The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]

форумы  помощь  поиск  регистрация  майллист  ВХОД  слежка  RSS
"Squid, NEED YOUR HELP!"
Вариант для распечатки Архивированная нить - только для чтения! 
Пред. тема | След. тема 
Форумы Настройка Squid и других прокси серверов (Public)
Изначальное сообщение [Проследить за развитием треда]

"Squid, NEED YOUR HELP!"
Сообщение от UNIonX emailИскать по авторуВ закладки(ok) on 16-Ноя-04, 14:39  (MSK)
Здравствуйте!
Меня достали проблемы с аськой! У меня настроена ncsa_auth для доступа в и-нет. Всё работает, и всё бы ничего.. кроме некоторых неприятных моментов, которые весьма потртят жизнь. Первое: на половине компов icq работает, а на половие - нет. Говорит Can't connect to proxy. Чушь полная: в и-нет с того-же компа ходить с авторизацией можно без проблем. Правила iptables точно не причём (проверял, да и ACCEPT там по умолчанию). В качестве клиентов ICQ пробовал Light-ICQ, SIM, Miranda. Ещё проблемы: 1. На обной из машин получалось коннектится аськой только с ОПРЕДЕЛЁННЫМ логином (их всего три), с другими - болт. Хотя огнептицу с тем же логином Squid пускает баз проблем. 2. На второй машине не получается законнектить асьску вообще ни под одним из логинов, ни с одним из клиентов. 3. На этой второй проблемной машинке, огнептица не получает ответ от сквида/и-нета при просьбе загрузить одну из страниз веб-приложения (index отображает, новостные и некоторые другие страницы этого сайта показывает, а самую нужную - time out).
Собственно, просьба: кто хоть что-нибудь знает по данным вопросам, расскажите где могут быть грабли, и пожалуйста, посмотрите мой конфиг:
squid.conf

http_port 192.168.0.3:3128
icp_port 0
hierarchy_stoplist cgi-bin ?
acl QUERY urlpath_regex cgi-bin \?
no_cache deny QUERY
cache_mem 30 MB
cache_swap_low 90
cache_swap_high 95
cache_dir ufs /var/spool/squid 100 16 256
cache_access_log /var/log/squid/access.log
cache_log /var/log/squid/cache.log
log_ip_on_direct on
pid_filename /var/run/squid.pid
ftp_user some@email.adress
hosts_file /etc/hosts
auth_param basic program /usr/lib/squid/ncsa_auth /usr/share/squid/etc/passwd
auth_param basic children 5
auth_param basic realm Squid proxy-caching web server
auth_param basic credentialsttl 2 hours
refresh_pattern ^ftp: 1440 20% 10080
refresh_pattern ^gopher: 1440 0% 1440
refresh_pattern . 0 20% 4320
acl OFFICE proxy_auth REQUIRED src 192.168.0.0/255.255.255.0
acl all src 0.0.0.0/0.0.0.0
acl manager proto cache_object
acl localhost src 127.0.0.1/255.255.255.255
acl to_localhost dst 127.0.0.0/8
acl SSL_ports  port 443 563 # ssl ports
acl Safe_ports port 80 # http
acl Safe_ports port 21 # ftp
acl Safe_ports port 443 563 # https, snews
acl Safe_ports port 1025-65535 # unregistered ports
acl CONNECT method CONNECT
acl purge method PURGE
acl squid_block_porn url_regex -i "/etc/squid/squidblock/porn.block.txt pron.block.txt"
acl squid_unblock_porn url_regex -i "/etc/squid/squidblock/porn.unblock.txt"
http_access deny squid_block_porn !squid_unblock_porn
http_access allow manager localhost
http_access deny manager
http_access allow purge localhost
http_access deny purge
http_access deny !Safe_ports
http_access deny CONNECT !SSL_ports
http_access allow OFFICE
http_access allow localhost
http_access deny all
http_reply_access allow OFFICE
http_reply_access deny !OFFICE
icp_access deny all
cache_mgr root
cache_effective_user squid
cache_effective_group squid
visible_hostname my.QDN.name
announce_period 0
logfile_rotate 10
forwarded_for on
cachemgr_passwd none all
snmp_port 0
snmp_access deny all
prefer_direct off
coredump_dir /var/spool/squid

Извините, за длинный пост - накипело. (С данте сокс не удалось, никто не подсказал как там авторизовываться нужно, может хоть со сквидом нормально заработает)... Заранее спасибо всем!

  Рекомендовать в FAQ | Cообщить модератору | Наверх

 Оглавление

Индекс форумов | Темы | Пред. тема | След. тема
Сообщения по теме

1. "Squid, NEED YOUR HELP!"
Сообщение от ipmanyak Искать по авторуВ закладки(??) on 17-Ноя-04, 08:12  (MSK)
1 - попробуй пускать аську через прокси по https по порту 443 для login.icq.com
2 - пускай аську мимо прокси правилами iptables, открой порт 5190
  Рекомендовать в FAQ | Cообщить модератору | Наверх

2. "Squid, NEED YOUR HELP!"
Сообщение от UNIonX emailИскать по авторуВ закладки(??) on 17-Ноя-04, 13:59  (MSK)
>1 - попробуй пускать аську через прокси по https по порту 443
>для login.icq.com

