Форум русскоязычного сообщества Ubuntu


Автор Тема: прозрачный прокси squid ubuntu 14.04.5  (Прочитано 552 раз)

0 Пользователей и 1 Гость просматривают эту тему.

Оффлайн arhangelmike

  • Автор темы
  • Новичок
  • *
  • Сообщений: 4
    • Просмотр профиля
прозрачный прокси squid ubuntu 14.04.5
« : 21 Декабрь 2017, 11:12:34 »
Для начала опишу задачи:
нужен шлюз для фильтрации доступа к интернет ресурсам, прозрачная фильтрация HTTPS и HTTP (в общем блочить соц сети в основном).
Чуть позднее сбор статистики.
есть машина с двумя сетевыми.
Первоначальную настройку приведу ниже, после вступления.
Первый же вопрос какой squid 3.5 или 4. много статей именно про 3.5 но на виртуалке удалось настроить только 4 версию кальмара, фильтровал нормально но в основном только целиком сайт блочился например вконтакте,пришлось использовать метод при обращении к вконтакте блочил сам метод CONNECT,ибо по адресу можно было обойти например вписав перед vk.com www. .

Пользователь добавил сообщение 21 Декабрь 2017, 11:14:20:
в общем забил на виртуалку начал напрямую на железо ставить с двумя сетевыми, ибо тру практис, выбрал сначала Ubuntu 16 но не сраслось заколебало, то что установка не шла от слова совсем ругался на флешку, что нет сиди диска, да и именование интерфейсов бесило, проверил 14 Ubuntu изначально ставил десктопную версию (что странно любая десктопная ставится без проблем, на новый купленный сервак свежее железо, а серверная ругалась на сиди диск) помогло следущее:
на этапе установки после выбора языка нужно смонтировать образ cd-rom-а самому:

копируем на флешку iso образ, например file.iso
после загрузки ОС, на этапе выбора языка жмем: Alt+F2
теперь смотрим какие у нас есть устройства:

ls /dev/

находим нашу флешку, в моем случае она была /dev/sdb1
теперь монтируем её в систему:

mkdir /mnt/flash
mount -tvfat /dev/sdb1 /mnt/flash

теперь монтируем установочный образ как /cdrom:

mkdir /cdrom
mount /mnt/flash/file.iso /cdrom -t iso9660 -o loop

Возвращаемся в окно установки (Alt+F1) и продолжаем её

После таких манипуляция установщик отыскал CD-ROM и нужные ему файлы

Тут так же стоит заметить, что во время установки Вас спросят о необходимости отмонтировать флешку (/dev/sdb1 в моем случае), нужно ответить да ибо иначе Ubuntu !!! не создаст разделы на жестком диске.

Вам потребуется перезагрузиться и вы окажитесь в системе. Далее логинимся, опять монтируем флешку как cd-rom,

НО есть более легкий вариант, образ в варианте netinstall с ним при устнаовке не возникло проблемм!!!!

далее установим mc
и не забываем перед работой по ssh сгенерить ключ
ssh-keygen \ ssh-keygen -t rsa
так как система свежеустановленная, без дополнительных пакетов полностью чистая, обновляемся:

sudo apt-get update
для подтягивания ключей которых нет (репозиторий)
команда
apt-key adv --recv-keys --keyserver keyserver.ubuntu.com `sudo apt-get update 2>&1 | grep -o '[0-9A-Z]\{16\}$' | xargs`

обновим повторно источники
sudo apt-get update
sudo apt-get upgrade
подготовка завершена


_____________________________________________________________________________________________________________
далее все свелось ко второму варианту по статье https://imbicile.pp.ru/ubuntu-16-04-prozrachnyj-squid-https/ до момента с iptables
______________________________________________________________________________________________________________
поиск пакетов
apt-cache search keyword




   
 squid -z 
Применяем конфигурацию
squid -k parse
squid -k reconfigure

если нет ошибок то
squid -k restart
проверяем логи и ошибки.
« Последнее редактирование: 11 Январь 2018, 10:20:50 от arhangelmike »

