squid3 мануал

[surfer]

подскажите есть мануал по настройке squid3 и организации прозрачного прокси,
делал по этой статье http://interface31.ru/tech_it/2009/11/linux-nastrojka-routera-nat-dhcp-squid.html
материал устаревший прокси не пускает в сеть машины

[fisher74]

По какому пункту Вы определили, что материал устаревший и потерял свою актуальность?

А не пускает в сеть.... видимо лимиты надо поднять. И в первую очередь на знаки препинания в Вашем вопросе.
Что хотите-то от нас?
Показывайте что настроили и как не работает

Код: [Выделить]

ip a; ip r
nslookup ya.ru
sudo service squid3 status
netstat -lt | grep 3128
grep -v "^#\|^$" /etc/squid3/squid.conf
sudo iptables-save


[surfer]

по тому что уже squid3 ставится и т.д., но это не критично
с локальной машины в интернет не выходит браузер пишет, что squid заблокировал
в логах squid вот такая ошибка
TCP_MISS/403
а в другом error: No forward-proxy ports configured
возможно я где-то ошибку совершил, а где именно не пойму. 
кстати, а как понять через прокси идет машина или нет?

(Нажмите, чтобы показать/скрыть)

acl localnet src 10.0.0.0/24
acl SSL_ports port 443
acl Safe_ports port 80          # http
acl Safe_ports port 21          # ftp
acl Safe_ports port 443         # https
acl Safe_ports port 70          # gopher
acl Safe_ports port 210         # wais
acl Safe_ports port 1025-65535  # unregistered ports
acl Safe_ports port 280         # http-mgmt
acl Safe_ports port 488         # gss-http
acl Safe_ports port 591         # filemaker
acl Safe_ports port 777         # multiling http
acl CONNECT method CONNECT
acl url_filtred src 10.0.0.110-10.0.0.200
acl blacklist url_regex -i "/etc/squid3/blacklist"
http_access deny !Safe_ports
http_access deny CONNECT !SSL_ports
http_access allow localhost manager
http_access deny manager
http_access deny blacklist url_filtred
http_access allow localnet
http_access allow localhost
http_access deny all
http_port 10.0.0.1:3128 transparent
cache_dir ufs /var/spool/squid3 4096 32 256
coredump_dir /var/spool/squid3
refresh_pattern ^ftp:           1440    20%     10080
refresh_pattern ^gopher:        1440    0%      1440
refresh_pattern -i (/cgi-bin/|\?) 0     0%      0
refresh_pattern (Release|Packages(.gz)*)$      0       20%     2880
refresh_pattern .               0       20%     4320
error_directory /usr/share/squid3/errors/Russian-koi8-r
memory_pools on
memory_pools_limit 50 MB

[fisher74]

Давайте сразу определимся. Если выхлоп каждой команды диагностики из Вас нужно будет тянуть клещами, то я пас.

Пользователь решил продолжить мысль [time]18 Июль 2014, 17:45:08[/time]:

acl url_filtred src 10.0.0.110-10.0.0.200
acl blacklist url_regex -i "/etc/squid3/blacklist"
...
http_access deny blacklist url_filtred

Это закомментируйте пока. Приступы паранойи и всемогущества не должны опережать возможности и умение.
Пользователь решил продолжить мысль 18 Июля 2014, 17:51:37:

по тому что уже squid3 ставится и т.д., но это не критично

Совершенно верно. Но всё же для squid3 с какой-то версии есть тонкое обновление для случаев организации прозрачного прокси
возможно(!!!) придётся поправить инициализацию прозрачности так

http_port 10.0.0.1:3128 transparent intercept

[surfer]

ip a; ip r

(Нажмите, чтобы показать/скрыть)

