Форум русскоязычного сообщества Ubuntu


Автор Тема: непонятное поведение Squid  (Прочитано 874 раз)

0 Пользователей и 1 Гость просматривают эту тему.

Оффлайн Alexandr22

  • Автор темы
  • Новичок
  • *
  • Сообщений: 9
    • Просмотр профиля
непонятное поведение Squid
« : 05 Июнь 2017, 23:10:50 »
Здрасте. Задача: разобраться как работает squid и настроить проксирование. Система: Ubuntu 12.04 server. Пытаюсь приконектиться - пишет доступ запрещён:
root@c0:/etc/squid3# links -http-proxy c0 -dump ya.ru
                                     ERROR

The requested URL could not be retrieved

     ----------------------------------------------------------------------
Не понятно кем и где запрещён. При обычном запуске (собсно-терминального браузера) "links" нормально работает и ни кто ничего не запрещает + не работает запрет на rambler. Подскажите пожалуйста, что не так и как его усмирить ?

Сейчас заметил, что при подключение по https,из терминала, всё работает,т.е.links -https-proxy c0 -dump ya.ru Но блокировка на rambler (и на любой другой сайт) не срабатывает, в access.log подключение по https не пишет :idiot2: Кто то может объяснить, что вообще происходит ?!

squid.oconf
acl manager proto cache_object
acl localhost src 127.0.0.1/32 ::1
acl to_localhost dst 127.0.0.0/8 0.0.0.0/32 ::1

acl SSL_ports port 443
acl Safe_ports port 80          # http
acl Safe_ports port 21          # ftp
acl Safe_ports port 443         # https
acl Safe_ports port 70          # gopher
acl Safe_ports port 210         # wais
acl Safe_ports port 1025-65535  # unregistered ports
acl Safe_ports port 280         # http-mgmt
acl Safe_ports port 488         # gss-http
acl Safe_ports port 591         # filemaker
acl Safe_ports port 777         # multiling http
acl CONNECT method CONNECT

acl myhost src 192.168.0.110/32
acl mynet src 192.168.0.0/24
acl rambler dstdomain .rambler.ru  #любой сайт(этот для примера)

never_direct allow all

http_access allow manager localhost
http_access deny manager
http_access deny !Safe_ports
http_access allow myhost
http_access deny rambler
http_access allow localhost
http_access deny all

http_port 3128 transparent

coredump_dir /var/spool/squid3

refresh_pattern ^ftp:           1440    20%     10080
refresh_pattern ^gopher:        1440    0%      1440
refresh_pattern -i (/cgi-bin/|\?) 0     0%      0
refresh_pattern (Release|Packages(.gz)*)$      0       20%     2880
refresh_pattern .               0       20%     4320

access.log
1496624339.568      0 127.0.0.1 TCP_DENIED/403 4122 GET http://google.com/ - NONE/- text/html
1496624348.244      0 127.0.0.1 TCP_DENIED/403 4122 GET http://google.com/ - NONE/- text/html
1496625268.693      0 127.0.0.1 TCP_DENIED/403 4107 GET http://ya.ru/ - NONE/- text/html
1496625919.932      0 127.0.0.1 TCP_DENIED/403 4107 GET http://ya.ru/ - NONE/- text/html
1496626182.532      0 127.0.0.1 TCP_DENIED/403 4122 GET http://eddnet.org/ - NONE/- text/html
1496627110.491      0 127.0.0.1 TCP_DENIED/403 4122 GET http://eddnet.org/ - NONE/- text/html
1496627165.601     15 127.0.0.1 TCP_MISS/503 4576 GET http://eddnet.org/ - NONE/- text/html
1496627356.787     26 127.0.0.1 TCP_MISS/503 4576 GET http://eddnet.org/ - NONE/- text/html
1496627363.645      0 127.0.0.1 TCP_MISS/503 4561 GET http://ya.ru/ - NONE/- text/html
1496628709.853      0 127.0.0.1 TCP_MISS/503 4561 GET http://ya.ru/ - NONE/- text/html
1496674351.939     25 127.0.0.1 TCP_MISS/503 4561 GET http://ya.ru/ - NONE/- text/html

« Последнее редактирование: 06 Июнь 2017, 02:51:59 от Alexandr22 »

Оффлайн debitor

  • Участник
  • *
  • Сообщений: 104
    • Просмотр профиля
Re: непонятное поведение Squid
« Ответ #1 : 06 Июнь 2017, 10:27:38 »
А о том что Яндекс "прикрыли" если вы с Украины не о чем не говорит?

Оффлайн Alexandr22

  • Автор темы
  • Новичок
  • *
  • Сообщений: 9
    • Просмотр профиля
Re: непонятное поведение Squid
« Ответ #2 : 06 Июнь 2017, 15:54:55 »
Я не из Украины и в логе видно, что я обращался к: ya.ru, google.com, eddnet.org и многим другим. Запросы оседают не у провайдера, а у меня на squid сервере. Вот я и пытаюсь понять где же накосячил...

Оффлайн fisher74

  • Заслуженный пользователь
  • Старожил
  • *
  • Сообщений: 13750
    • Просмотр профиля
Re: непонятное поведение Squid
« Ответ #3 : 06 Июнь 2017, 22:31:35 »
а то что Вы его сами запрещаете это Вы не учитываете?
http_access deny rambler
Принимаю благодарности в WMR и WMZ на кошельки:
R158160676909 и Z313280060764

Оффлайн Alexandr22

  • Автор темы
  • Новичок
  • *
  • Сообщений: 9
    • Просмотр профиля
Re: непонятное поведение Squid
« Ответ #4 : 06 Июнь 2017, 23:26:10 »
Так.Ещё раз. Я запретил рабмлер (или любой другой)-для примера. Суть проблемы: Squid не выпускает меня (рута-даже когда я под рутом) с сервера, при обращении к абсолютно любому сайту(яндекс, гугл, маил и т.д.), т.е. я  пишу
Цитировать
links -http-proxy c0 -dump ya.ru
- он мне, что запрещено. Если пишу (обращаюсь к серверу не по http, а по https)
Цитировать
links -https-proxy c0 -dump ya.ru
то всё нормально. При этом когда просто запускаю link и ввожу адрес любого сайта (в том числе рамблер) всё работает прекрасно.
Пытаюсь понять, что не так и почему такое странное поведение.

Пользователь добавил сообщение 07 Июнь 2017, 01:35:24:
выяснил, что проблема была в правиле
http_access allow manager localhost
http_access deny manager
http_access deny !Safe_ports
http_access allow myhost
http_access deny rambler
#http_access deny all     #----вот эту строчку за коментировал и всё полетело

http_access allow localhost
http_access deny all
Насколько я понял из документации:"Правила срабатывают по очереди и если правило сработало, следующее в списке не учитывается.". Кто то может мне объяснить почему это правило всё таки срабатывает, хотя я подключался с хостовой машины из под рута (а это правило стоит выше)...?
« Последнее редактирование: 07 Июнь 2017, 02:24:23 от Alexandr22 »

Оффлайн botsman

  • Активист
  • *
  • Сообщений: 294
    • Просмотр профиля
Re: непонятное поведение Squid
« Ответ #5 : 07 Июнь 2017, 08:03:12 »
"Правила срабатывают по очереди и если правило сработало, следующее в списке не учитывается.". Кто то может мне объяснить почему это правило всё таки срабатывает, хотя я подключался с хостовой машины из под рута (а это правило стоит выше)...?
И где же это правило в конфиге?

Оффлайн fisher74

  • Заслуженный пользователь
  • Старожил
  • *
  • Сообщений: 13750
    • Просмотр профиля
Re: непонятное поведение Squid
« Ответ #6 : 07 Июнь 2017, 08:28:59 »
http_access deny rambler
#http_access deny all     #----вот эту строчку за коментировал и всё полетело

http_access allow localhost
http_access deny all
В первом сообщении список правил несколько отличался от этого. Т.е. закомментированная строка вообще там отсутствовала.

