Форум русскоязычного сообщества Ubuntu


Считаете, что Ubuntu недостаточно дружелюбна к новичкам?
Помогите создать новое Руководство для новичков!

Автор Тема: Не прозрачный Squid3 пускает всех  (Прочитано 440 раз)

0 Пользователей и 1 Гость просматривают эту тему.

Оффлайн vet_fbi

  • Автор темы
  • Любитель
  • *
  • Сообщений: 53
    • Просмотр профиля
Не прозрачный Squid3 пускает всех
« : 09 Август 2016, 10:56:27 »
Доброго времени суток, друзья.
Я не новичок но и еще не достаточно опытен в плане линукса, поэтому прошу строго не судить.

У меня проблема следующего характера. Сделал squid3 c ncsa на Ubuntu 14.04.4 LTS в VirtualBox 4.3 по инструкциям:
http://interface31.ru/tech_it/2009/11/linux-nastrojka-routera-nat-dhcp-squid.html
http://interface31.ru/tech_it/2014/02/ubuntu-server-nastraivaem-router-nat-dhcp-squid3.html
Выхлоп: прокси работает с ncsa но и без авторизации всех пускает. Пробовал все предложенное по данным ссылкам - ничего не помагает.
А самый главный прикол - это то, что год назад его уже делал и все работало сходу. Правда на Ubuntu 14.04.1 LTS.

Помогите, пож., три дня уже разбираюсь.. немогу)

Оффлайн fisher74

  • Заслуженный пользователь
  • Старожил
  • *
  • Сообщений: 13750
    • Просмотр профиля
Re: Не прозрачный Squid3 пускает всех
« Ответ #1 : 09 Август 2016, 11:41:32 »
конфиг кальмара будет или телепатить?
Принимаю благодарности в WMR и WMZ на кошельки:
R158160676909 и Z313280060764

Оффлайн vet_fbi

  • Автор темы
  • Любитель
  • *
  • Сообщений: 53
    • Просмотр профиля
Re: Не прозрачный Squid3 пускает всех
« Ответ #2 : 10 Август 2016, 11:04:56 »
Добрый день. Вот, пожалйуста.

squid.conf
(Нажмите, чтобы показать/скрыть)

nat
(Нажмите, чтобы показать/скрыть)
« Последнее редактирование: 10 Август 2016, 11:36:43 от vet_fbi »

Оффлайн fisher74

  • Заслуженный пользователь
  • Старожил
  • *
  • Сообщений: 13750
    • Просмотр профиля
Re: Не прозрачный Squid3 пускает всех
« Ответ #3 : 10 Август 2016, 13:05:39 »
Для НЕпрозрачного кальмара nat не нужен.
Уверены, что именно кальмар пускает без пароля? Если кальмара остановить что происходит?
Если ip_forward запретить, что происходит?

PS скрипты по загрузке правил не нужны, показывайте реально загруженные правила, которые можно извлечь командой sudo iptables-save
Принимаю благодарности в WMR и WMZ на кошельки:
R158160676909 и Z313280060764

Оффлайн vet_fbi

  • Автор темы
  • Любитель
  • *
  • Сообщений: 53
    • Просмотр профиля
Re: Не прозрачный Squid3 пускает всех
« Ответ #4 : 11 Август 2016, 10:04:16 »
1. После остановки кальмара без указывания прокси пускает, как и пускал; с указыванием - не пускает и не просит аутентификацию
2. Запрещаю ip_forward (комментирую строчку echo 1 > /proc/sys/net/ipv4/ip_forward). Сквид начал работать как следует - не пускать без аутентификации и пускать с аутентификацией.
3. Результат "iptables-save" во вложении.
« Последнее редактирование: 11 Август 2016, 10:06:27 от vet_fbi »

Оффлайн fisher74

  • Заслуженный пользователь
  • Старожил
  • *
  • Сообщений: 13750
    • Просмотр профиля
Re: Не прозрачный Squid3 пускает всех
« Ответ #5 : 11 Август 2016, 10:57:46 »
Значит проблема не в кальмаре, а в правилах netfilter.
Оно и понятно, в правилах нет ограничения для транзита, ходят все везде.
Настраивайте брандмауэр и оставьте кальмара в покое.
Принимаю благодарности в WMR и WMZ на кошельки:
R158160676909 и Z313280060764

Оффлайн vet_fbi

  • Автор темы
  • Любитель
  • *
  • Сообщений: 53
    • Просмотр профиля
Re: Не прозрачный Squid3 пускает всех
« Ответ #6 : 11 Август 2016, 11:03:28 »
Спасибо, большое. Знать бы чем его подкрутить? Какого правила не хватает .. ???

