NAT. Разберитесь что это такое (NAT). Не определение из wiki, а как это работает. На самом деле, для понимания общего механизма работы, там всё просто. Не обязательно на первых шагах глубоко вникать во флаги и сессии.

Поверьте, эти знания Вам могут сильно пригодятся при дальнейшем администрировании этого шлюза. И не только этого шлюза.
(Нажмите, чтобы показать/скрыть)

Кстати, проверьте. Точно правило загрузилось в ядро (и осталось там после перезагрузки)? Как именно это сделать, будет Вашим вторым домашним заданием.
Принимаю благодарности в WMR и WMZ на кошельки:
R158160676909 и Z313280060764

Оффлайн arhangelmike

  • Автор темы
  • Новичок
  • *
  • Сообщений: 5
    • Просмотр профиля
Re: прозрачный прокси squid ubuntu 14.04.5
« Ответ #7 : 11 Январь 2018, 09:52:27 »
статья https://imbicile.pp.ru/ubuntu-16-04-prozrachnyj-squid-https/
сейчас на отдельном компе прописал в прокси свой сервер при попытке выйти в сеть выдает либо доступ запрещен либо не удается получить доступ

насколько понял NAT предназанчен для того чтобы внешняя сторона считала что с ип адреса выходит одна машина, за натом  соответсвенно их много.

iptable надстройка над net-filter, а все вместе файрвол.

после рестарта сервера

 iptables -L -v -n
(Нажмите, чтобы показать/скрыть)

в общем сейчас пробую получить выход без ограничений, а после будем ограничивать.
   
« Последнее редактирование: 11 Январь 2018, 12:22:57 от arhangelmike »

Оффлайн AnrDaemon

  • Заслуженный пользователь
  • Старожил
  • *
  • Сообщений: 25319
    • Просмотр профиля
Re: прозрачный прокси squid ubuntu 14.04.5
« Ответ #8 : 11 Январь 2018, 09:54:58 »
Показывайте правила, а не статистику. Статистика никому не интересна.
iptables-save
Хотите получить помощь? Потрудитесь представить запрошенную информацию в полном объёме.

Прежде чем [Отправить], нажми [Просмотр] и прочти собственное сообщение. Сам-то понял, что написал?…

Оффлайн arhangelmike

  • Автор темы
  • Новичок
  • *
  • Сообщений: 5
    • Просмотр профиля
Re: прозрачный прокси squid ubuntu 14.04.5
« Ответ #9 : 11 Январь 2018, 09:56:47 »
d# iptables-save
(Нажмите, чтобы показать/скрыть)


squid -k parse
(Нажмите, чтобы показать/скрыть)




Пользователь добавил сообщение 11 Январь 2018, 10:00:13:
доступ запрещен на целевой машине где прописана прокси сервером моя прокся.

вывод в кеш логе
(Нажмите, чтобы показать/скрыть)

access.log

(Нажмите, чтобы показать/скрыть)

Пользователь добавил сообщение 11 Январь 2018, 10:30:21:
ERR_TUNNEL_CONNECTION_FAILED в браузере с машины с прописанной проксей.

при изменении конфига скуида куска кода отвечающего за прозрачность

на
(Нажмите, чтобы показать/скрыть)

пишет доступ запрещен.

Пользователь добавил сообщение 11 Январь 2018, 10:38:34:
1515652480.470      0 192.168.88.243 TAG_NONE/409 4085 CONNECT api1.pokkinw.com:443 - HIER_NONE/- text/html
1515652480.480      0 192.168.88.253 TCP_MISS/403 4285 GET http://api.pokki.com/autoupdate/v3/upgrades/88f4da3e278d01590fb2ad8ffe5279cb1ac7a44b/client? - HIER_NONE/- text/html
1515652480.480      1 192.168.88.243 TCP_MISS/403 4375 GET http://api.pokki.com/autoupdate/v3/upgrades/88f4da3e278d01590fb2ad8ffe5279cb1ac7a44b/client? - ORIGINAL_DST/192.168.88.253 text/html
вот такое встречается в логе
« Последнее редактирование: 11 Январь 2018, 12:24:36 от arhangelmike »

Оффлайн arhangelmike

  • Автор темы
  • Новичок
  • *
  • Сообщений: 5
    • Просмотр профиля
Re: прозрачный прокси squid ubuntu 14.04.5
« Ответ #10 : 23 Январь 2018, 16:11:22 »
На  текущий момент squid стоит и даже фильтрует, настроен мост на сервере между двумя сетевыми и если
1.не прописывать прокси  -выход в интернет есть;
2.прописать порт 3128 http то нет выхода на страницы https
3.прописать порт 3129 https то нет выхода на страницы http
Понимаю, что нужно завернуть трафик каким то образом на squid, чтобы шла фильтрация, но как это реализовать не хватает знаний.
Подскажите как и что делать.
Правила iptables не трогал. NAT  не настраивал.

 

Страница сгенерирована за 0.2 секунд. Запросов: 24.