1: lo: <LOOPBACK,UP,LOWER_UP> mtu 65536 qdisc noqueue state UNKNOWN group default
    link/loopback 00:00:00:00:00:00 brd 00:00:00:00:00:00
    inet 127.0.0.1/8 scope host lo
       valid_lft forever preferred_lft forever
    inet6 ::1/128 scope host
       valid_lft forever preferred_lft forever
2: eth0: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc pfifo_fast state UP group default qlen 1000
    link/ether 08:00:27:c7:be:55 brd ff:ff:ff:ff:ff:ff
    inet 192.168.0.100/24 brd 192.168.0.255 scope global eth0
       valid_lft forever preferred_lft forever
    inet6 fe80::a00:27ff:fec7:be55/64 scope link
       valid_lft forever preferred_lft forever
3: eth1: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc pfifo_fast state UP group default qlen 1000
    link/ether 08:00:27:3f:19:55 brd ff:ff:ff:ff:ff:ff
    inet 10.0.0.1/24 brd 10.0.0.255 scope global eth1
       valid_lft forever preferred_lft forever
    inet6 fe80::a00:27ff:fe3f:1955/64 scope link
       valid_lft forever preferred_lft forever
default via 192.168.0.1 dev eth0
10.0.0.0/24 dev eth1  proto kernel  scope link  src 10.0.0.1
192.168.0.0/24 dev eth0  proto kernel  scope link  src 192.168.0.100

nslookup ya.ru

(Нажмите, чтобы показать/скрыть)

Server:         127.0.0.1
Address:        127.0.0.1#53

Non-authoritative answer:
Name:   ya.ru
Address: 213.180.204.3
Name:   ya.ru
Address: 93.158.134.3
Name:   ya.ru
Address: 213.180.193.3

netstat -lt | grep 3128

(Нажмите, чтобы показать/скрыть)

squid3 start/running, process 1453

netstat -lt | grep 3128

(Нажмите, чтобы показать/скрыть)

tcp        0      0 10.0.0.1:3128           *:*                     LISTEN

sudo iptables-save

(Нажмите, чтобы показать/скрыть)

# Generated by iptables-save v1.4.21 on Fri Jul 18 17:52:46 2014
*nat
:PREROUTING ACCEPT [419:47685]
:INPUT ACCEPT [431:47643]
:OUTPUT ACCEPT [178:11517]
:POSTROUTING ACCEPT [178:11517]
-A PREROUTING ! -d 10.0.0.0/24 -i eth1 -p tcp -m multiport --dports 80,8080 -j DNAT --to-destination 10.0.0.1:3128
-A POSTROUTING -s 10.0.0.0/24 -o eth0 -j MASQUERADE
COMMIT
# Completed on Fri Jul 18 17:52:46 2014
# Generated by iptables-save v1.4.21 on Fri Jul 18 17:52:46 2014
*filter
:INPUT ACCEPT [3779:903797]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [4116:1359296]
-A INPUT -i lo -j ACCEPT
-A FORWARD -i eth1 -o eth0 -j ACCEPT
-A FORWARD -i eth0 -m state --state RELATED,ESTABLISHED -j ACCEPT
-A FORWARD -i eth0 -o eth1 -j REJECT --reject-with icmp-port-unreachable
COMMIT
# Completed on Fri Jul 18 17:52:46 2014

закомментировал и исправил, результат тот же

если так http_port 10.0.0.1:3128 то работает, но я не знаю через прокси он ходит или нет в данном случае

[fisher74]

Настройте пока клиента жёстко на работу через прокси (в настройках браузера).
Заработает в нормальном режиме - заведётся и в прозрачном. Чтобы проверить работает через прокси или напрмую - просто выключите кальмара - браузер должен соответственно отреагировать

Код: [Выделить]

sudo service squid3 stopкак запустить обратно - думаю догадаетесь.

Беглый просмотр в настройках косяков не выявил.
Пользователь решил продолжить мысль [time]18 Июль 2014, 18:18:55[/time]:И это ... СПОЙЛЕРЫ на листинги оденьте
Пользователь решил продолжить мысль [time]18 Июль 2014, 18:24:22[/time]:Лёгкий тюнинг

-A PREROUTING ! -d 10.0.0.0/24 -i eth1 -p tcp -m multiport --dports 80,8080 -j DNAT --to-destination 10.0.0.1: REDIRECT --to-ports 3128

Если на eth0 адрес статический, то ещё

-A POSTROUTING -s 10.0.0.0/24 -o eth0 -j MASQUERADE SNAT --to-source 192.168.0.100

[surfer]

