Форум русскоязычного сообщества Ubuntu


Следите за новостями русскоязычного сообщества Ubuntu в Twitter-ленте @ubuntu_ru_loco

Автор Тема: прозрачный прокси squid ubuntu 14.04.5  (Прочитано 4556 раз)

0 Пользователей и 1 Гость просматривают эту тему.

Оффлайн arhangelmike

  • Автор темы
  • Новичок
  • *
  • Сообщений: 6
    • Просмотр профиля
прозрачный прокси squid ubuntu 14.04.5
« : 21 Декабря 2017, 10:12:34 »
Для начала опишу задачи:
нужен шлюз для фильтрации доступа к интернет ресурсам, прозрачная фильтрация HTTPS и HTTP (в общем блочить соц сети в основном).
Чуть позднее сбор статистики.
есть машина с двумя сетевыми.
Первоначальную настройку приведу ниже, после вступления.
Первый же вопрос какой squid 3.5 или 4. много статей именно про 3.5 но на виртуалке удалось настроить только 4 версию кальмара, фильтровал нормально но в основном только целиком сайт блочился например вконтакте,пришлось использовать метод при обращении к вконтакте блочил сам метод CONNECT,ибо по адресу можно было обойти например вписав перед vk.com www. .

Пользователь добавил сообщение 21 Декабря 2017, 10:14:20:
в общем забил на виртуалку начал напрямую на железо ставить с двумя сетевыми, ибо тру практис, выбрал сначала Ubuntu 16 но не сраслось заколебало, то что установка не шла от слова совсем ругался на флешку, что нет сиди диска, да и именование интерфейсов бесило, проверил 14 Ubuntu изначально ставил десктопную версию (что странно любая десктопная ставится без проблем, на новый купленный сервак свежее железо, а серверная ругалась на сиди диск) помогло следущее:
на этапе установки после выбора языка нужно смонтировать образ cd-rom-а самому:

копируем на флешку iso образ, например file.iso
после загрузки ОС, на этапе выбора языка жмем: Alt+F2
теперь смотрим какие у нас есть устройства:

ls /dev/

находим нашу флешку, в моем случае она была /dev/sdb1
теперь монтируем её в систему:

mkdir /mnt/flash
mount -tvfat /dev/sdb1 /mnt/flash

теперь монтируем установочный образ как /cdrom:

mkdir /cdrom
mount /mnt/flash/file.iso /cdrom -t iso9660 -o loop

Возвращаемся в окно установки (Alt+F1) и продолжаем её

После таких манипуляция установщик отыскал CD-ROM и нужные ему файлы

Тут так же стоит заметить, что во время установки Вас спросят о необходимости отмонтировать флешку (/dev/sdb1 в моем случае), нужно ответить да ибо иначе Ubuntu !!! не создаст разделы на жестком диске.

Вам потребуется перезагрузиться и вы окажитесь в системе. Далее логинимся, опять монтируем флешку как cd-rom,

НО есть более легкий вариант, образ в варианте netinstall с ним при устнаовке не возникло проблемм!!!!

далее установим mc
и не забываем перед работой по ssh сгенерить ключ
ssh-keygen \ ssh-keygen -t rsa
так как система свежеустановленная, без дополнительных пакетов полностью чистая, обновляемся:

sudo apt-get update
для подтягивания ключей которых нет (репозиторий)
команда
apt-key adv --recv-keys --keyserver keyserver.ubuntu.com `sudo apt-get update 2>&1 | grep -o '[0-9A-Z]\{16\}$' | xargs`

обновим повторно источники
sudo apt-get update
sudo apt-get upgrade
подготовка завершена


_____________________________________________________________________________________________________________
далее все свелось ко второму варианту по статье https://imbicile.pp.ru/ubuntu-16-04-prozrachnyj-squid-https/ до момента с iptables
______________________________________________________________________________________________________________
поиск пакетов
apt-cache search keyword




   
 squid -z 
Применяем конфигурацию
squid -k parse
squid -k reconfigure

если нет ошибок то
squid -k restart
проверяем логи и ошибки.
« Последнее редактирование: 11 Января 2018, 09:20:50 от arhangelmike »

Оффлайн fisher74

  • Заслуженный пользователь
  • Старожил
  • *
  • Сообщений: 13756
    • Просмотр профиля
Re: прозрачный прокси squid ubuntu 14.04.5
« Ответ #1 : 22 Декабря 2017, 06:42:12 »
Надоело читать незаконченные мемуары по ректальному запуску сервера. Бросил на разделе описания работы с vi

Оффлайн fisher74

  • Заслуженный пользователь
  • Старожил
  • *
  • Сообщений: 13756
    • Просмотр профиля
Re: прозрачный прокси squid ubuntu 14.04.5
« Ответ #2 : 25 Декабря 2017, 13:34:00 »
https на кальмаре из коробки в прозрачность не увести. Но к Вашему случаю это уже не относится.
На хабре была статейка как это замутить, причём без подмены сертификатов.

равда почему-то через  /usr/local/squid/sbin/squid  а не /etc/init.d/squid
Видимо потому что в 17 в работе systemd

Оффлайн fisher74

  • Заслуженный пользователь
  • Старожил
  • *
  • Сообщений: 13756
    • Просмотр профиля
Re: прозрачный прокси squid ubuntu 14.04.5
« Ответ #3 : 25 Декабря 2017, 15:43:46 »
пока не ясно зачем
Оно и понятно, что незачем
ибо параметр dns_nsmeservers кальмар берёт из resolv.conf. Ну или в край можно ему самому указать в его же конфиге.

Оффлайн Дмитрий Бо

  • Погонщик серверов
  • Модератор раздела
  • Старожил
  • *
  • Сообщений: 3549
  • Я не техподдержка, я за порядком слежу
    • Просмотр профиля
Re: прозрачный прокси squid ubuntu 14.04.5
« Ответ #4 : 02 Января 2018, 03:28:10 »
2017/12/27 14:44:15| ERROR: Directive 'sslproxy_flags' is obsolete

sslproxy_flags
    Replaced by tls_outgoing_options flags=.
(из Release Notes v4.0.5)

Оффлайн arhangelmike

  • Автор темы
  • Новичок
  • *
  • Сообщений: 6
    • Просмотр профиля
Re: прозрачный прокси squid ubuntu 14.04.5
« Ответ #5 : 10 Января 2018, 12:11:20 »
В общем вернулся к истокам, начал снова, по статье (все встало, даже версия совпала кальмара)--- Ubuntu 16.04 прозрачный Squid HTTPS.
Дошел до фразы -- Для работы необходимо настроить iptables.
более ничего не делал, так как первая же команда ничего не выводит (систему ставил с нетинсталл дистрибутива) при этом скуид радостно репортует что стартовал без ошибок.
Согласно некоторым статьям нужно настроить NAT и iptables.
Иначе как показала практика (253 ип адрес это прокся со скуидом), при попытке со стороннего компа выйти через кальмар в интернет выдает ошибку
 11:17:33 kid1| ERROR: NF getsockopt(ORIGINAL_DST) failed on local=192.168.88.253:3128 remote=192.168.88.200:52199 FD 11 flags=33: (92) Protocol not available

Нужно чтобы данный комп с двумя сетевыми картами стоял между роутером и локалкой, собирая статистику и блокируя некоторые сайты. И некоторый диапазон пускал свободно, некоторый с ограничением в интернет (но это я знаю, из списка файлов можно акл сделать).
« Последнее редактирование: 10 Января 2018, 13:18:24 от arhangelmike »

Оффлайн fisher74

  • Заслуженный пользователь
  • Старожил
  • *
  • Сообщений: 13756
    • Просмотр профиля
Re: прозрачный прокси squid ubuntu 14.04.5
« Ответ #6 : 11 Января 2018, 08:31:03 »
по статье
я даже не понял по какой статье.

так как первая же команда ничего не выводит
это же хорошо. Значит правило введено без ошибок (синтаксис) и принято ядром.
Согласно некоторым статьям нужно настроить NAT и iptables.
У Вас в голове пока мешанина из определений. Масло масляное. iptables - инструмент доя настройки NAT. Разберитесь что это такое (NAT). Не определение из wiki, а как это работает. На самом деле, для понимания общего механизма работы, там всё просто. Не обязательно на первых шагах глубоко вникать во флаги и сессии.

Поверьте, эти знания Вам могут сильно пригодятся при дальнейшем администрировании этого шлюза. И не только этого шлюза.
(Нажмите, чтобы показать/скрыть)

Кстати, проверьте. Точно правило загрузилось в ядро (и осталось там после перезагрузки)? Как именно это сделать, будет Вашим вторым домашним заданием.

Оффлайн arhangelmike

  • Автор темы
  • Новичок
  • *
  • Сообщений: 6
    • Просмотр профиля
Re: прозрачный прокси squid ubuntu 14.04.5
« Ответ #7 : 11 Января 2018, 08:52:27 »
статья https://imbicile.pp.ru/ubuntu-16-04-prozrachnyj-squid-https/
сейчас на отдельном компе прописал в прокси свой сервер при попытке выйти в сеть выдает либо доступ запрещен либо не удается получить доступ

насколько понял NAT предназанчен для того чтобы внешняя сторона считала что с ип адреса выходит одна машина, за натом  соответсвенно их много.

iptable надстройка над net-filter, а все вместе файрвол.

после рестарта сервера

 iptables -L -v -n
(Нажмите, чтобы показать/скрыть)

в общем сейчас пробую получить выход без ограничений, а после будем ограничивать.
   
« Последнее редактирование: 11 Января 2018, 11:22:57 от arhangelmike »

Оффлайн AnrDaemon

  • Заслуженный пользователь
  • Старожил
  • *
  • Сообщений: 28358
    • Просмотр профиля
Re: прозрачный прокси squid ubuntu 14.04.5
« Ответ #8 : 11 Января 2018, 08:54:58 »
Показывайте правила, а не статистику. Статистика никому не интересна.
iptables-save
Хотите получить помощь? Потрудитесь представить запрошенную информацию в полном объёме.

Прежде чем [Отправить], нажми [Просмотр] и прочти собственное сообщение. Сам-то понял, что написал?…

Оффлайн arhangelmike

  • Автор темы
  • Новичок
  • *
  • Сообщений: 6
    • Просмотр профиля
Re: прозрачный прокси squid ubuntu 14.04.5
« Ответ #9 : 11 Января 2018, 08:56:47 »
d# iptables-save
(Нажмите, чтобы показать/скрыть)


squid -k parse
(Нажмите, чтобы показать/скрыть)




Пользователь добавил сообщение 11 Января 2018, 09:00:13:
доступ запрещен на целевой машине где прописана прокси сервером моя прокся.

вывод в кеш логе
(Нажмите, чтобы показать/скрыть)

access.log

(Нажмите, чтобы показать/скрыть)

Пользователь добавил сообщение 11 Января 2018, 09:30:21:
ERR_TUNNEL_CONNECTION_FAILED в браузере с машины с прописанной проксей.

при изменении конфига скуида куска кода отвечающего за прозрачность

на
(Нажмите, чтобы показать/скрыть)

пишет доступ запрещен.

Пользователь добавил сообщение 11 Января 2018, 09:38:34:
1515652480.470      0 192.168.88.243 TAG_NONE/409 4085 CONNECT api1.pokkinw.com:443 - HIER_NONE/- text/html
1515652480.480      0 192.168.88.253 TCP_MISS/403 4285 GET http://api.pokki.com/autoupdate/v3/upgrades/88f4da3e278d01590fb2ad8ffe5279cb1ac7a44b/client? - HIER_NONE/- text/html
1515652480.480      1 192.168.88.243 TCP_MISS/403 4375 GET http://api.pokki.com/autoupdate/v3/upgrades/88f4da3e278d01590fb2ad8ffe5279cb1ac7a44b/client? - ORIGINAL_DST/192.168.88.253 text/html
вот такое встречается в логе
« Последнее редактирование: 11 Января 2018, 11:24:36 от arhangelmike »

Оффлайн arhangelmike

  • Автор темы
  • Новичок
  • *
  • Сообщений: 6
    • Просмотр профиля
Re: прозрачный прокси squid ubuntu 14.04.5
« Ответ #10 : 23 Января 2018, 15:11:22 »
На  текущий момент squid стоит и даже фильтрует, настроен мост на сервере между двумя сетевыми и если
1.не прописывать прокси  -выход в интернет есть;
2.прописать порт 3128 http то нет выхода на страницы https
3.прописать порт 3129 https то нет выхода на страницы http
Понимаю, что нужно завернуть трафик каким то образом на squid, чтобы шла фильтрация, но как это реализовать не хватает знаний.
Подскажите как и что делать.
Правила iptables не трогал. NAT  не настраивал.

Оффлайн arhangelmike

  • Автор темы
  • Новичок
  • *
  • Сообщений: 6
    • Просмотр профиля
Re: прозрачный прокси squid ubuntu 14.04.5
« Ответ #11 : 19 Марта 2019, 13:31:50 »
В общем нужно было указывать не порты http/https в браузере, а заглушку с порта 3130 в браузере тогда норм, остается разобраться с тем что нужно перенаправить трафик.
тупо надо какой файл и что туда вставить пример какой нибуть с расшифровкой. 

Оффлайн strannik85

  • Новичок
  • *
  • Сообщений: 2
    • Просмотр профиля
Re: прозрачный прокси squid ubuntu 14.04.5
« Ответ #12 : 05 Апреля 2019, 10:17:45 »
в итоге удалось все настроить? судя по вашей сети у вас Микротик и перенаправление трафика на прокси будет примерно так
https://www.linux.org.ru/forum/general/11656418
P.S. настраиваю по той же статье, но пока успеха не добился :)

Оффлайн strannik85

  • Новичок
  • *
  • Сообщений: 2
    • Просмотр профиля
Re: прозрачный прокси squid ubuntu 14.04.5
« Ответ #13 : 24 Апреля 2019, 10:11:29 »
/ip dhcp-server network>
add address=192.168.2.10/32 dns-server=192.168.2.80 gateway=192.168.2.80 netmask=24
так как дхцп раздает микрот, то сделал так :)
все просто. микрот говорит хосту что его шлюз -вооон тот прокси :) и все.
таким образом из подсети можно заруливать отдельного хоста или группу хостов. к примеру
add address=192.168.2.0/24 dns-server=192.168.2.1 gateway=192.168.2.1 netmask=24
add address=192.168.2.16/29 dns-server=192.168.2.80 gateway=192.168.2.80 netmask=24
хосты 192.168.2.17-192.168.2.22 будут ходить через прокси, а остальные мимо него.

 

Страница сгенерирована за 0.09 секунд. Запросов: 25.