Или там "сводка с полей" после Ваших изысканий?
« Последнее редактирование: 07 Июнь 2017, 08:31:59 от fisher74 »
Принимаю благодарности в WMR и WMZ на кошельки:
R158160676909 и Z313280060764

Оффлайн Alexandr22

  • Автор темы
  • Новичок
  • *
  • Сообщений: 9
    • Просмотр профиля
Re: непонятное поведение Squid
« Ответ #7 : 07 Июнь 2017, 17:31:57 »
Всё верно-разбирательство постоянно велось и конфиг переделывал. Текущее состояние корнфига (беру вот так):
Цитировать
egrep -v '^#|^$' /etc/squid3/squid.conf
auth_param basic program /usr/lib/squid3/ncsa_auth /etc/squid3/passwd
acl manager proto cache_object
acl localhost src 127.0.0.1/32 ::1
acl to_localhost dst 127.0.0.0/8 0.0.0.0/32 ::1

acl SSL_ports port 443
acl Safe_ports port 80          # http
acl Safe_ports port 21          # ftp
acl Safe_ports port 443         # https
acl Safe_ports port 70          # gopher
acl Safe_ports port 210         # wais
acl Safe_ports port 1025-65535  # unregistered ports
acl Safe_ports port 280         # http-mgmt
acl Safe_ports port 488         # gss-http
acl Safe_ports port 591         # filemaker
acl Safe_ports port 777         # multiling http
acl CONNECT method CONNECT

acl myhost src 192.168.0.110
acl mynet src 192.168.0.0/24
acl gog dstdomain .gog.ru
acl passwd proxy_auth REQUIRED
acl ya dstdomain .ya.ru .yandex.ru
http_access allow manager localhost
http_access deny manager
http_access deny !Safe_ports
http_access deny CONNECT !SSL_ports
http_access allow ya passwd
http_access deny ya
http_access allow myhost
http_access deny gog
http_access allow mynet
#http_access deny all   ---по прежнему закоментирована

http_access allow localhost
http_access deny all

http_port 3128
coredump_dir /var/spool/squid3
refresh_pattern ^ftp:           1440    20%     10080
refresh_pattern ^gopher:        1440    0%      1440
refresh_pattern -i (/cgi-bin/|\?) 0     0%      0
refresh_pattern (Release|Packages(.gz)*)$      0       20%     2880
refresh_pattern .               0       20%     4320
Сейчас с хостовой машины (под рутом) могу ходить по сайтам (в соответствии с правилами: на gog - не могу, на ya.ru-по логин/паролю) - вроде бы всё нормально. Но с клиентской машины (подключенной к внутренней сети моего сервера и получающей IP по DHCP, и введённой в линуксовый домен (bind9)) доступ закрыт ко всем сайтам, кроме ya.ru(просит логин/пароль- и при правильном вводе открывает ya.ru).
По прежнему не понятна работа правила которое за комментировал (оно не пускало в не пускало в интернет даже хост под рутом) ?
Непонятно почему клиенту закрыт доступ ко всем остальным сайтам?
Есть подозрение, что нужно прописать iptables (rc.local-пуст), но почему же по паролю к ya.ru есть доступ ?

Оффлайн AnrDaemon

  • Заслуженный пользователь
  • Старожил
  • *
  • Сообщений: 27409
    • Просмотр профиля
Re: непонятное поведение Squid
« Ответ #8 : 07 Июнь 2017, 18:25:16 »
1024-65535
Хотите получить помощь? Потрудитесь представить запрошенную информацию в полном объёме.

Прежде чем [Отправить], нажми [Просмотр] и прочти собственное сообщение. Сам-то понял, что написал?…

Оффлайн botsman

  • Активист
  • *
  • Сообщений: 294
    • Просмотр профиля
Re: непонятное поведение Squid
« Ответ #9 : 07 Июнь 2017, 19:21:43 »
По прежнему не понятна работа правила которое за комментировал (оно не пускало в не пускало в интернет даже хост под рутом) ?

