Перейти из форума на сайт.

НовостиФайловые архивы
ПоискАктивные темыТоп лист
ПравилаКто в on-line?
Вход Забыли пароль? Первый раз на этом сайте? Регистрация
Компьютерный форум Ru.Board » Компьютеры » В помощь системному администратору » squid.conf - нужна помощь

Модерирует : lynx, Crash_Master, dg, emx, ShriEkeR

 Версия для печати • ПодписатьсяДобавить в закладки

Открыть новую тему     Написать ответ в эту тему

M0rg

Newbie		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Я понимаю, тема избитая, и инфы море... Но - не получается, не работает
 
Расклад такой:  
1. Стоит squid 2.6 stable18, ubuntu 8.04.3 desktop.
2. Нужно раздавать интернет на локалку (примерно 40 машин), при этом срезая "ненужные" сайты, рекламу, и т.п. Подсеть - 192.168.15.0-192.168.15.255
3. Интернет сейчас приходит через другой шлюз (192.168.15.200), впоследствии будет приходить с модема Yota, подключенного напрямую к машине, на которой стоит squid (модем уже был настроен и проверен)
4. IP машины, на который устанавливается squid - 192.168.15.101
5. Можно ли настроить прокси так, чтобы комп работал в качестве шлюза, но все запросы шли через squid? Если да, то подскажите, как.
 
Сейчас у squid вот такой конфиг, при этом на тестовой машине (с IP 192.168.15.51) с вбитым адресом прокси 192.168.15.101:3128 интернет не работает, ошибки браузер никакие не выдает - просто пустые страницы.

Код:
http_port 3128
visible_hostname http_port
icp_port 0
acl donocache urlpath_regex cgi-bin user submit
no_cache deny donocache
cache_effective_user park
cache_effective_group park
cache_mem 256 MB
cache_dir ufs /var/spool/squid 3000 16 256
cache_access_log /var/log/squid/access.log
cache_log /var/log/squid/cache.log
cache_store_log /var/log/squid/store.log
mime_table /etc/squid/mime.conf
pid_filename /var/run/squid.pid
ftp_user anonymous@
ftp_list_width 32
ftp_passive on
ftp_sanitycheck on
acl all src 0/0
acl SMTP port 25
acl doallow src 192.168.15.0/24 127.0.0.1/32
acl Safe_ports port 80
acl Safe_ports port 21
acl Safe_ports port 443 563 5190 5552
acl Safe_ports port 777
acl banners  url_regex -i "/etc/squid/acls/banners"
acl 1banners  url_regex -i "/etc/squid/acls/1banners"
acl nobanners  url_regex -i "/etc/squid/acls/nobanners"
 
 
http_access deny 1banners
http_access deny banners !nobanners
http_access deny !Safe_ports
http_access deny SMTP
http_access allow doallow
http_access deny all
icp_access deny all
access_log /var/log/squid/access.log

Что интересно, файлы логов девственно пусты. squid запускается без ошибок.
Всего записей: 13 | Зарегистр. 28-05-2007 | Отправлено: 17:17 10-09-2009
ipmanyak



Platinum Member		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
M0rg включаем в конфиге сквида debug на уровень 9 и смотрим cache.log
 cache_store_log /var/log/squid/store.log   лучше отрубить забьет винт в мат и быстро во время реальной работы, сделайте   cache_store_log  none

Цитата:
5. Можно ли настроить прокси так, чтобы комп работал в качестве шлюза, но все запросы шли через squid? Если да, то подскажите, как.  
Нет нельзя, это чистый HTTP прокси, а не фаерволл и не шлюз в инет. Могу сказать больше  - ни почта, ни чистые ftp клиенты через сквид не будут пахать.  

Цитата:
squid запускается без ошибок.
не верится - поглядите cache.log
 


----------
В сортире лучше быть юзером, чем админом...
Всего записей: 11754 | Зарегистр. 10-12-2003 | Отправлено: 18:15 10-09-2009
yakostik

Full Member		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Полностью как и сказали нельзя но можно частично натить всех кому нужны прямые соединения а всех остальных натить на порт сквида который уже будет резать трафик и запрещенные сайты
как то так
-A PREROUTING -s 10.0.0.0/255.252.255.0 -p tcp -m multiport --dports ! 110,25 -j REDIRECT --to-ports 3128  
все что не 110, 25 порт завернуть на порт сквида  
в таком случае у пользователей достаточно прописать только шлюз и не настраивать прокси
ну и примерно такимиже строками можно открыть инет для избранных пользователей  
скажем так  
-A PREROUTING -s 10.0.0.2 -j ACCEPT  
-A PREROUTING -s 10.0.0.0/255.252.255.0 -p tcp -m multiport --dports ! 110,25 -j REDIRECT --to-ports 3128  
машинка 10.0.0.2 будет ходить в инет только через нат в обход сквида все остольные пойдут на сквид
Вообщем очень много можно сделать если совместить сквид и скажем Iptables или другой файервол
Всего записей: 408 | Зарегистр. 30-03-2006 | Отправлено: 23:51 10-09-2009
SKAS



Junior Member		Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
Предыдущий оратор прав, такая настройка работает.  
 

Цитата:
-A PREROUTING -s 10.0.0.2 -j ACCEPT  
-A PREROUTING -s 10.0.0.0/255.252.255.0 -p tcp -m multiport --dports ! 110,25 -j REDIRECT --to-ports 3128  

 
Тока на самом деле достаточно перехватывать тока хттп порты 80, 8080, 8000, 8888 и тд.
Хочется заметить что хттпс прозрачно не работает поэтому порт 443 нада пропускать прямо либо у клиента прописывать прокси явно.
 
А остальные запросы нада отшибать и записывать ulog-ом в базу - чисто для котроля ))
Всего записей: 40 | Зарегистр. 05-09-2003 | Отправлено: 16:23 15-10-2009
Открыть новую тему     Написать ответ в эту тему

Компьютерный форум Ru.Board » Компьютеры » В помощь системному администратору » squid.conf - нужна помощь


Реклама на форуме Ru.Board.

Powered by Ikonboard "v2.1.7b" © 2000 Ikonboard.com
Modified by Ru.B0ard
© Ru.B0ard 2000-2024

BitCoin: 1NGG1chHtUvrtEqjeerQCKDMUi6S6CG4iC

Рейтинг.ru