Установил squid, не работает https, почта (outlook express), и ICQ

[svedos]

Добрый день всем кто мож сталкивался, проблема следующая:
Установил на компьютер с ubuntu (который раздает в локальную сеть интернет) прокси сервер squid 2.7 STABLE6 (который по умолчанию в ubuntu),
настроил конфиг, написал правило для заворота всего трафика из локальной сети на squid.
Squid кстати прозрачный. Настроил блокировку "плохих" сайтов.

НО! Теперь на всех компьютерах локальной сети интернет есть, сайты все нормально открываются, работает даже skype, но не открываются те
которые защищенные (HTTPS), так же не работает аська и почтовые проги (outlook express).

Как настроить что бы все работало? Что делаю неправильно?

Конфиг squid:

(Нажмите, чтобы показать/скрыть)

#   WELCOME TO SQUID 2.7.STABLE6
#   ----------------------------

#Recommended minimum configuration:
acl all src all
acl manager proto cache_object
acl localhost src 127.0.0.1/32
acl to_localhost dst 127.0.0.0/8
#

acl localnet src 192.168.0.0/24   # RFC1918 possible internal network
#
acl SSL_ports port 443      # https
acl SSL_ports port 563      # snews
acl SSL_ports port 873      # rsync
acl Safe_ports port 80      # http
acl Safe_ports port 21      # ftp
acl Safe_ports port 443      # https
acl Safe_ports port 70      # gopher
acl Safe_ports port 210      # wais
acl Safe_ports port 1025-65535   # unregistered ports
acl Safe_ports port 280      # http-mgmt
acl Safe_ports port 488      # gss-http
acl Safe_ports port 591      # filemaker
acl Safe_ports port 777      # multiling http
acl Safe_ports port 631      # cups
acl Safe_ports port 873      # rsync
acl Safe_ports port 901      # SWAT
acl purge method PURGE
acl CONNECT method CONNECT

#########################################################################################
acl bad url_regex "/etc/squid/bad"
http_access deny bad
############################################################################################


#Recommended minimum configuration:
#
# Only allow cachemgr access from localhost
http_access allow manager localhost
http_access deny manager
# Only allow purge requests from localhost
http_access allow purge localhost
http_access deny purge
# Deny requests to unknown ports
http_access deny !Safe_ports
# Deny CONNECT to other than SSL ports
http_access deny CONNECT !SSL_ports
#
#
http_access allow localnet
http_access allow localhost

# And finally deny all other access to this proxy
http_access deny all


icp_access allow localnet
icp_access deny all


http_port 3128 transparent


hierarchy_stoplist cgi-bin ?



access_log /var/log/squid/access.log squid


#Suggested default:
refresh_pattern ^ftp:      1440   20%   10080
refresh_pattern ^gopher:   1440   0%   1440
refresh_pattern -i (/cgi-bin/|\?) 0   0%   0
refresh_pattern (Release|Package(.gz)*)$   0   20%   2880
refresh_pattern .      0   20%   4320


# Don't upgrade ShoutCast responses to HTTP
acl shoutcast rep_header X-HTTP09-First-Line ^ICY.[0-9]
upgrade_http0.9 deny shoutcast


# Apache to signal ETag correctly on such responses
acl apache rep_header Server ^Apache
broken_vary_encoding allow apache


#   You can add up to 20 additional "extension" methods here.
extension_methods REPORT MERGE MKACTIVITY CHECKOUT


#Default:
# hosts_file /etc/hosts
#
hosts_file /etc/hosts


#  TAG: as_whois_server
#   WHOIS server to query for AS numbers.  NOTE: AS numbers are

coredump_dir /var/spool/squid

Конфиг стартового скрипта:

(Нажмите, чтобы показать/скрыть)

#!/bin/sh -e
#
# rc.local
#
# This script is executed at the end of each multiuser runlevel.
# Make sure that the script will "exit 0" on success or any other
# value on error.
#
# In order to enable or disable this script just change the execution
# bits.
#
# By default this script does nothing.

iptables -t nat -F
iptables -t filter -F
iptables -t mangle -F
iptables -t nat -A PREROUTING -i eth1 -p tcp -d! 192.168.0.1 --dport 80 -j REDIRECT --to-ports 3128

exit 0

[Mam(O)n]

Если быть точнее, то работает только 80 порт. Еще осталось 443 (https) зарулить. Можно конечно и 21 добавить, но порой, говорят, что без гемора не обходится.

А остальной трафик нужно помимо сквида пускать, кешировать там нечего, нужно только NAT'ить.

[bober_man]

Можно всё. Но лучше сразу средствами iptables. (HTB)
смотрите в сторону stargazer.
Хотя если не нужно точно считать, а достаточно только того, что прошло через 80й порт,  то оставляйте как есть, а некоторые порты (25, 5190, 443, 100 и тд) просто заверните через iptables для нужных пользователей, ну или вообще для всей сети.

[svedos]

а как собственно завернуть? Нужно что бы все что не http (80 порт) проходило мимо squid.
какое правило можно прописать в данном случае в стартовый скрипт что бы весь остальной трафик шел напрямую?

