не работает squid — выдает ошибку access denied

[allkex]

не работает сквид почему понять не могу сам сервер запускает когда в браузере прописываю прокси оно не работает выдает ошибку access denied  вот конфиг

Код: [Выделить]


#Recommended minimum configuration:
acl all src all
acl manager proto cache_object
acl localhost src 127.0.0.1/32
acl to_localhost dst 127.0.0.0/8 0.0.0.0/32

acl localnet src 10.0.0.0/8 # RFC1918 possible internal network
acl localnet src 172.16.0.0/12 # RFC1918 possible internal network
acl localnet src 192.168.0.0/16 # RFC1918 possible internal network
acl localnet src 192.168.1.0/24
#
acl SSL_ports port 443 # https
acl SSL_ports port 563 # snews
acl SSL_ports port 873 # rsync
acl Safe_ports port 80 # http
acl Safe_ports port 21 # ftp
acl Safe_ports port 443 # https
acl Safe_ports port 70 # gopher
acl Safe_ports port 210 # wais
acl Safe_ports port 1025-65535 # unregistered ports
acl Safe_ports port 280 # http-mgmt
acl Safe_ports port 488 # gss-http
acl Safe_ports port 591 # filemaker
acl Safe_ports port 777 # multiling http
acl Safe_ports port 631 # cups
acl Safe_ports port 873 # rsync
acl Safe_ports port 901 # SWAT
acl purge method PURGE
acl CONNECT method CONNECT


# Only allow cachemgr access from localhost
http_access allow manager localhost
http_access deny manager
# Only allow purge requests from localhost
http_access allow purge localhost
http_access deny purge
# Deny requests to unknown ports
http_access deny !Safe_ports
# Deny CONNECT to other than SSL ports
http_access deny CONNECT !SSL_ports

http_access allow localhost


icp_access allow localnet
icp_access deny all


http_port 192.168.1.10:3128 transparent


hierarchy_stoplist cgi-bin ?



access_log /var/log/squid/access.log squid




#Suggested default:
refresh_pattern ^ftp: 1440 20% 10080
refresh_pattern ^gopher: 1440 0% 1440
refresh_pattern -i (/cgi-bin/|\?) 0 0% 0
refresh_pattern (Release|Packages(.gz)*)$ 0 20% 2880
refresh_pattern . 0 20% 4320


acl shoutcast rep_header X-HTTP09-First-Line ^ICY.[0-9]
upgrade_http0.9 deny shoutcast

acl apache rep_header Server ^Apache
broken_vary_encoding allow apache


extension_methods REPORT MERGE MKACTIVITY CHECKOUT





hosts_file /etc/hosts


coredump_dir /var/spool/squid




[tagilchanin]

А ваша подсеть какая?

[ivanov_d_o]

Сеть видимо 192.168.1.0/24 а вот зачем 2 раза ставить разрешение на localhost?
http_access allow manager localhost
...........................
http_access allow localhost
Видимо ошибка в написании и имеется ввиду localnet? Хотя я бы изменил имя.

[tagilchanin]

не факт

[allkex]

подсеть 155я адрес сервера 192.168.155.1 не работает теперь прозрачный прокси или я что то не допонял. в общем поставил transparent в настройках iptables перекинул пакеты с 80го порта на прокси и теперь что бы войти в инет нужно у клиента на компе прописать прокси в настройках браузера ну или глобальный прокси в винде.. как сделать что бы ничего не приходилось настраивать у клиента на компе но пакеты шли через прокси???

[tagilchanin]

Ты пропиши свою подсеть в squid примерно так:

(Нажмите, чтобы показать/скрыть)

acl office  src 192.168.155.0/24
http_access allow office

и будет тебе дзен

[allkex]

то есть при такой конфигурации сквида которую вы указали при перенаправлении данных с помощью iptables в офисе ничего настраивать ненужно будет? данные прямотоком потекут? или все таки как то подругому будет?

[tagilchanin]

Такой конфигурацией ты разрешаешь подсети 192.168.155.0/24 выходить в инет через твой прокси.
Вопрос адрес твоего шлюза 192.168.10.1? или другой?