вот конфиг
после правок

(Нажмите, чтобы показать/скрыть)

acl localnet src 10.0.0.0/24
acl SSL_ports port 443
acl Safe_ports port 80          # http
acl Safe_ports port 21          # ftp
acl Safe_ports port 443         # https
acl Safe_ports port 70          # gopher
acl Safe_ports port 210         # wais
acl Safe_ports port 1025-65535  # unregistered ports
acl Safe_ports port 280         # http-mgmt
acl Safe_ports port 488         # gss-http
acl Safe_ports port 591         # filemaker
acl Safe_ports port 777         # multiling http
acl CONNECT method CONNECT
http_access deny !Safe_ports
http_access deny CONNECT !SSL_ports
http_access allow localhost manager
http_access deny manager
http_access allow localnet
http_access allow localhost
http_access deny all
http_port 10.0.0.1:3128 intercept
cache_dir ufs /var/spool/squid3 4096 32 256
coredump_dir /var/spool/squid3
refresh_pattern ^ftp:           1440    20%     10080
refresh_pattern ^gopher:        1440    0%      1440
refresh_pattern -i (/cgi-bin/|\?) 0     0%      0
refresh_pattern (Release|Packages(.gz)*)$      0       20%     2880
refresh_pattern .               0       20%     4320
error_directory /usr/share/squid3/errors/Russian-koi8-r
memory_pools on
memory_pools_limit 50 MB

  не работает
Пользователь решил продолжить мысль [time]18 Июль 2014, 18:36:01[/time]:

Лёгкий тюнинг

-A PREROUTING ! -d 10.0.0.0/24 -i eth1 -p tcp -m multiport --dports 80,8080 -j DNAT --to-destination 10.0.0.1: REDIRECT 3128

Если на eth0 адрес статический, то ещё

-A POSTROUTING -s 10.0.0.0/24 -o eth0 -j MASQUERADE SNAT --to-source 192.168.0.100

это в каком файле я что-то не нашел в конфиге кальмар
eth0 и eth1 статические

http_port 10.0.0.1:3128 вот так работает

[fisher74]

это в каком файле я что-то не нашел в конфиге кальмар

Видимо в /etc/nat

http_port 10.0.0.1:3128 вот так работает

Можно чуть поподробней? Как не работает и как работает? В плане что где меняете, чтобы заработало?

Пользователь решил продолжить мысль 18 Июля 2014, 18:49:45:А кстати... всё время забываю что для прозрачности нужно чтобы ...
покажите результат
sysctl net.ipv4.ip_forward

[surfer]

нашел
теперь вот такая хрень при перезапуске кальмара squid: unrecognized service


вот смотрите если я просто в конфиге прописываю вот так http_port 10.0.0.1:3128 и се то работает, а если добавляю после  transparent или intercept перестает работать

[fisher74]

Покажите

Код: [Выделить]

lsb_release -d --short
squid3 -v

Всё работает КАК? На клиенте  жёстко установлен прокси?
Перестаёт работать как? Кальмар не запускается или клиенту доступ блокируется? Прокси на нём в это время всё так же жёстко установлен?
Пользователь решил продолжить мысль 18 Июля 2014, 19:02:49:И ошибки показывайте вместе с командами их спровоцировавшими.

[surfer]

Ubuntu 14.04 LTS

(Нажмите, чтобы показать/скрыть)

Squid Cache: Version 3.3.8
Ubuntu
configure options:  '--build=i686-linux-gnu' '--prefix=/usr' '--includedir=${prefix}/include' '--mandir=${prefix}/share/man' '--infodir=${prefix}/share/info' '--sysconfdir=/etc' '--localstatedir=/var' '--libexecdir=${prefix}/lib/squid3' '--srcdir=.' '--disable-maintainer-mode' '--disable-dependency-tracking' '--disable-silent-rules' '--datadir=/usr/share/squid3' '--sysconfdir=/etc/squid3' '--mandir=/usr/share/man' '--enable-inline' '--enable-async-io=8' '--enable-storeio=ufs,aufs,diskd,rock' '--enable-removal-policies=lru,heap' '--enable-delay-pools' '--enable-cache-digests' '--enable-underscores' '--enable-icap-client' '--enable-follow-x-forwarded-for' '--enable-auth-basic=DB,fake,getpwnam,LDAP,MSNT,MSNT-multi-domain,NCSA,NIS,PAM,POP3,RADIUS,SASL,SMB' '--enable-auth-digest=file,LDAP' '--enable-auth-negotiate=kerberos,wrapper' '--enable-auth-ntlm=fake,smb_lm' '--enable-external-acl-helpers=file_userip,kerberos_ldap_group,LDAP_group,session,SQL_session,unix_group,wbinfo_group' '--enable-url-rewrite-helpers=fake' '--enable-eui' '--enable-esi' '--enable-icmp' '--enable-zph-qos' '--enable-ecap' '--disable-translation' '--with-swapdir=/var/spool/squid3' '--with-logdir=/var/log/squid3' '--with-pidfile=/var/run/squid3.pid' '--with-filedescriptors=65536' '--with-large-files' '--with-default-user=proxy' '--enable-linux-netfilter' 'build_alias=i686-linux-gnu' 'CFLAGS=-g -O2 -fPIE -fstack-protector --param=ssp-buffer-size=4 -Wformat -Werror=format-security -Wall' 'LDFLAGS=-Wl,-Bsymbolic-functions -fPIE -pie -Wl,-z,relro -Wl,-z,now' 'CPPFLAGS=-D_FORTIFY_SOURCE=2' 'CXXFLAGS=-g -O2 -fPIE -fstack-protector --param=ssp-buffer-size=4 -Wformat -Werror=format-security'

да на клиенте жестко прописан прокси.

ок, ошибка вылезла после легкого тюнинга nat, причем кальмар работает

[fisher74]

Ещё раз пожалуйста

Код: [Выделить]

netstat -lt | grep 3128
grep -v "^#\|^$" /etc/squid3/squid.conf
sysctl net.ipv4.ip_forward
sudo iptables-save

[surfer]

netstat -lt | grep 3128

(Нажмите, чтобы показать/скрыть)

tcp        0      0 10.0.0.1:3128           *:*                     LISTEN

grep -v "^#\|^$" /etc/squid3/squid.conf

(Нажмите, чтобы показать/скрыть)

root@us:~# tcp        0      0 10.0.0.1:3128           *:*                     LISTEN
Команда 'tcp' не найдена, но есть 27 похожих
tcp: команда не найдена
root@us:~# grep -v "^#\|^$" /etc/squid3/squid.conf
acl localnet src 10.0.0.0/24
acl SSL_ports port 443
acl Safe_ports port 80          # http
acl Safe_ports port 21          # ftp
acl Safe_ports port 443         # https
acl Safe_ports port 70          # gopher
acl Safe_ports port 210         # wais
acl Safe_ports port 1025-65535  # unregistered ports
acl Safe_ports port 280         # http-mgmt
acl Safe_ports port 488         # gss-http
acl Safe_ports port 591         # filemaker
acl Safe_ports port 777         # multiling http
acl CONNECT method CONNECT
http_access deny !Safe_ports
http_access deny CONNECT !SSL_ports
http_access allow localhost manager
http_access deny manager
http_access allow localnet
http_access allow localhost
http_access deny all
http_port 10.0.0.1:3128 transparent
cache_dir ufs /var/spool/squid3 4096 32 256
coredump_dir /var/spool/squid3
refresh_pattern ^ftp:           1440    20%     10080
refresh_pattern ^gopher:        1440    0%      1440
refresh_pattern -i (/cgi-bin/|\?) 0     0%      0
refresh_pattern (Release|Packages(.gz)*)$      0       20%     2880
refresh_pattern .               0       20%     4320
error_directory /usr/share/squid3/errors/Russian-koi8-r
memory_pools on
memory_pools_limit 50 MB

sysctl net.ipv4.ip_forward

(Нажмите, чтобы показать/скрыть)

net.ipv4.ip_forward = 1

sudo iptables-save

(Нажмите, чтобы показать/скрыть)

# Generated by iptables-save v1.4.21 on Fri Jul 18 19:56:15 2014
*nat
:PREROUTING ACCEPT [478:59458]
:INPUT ACCEPT [478:59458]
:OUTPUT ACCEPT [44:2921]
:POSTROUTING ACCEPT [14:918]
-A POSTROUTING -o eth0 -j SNAT --to-source 192.168.0.100
COMMIT
# Completed on Fri Jul 18 19:56:15 2014
# Generated by iptables-save v1.4.21 on Fri Jul 18 19:56:15 2014
*filter
:INPUT ACCEPT [1338:125878]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [722:129748]
-A INPUT -i lo -j ACCEPT
-A FORWARD -i eth1 -o eth0 -j ACCEPT
-A FORWARD -i eth0 -m state --state RELATED,ESTABLISHED -j ACCEPT
-A FORWARD -i eth0 -o eth1 -j REJECT --reject-with icmp-port-unreachable
COMMIT
# Completed on Fri Jul 18 19:56:15 2014