[bober_man]

считать трафик ненужно?!
Если нет, тогда в iptables
IP внешний статический??? ответьте на вопрос и я постараюсь обьяснить как

Пользователь решил продолжить мысль 24 Февраля 2010, 14:25:31:При статическом IP
Запихиваем куда нить в init.d
#!/bin/sh

echo "    Enabling IP forwarding..."
echo "1" > /proc/sys/net/ipv4/ip_forward
echo "1" > /proc/sys/net/ipv4/ip_dynaddr

в iptables
#Почтовые порты
-A POSTROUTING -p tcp -s ВНУТРЕННИЙ АЙПИ КОМПА --dport 110 -j SNAT --to-source ВНЕШНИЙ АЙПИ  --dst ! ВАША ВНУТР ПОДСЕТЬ/255.255.255.0
-A POSTROUTING -p tcp -s ВНУТРЕННИЙ АЙПИ КОМПА --dport 25 -j SNAT --to-source ВНЕШНИЙ АЙПИ  --dst ! ВАША ВНУТР ПОДСЕТЬ/255.255.255.0
## Либо для всей сети
-A POSTROUTING -p tcp -s ВАША ВНУТР ПОДСЕТЬ/24 --dport 443 -j SNAT --to-source ВНЕШНИЙ АЙПИ  --dst ! ВАША ВНУТР ПОДСЕТЬ/255.255.255.0


С другими портами по аналогии. Ественно порты должны работать на выход (открыты на сервере)

[svedos]

а если сервер получает ip от провайдера динамический??
можно ли вместо адресов внутренних или внешних указать
интерфейс например eth1 или eth0?
(считать трафик не нужно)

[Mam(O)n]

Как я понял, eth1 - логалка, eth0- инет.

Код: [Выделить]

iptables -t nat -A PREROUTING -i eth1 -p tcp -d! 192.168.0.1 --dport 80 -j REDIRECT --to-ports 3128
iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE
iptables -P FORWARD DROP
iptables -A FORWARD -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
iptables -A FORWARD -m conntrack --ctstate NEW ! -i eth0 -j ACCEPT
iptables -t mangle -A FORWARD -p tcp --tcp-flags SYN,RST SYN -j TCPMSS --clamp-mss-to-pmtu
Пользователь решил продолжить мысль 24 Февраля 2010, 15:01:13:И соответственно раскомментировать в /etc/sysctl.conf net.ipv4.ip_forward=1 и рестартнуть sudo invoke-rc.d procps restart

[svedos]

Большущее спасибо-все заработало!!!
.

Как я понял, eth1 - логалка, eth0- инет.

Код: [Выделить]

iptables -t nat -A PREROUTING -i eth1 -p tcp -d! 192.168.0.1 --dport 80 -j REDIRECT --to-ports 3128
iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE
iptables -P FORWARD DROP
iptables -A FORWARD -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
iptables -A FORWARD -m conntrack --ctstate NEW -o eth0 -j ACCEPT
iptables -t mangle -A FORWARD -p tcp --tcp-flags SYN,RST SYN -j TCPMSS --clamp-mss-to-pmtu
Пользователь решил продолжить мысль 24 Февраля 2010, 15:01:13:И соответственно раскомментировать в /etc/sysctl.conf net.ipv4.ip_forward=1 и рестартнуть sudo invoke-rc.d procps restart

Если можно Вы не могли написать хотя бы краткий комментарий для каждой строки, для более глубокого понимания ситуации?

[Mam(O)n]

# Маскируем адреса локалки, когда пакет уходит от eth0
iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE
# Правило по-умолчанию для транзита - drop
iptables -P FORWARD DROP
# Разрешаем прохождение пакетов от уже установленных соединений
iptables -A FORWARD -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
# Разрешаем новые подключения из любого места, но кроме с внешнего интерфейса.
iptables -A FORWARD -m conntrack --ctstate NEW ! -i eth0 -j ACCEPT
# Если есть разница в mtu входящего и исходящего интерфейса, то подкручиваем mss у tcp
iptables -t mangle -A FORWARD -p tcp --tcp-flags SYN,RST SYN -j TCPMSS --clamp-mss-to-pmtu

sysctl.conf:
# Включаем транзит
net.ipv4.ip_forward=1

Я в предыдущем посте небольшую ошибку допустил, уже поправил. Красным выделил, где.

[svedos]

Интересно, но даже с ошибкой все работает.))

[Mam(O)n]

Эта ошибка на безопасность влияет. Я немного попутал потоки трафика.

[svedos]

а вообще Вам как специалисту при данных настройках сквида и стартового скрипта как вообще безопасность моего сервера?
я имею ввиду никто не сможет подключиться к проксю из вне и типа рассылать за наш трафик спам? или еще чего плохого?

[Mam(O)n]

Я бы еще просто прикрыл файрволлом все порты внешнего интерфейса, кроме как для удалённого администрирования. Сохраняет нервы, когда в конфиге какого-либо сервиса для локалки косяк обнаруживаешь.

[svedos]

а как это сделать?
мне нужны только 80, 22, 447, 110, 25 и вроде как все

Пользователь решил продолжить мысль 25 Февраля 2010, 00:13:23:это нужно в firestarter настраивать? или можно командами в стартовом скрипте указать? В принципе по большому счету мне из всех соединений из вне нужен только 22 порт.

[Mam(O)n]

Добавь к тому
# По умолчанию закрываем всё.
iptables -P INPUT DROP
# Разрешаем прохождение пакетов от уже установленных соединений
iptables -A INPUT -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
# Разрешаем все подключения, которые не с внешнего интерфейса.
iptables -A INPUT ! -i eth0 -j ACCEPT
# Разрешаем из внешки коннектить на следующие tcp порты сервера
iptables -A INPUT -p tcp -m multiport --dports 22,80,447,110,25 -j ACCEPT