[ivanov_d_o]

А что хотелось то? Если речь идет о том, чтобы не бегать по компьютерам, то можно использовать скрипт автоматической настройки прокси (нужен HTTP сервер и назойливость).
P.S. Прозрачность прокси относится к тому, что пользователи независимо от настроек на своих устройствах всегда проходят через прокси. Делается это заворотом всех пакетов на проски за счет маршрутизации на шлюзе.

[allkex]

Вопрос адрес твоего шлюза 192.168.10.1? или другой?

шлю я так понимаю вы имеете ввиду куда пакеты перекидываюся с локалки? на второй интерфейс он имеет адрес 192.168.15.2

А что хотелось то?

хотелось сделать так что бы клиентские машины не настраивать, но данные что бы шли через прокси сервер ну а как бы пользователи и не знали об этом.

[tagilchanin]

Вообще ничего не понял. Твоя внутреняя сеть 192.168.155.0/24 так? Тогда откуда 192.168.15.2 ? Нарисуй схему твоей сети.

[allkex]

Сетевой интерфейс к которому подсоединен интернет имеет Ип адрес 192.168.15.2 далее идет переброс пакетов на второй сетевой интерфейс который обслуживает локальную сеть он имеет ИП адрес 192.168.155.1 вот вывод iptables-save

Код: [Выделить]

# Generated by iptables-save v1.4.8 on Mon Jan 30 14:42:40 2012
*mangle
:PREROUTING ACCEPT [83664:51864645]
:INPUT ACCEPT [13040:2030643]
:FORWARD ACCEPT [70581:49808572]
:OUTPUT ACCEPT [12831:4065912]
:POSTROUTING ACCEPT [83416:53875279]
-A FORWARD -o ppp0 -p tcp -m tcp --tcp-flags SYN,RST SYN -m tcpmss --mss 1400:65495 -j TCPMSS --clamp-mss-to-pmtu
COMMIT
# Completed on Mon Jan 30 14:42:40 2012
# Generated by iptables-save v1.4.8 on Mon Jan 30 14:42:40 2012
*filter
:INPUT ACCEPT [768379:128891012]
:FORWARD ACCEPT [1996760:2197069786]
:OUTPUT ACCEPT [1111449:1209030906]
-A FORWARD -s 192.168.155.0/24 -j ACCEPT
COMMIT
# Completed on Mon Jan 30 14:42:40 2012
# Generated by iptables-save v1.4.8 on Mon Jan 30 14:42:40 2012
*nat
:PREROUTING ACCEPT [119406:7965571]
:POSTROUTING ACCEPT [35848:2622775]
:OUTPUT ACCEPT [36098:2647911]
-A POSTROUTING -s 192.168.155.0/24 -j MASQUERADE
COMMIT
# Completed on Mon Jan 30 14:42:40 2012

[tagilchanin]

Ни слова, о проборосе порта на прокси
Во первых: пишешь в конфиге squid твоей локальный интрефейс
http_port 192.168.155.1:3128 transparent
потом там же пропиши то что я тебе говорил про твою подсеть
Во вторых: заворачиваешь трафик на прокси
-A PREROUTING -s 192.168.155.0/24 -i eth1 -p tcp -m multiport --dports 80,8080 -j REDIRECT --to-ports 3128
Ну и пробуешь инет.

[allkex]

Ни слова, о проборосе порта на прокси
Во первых: пишешь в конфиге squid твоей локальный интрефейс
http_port 192.168.155.1:3128 transparent
потом там же пропиши то что я тебе говорил про твою подсеть
Во вторых: заворачиваешь трафик на прокси
-A PREROUTING -s 192.168.155.0/24 -i eth1 -p tcp -m multiport --dports 80,8080 -j REDIRECT --to-ports 3128
Ну и пробуешь инет.

я так и делал, ну кроме того что ты выше писал, но такое шаманство требует настройки клиентских компов.. мне то так не хочется!:),а хочется что бы они не знали что они через проксю топают!:) реально ли это? хотя вечером попробую завести группку и сделать как ты написал.. я верю что все получится, но если что отпишусь здесь!:)

[tagilchanin]

Вот не поверишь, все так же у себя настроил и мои хомяки даже не знают, что ходят в инет, через проксю И настройки клиенты сооовсем не требуют. Единственное, так это DHCP-сервер поднять, что бы сетевые настройки в ручную не писать