[fisher74]

Добавим редирект (выше исправил свою ошибку)

Код: [Выделить]

sudo iptables -t nat -A PREROUTING -i eth1 ! -d 10.0.0.0/24 -p tcp -m multiport --dports 80,8080 -j REDIRECT --to-ports 3128Меняем transparent на intercept (так как с 3.3.5 transparent вроде не поддерживается)
Перезапускаем кальмара

Код: [Выделить]

sudo service squid3 restartтыкаемся клиентом и смотрим логи кальмара

[surfer]

access.log

(Нажмите, чтобы показать/скрыть)

1405702892.059      0 10.0.0.144 NONE/409 3867 CONNECT packages.debian.org:443 - HIER_NONE/- text/html
1405702892.152      0 10.0.0.1 TCP_MISS/403 4002 GET http://nmap.org/book/install.html - HIER_NONE/- text/html
1405702892.152     14 10.0.0.144 TCP_MISS/403 4079 GET http://nmap.org/book/install.html - HIER_DIRECT/10.0.0.1 text/html
1405702892.166      0 10.0.0.1 TCP_MISS/403 4056 GET http://www.squid-cache.org/Artwork/SN.png - HIER_NONE/- text/html
1405702892.167      1 10.0.0.144 TCP_MISS/403 4133 GET http://www.squid-cache.org/Artwork/SN.png - HIER_DIRECT/10.0.0.1 text/html

cache.log

(Нажмите, чтобы показать/скрыть)

2014/07/18 21:01:32.059| ERROR: No forward-proxy ports configured.
2014/07/18 21:01:32.059| ERROR: No forward-proxy ports configured.
2014/07/18 21:02:02.221| SECURITY ALERT: Host header forgery detected on local=10.0.0.1:3128 remote=10.0.0.144:54191 FD 10 flags=33 (local IP does not match any domain IP)
2014/07/18 21:02:02.221| SECURITY ALERT: By user agent: Mozilla/5.0 (X11; Ubuntu; Linux i686; rv:30.0) Gecko/20100101 Firefox/30.0
2014/07/18 21:02:02.221| SECURITY ALERT: on URL: packages.debian.org:443
2014/07/18 21:02:02.221| ERROR: No forward-proxy ports configured.
2014/07/18 21:02:02.221| abandoning local=10.0.0.1:3128 remote=10.0.0.144:54191 FD 10 flags=33
2014/07/18 21:02:02.294| SECURITY ALERT: Host header forgery detected on local=10.0.0.1:3128 remote=10.0.0.144:54192 FD 26 flags=33 (local IP does not match any domain IP)
2014/07/18 21:02:02.294| SECURITY ALERT: By user agent: Mozilla/5.0 (X11; Ubuntu; Linux i686; rv:30.0) Gecko/20100101 Firefox/30.0
2014/07/18 21:02:02.294| SECURITY ALERT: on URL: packages.debian.org:443
2014/07/18 21:02:02.294| ERROR: No forward-proxy ports configured.
2014/07/18 21:02:02.294| abandoning local=10.0.0.1:3128 remote=10.0.0.144:54192 FD 26 flags=33
2014/07/18 21:02:02.373| SECURITY ALERT: Host header forgery detected on local=10.0.0.1:3128 remote=10.0.0.144:54193 FD 27 flags=33 (local IP does not match any domain IP)
2014/07/18 21:02:02.373| SECURITY ALERT: By user agent: Mozilla/5.0 (X11; Ubuntu; Linux i686; rv:30.0) Gecko/20100101 Firefox/30.0
2014/07/18 21:02:02.373| SECURITY ALERT: on URL: packages.debian.org:443
2014/07/18 21:02:02.373| ERROR: No forward-proxy ports configured.
2014/07/18 21:02:02.373| abandoning local=10.0.0.1:3128 remote=10.0.0.144:54193 FD 27 flags=33