Оффлайн fisher74

  • Заслуженный пользователь
  • Старожил
  • *
  • Сообщений: 13462
    • Просмотр профиля
Re: прозрачный прокси squid ubuntu 14.04.5
« Ответ #1 : 22 Декабрь 2017, 07:42:12 »
Надоело читать незаконченные мемуары по ректальному запуску сервера. Бросил на разделе описания работы с vi
Принимаю благодарности в WMR и WMZ на кошельки:
R158160676909 и Z313280060764

Оффлайн fisher74

  • Заслуженный пользователь
  • Старожил
  • *
  • Сообщений: 13462
    • Просмотр профиля
Re: прозрачный прокси squid ubuntu 14.04.5
« Ответ #2 : 25 Декабрь 2017, 14:34:00 »
https на кальмаре из коробки в прозрачность не увести. Но к Вашему случаю это уже не относится.
На хабре была статейка как это замутить, причём без подмены сертификатов.

равда почему-то через  /usr/local/squid/sbin/squid  а не /etc/init.d/squid
Видимо потому что в 17 в работе systemd
Принимаю благодарности в WMR и WMZ на кошельки:
R158160676909 и Z313280060764

Оффлайн fisher74

  • Заслуженный пользователь
  • Старожил
  • *
  • Сообщений: 13462
    • Просмотр профиля
Re: прозрачный прокси squid ubuntu 14.04.5
« Ответ #3 : 25 Декабрь 2017, 16:43:46 »
пока не ясно зачем
Оно и понятно, что незачем
ибо параметр dns_nsmeservers кальмар берёт из resolv.conf. Ну или в край можно ему самому указать в его же конфиге.
Принимаю благодарности в WMR и WMZ на кошельки:
R158160676909 и Z313280060764

Оффлайн Дмитрий Бо

  • Погонщик серверов
  • Модератор раздела
  • Старожил
  • *
  • Сообщений: 3510
  • Я не техподдержка, я за порядком слежу
    • Просмотр профиля
    • LinkedIn
Re: прозрачный прокси squid ubuntu 14.04.5
« Ответ #4 : 02 Январь 2018, 04:28:10 »
2017/12/27 14:44:15| ERROR: Directive 'sslproxy_flags' is obsolete

sslproxy_flags
    Replaced by tls_outgoing_options flags=.
(из Release Notes v4.0.5)
Не опускай рук, а то пропустишь в бороду

Оффлайн arhangelmike

  • Автор темы
  • Новичок
  • *
  • Сообщений: 4
    • Просмотр профиля
Re: прозрачный прокси squid ubuntu 14.04.5
« Ответ #5 : 10 Январь 2018, 13:11:20 »
В общем вернулся к истокам, начал снова, по статье (все встало, даже версия совпала кальмара)--- Ubuntu 16.04 прозрачный Squid HTTPS.
Дошел до фразы -- Для работы необходимо настроить iptables.
более ничего не делал, так как первая же команда ничего не выводит (систему ставил с нетинсталл дистрибутива) при этом скуид радостно репортует что стартовал без ошибок.
Согласно некоторым статьям нужно настроить NAT и iptables.
Иначе как показала практика (253 ип адрес это прокся со скуидом), при попытке со стороннего компа выйти через кальмар в интернет выдает ошибку
 11:17:33 kid1| ERROR: NF getsockopt(ORIGINAL_DST) failed on local=192.168.88.253:3128 remote=192.168.88.200:52199 FD 11 flags=33: (92) Protocol not available

Нужно чтобы данный комп с двумя сетевыми картами стоял между роутером и локалкой, собирая статистику и блокируя некоторые сайты. И некоторый диапазон пускал свободно, некоторый с ограничением в интернет (но это я знаю, из списка файлов можно акл сделать).
« Последнее редактирование: 10 Январь 2018, 14:18:24 от arhangelmike »

Оффлайн fisher74

  • Заслуженный пользователь
  • Старожил
  • *
  • Сообщений: 13462
    • Просмотр профиля
Re: прозрачный прокси squid ubuntu 14.04.5
« Ответ #6 : 11 Январь 2018, 09:31:03 »
по статье
я даже не понял по какой статье.

так как первая же команда ничего не выводит
это же хорошо. Значит правило введено без ошибок (синтаксис) и принято ядром.
Согласно некоторым статьям нужно настроить NAT и iptables.
У Вас в голове пока мешанина из определений. Масло масляное. iptables - инструмент доя настройки NAT. Разберитесь что это такое (NAT). Не определение из wiki, а как это работает. На самом деле, для понимания общего механизма работы, там всё просто. Не обязательно на первых шагах глубоко вникать во флаги и сессии.