Оффлайн fisher74

  • Заслуженный пользователь
  • Старожил
  • *
  • Сообщений: 13750
    • Просмотр профиля
Re: Не прозрачный Squid3 пускает всех
« Ответ #7 : 11 Август 2016, 11:37:22 »
Не хватает сформированной политики безопасности.
Вкратце. Есть два основных решения:
1. всё запрещено, кроме того, что разрешено
2. всё разрешено, кроме того, что запрещено
Принимаю благодарности в WMR и WMZ на кошельки:
R158160676909 и Z313280060764

Оффлайн vet_fbi

  • Автор темы
  • Любитель
  • *
  • Сообщений: 53
    • Просмотр профиля
Re: Не прозрачный Squid3 пускает всех
« Ответ #8 : 12 Август 2016, 08:43:05 »
Выходит так?:

1.# Запрещаем все по умолчанию
iptables -P FORWARD DROP

2. перед строкой:
# Разрешаем доступ из внутренней сети наружу
добавляем:

# Запрещаем HTTP через NAT
iptables -A FORWARD -i eth1 -p tcp --dport 80 -j REJECT

Оффлайн fisher74

  • Заслуженный пользователь
  • Старожил
  • *
  • Сообщений: 13750
    • Просмотр профиля
Re: Не прозрачный Squid3 пускает всех
« Ответ #9 : 12 Август 2016, 10:23:29 »
Это Вам решать. Если изначально кальмар определяется как непрозрачный, то зачем вообще разрешать форвард через шлюз?
Принимаю благодарности в WMR и WMZ на кошельки:
R158160676909 и Z313280060764

Оффлайн vet_fbi

  • Автор темы
  • Любитель
  • *
  • Сообщений: 53
    • Просмотр профиля
Re: Не прозрачный Squid3 пускает всех
« Ответ #10 : 12 Август 2016, 11:40:10 »
1. Читал какой-то форум. Там пишет человек, что убрать форвард - это плохо для впн и раздачи интернета. Чем конкретно, не написал.
2. А форвардинг (проброс) портов при этом будет работать?
3. Да и вообще для чего он нужен, этот форвард? ???

Ощущение, что отвечаю на свой вопрос..
« Последнее редактирование: 12 Август 2016, 11:46:30 от vet_fbi »

Оффлайн fisher74

  • Заслуженный пользователь
  • Старожил
  • *
  • Сообщений: 13750
    • Просмотр профиля
Re: Не прозрачный Squid3 пускает всех
« Ответ #11 : 12 Август 2016, 11:59:01 »
1. Если интернет раздаётся средствами прокси, то форвард тут стороной вообще. VPN? У Вас подключаются клиенты из вне по VPN?
2. Нет, не будет. А Вы пробрасываете?
3. Для того чтобы вообще сообщить ядру о том, что передача пакетов с одного интерфейса на другой вообще возможна.

А вообще настройка брандмауэра несколько отличается от темы настройки прокси-сервера. Вы уже убедились, что кальмар настроен верно и не пускает без пароля.
Принимаю благодарности в WMR и WMZ на кошельки:
R158160676909 и Z313280060764

Оффлайн vet_fbi

  • Автор темы
  • Любитель
  • *
  • Сообщений: 53
    • Просмотр профиля
Re: Не прозрачный Squid3 пускает всех
« Ответ #12 : 15 Август 2016, 09:02:11 »
Дело в том, что почти год назад делал такой сервер и все работало. Форвард не комментил, сквид с ncsa сходу работал, права как следует все работали в файлике нат, был и форвардинг портов и впн. А сейчас все по другому.. Вот это мне не ясно.

Пользователь добавил сообщение 15 Август 2016, 11:36:06:
Вот сегодня поправил натовский файл и начало работать, как в прошлый раз

(Нажмите, чтобы показать/скрыть)

Но перед этим я уже так дела раз десять и ничего не работало... хм, что за хрень ???
« Последнее редактирование: 15 Август 2016, 11:45:24 от vet_fbi »

 

Страница сгенерирована за 0.074 секунд. Запросов: 25.