Добавляю после строки  http_port 192.168.0.3:3128 строчку https_port 192.168.0.3:443 далее говорю
# service squid restart
и ... облом - не стартует, в логе наблюдаю:
2004/11/17 13:30:48| Initialising SSL.
FATAL: Failed to acquire SSL certificate: error:0200100E:system library:fopen:Bad address  
И, честно говоря, я так и не понял что говорится тут:
http://www.squid-cache.org/Doc/FAQ/FAQ.html#toc1.12  
про SSL через Squid... :( Буду искать в мануалах.
Судя по всему, если добавить строку https_port сквиду нужен сертификат (ну а я не занимался ещё индейцем => тем более сертификаты для него не генирил)... А если эту троку закомментировать, то судя по выше указанному FAQ'у, сквид просто будет пробрасывать через себя SSL соединение по запросу CONNECT. И вот чего я не понимаю, так это того, почему он у меня этого не делает? Ведь у меня там русским языком по английски написано:
acl SSL_ports  port 443 563    # ssl ports  
http_access allow CONNECT SSL_ports  # это я добавил
http_access deny CONNECT !SSL_ports  
т.е. я проверял так: на win-машине набираю telnet linuxhostname 443 и соединения не происходт -- отлуп. WHY??? :((( Куда там аське через SSL...

>2 - пускай аську мимо прокси правилами iptables, открой порт 5190

Не - так не пойдёт. После того, как запущу у себя fetchmail+procmail+imap   форвардинга не будет СОВСЕМ. Потому и хочу настроить аьску либо на Squid либо на SOCKS.

Буду курить мануалы... когда всё заработает -- отпишусь.

  Рекомендовать в FAQ | Cообщить модератору | Наверх

3. "Squid, NEED YOUR HELP!"
Сообщение от UNIonX emailИскать по авторуВ закладки(??) on 17-Ноя-04, 14:13  (MSK)
Кстати, если кому интересно:
на squid.opennet.ru нашёл ссылочку хорошую:
http://unixdocs.rags.ru/squid.html
там хорошо написано про ncsa_auth (есть обновление касающееся нового формата файла паролей! нигде в рунете этого вроде не видел), и про привязку IP к MAC!
  Рекомендовать в FAQ | Cообщить модератору | Наверх

4. "Squid, NEED YOUR HELP!"
Сообщение от UNIonX emailИскать по авторуВ закладки(??) on 17-Ноя-04, 17:58  (MSK)
Всем спасибо! :) Поборол глюки в своей голове. Пробуя в прошлый раз метод с always_direct я упустил из виду, что можно коннектится используя SSL к 443 порту login.icq.com через стандартный порт своего Squid'а (3128 в моём случае), и неправильно настраивал клиентов (вписывал порт 443 для коннекта к прокси-серверу, пробуя то 5190, то 443 для коннекта к login.icq.com. Позорище).
На всякий случай (может кому пригодится) рабочий вариант конфига:

# поскипано всё не относящееся к acl'ям и htt_access (брать в первом посте),  
# остальное оставлено по  причине важности порядка следования
acl    OFFICE proxy_auth REQUIRED src 192.168.0.1-192.168.0.6/255.255.255.0
acl    all src 0.0.0.0/0.0.0.0
acl    manager proto cache_object
acl    localhost src 127.0.0.1/255.255.255.255
acl    to_localhost dst 127.0.0.0/8
acl    SSL_ports  port 443 563 1025 5190 # ssl ports
acl    Safe_ports port 80    # http
acl    Safe_ports port 21    # ftp
acl    Safe_ports port 443 563    # https, snews
acl    Safe_ports port 1025-65535   # unregistered ports
acl    CONNECT method CONNECT
acl    purge method PURGE
acl    squid_block_porn url_regex -i "/etc/squid/squidblock/porn.block.txt pron.block.txt"
acl    squid_unblock_porn url_regex -i "/etc/squid/squidblock/porn.unblock.txt"
acl   ICQ_PORT port 443
acl   ICQ_PROTO proto HTTPS
acl   ICQ_ADDR dst 64.90.0.0/16 205.188.0.0/16
acl   ICQ_DOMAIN dstdomain .icq.com .aol.com
http_access   allow OFFICE ICQ_PORT ICQ_PROTO ICQ_ADDR CONNECT
http_access   deny !OFFICE !ICQ_PORT !ICQ_PROTO !ICQ_ADDR CONNECT
always_direct  allow ICQ_ADDR ICQ_PORT CONNECT
always_direct  allow ICQ_DOMAIN ICQ_PORT CONNECT
http_access   deny squid_block_porn !squid_unblock_porn
http_access   allow manager localhost
http_access   deny manager
http_access   allow purge localhost
http_access   deny purge
http_access   allow CONNECT SSL_ports
http_access   deny !Safe_ports
http_access   deny CONNECT !SSL_ports
http_access   allow OFFICE
http_access   allow localhost
http_access   deny all

Итог: любой клиент (при его правильной настройке) коннектится и нормально работает используя шифрование (SSL) через http_port Squid'а.


  Рекомендовать в FAQ | Cообщить модератору | Наверх

5. "Squid, NEED YOUR HELP!"
Сообщение от UNIonX emailИскать по авторуВ закладки(??) on 17-Ноя-04, 18:22  (MSK)
Да, и на всякий случай можно кое-что добавить вот сюда:
always_direct allow ICQ_ADDR ICQ_PORT CONNECT
always_direct deny !ICQ_ADDR !ICQ_PORT CONNECT # запретить direct connect всем, кроме allowed alc's
always_direct allow ICQ_DOMAIN ICQ_PORT CONNECT
always_direct deny !ICQ_DOMAIN !ICQ_PORT CONNECT # аналогично
  Рекомендовать в FAQ | Cообщить модератору | Наверх


Удалить

Индекс форумов | Темы | Пред. тема | След. тема
Пожалуйста, прежде чем написать сообщение, ознакомьтесь с данными рекомендациями.




Спонсоры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2022 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру