URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID12
Нить номер: 7257
[ Назад ]

Исходное сообщение
"помогите разобраться с открытием портов squid"
Отправлено alexkg , 01-Авг-16 12:04

уважаемые спецы, если не сложно можете помочь с открытием доступа на ftp, telnet. В Save_ports они есть, но при обращении не работает ни ftp ни telnet. Да и любые другие кроме 80 и 443. Squid с одной сетевой, у пользователей в браузере он прописан и они ходят через него. Nat на роутере настроен только для прокси-сервера.
кусок конфига:
# Стандартные порты 
acl SSL_ports port 443 # пробую добавить в ssl 
acl SSL_ports port 21
acl SSL_ports port 23
#acl SSL_ports port 3773 
acl Safe_ports port 80          # http 
acl Safe_ports port 21          # ftp 
acl Safe_ports port 23          # telnet 
acl Safe_ports port 443         # https 
acl Safe_ports port 70          # gopher 
acl Safe_ports port 210         # wais 
acl Safe_ports port 1025-65535  # unregistered ports 
acl Safe_ports port 280         # http-mgmt 
acl Safe_ports port 488         # gss-http 
acl Safe_ports port 591         # filemaker 
acl Safe_ports port 777         # multiling http 
acl CONNECT method CONNECT 
# Стандартные разрешения 
http_access deny !Safe_ports 
http_access deny CONNECT !SSL_ports 
# Авторизация 
acl ldap_group proxy_auth REQUIRED
tcp_outgoing_address 0.0.0.0 all
#группы с домена беру 
http_access allow level_1 white_list 
http_access allow level_2 !black_list 
http_access allow level_3 
http_access deny all 
Видимо нужно прописать отдельное правило для группы на разрешение ftp и telnet? Как например открыть для группы level_1, по идее правило http_access deny !Safe_ports должно открывать доступ или нет?
Так-же не могу понять как открыть порт например для icq 5190, куда прописать этот порт в Safe или SSL и нужно ли делать отдельное правило доступа?
ПС. Со сквидом только недавно начал разбираться, опыта почти нет.Много вопросов на которые пока ответ не найден.

Содержание

помогите разобраться с открытием портов squid,rusadmin, 14:31 , 01-Авг-16
- помогите разобраться с открытием портов squid,alexkg, 07:37 , 02-Авг-16
  - помогите разобраться с открытием портов squid,rusadmin, 12:08 , 02-Авг-16
помогите разобраться с открытием портов squid,Andrey Mitrofanov, 14:40 , 01-Авг-16
помогите разобраться с открытием портов squid,Andrey Mitrofanov, 14:41 , 01-Авг-16
- помогите разобраться с открытием портов squid,alexkg, 07:39 , 02-Авг-16
  - помогите разобраться с открытием портов squid,alexkg, 06:04 , 03-Авг-16

Сообщения в этом обсуждении

"помогите разобраться с открытием портов squid"
Отправлено rusadmin , 01-Авг-16 14:31

Так что вам прокси отвечает? Таймаут или денай?
Дело может крыться в iptables

"помогите разобраться с открытием портов squid"
Отправлено alexkg , 02-Авг-16 07:37

> Так что вам прокси отвечает? Таймаут или денай?
> Дело может крыться в iptables
[root@proxy ~]# /etc/init.d/iptables status
iptables: Межсетевой экран не запущен.
[root@proxy ~]#
не запущен iptables, так как свид с одной сетевой,
tcp_outgoing_address 0.0.0.0 all
все пакеты приходящие на сквид кидает на роутер, как я понимаю.

[root@proxy ~]# netstat -n -r
Kernel IP routing table
Destination     Gateway         Genmask         Flags   MSS Window  irtt Iface
192.168.0.0     0.0.0.0         255.255.255.0   U         0 0          0 eth0
169.254.0.0     0.0.0.0         255.255.0.0     U         0 0          0 eth0
0.0.0.0         192.168.0.1     0.0.0.0         UG        0 0          0 eth0
[root@proxy ~]#

> <troll mode> Кстати, FreeBSD или Ubuntu?</troll /mode>
centos
Получается что через скид не открыть порты чтоли для разных сервисов?
Например нужен порт отличный от 80 http://сайт:8888, добавил в SSL_ports и заработал.
Почему такое не прокатывает с ICQ 5190 в чем отличие? например если поставить ICQ через http-прокси в настройках?

"помогите разобраться с открытием портов squid"
Отправлено rusadmin , 02-Авг-16 12:08

попробуйте телнетом или неткатом подолбится с хоста прокси по портам указанным.
По портам - подтверждаю, открывать можно. Но, нужно понять как работает: методом GET/POST или CONNECT и соответственно настраивать порты в прокси

"помогите разобраться с открытием портов squid"
Отправлено Andrey Mitrofanov , 01-Авг-16 14:40

> уважаемые спецы, если не сложно можете помочь с открытием доступа на ftp,
> telnet. В Save_ports они есть, но при обращении не работает ни
> ftp ни telnet. Да и любые другие кроме 80 и 443.
Squid = http-прокси. То есть ничего, за небольшими исключениями, кроме HTTP он не умеет.
Небольшие исключения:
- https: в броузерах сделан _http_ проксированием tcp-соединения (метод HTTP CONNECT и явное прописывание прокси в броузере). При таком https прокси не заглядывает "внутрь" https, не "видит" обычного http, "видит" только атрибуты tcp-соединения (ipA:портА => ipБ:портБ или около того).
- https с ssl-bump-ом (подмена сертификата и _заворот_ трафика ("прозрачный" прокси))
- ftp-через-http-прокси: прокси общается с клиетом по http, а с сервером по ftp.
- какой-то там gopher, может ещё что-то.
Некоторые _клиенты_ могут прикидываться для прокси CONNECT-клиетом и "прокидывать" через него (если тот позволит) соединения к не-https-серверам. Многие jabber клиенты, например.
"Обычные" клиенты ftp (не броузеры!) и telnet (и ssh, и все и любые другие!, в которых использование CONNECT-прокси не предусмотрено и не реализовано), через squid "сами" не пойдут. А пойдут они через него не сами (если кто им поможет, например(таких помощников я не знаю - обёртки типа socksify, возможны, наверное)) или пойдут _не_ через него.
Чтобы пустить те не-http-клиенты не через squid, нужно изучать файерволы.
> Так-же не могу понять как открыть порт например для icq 5190, куда
> прописать этот порт в Safe или SSL и нужно ли делать
> отдельное правило доступа?
> ПС. Со сквидом только недавно начал разбираться, опыта почти нет.Много вопросов
> на которые пока ответ не найден.
TCP-сети, роутинги, файерволы также ждут Вас.
Наверное... Может быть, я и упустил что-то и будет найдено более другое решение.

"помогите разобраться с открытием портов squid"
Отправлено Andrey Mitrofanov , 01-Авг-16 14:41

> ПС. Со сквидом только недавно начал разбираться, опыта почти нет.Много вопросов
> на которые пока ответ не найден.
<troll mode> Кстати, FreeBSD или Ubuntu?</troll /mode>

"помогите разобраться с открытием портов squid"
Отправлено alexkg , 02-Авг-16 07:39

>> ПС. Со сквидом только недавно начал разбираться, опыта почти нет.Много вопросов
>> на которые пока ответ не найден.
> <troll mode> Кстати, FreeBSD или Ubuntu?</troll /mode>
centos

"помогите разобраться с открытием портов squid"
Отправлено alexkg , 03-Авг-16 06:04

> Так что вам прокси отвечает? Таймаут или денай?
> Дело может крыться в iptables
[root@proxy ~]# /etc/init.d/iptables status
iptables: Межсетевой экран не запущен.
[root@proxy ~]#
не запущен iptables, так как свид с одной сетевой,
tcp_outgoing_address 0.0.0.0 all
все пакеты приходящие на сквид кидает на роутер, как я понимаю.
[root@proxy ~]# netstat -n -r
Kernel IP routing table
Destination     Gateway         Genmask         Flags   MSS Window  irtt Iface
192.168.0.0     0.0.0.0         255.255.255.0   U         0 0          0 eth0
169.254.0.0     0.0.0.0         255.255.0.0     U         0 0          0 eth0
0.0.0.0         192.168.0.1     0.0.0.0         UG        0 0          0 eth0
[root@proxy ~]#
> <troll mode> Кстати, FreeBSD или Ubuntu?</troll /mode>
centos
Получается что через скид не открыть порты чтоли для разных сервисов?
Например нужен порт отличный от 80 http://сайт:8888, добавил в SSL_ports и заработал.
Почему такое не прокатывает с ICQ 5190 в чем отличие? например если поставить ICQ через http-прокси в настройках?