Ну так это правило запрещает все и всем! Учите матчасть и не лезьте туда, где Вы основ даже не понимаете (или не хотите понять)!

P.S. Без обид - накипело...

Оффлайн Alexandr22

  • Автор темы
  • Новичок
  • *
  • Сообщений: 9
    • Просмотр профиля
Re: непонятное поведение Squid
« Ответ #10 : 07 Июнь 2017, 20:07:10 »
По прежнему не понятна работа правила которое за комментировал (оно не пускало в не пускало в интернет даже хост под рутом) ?

Ну так это правило запрещает все и всем! Учите матчасть и не лезьте туда, где Вы основ даже не понимаете (или не хотите понять)!

P.S. Без обид - накипело...
Уважаемый, поправьте меня, если я ошибаюсь. Как я понял-в доках написано, что правила применяются по порядку (с верху в низ) и если правило "сработало" то ниже лежащие не действуют.
http_access allow myhost
http_access deny gog
http_access allow mynet
#http_access deny all
"Разрешить" хосту и "моей сети" стоит выше "запрета всем"- значит запрет не должен был сработать. Я пришёл сюда узнать мнение более опытных коллег-так что не стесняйтесь в выражениях, лишь бы они несли знания =)

Оффлайн AnrDaemon

  • Заслуженный пользователь
  • Старожил
  • *
  • Сообщений: 27409
    • Просмотр профиля
Re: непонятное поведение Squid
« Ответ #11 : 07 Июнь 2017, 20:34:35 »
Вот именно что ЕСЛИ СРАБОТАЛО!…
Хотите получить помощь? Потрудитесь представить запрошенную информацию в полном объёме.

Прежде чем [Отправить], нажми [Просмотр] и прочти собственное сообщение. Сам-то понял, что написал?…

Оффлайн botsman

  • Активист
  • *
  • Сообщений: 294
    • Просмотр профиля
Re: непонятное поведение Squid
« Ответ #12 : 07 Июнь 2017, 21:02:41 »
Я пришёл сюда узнать мнение более опытных коллег-так что не стесняйтесь в выражениях, лишь бы они несли знания =)
Так как Вы (судя по Вашим постам) проверяете все на локальном хосте - то ни в myhost ни в mynet Вы не входите - Ваш список доступа - localhost, о чем прямо и говорит access.log

Оффлайн fisher74

  • Заслуженный пользователь
  • Старожил
  • *
  • Сообщений: 13750
    • Просмотр профиля
Re: непонятное поведение Squid
« Ответ #13 : 07 Июнь 2017, 21:03:33 »
У меня есть подозрение, что Вы принимаете работу с самого шлюза (на котором живёт кальмар) как с myhost или из mynet.
Надеюсь я не прав в своих подозрениях.

ЗЫ чуть опередили  :coolsmiley:
Принимаю благодарности в WMR и WMZ на кошельки:
R158160676909 и Z313280060764

Оффлайн Alexandr22

  • Автор темы
  • Новичок
  • *
  • Сообщений: 9
    • Просмотр профиля
Re: непонятное поведение Squid
« Ответ #14 : 08 Июнь 2017, 04:28:41 »
Вот видите как всё просто! =) вы всё правильно сказали:
Я пришёл сюда узнать мнение более опытных коллег-так что не стесняйтесь в выражениях, лишь бы они несли знания =)
Так как Вы (судя по Вашим постам) проверяете все на локальном хосте - то ни в myhost ни в mynet Вы не входите - Ваш список доступа - localhost, о чем прямо и говорит access.log
У меня есть подозрение, что Вы принимаете работу с самого шлюза (на котором живёт кальмар) как с myhost или из mynet.
Спасибо за помощь!

 

Страница сгенерирована за 0.239 секунд. Запросов: 26.