Поверьте, эти знания Вам могут сильно пригодятся при дальнейшем администрировании этого шлюза. И не только этого шлюза.
(Нажмите, чтобы показать/скрыть)

Кстати, проверьте. Точно правило загрузилось в ядро (и осталось там после перезагрузки)? Как именно это сделать, будет Вашим вторым домашним заданием.
Принимаю благодарности в WMR и WMZ на кошельки:
R158160676909 и Z313280060764

Оффлайн arhangelmike

  • Автор темы
  • Новичок
  • *
  • Сообщений: 4
    • Просмотр профиля
Re: прозрачный прокси squid ubuntu 14.04.5
« Ответ #7 : 11 Январь 2018, 09:52:27 »
статья https://imbicile.pp.ru/ubuntu-16-04-prozrachnyj-squid-https/
сейчас на отдельном компе прописал в прокси свой сервер при попытке выйти в сеть выдает либо доступ запрещен либо не удается получить доступ

насколько понял NAT предназанчен для того чтобы внешняя сторона считала что с ип адреса выходит одна машина, за натом  соответсвенно их много.

iptable надстройка над net-filter, а все вместе файрвол.

после рестарта сервера

 iptables -L -v -n
(Нажмите, чтобы показать/скрыть)

в общем сейчас пробую получить выход без ограничений, а после будем ограничивать.
   
« Последнее редактирование: 11 Январь 2018, 12:22:57 от arhangelmike »

Онлайн AnrDaemon

  • Заслуженный пользователь
  • Старожил
  • *
  • Сообщений: 24504
    • Просмотр профиля
Re: прозрачный прокси squid ubuntu 14.04.5
« Ответ #8 : 11 Январь 2018, 09:54:58 »
Показывайте правила, а не статистику. Статистика никому не интересна.
iptables-save
Хотите получить помощь? Потрудитесь представить запрошенную информацию в полном объёме.

Прежде чем [Отправить], нажми [Просмотр] и прочти собственное сообщение. Сам-то понял, что написал?…

Оффлайн arhangelmike

  • Автор темы
  • Новичок
  • *
  • Сообщений: 4
    • Просмотр профиля
Re: прозрачный прокси squid ubuntu 14.04.5
« Ответ #9 : 11 Январь 2018, 09:56:47 »
d# iptables-save
(Нажмите, чтобы показать/скрыть)


squid -k parse
(Нажмите, чтобы показать/скрыть)




Пользователь добавил сообщение 11 Январь 2018, 10:00:13:
доступ запрещен на целевой машине где прописана прокси сервером моя прокся.

вывод в кеш логе
(Нажмите, чтобы показать/скрыть)

access.log

(Нажмите, чтобы показать/скрыть)

Пользователь добавил сообщение 11 Январь 2018, 10:30:21:
ERR_TUNNEL_CONNECTION_FAILED в браузере с машины с прописанной проксей.

при изменении конфига скуида куска кода отвечающего за прозрачность

на
(Нажмите, чтобы показать/скрыть)

пишет доступ запрещен.

Пользователь добавил сообщение 11 Январь 2018, 10:38:34:
1515652480.470      0 192.168.88.243 TAG_NONE/409 4085 CONNECT api1.pokkinw.com:443 - HIER_NONE/- text/html
1515652480.480      0 192.168.88.253 TCP_MISS/403 4285 GET http://api.pokki.com/autoupdate/v3/upgrades/88f4da3e278d01590fb2ad8ffe5279cb1ac7a44b/client? - HIER_NONE/- text/html
1515652480.480      1 192.168.88.243 TCP_MISS/403 4375 GET http://api.pokki.com/autoupdate/v3/upgrades/88f4da3e278d01590fb2ad8ffe5279cb1ac7a44b/client? - ORIGINAL_DST/192.168.88.253 text/html
вот такое встречается в логе
« Последнее редактирование: 11 Январь 2018, 12:24:36 от arhangelmike »

 

Страница сгенерирована за 0.248 секунд. Запросов: 23.