The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

форумы
правила/FAQ
поиск
регистрация
вход
слежка
RSS


Создать новую тему
- Свернуть нити
Пометить прочитанным
1 | 2 | 3 | 4 | 5 | 6 | 7 | 8 | 9 | 10 | Архив | Избранное | Мое | Новое | | |  
Форум Настройка Squid, Tor и прокси серверов
Не запускается Squid, !*! Berliqz, (Squid) 18-Апр-19, 10:02  [ | | | ] [линейный вид] [смотреть все]
Здравствуйте, на микротике завернул трафик через nat на прокси сервер 192.168.1.101 по порту 3128. На дебиане с адресом 192.16.1.101 установил squid и прописал ему минимальный конфиг по образцу из форума, но  access.log пустой, при запуске в терминале пишет:
root@debian:/etc/squid# systemctl status squid.service
● squid.service - LSB: Squid HTTP Proxy version 3.x
   Loaded: loaded (/etc/init.d/squid; generated; vendor preset: enabled)
   Active: failed (Result: exit-code) since Thu 2019-04-18 13:10:23 +07; 15min a
     Docs: man:systemd-sysv-generator(8)
  Process: 3734 ExecStart=/etc/init.d/squid start (code=exited, status=3)

апр 18 13:10:23 debian systemd[1]: Starting LSB: Squid HTTP Proxy version 3.x...
апр 18 13:10:23 debian squid[3734]: FATAL: Bungled /etc/squid/squid.conf line 7:
апр 18 13:10:23 debian systemd[1]: squid.service: Control process exited, code=e
апр 18 13:10:23 debian systemd[1]: Failed to start LSB: Squid HTTP Proxy version
апр 18 13:10:23 debian systemd[1]: squid.service: Unit entered failed state.
апр 18 13:10:23 debian systemd[1]: squid.service: Failed with result 'exit-code'
lines 1-12/12 (END)...skipping...
● squid.service - LSB: Squid HTTP Proxy version 3.x
   Loaded: loaded (/etc/init.d/squid; generated; vendor preset: enabled)
   Active: failed (Result: exit-code) since Thu 2019-04-18 13:10:23 +07; 15min ago
     Docs: man:systemd-sysv-generator(8)
  Process: 3734 ExecStart=/etc/init.d/squid start (code=exited, status=3)

апр 18 13:10:23 debian systemd[1]: Starting LSB: Squid HTTP Proxy version 3.x...
апр 18 13:10:23 debian squid[3734]: FATAL: Bungled /etc/squid/squid.conf line 7: http_access allow officenet ... failed!
апр 18 13:10:23 debian systemd[1]: squid.service: Control process exited, code=exited status=3
апр 18 13:10:23 debian systemd[1]: Failed to start LSB: Squid HTTP Proxy version 3.x.
апр 18 13:10:23 debian systemd[1]: squid.service: Unit entered failed state.
апр 18 13:10:23 debian systemd[1]: squid.service: Failed with result 'exit-code'.

Конфиг Squid:
http_port 3128 transparent
acl localnet src 192.168.1.0/24
http_access allow localhost
http_access allow localnet
http_access allow officenet
acl SSL_ports port 443
acl Safe_ports port 80 # http
acl Safe_ports port 21 # ftp
acl Safe_ports port 443 # https
acl Safe_ports port 70 # gopher
acl Safe_ports port 210 # wais
acl Safe_ports port 1025-65535 # unregistered ports
acl Safe_ports port 280 # http-mgmt
acl Safe_ports port 488 # gss-http
acl Safe_ports port 591 # filemaker
acl Safe_ports port 777 # multiling http
acl CONNECT method

Права на файл:
root@debian:/etc/squid# ls -l
итого 8
-rwxr-xr-x 1 root root 1817 фев 12  2018 errorpage.css
-rwxr-xr-x 1 root root  552 апр 17 21:15 squid.conf


Подскажите в чем может быть проблема? У самого знаний пока не хватает

Ответить | Сообщить модератору
  • Не надо пользоваться образцами с форумов У сквида свой минимальный рабочий хоро, !*! Аноним (1), 12:21 , 18-Апр-19 (1)
    > порту 3128. На дебиане с адресом 192.16.1.101 установил squid и прописал
    > ему минимальный конфиг по образцу из форума,

    Не надо пользоваться образцами с форумов. У сквида свой минимальный рабочий хорошо документированный конфиг.

    > при запуске в терминале пишет:
    > апр 18 13:10:23 debian squid[3734]: FATAL: Bungled /etc/squid/squid.conf line 7:
    > Подскажите в чем может быть проблема? У самого знаний пока не хватает

    Ну и каких знаний тебе не хватает? Русским английским языком написано, что напортачено в 7 строке твоего "по образцу из форума". Смотри и ищи что не так.

    Гадать по копипасте копипасты тут никто не будет. Сноси свои "по образцу", бери то, что в комплекте со сквидом, приводи в порядок под себя.


    сообщить модератору +/ответить
  • Удалось запустить squd, но access log пустойroot debian etc squid systemctl st, !*! Berliqz (ok), 12:25 , 18-Апр-19 (2)
    Удалось запустить squd, но access.log пустой

    root@debian:/etc/squid# systemctl status squid.service
    ● squid.service - LSB: Squid HTTP Proxy version 3.x
       Loaded: loaded (/etc/init.d/squid; generated; vendor preset: enabled)
       Active: active (running) since Thu 2019-04-18 15:11:55 +07; 26min ago
         Docs: man:systemd-sysv-generator(8)
      Process: 6420 ExecStart=/etc/init.d/squid start (code=exited, status=0/SUCCESS)
    Main PID: 6058 (squid)
        Tasks: 0 (limit: 4915)
       CGroup: /system.slice/squid.service
               ‣ 6058 (squid-1) -f /etc/squid/squid.conf -d 9

    апр 18 15:11:55 debian systemd[1]: Starting LSB: Squid HTTP Proxy version 3.x...
    апр 18 15:11:55 debian squid[6420]: Starting Squid HTTP Proxy: squid failed!
    апр 18 15:11:55 debian systemd[1]: squid.service: Supervising process 6058 which is
    апр 18 15:11:55 debian systemd[1]: Started LSB: Squid HTTP Proxy version 3.x

    Порт вроде тоже правильный:root@debian:~# netstat -nap|grep 3128
    tcp6       0      0 :::3128                 :::*                    LISTEN      6058/(squid-1)      
    tcp6       0      0 192.168.1.101:3128      192.168.1.1:64849       TIME_WAIT   -                  
    tcp6       0      0 192.168.1.101:3128      192.168.1.1:64853       TIME_WAIT   -                  
    tcp6       0      0 192.168.1.101:3128      192.168.1.1:64851       TIME_WAIT   -                  
    tcp6       0      0 192.168.1.101:3128      192.168.1.1:64852       TIME_WAIT

    В микротике воспользовался sniffer и вот что он выдал:
    /tool sniffer quick interface=bridge_main ip-protocol=tcp  port  3128  ip-address 192.168.1.101
    INT     TIME    NUM DI SRC-MAC           DST-MAC           VLAN   SRC-ADDRESS                         DST-ADDRESS                         PROTOCOL   SIZE
    bri    9.717     61 -> 64:D1:54:F1:D2:8D 4C:72:B9:AA:21:6E        192.168.1.253:49426                 192.168.1.101:3128 (squid)          ip:tcp       66
    bri    9.717     62 -> 64:D1:54:F1:D2:8D 58:00:E3:FE:01:81        192.168.1.101:3128 (squid)          192.168.1.253:49426                 ip:tcp       66
    bri     9.72     63 -> 64:D1:54:F1:D2:8D 4C:72:B9:AA:21:6E        192.168.1.253:49426                 192.168.1.101:3128 (squid)          ip:tcp       54
    bri     9.72     64 -> 64:D1:54:F1:D2:8D 4C:72:B9:AA:21:6E        192.168.1.253:49426                 192.168.1.101:3128 (squid)          ip:tcp      182
    bri     9.72     65 -> 64:D1:54:F1:D2:8D 58:00:E3:FE:01:81        192.168.1.101:3128 (squid)          192.168.1.253:49426                 ip:tcp       54
    bri     9.72     66 -> 64:D1:54:F1:D2:8D 58:00:E3:FE:01:81        192.168.1.101:3128 (squid)          192.168.1.253:49426                 ip:tcp       54
    bri    9.723     67 -> 64:D1:54:F1:D2:8D 4C:72:B9:AA:21:6E        192.168.1.253:49426                 192.168.1.101:3128 (squid)          ip:tcp       54
    bri    9.723     68 -> 64:D1:54:F1:D2:8D 4C:72:B9:AA:21:6E        192.168.1.253:49426                 192.168.1.101:3128 (squid)          ip:tcp       54
    bri    9.723     69 -> 64:D1:54:F1:D2:8D 4C:72:B9:AA:21:6E        192.168.1.253:49426                 192.168.1.101:3128 (squid)          ip:tcp       54
    bri    9.723     70 -> 64:D1:54:F1:D2:8D 58:00:E3:FE:01:81        192.168.1.101:3128 (squid)          192.168.1.253:49426                 ip:tcp       54
    bri    9.729     71 -> 64:D1:54:F1:D2:8D 4C:72:B9:AA:21:6E        192.168.1.253:49427                 192.168.1.101:3128 (squid)          ip:tcp       66
    bri    9.729     72 -> 64:D1:54:F1:D2:8D 58:00:E3:FE:01:81        192.168.1.101:3128 (squid)          192.168.1.253:49427                 ip:tcp       66
    bri    9.733     73 -> 64:D1:54:F1:D2:8D 4C:72:B9:AA:21:6E        192.168.1.253:49427                 192.168.1.101:3128 (squid)          ip:tcp       54
    bri    9.733     74 -> 64:D1:54:F1:D2:8D 4C:72:B9:AA:21:6E        192.168.1.253:49427                 192.168.1.101:3128 (squid)          ip:tcp      626
    bri    9.733     75 -> 64:D

    Ответа от squida получается нет

    сообщить модератору +/ответить
  • gt оверквотинг удален http_access allow officenetofficenet - это имя акля кото, !*! squid (??), 14:55 , 19-Апр-19 (10)
    >[оверквотинг удален]
    > acl Safe_ports port 488 # gss-http
    > acl Safe_ports port 591 # filemaker
    > acl Safe_ports port 777 # multiling http
    > acl CONNECT method
    > Права на файл:
    > root@debian:/etc/squid# ls -l
    > итого 8
    > -rwxr-xr-x 1 root root 1817 фев 12  2018 errorpage.css
    > -rwxr-xr-x 1 root root  552 апр 17 21:15 squid.conf
    > Подскажите в чем может быть проблема? У самого знаний пока не хватает

    http_access allow officenet
    officenet - это имя акля который в конфиге не описан. Т.о. добавим

    acl officenet src xxx.xxx.xxx.xxx (например 192.168.2.0/24)

    сообщить модератору +/ответить


Squid можно ли сделать авторизацию чисто только по MAC?, !*! lotric, (Аутентификация) 20-Фев-20, 11:40  [ | | | ] [линейный вид] [смотреть все]
Squid Cache: Version 4.10
Service Name: squid
configure options:  '--enable-arp-acl' '--prefix=/home/squid' --enable-ltdl-convenience

и еще вопрос:
какой пакет дополнений поставить http://www1.ngtech.co.il/repo/centos/7/beta/x86_64/
и как если ./configure --enable-arp-acl --prefix=/home/squid  папка

#
# Recommended minimum configuration:
#

# Example rule allowing access from your local networks.
# Adapt to list your (internal) IP networks from where browsing
# should be allowed
# mac allow
acl pc1 arp 11:11:11:11:11:11
http_access allow pc1


...

acl SSL_ports port 443
acl Safe_ports port 80        # http
acl Safe_ports port 21        # ftp
acl Safe_ports port 443        # https
acl Safe_ports port 70        # gopher
acl Safe_ports port 210        # wais
acl Safe_ports port 1025-65535    # unregistered ports
acl Safe_ports port 280        # http-mgmt
acl Safe_ports port 488        # gss-http
acl Safe_ports port 591        # filemaker
acl Safe_ports port 777        # multiling http
acl CONNECT method CONNECT

#
# Recommended minimum Access Permission configuration:
#
# Deny requests to certain unsafe ports
http_access deny !Safe_ports

# Deny CONNECT to other than secure SSL ports
http_access deny CONNECT !SSL_ports

# Only allow cachemgr access from localhost
http_access allow localhost manager
http_access deny manager

# We strongly recommend the following be uncommented to protect innocent
# web applications running on the proxy server who think the only
# one who can access services on "localhost" is a local user
#http_access deny to_localhost

#
# INSERT YOUR OWN RULE(S) HERE TO ALLOW ACCESS FROM YOUR CLIENTS
#

# Example rule allowing access from your local networks.
# Adapt localnet in the ACL section to list your (internal) IP networks
# from where browsing should be allowed
http_access allow localnet
http_access allow localhost

# And finally deny all other access to this proxy
http_access deny all

# Squid normally listens to port 3128
http_port 3128

# Uncomment and adjust the following to add a disk cache directory.
#cache_dir ufs /home/squid/var/cache/squid 100 16 256

# Leave coredumps in the first cache dir
#coredump_dir /home/squid/var/cache/squid

#
# Add any of your own refresh_pattern entries above these.
#
refresh_pattern ^ftp:        1440    20%    10080
refresh_pattern ^gopher:    1440    0%    1440
refresh_pattern -i (/cgi-bin/|\?) 0    0%    0
refresh_pattern .        0    20%    4320

#log off
access_log none    
#cache_store none может не работать
cache_log /dev/null
logfile_rotate 0

#skrit detect proxy
via off
forwarded_for transparent
dns_nameservers 208.67.222.222 208.67.220.220 2620:119:35::35 2620:119:53::53

Ответить | Сообщить модератору
Google Play Market не работает через Squid, !*! Andre, (Прозрачный proxy) 09-Янв-20, 12:30  [ | | | ] [линейный вид] [смотреть все]
Установлен и настроен Squid в прозрачном режиме без подмены сертификатов. При работе через Squid не работает Google Play Market, в магазин приложений зайти можно но при запуске установки все останавливается на "ожидание скачивания". Также есть проблемы в работе сервиса YouTube со сматр ТВ, при запуске приложение выдает сообщение что нет подключения к интернету. Если нажать повторное подключение YouTube запускается. При этом PlayStore работает нормально. Пробовал разные версии Squid (3.5, 4.6, 4.9). Проблема остается.
Система Ubuntu Server 16.04.06
openssl-1.1.1d (пробовал 1.0.1)
В настоящее время установлен squid-4.9-20200102
Скомпилирован с опциями:
./configure --build=x86_64-linux-gnu \
--prefix=/usr \
--includedir=/usr/include \
--mandir=/usr/share/man \
--infodir=/usr/share/info \
--sysconfdir=/etc \
--localstatedir=/var \
--libexecdir=/usr/lib/squid \
--srcdir=. \
--disable-maintainer-mode \
--disable-dependency-tracking \
--disable-silent-rules \
--datadir=/usr/share/squid \
--sysconfdir=/etc/squid \
--mandir=/usr/share/man \
--enable-inline \
--disable-arch-native \
--enable-async-io=8 \
--enable-storeio=ufs,aufs,diskd,rock \
--enable-removal-policies=lru,heap \
--enable-delay-pools \
--enable-cache-digests \
--enable-icap-client \
--enable-follow-x-forwarded-for \
--enable-auth-basic=DB,fake,getpwnam,LDAP,NCSA,NIS,PAM,POP3,RADIUS,SASL \
--enable-auth-digest=file,LDAP \
--enable-auth-negotiate=kerberos,wrapper \
--enable-auth-ntlm=fake \
--enable-external-acl-helpers=file_userip,kerberos_ldap_group,LDAP_group,session,SQL_session,unix_group,wbinfo_group \
--enable-url-rewrite-helpers=fake \
--enable-eui \
--enable-esi \
--enable-icmp \
--enable-zph-qos \
--enable-ecap \
--disable-translation \
--with-swapdir=/var/spool/squid \
--with-logdir=/var/log/squid \
--with-pidfile=/var/run/squid.pid \
--with-filedescriptors=65536 \
--with-large-files \
--with-default-user=squid \
--enable-ssl \
--enable-ssl-crtd \
--with-openssl \
--enable-linux-netfilter \
'CFLAGS=-g -O2 -fPIE -fstack-protector-strong -Wformat -Werror=format-security -Wall' \
'LDFLAGS=-fPIE -pie -Wl,-z,relro -Wl,-z,now' \
'CPPFLAGS=-D_FORTIFY_SOURCE=2' \
'CXXFLAGS=-g -O2 -fPIE -fstack-protector-strong -Wformat -Werror=format-security'

Sduid.conf выглядит так:
acl localnet src 192.168.3.0/24
acl SSL_ports port 443
acl Safe_ports port 80          # http
acl Safe_ports port 21          # ftp
acl Safe_ports port 443         # https
acl Safe_ports port 70          # gopher
acl Safe_ports port 210         # wais
acl Safe_ports port 1025-65535  # unregistered ports
acl Safe_ports port 280         # http-mgmt
acl Safe_ports port 488         # gss-http
acl Safe_ports port 591         # filemaker
acl Safe_ports port 777         # multiling http
acl CONNECT method CONNECT
# разрешающие и блокирующие правила
http_access allow localhost
http_access deny manager
http_access deny !Safe_ports
http_access deny CONNECT !SSL_ports
http_access allow localhost manager
http_access allow localnet
http_access deny all
# dns сервер общий с клиентами
dns_nameservers 127.0.0.1
# параметры портов для Squid
http_port 3128 intercept
http_port 3130
https_port 3129 intercept ssl-bump connection-auth=off tls-cert=/usr/lib/squid/ssl_crtd/squidCA.pem
# параметры работы SSL соединения со Squid-ом. Направлять весь трафик сразу в интернет, без использования вышестоящих кешей.
# последние две разрешают соединение даже с ошибками проверки сертификата
always_direct allow all
sslproxy_cert_error allow all
# параметры доступа по протоколу HTTPS. Запрет terminate и разрешение splice
ssl_bump peek all
ssl_bump splice all
sslcrtd_program /usr/lib/squid/security_file_certgen -s /var/lib/ssl_db -M 4MB
tls_outgoing_options options=ALL:NO_SSLv3:NO_TLSv1:NO_TLSv1_1:NO_TICKET
# другие параметры
coredump_dir /var/spool/squid
refresh_pattern ^ftp:         &n... 1440    20%     10080
refresh_pattern ^gopher:        1440    0%      1440
refresh_pattern -i (/cgi-bin/|\?) 0     0%      0
refresh_pattern (Release|Packages(.gz)*)$      0       20%     2880
refresh_pattern .               0       20%     4320
# Место хранения и размер дискового кэша
cache_dir ufs /var/spool/squid 40000 49 256
maximum_object_size 61440 KB
minimum_object_size 3 KB
# Обьем оперативной памяти, выделенной под кэширование
cache_swap_low 90
cache_swap_high 95
maximum_object_size_in_memory 1024 KB
memory_replacement_policy lru
#Ротация логов осуществляется с помощью системной службы
logfile_rotate 0

В чем может быть проблема?

Ответить | Сообщить модератору
  • Хоть логи бы показал , !*! Vlad (??), 14:35 , 09-Янв-20 (1)
    Хоть логи бы показал.
    сообщить модератору +/ответить
Настройка squid на ubuntu 18.04.2 lts, !*! Георгий, (ACL, блокировки) 24-Окт-19, 12:52  [ | | | ] [линейный вид] [смотреть все]
Здравствуйте!

На сайте https://otpravka.pochta.ru/ при авторизации выходит сообщение "вход в систему на вашем устройстве блокируется google captcha. вход недоступен"

Как настроить squid чтоб капча не блокировалась?

/etc/squid/squid.conf

acl SSL_ports port 443
acl Safe_ports port 80<><------># http
acl Safe_ports port 21<><------># ftp
acl Safe_ports port 443><------># https
acl Safe_ports port 70<><------># gopher
acl Safe_ports port 210><------># wais
acl Safe_ports port 1025-65535<># unregistered ports
acl Safe_ports port 280><------># http-mgmt
acl Safe_ports port 488><------># gss-http
acl Safe_ports port 591><------># filemaker
acl Safe_ports port 777><------># multiling http
acl localnet src 10.??.0.0/16
acl CONNECT method CONNECT
icp_port 3130

#acl whitelist url_regex "/etc/squid/acl/whitelist.acl"
#http_access allow whitelist
#http_access deny all

acl bad_domain dstdom_regex "/etc/squid/block.acl".
acl good_domain dstdom_regex "/etc/squid/white.acl"

acl rkn url_regex "/etc/squid/tor_url"

http_access allow localnet
#http_access allow localhost manager
http_access allow localhost
http_access deny all
http_access deny !Safe_ports
http_access deny CONNECT !SSL_ports
http_access deny manager
http_access deny all
http_reply_access allow all
http_port 3128

coredump_dir /var/spool/squid
refresh_pattern ^ftp:<-><------>1440<-->20%<--->...
refresh_pattern ^gopher:<------>1440<-->0%<---->1440
refresh_pattern -i (/cgi-bin/|\?) 0<--->0%<---->0
refresh_pattern (Release|Packages(.gz)*)$ 0 20% 2880
refresh_pattern .<-----><------>0<----->20%<--->4320
dns_v4_first on
cachemgr_passwd config
url_rewrite_program /usr/local/rejik3/redirector /usr/local/rejik3/redirector.conf
visible_hostname Proxy
#shutdown_lifetime 1 seconds

Ответить | Сообщить модератору


FreeBSD12 настройка маршрутизатора с нуля. Помогите.  , !*! Sten47, (Разное) 13-Июл-19, 18:38  [ | | | ] [линейный вид] [смотреть все]
Помогите нубу)). Имеется две сетевые карты, "rе0" смотрит в сторону интернета и получает настройки по DHCP, вторая, "rl0"c адресом 192.168.188.2   смотрит в сторону сети и должна связать и раздавать интернет 192.168.188.0/24, 192.168.189.0/24, 192.168.190.0/24, 192.168.191.0/24, 192.168.192.0/24.

Каким образом всё это завязать через SQUID?

и это всё должно обрабатываться фаерволом...

Ответить | Сообщить модератору
  • Для раздачи интернета пользовался вот этой инструкциейhttps marvins ru adminis, !*! Sten47 (ok), 19:58 , 13-Июл-19 (1)
    > Помогите нубу)). Имеется две сетевые карты, "rе0" смотрит в сторону интернета и
    > получает настройки по DHCP, вторая, "rl0"c адресом 192.168.188.2   смотрит в
    > сторону сети и должна связать и раздавать интернет 192.168.188.0/24, 192.168.189.0/24,
    > 192.168.190.0/24, 192.168.191.0/24, 192.168.192.0/24.
    > Каким образом всё это завязать через SQUID?
    > и это всё должно обрабатываться фаерволом...

    Для раздачи интернета пользовался вот этой инструкцией

    https://marvins.ru/administrirovanie/shlyuz-na-freebsd.html

    сообщить модератору +/ответить
  • А squid то зачем, статистику собирать Возьмите pfSense да поставьте, из-за ваш, !*! Сергей (??), 10:35 , 14-Июл-19 (2)
    > Помогите нубу)). Имеется две сетевые карты, "rе0" смотрит в сторону интернета и
    > получает настройки по DHCP, вторая, "rl0"c адресом 192.168.188.2   смотрит в
    > сторону сети и должна связать и раздавать интернет 192.168.188.0/24, 192.168.189.0/24,
    > 192.168.190.0/24, 192.168.191.0/24, 192.168.192.0/24.
    > Каким образом всё это завязать через SQUID?
    > и это всё должно обрабатываться фаерволом...

    А squid то зачем, статистику собирать? Возьмите pfSense да поставьте, из-за вашего вопроса я подозреваю относительно низкую вашу квалификацию, поэтому и предлагаю эту сборку freebsd... Вам же работать надо, а не шашечки возить...


    сообщить модератору +/ответить
ipf + ipnat + squid нет пинга у клиентов, а интернет есть, !*! Sten47, (Разное) 13-Июл-19, 09:29  [ | | | ] [линейный вид] [смотреть все]
При переходе на другого провайдера твориться непонятно что. До меня система настраивалась кем то другим. В общем что происходит, у клиентов есть интернет, но через консоль нет пинга в инет. Так же перестаёт работать nylon. куда копать?
Ответить | Сообщить модератору
  • squid - работаетСюда - ipf ipnat, !*! Аноним (1), 13:25 , 13-Июл-19 (1)
    > При переходе на другого провайдера твориться непонятно что. До меня система настраивалась
    > кем то другим. В общем что происходит, у клиентов есть интернет,

    + squid - работает

    > но через консоль нет пинга в инет. Так же перестаёт работать
    > nylon. куда копать?

    Сюда -
    ipf + ipnat

    сообщить модератору +/ответить
Настройка LightSquid , !*! Berliqz, (Squid) 17-Апр-19, 10:36  [ | | | ] [линейный вид] [смотреть все]
Здравствуйте, в организации понадобился учет статистики пользователей (кто куда ходил)
Решил использовать mikrotik в паре со Squid. Добавил правило
/ip firewall mangle
chain=prerouting action=mark-routing new-routing-mark=squid passthrough=yes protocol=tcp
      src-address=!192.168.адрес.прокси dst-port=880,443,8080
/ip route
add comment=squid distance=1 gateway=192.168.адрес.проки routing-mark=squid

Далее на debian был установлен сквид.
его конфиг:
http_port 3128 intercept
acl localnet src 192.168.1.0/24
http_access allow localhost
http_access allow localnet
http_access allow officenet
http_access deny all
icp_access deny all
htcp_access deny all

Установил Apache и LightSquid по инструкции https://code-inside.com/ustanovka-i-nastroyka-lightsquid-v-d....

В них  прописал
Apache:
<Directory /var/www/lightsquid>
AddHandler cgi-script .cgi
AllowOverride All
</Directory>

LightSquid:
#path to additional `cfg` files
$cfgpath             ="/var/www/html/lightsquid";
#path to `tpl` folder
$tplpath             ="/var/www/html/lightsquid/tpl";
#path to `lang` folder
$langpath            ="/var/www/html/lightsquid/lang";
#path to `report` folder
$reportpath          ="/var/www/html/lightsquid/report";
#path to access.log
$logpath             ="/var/log/squid";
#path to `ip2name` folder
$ip2namepath         ="/var/www/html/lightsquid/ip2name";
$graphreport=0;

Далее запускаю проверку командой ./check-setup.pl после чего он пишет:

root@debian:/var/www/lightsquid# ./check-setup.pl
LightSquid Config Checker, (c) 2005-9 Sergey Erokhin GNU GPL

can't access to lightsquid.cfg !!

Скажите что я делаю неправильно?

Ответить | Сообщить модератору
  • gt оверквотинг удален Читаешь неправильно, вот это для кого написано - can, !*! Аноним (1), 11:44 , 17-Апр-19 (1)
    >[оверквотинг удален]
    > $logpath            
    >  ="/var/log/squid";
    > #path to `ip2name` folder
    > $ip2namepath         ="/var/www/html/lightsquid/ip2name";
    > $graphreport=0;
    > Далее запускаю проверку командой ./check-setup.pl после чего он пишет:
    > root@debian:/var/www/lightsquid# ./check-setup.pl
    > LightSquid Config Checker, (c) 2005-9 Sergey Erokhin GNU GPL
    > can't access to lightsquid.cfg !!
    > Скажите что я делаю неправильно?

    Читаешь неправильно, вот это для кого написано  -> > can't access to lightsquid.cfg !!

    сообщить модератору +/ответить
  • иможет тут html лишнее не может найти конфиг файла, !*! eRIC (ok), 11:44 , 17-Апр-19 (2)
    > Apache:
    > <Directory /var/www/lightsquid>
    > AddHandler cgi-script .cgi
    > AllowOverride All
    > </Directory>

    и
    > LightSquid:
    > #path to additional `cfg` files
    > $cfgpath            
    >  ="/var/www/html/lightsquid";

    может тут html лишнее?

    > can't access to lightsquid.cfg !!

    не может найти конфиг файла


    сообщить модератору +/ответить
Nginx SMTP-прокси и виртуальные домены, !*! nops, (Другие proxy) 20-Мрт-19, 09:20  [ | | | ] [линейный вид] [смотреть все]
Доброго дня коллеги.
Задался вопросом. Есть у меня в локалке почтовик. Работает чудно, на роутере проброшены порты и все чудесно работает не один год, но сейчас появилась необходимость поставить второй почтарь, для клиента, свой собственный и разместить его в моей же локалке.
Задача: настроить smtp+imap прокси для распределения почты по нужным серверам. Нашел во такую статейку: https://www.dmosk.ru/miniinstruktions.php?mini=nginx-proxy-mail но там про авторизацию пользователей, для балансировки нагрузки, но это не то что мне нужно.
Итак вводные:
Роутер с белым IP.
сервер1 (стоит внутри сети с серым IP) - почтовик для домена domain.ru
сервер2 (стоит внутри сети с серым IP) - почтовик для домена example.com

Нужно, чтобы входящие письма для домена domain.ru переправлялись на "сервер1", а для example.com на "сервер2".

Как и чем можно такое реализовать.
Есть FreeBSD, на котором развернут Nginx+php-fpm+mysql он же прорисует веб-морду почтовика, с этим все просто, а как быть с smtp? Да, кстати, через прокси нужно не только получать почту от других почтовых серверов, но и подключаться снаружи почтовыми клиентами.

Подскажите пожалуйста решение.

Пока суть до дела, нашел статейку: https://www.vcloudnine.de/load-balancing-inbound-smtp-connec.../
В ней описывается балансировка между двумя почтовыми серверами, но так же я могу не только балансировать, а распределять почту исходя из домена получателя?
Вот кусок кода:
> mode tcp
>     no option http-server-close
>     balance roundrobin
>     option smtpchk HELO mail.terlisten-consulting.de
>     server mail1 192.168.200.107:25 send-proxy check
>     server mail2 192.168.200.108:25 send-proxy check

Тут я понимаю, что анализирую весь TCP-трафик. В данном случае интересует строчка: option smtpchk HELO mail.terlisten-consulting.de
Как я понимаю, поправьте меня, если я ошибаюсь, данной правило срабатывает, то есть передается весь TCP, если срабатывает обращение HELO mail.terlisten-consulting.de
Простите, с английским беда.
Другими словами, если обращение будет к другому серверу, то все замечательно будет срабатывать, вот так:
> mode tcp
>     no option http-server-close
>     balance roundrobin
>     option smtpchk HELO mail.domain.ru
>     server mail1 10.10.10.1:25 send-proxy check
> mode tcp
>     no option http-server-close
>     balance roundrobin
>     option smtpchk HELO mail.example.com
>     server mail2 10.10.20.1:25 send-proxy check

Я правильно мыслю?
если да, то другой вопрос, если на этом же сервере работает Nginx, то не будет ли проблем с http(s) трафиком?

Ответить | Сообщить модератору
  • Еще нашел такую статью на хабре https habr com ru sandbox 34354 Из описания , !*! nops (ok), 11:02 , 20-Мрт-19 (1)
    Еще нашел такую статью на хабре: https://habr.com/ru/sandbox/34354/
    Из описания:
    >[оверквотинг удален]
    > acl is_site3 hdr_dom(host) -i site3
    > acl is_cdn hdr_dom(host) -i cdn
    > acl is_cdnt hdr_dom(host) -i cdnt
    > acl is_site4 hdr_dom(host) -i site4
    > use_backend site1_cluster1 if is_site1
    > use_backend site2_cluster1 if is_site2
    > use_backend site3_cluster1 if is_site3
    > use_backend cdn_cluster1 if is_cdn
    > use_backend cdnt_cluster1 if is_cdnt
    > use_backend site4_cluster1 if is_site4

    Понимаю, что при условии(сейчас на свою ситуацию примастырю), что если обращение идет на domain.ru, то грубо говоря, отработает строчка acl is_site1 hdr_dom(host) -i domain.ru и как итог выберется backend site1_cluster: use_backend site1_cluster1 if is_site1
    Ну а дальше в разделе backend я прописываю нужно сервера.
    Другими словами, я все проверки провожу в разделе frontend, где разбираю какой хост используется и направляю на нужный backend.
    Или это работать будет только  http трафиком, так как там в запросе указывается имя домена. При SMTP сначала идет приветствие helo mail.server.ru. к серверу, который указан в mx-записи dns
    или возможно прописать smtpchk HELO mail.domain.ru; и для каждого из доменов прописываться свой MX?

    сообщить модератору +/ответить
  • Отправка должна работать для обоих доменов Я бы договорился с провайдером чтобы , !*! vg (??), 19:12 , 20-Мрт-19 (2)
    Отправка должна работать для обоих доменов?
    Я бы договорился с провайдером чтобы получить еще один IP для второго домена
    Тогда все будет просто

    или же правильную конфигурацию майл сервера для работы с несколькими доменами

    сообщить модератору +/ответить
  • В почтовом сервере sendmail это делается несколькими строчками Еще как вариант, , !*! universite (ok), 21:01 , 20-Мрт-19 (3)
    > Нужно, чтобы входящие письма для домена domain.ru переправлялись на "сервер1", а для
    > example.com на "сервер2".

    В почтовом сервере sendmail это делается несколькими строчками.
    Еще как вариант, использовать procmail-fetchmail.

    сообщить модератору +/ответить
lightsquid отчеты, !*! rpbt, (Squid) 28-Фев-19, 15:24  [ | | | ] [линейный вид] [смотреть все]
Всем доброго времени.
Есть FreeBSD 12 + squid 4.5 + lightsquid + домменая авторизация.
Не получается правильно настроить отображение отчетов. При использовании ip2name.squidauth
имена пользователей и ip адреса, в вэб интефейсе отображаются. Если выбираешь пользователя, детальная информация по нему отображается, если выбираешь IP адрес, отображается пустая страница.
Пытался применить различные ip2name.* корректно отображают *.ip и *.dns. Моя мечта ) чтобы отображалось имя пользователя если нет то IP адрес со статистикой. Я пытался сам составить скрипт, но так ка знаний нет, получилось не очень. Имена выводит но вместо ip разные символы либо "-" или "0". В access.log иногда присутствует строка: NONE/000 0 NONE error:transaction-end-before-headers - HIER_NONE/- - . Может о неё спотыкается парсер.
Возможно кто нибуть знает решение моего вопроса.
Спасибо
Ответить | Сообщить модератору
  • for LightSquidlogformat squid ts 03tu 6tr a Ss 03 Hs st rm ru un S, !*! adsh (ok), 19:05 , 28-Фев-19 (1)
    # for LightSquid
    logformat squid %ts.%03tu %6tr %>a %Ss/%03>Hs %st %rm %ru %un %Sh/%<a %mt

    сообщить модератору +/ответить
Перестала работать фильрация Dansguardian+Squid, !*! overlocked, (Прозрачный proxy) 15-Фев-19, 13:20  [ | | | ] [линейный вид] [смотреть все]
Коллеги, приветствую!
Внезапно досталась в наследство подсеть с фильтрацией доступа через Dansguardian+Squid на сервере
Все отлично работало, пока не сменился поставщик интернета. Настройки на главном роутере изменил, на всех устройствах они подхватились, кроме вышеупомянутой подсети - в ней интернет не работал.
В настройках сервера для этой подсети были указаны старые DNS, заменил их на новые - интернет появился, но перестала работать фильтрация.
В /var/log/dansguardian/access.log отображает:
2019.2.15 10:52:15 - 172.16.6.110 https://www.youtube.com:443 *DENIED* Запрещенный сайт: youtube.com CONNECT 0 0 Banned Sites 1 403 -   -
2019.2.15 10:52:17 - 172.16.6.110 https://www.google.com:443 *DENIED* Запрещенный сайт: google.com CONNECT 0 0 Banned Sites 1 403 -   -
2019.2.15 10:52:28 - 172.16.6.110 https://vk.com:443 *DENIED* Запрещенный сайт: vk.com CONNECT 0 0 Banned Sites 1 403 -   -

Но эти сайты спокойно открываются (до смены провайдера и изменения dns не открывались).
В /var/log/squid3/access.log эти сайты не попадают
Подскажите, пожалуйста, куда дальше копать?
Ответить | Сообщить модератору
  • Конфиги etc dansguardian dansguardian conf code reportinglevel 3languagedir , !*! overlocked (ok), 13:31 , 15-Фев-19 (1)
    Конфиги
    /etc/dansguardian/dansguardian.conf

    reportinglevel = 3
    languagedir = '/etc/dansguardian/languages'
    language = 'russian-koi8-r'
    loglevel = 2
    logexceptionhits = 2
    logfileformat = 1
    filterip = 172.16.6.10
    filterport = 8081
    proxyip = 127.0.0.1
    proxyport = 3128
    accessdeniedaddress = 'http://YOURSERVER.YOURDOMAIN/cgi-bin/dansguardian.pl'
    nonstandarddelimiter = on
    usecustombannedimage = on
    custombannedimagefile = '/usr/share/dansguardian/transparent1x1.gif'
    filtergroups = 1
    filtergroupslist = '/etc/dansguardian/lists/filtergroupslist'
    bannediplist = '/etc/dansguardian/lists/bannediplist'
    exceptioniplist = '/etc/dansguardian/lists/exceptioniplist'
    showweightedfound = on
    weightedphrasemode = 2
    urlcachenumber = 1000
    urlcacheage = 900
    scancleancache = on
    phrasefiltermode = 2
    preservecase = 0
    hexdecodecontent = off
    forcequicksearch = off
    reverseaddresslookups = off
    reverseclientiplookups = off
    logclienthostnames = off
    createlistcachefiles = on
    maxuploadsize = -1
    maxcontentfiltersize = 256
    maxcontentramcachescansize = 2000
    maxcontentfilecachescansize = 20000
    filecachedir = '/tmp'
    deletedownloadedtempfiles = on
    initialtrickledelay = 20
    trickledelay = 10
    downloadmanager = '/etc/dansguardian/downloadmanagers/fancy.conf'
    downloadmanager = '/etc/dansguardian/downloadmanagers/default.conf'
    contentscanner = '/etc/dansguardian/contentscanners/clamav.conf'
    contentscannertimeout = 60
    contentscanexceptions = off
    recheckreplacedurls = off
    forwardedfor = off
    usexforwardedfor = off
    logconnectionhandlingerrors = on
    logchildprocesshandling = off
    maxchildren = 120
    minchildren = 8
    minsparechildren = 4
    preforkchildren = 6
    maxsparechildren = 32
    maxagechildren = 500
    maxips = 0
    ipcfilename = '/tmp/.dguardianipc'
    urlipcfilename = '/tmp/.dguardianurlipc'
    ipipcfilename = '/tmp/.dguardianipipc'
    nodaemon = off
    nologger = off
    logadblocks = off
    loguseragent = off
    softrestart = off
    mailer = '/usr/sbin/sendmail -t'

    /etc/squid3/squid.conf

    acl manager proto cache_object
    acl localhost src 127.0.0.1/32 ::1
    acl to_localhost dst 127.0.0.0/8 0.0.0.0/32 ::1
    acl SSL_ports port 443
    acl Safe_ports port 80        # http
    acl Safe_ports port 21        # ftp
    acl Safe_ports port 443        # https
    acl Safe_ports port 70        # gopher
    acl Safe_ports port 210        # wais
    acl Safe_ports port 1025-65535    # unregistered ports
    acl Safe_ports port 280        # http-mgmt
    acl Safe_ports port 488        # gss-http
    acl Safe_ports port 591        # filemaker
    acl Safe_ports port 777        # multiling http
    acl CONNECT method CONNECT
    http_access allow manager localhost
    http_access deny manager
    http_access deny !Safe_ports
    http_access deny CONNECT !SSL_ports
    http_access allow localhost
    http_access deny all
    http_port 3128
    coredump_dir /var/spool/squid3
     url_rewrite_program /usr/sbin/redir.pl
     url_rewrite_children 10
    refresh_pattern ^ftp:        1440    20%    10080
    refresh_pattern ^gopher:    1440    0%    1440
    refresh_pattern -i (/cgi-bin/|\?) 0    0%    0
    refresh_pattern (Release|Packages(.gz)*)$      0       20%     2880
    refresh_pattern .        0    20%    4320

    сообщить модератору +/ответить
    •
Проблемы с доступностью сайта www.ach.gov.ru через squid, !*! проходил мимо, (Squid) 22-Июл-16, 12:39  [ | | | ] [линейный вид] [смотреть все]
Здравствуйте, уважаемые любители *nix систем.

Есть сеть, некоторым пользователям которой нужно иметь возможность работать с сайтом www.ach.gov.ru
Доступ к интернету осуществляется через прокси-сервер Squid 3.x
При попытке загрузить начальную страницу сайта в лог падает одно из следующих сообщений:
TCP_MISS/504 4043 GET http://www.ach.gov.ru/ - HIER_DIRECT/95.173.131.101 text/html
TCP_MISS_ABORTED/000 0 GET http://www.ach.gov.ru/ - HIER_DIRECT/95.173.131.101 -
TCP_MISS/502 3597 GET http://www.ach.gov.ru/ - DIRECT/95.173.131.101 text/html

Такая беда наблюдается на трех разных прокси-серверах. При прямом доступе в обход прокси все работает. Буду благодарен за информацию о том, наблюдается ли такая же проблема у вас и за любые идеи по поводу того, куда копать.

Ответить | Сообщить модератору
NONE/400 GET / - HIER_NONE/, !*! musho5755, (Прозрачный proxy) 06-Фев-19, 17:04  [ | | | ] [линейный вид] [смотреть все]
Имеется ubuntu 16.04, squid3 Version 3.3.8

Squid.conf

acl Safe_ports port 21        # ftp
acl Safe_ports port 443        # https
acl Safe_ports port 70        # gopher
acl Safe_ports port 210        # wais
acl Safe_ports port 1025-65535    # unregistered ports
acl Safe_ports port 280        # http-mgmt
acl Safe_ports port 488        # gss-http
acl Safe_ports port 591        # filemaker
acl Safe_ports port 777        # multiling http
acl bad_url dstdomain "/etc/squid3/bad-sites.acl"
http_access deny bad_url
acl CONNECT method CONNECT
http_access allow localnet
http_access deny CONNECT !Safe_ports
http_access allow all
http_port 192.168.248.2:3128  
http_port 3128
http_port 8080
cache_dir ufs /var/spool/squid3 1000 16 256
reload_into_ims on
coredump_dir /etc/squid3
cache_log /var/log/squid3/cache.log
cache_mem 256 MB
maximum_object_size_in_memory 1024 KB
memory_replacement_policy heap GDSF
cache_replacement_policy heap LFUDA
maximum_object_size 32768 KB
range_offset_limit 1024 KB
ipcache_size 8192
cache_store_log none
client_db off
half_closed_clients off
refresh_pattern -i \.bz2$ 43200 100% 43200 override-lastmod override-expire ignore-reload ignore-no-cache
refresh_pattern -i \.exe$ 43200 100% 43200 override-lastmod override-expire ignore-reload ignore-no-cache
refresh_pattern -i \.gif$ 43200 100% 43200 override-lastmod override-expire ignore-reload ignore-no-cache
refresh_pattern -i \.gz$ 43200 100% 43200 override-lastmod override-expire ignore-reload ignore-no-cache
refresh_pattern -i \.ico$ 43200 100% 43200 override-lastmod override-expire ignore-reload ignore-no-cache
refresh_pattern -i \.jpg$ 43200 100% 43200 override-lastmod override-expire ignore-reload ignore-no-cache
refresh_pattern -i \.mid$ 43200 100% 43200 override-lastmod override-expire ignore-reload ignore-no-cache
refresh_pattern -i \.mp3$ 43200 100% 43200 override-lastmod override-expire ignore-reload ignore-no-cache
refresh_pattern -i \.mp4$ 43200 100% 43200 override-lastmod override-expire ignore-reload ignore-no-cache
refresh_pattern -i \.pdf$ 43200 100% 43200 override-lastmod override-expire ignore-reload ignore-no-cache
refresh_pattern -i \.swf$ 43200 100% 43200 override-lastmod override-expire ignore-reload ignore-no-cache
refresh_pattern -i \.svg$ 43200 100% 43200 override-lastmod override-expire ignore-reload ignore-no-cache
refresh_pattern -i \.tar$ 43200 100% 43200 override-lastmod override-expire ignore-reload ignore-no-cache
refresh_pattern -i \.tgz$ 43200 100% 43200 override-lastmod override-expire ignore-reload ignore-no-cache
refresh_pattern -i \.zip$ 43200 100% 43200 override-lastmod override-expire ignore-reload ignore-no-cache
refresh_pattern -i \.rar$ 43200 100% 43200 override-lastmod override-expire ignore-reload ignore-no-cache
refresh_pattern -i \.msi$ 43200 100% 43200 override-lastmod override-expire ignore-reload ignore-no-cache
refresh_pattern -i \.png$ 43200 100% 43200 override-lastmod override-expire ignore-reload ignore-no-cache
refresh_pattern ^ftp: 1440 20% 10080
refresh_pattern ^gopher: 1440 0% 1440
refresh_pattern -i (/cgi-bin/|\?) 0 0% 0
refresh_pattern . 0 20% 4320
memory_replacement_policy lru


squid3 -k parse

2019/02/06 17:59:26| Startup: Initializing Authentication Schemes ...
2019/02/06 17:59:26| Startup: Initialized Authentication Scheme 'basic'
2019/02/06 17:59:26| Startup: Initialized Authentication Scheme 'digest'
2019/02/06 17:59:26| Startup: Initialized Authentication Scheme 'negotiate'
2019/02/06 17:59:26| Startup: Initialized Authentication Scheme 'ntlm'
2019/02/06 17:59:26| Startup: Initialized Authentication.
2019/02/06 17:59:26| Processing Configuration File: /etc/squid3/squid.conf (depth 0)
2019/02/06 17:59:26| Processing: acl localnet src 192.168.0.0/16
2019/02/06 17:59:26| Processing: acl SSL_ports port 443
2019/02/06 17:59:26| Processing: acl Safe_ports port 80         # http
2019/02/06 17:59:26| Processing: acl Safe_ports port 21         # ftp
2019/02/06 17:59:26| Processing: acl Safe_ports port 443                # https
2019/02/06 17:59:26| Processing: acl Safe_ports port 70         # gopher
2019/02/06 17:59:26| Processing: acl Safe_ports port 210                # wais
2019/02/06 17:59:26| Processing: acl Safe_ports port 1025-65535 # unregistered ports
2019/02/06 17:59:26| Processing: acl Safe_ports port 280                # http-mgmt
2019/02/06 17:59:26| Processing: acl Safe_ports port 488                # gss-http
2019/02/06 17:59:26| Processing: acl Safe_ports port 591                # filemaker
2019/02/06 17:59:26| Processing: acl Safe_ports port 777                # multiling http
2019/02/06 17:59:26| Processing: acl bad_url dstdomain "/etc/squid3/bad-sites.acl"
2019/02/06 17:59:26| Processing: http_access deny bad_url
2019/02/06 17:59:26| Processing: acl CONNECT method CONNECT
2019/02/06 17:59:26| Processing: http_access allow localnet
2019/02/06 17:59:26| Processing: http_access deny CONNECT !Safe_ports
2019/02/06 17:59:26| Processing: http_access allow all
2019/02/06 17:59:26| Processing: http_port 192.168.248.2:3128
2019/02/06 17:59:26| Processing: http_port 3128
2019/02/06 17:59:26| Processing: http_port 8080
2019/02/06 17:59:26| Processing: cache_dir ufs /var/spool/squid3 1000 16 256
2019/02/06 17:59:26| Processing: reload_into_ims on
2019/02/06 17:59:26| Processing: coredump_dir /etc/squid3
2019/02/06 17:59:26| Processing: cache_log /var/log/squid3/cache.log
2019/02/06 17:59:26| Processing: cache_mem 256 MB
2019/02/06 17:59:26| Processing: maximum_object_size_in_memory 1024 KB
2019/02/06 17:59:26| Processing: memory_replacement_policy heap GDSF
2019/02/06 17:59:26| Processing: cache_replacement_policy heap LFUDA
2019/02/06 17:59:26| Processing: maximum_object_size 32768 KB
2019/02/06 17:59:26| Processing: range_offset_limit 1024 KB
2019/02/06 17:59:26| Processing: ipcache_size 8192
2019/02/06 17:59:26| Processing: cache_store_log none
2019/02/06 17:59:26| Processing: client_db off
2019/02/06 17:59:26| Processing: half_closed_clients off
2019/02/06 17:59:26| Processing: refresh_pattern ^ftp: 1440 20% 10080
2019/02/06 17:59:26| Processing: refresh_pattern ^gopher: 1440 0% 1440
2019/02/06 17:59:26| Processing: refresh_pattern -i (/cgi-bin/|\?) 0 0% 0
2019/02/06 17:59:26| Processing: refresh_pattern . 0 20% 4320
2019/02/06 17:59:26| Processing: memory_replacement_policy lru

iptables-save

:INPUT ACCEPT [26301:2133064]
:FORWARD ACCEPT [964030:4100373409]
:OUTPUT ACCEPT [186645:208320370]
-A INPUT -p udp -m udp --dport 53 -j ACCEPT
-A INPUT -i lo -j ACCEPT
-A INPUT -s 192.168.250.0/24 -p udp -m multiport --ports 53 -j ACCEPT
-A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
-A INPUT -s 192.168.250.0/24 -p tcp -m multiport --ports 53 -j ACCEPT
-A INPUT -p udp -m udp --dport 23 -j ACCEPT
-A FORWARD -s 192.168.250.0/24 -p tcp -m multiport --ports 80,8080,443,110,25,21 -j ACCEPT
:PREROUTING ACCEPT [2815:312010]
:INPUT ACCEPT [1362:92982]
:OUTPUT ACCEPT [1356:98585]
:POSTROUTING ACCEPT [1703:141634]
-A PREROUTING -s 192.168.0.0/16 -p tcp -m multiport --dports 80,8080 -j REDIRECT --to-ports 3128

access.log

1549461186.571      0 192.168.250.101 NONE/400 3492 GET / - HIER_NONE/- text/html
1549461187.057      0 192.168.250.101 NONE/400 3492 GET / - HIER_NONE/- text/html
1549461187.096      0 192.168.250.101 NONE/400 3514 GET /favicon.ico - HIER_NONE/- text/html
1549461187.102      0 192.168.250.101 NONE/400 3492 GET / - HIER_NONE/- text/html
1549461187.688      0 192.168.250.101 NONE/400 3492 GET / - HIER_NONE/- text/html
1549461187.718      0 192.168.250.101 NONE/400 3514 GET /favicon.ico - HIER_NONE/- text/html
1549461187.722      0 192.168.250.101 NONE/400 3492 GET / - HIER_NONE/- text/html
1549461188.166      0 192.168.250.101 NONE/400 3492 GET / - HIER_NONE/- text/html
1549461188.222      0 192.168.250.101 NONE/400 3514 GET /favicon.ico - HIER_NONE/- text/html
1549461188.233      0 192.168.250.101 NONE/400 3492 GET / - HIER_NONE/- text/html


что может быть? не открываются http сайты. Трафик гоняю прозрачно. При указании прокси сервера на браузера проблем не наблюдается.

ERROR
The requested URL could not be retrieved
The following error was encountered while trying to retrieve the URL: /ru/
Invalid URL
Some aspect of the requested URL is incorrect.
Some possible problems are:
Missing or incorrect access protocol (should be http:// or similar)
Missing hostname
Illegal double-escape in the URL-Path
Illegal character in hostname; underscores are not allowed.
Your cache administrator is webmaster.

Ответить | Сообщить модератору
Sarg (sarg -d в определенный каталог), !*! skycheg, (Squid) 23-Янв-19, 11:24  [ | | | ] [линейный вид] [смотреть все]
Коллеги, приветствую.
А мне поможете разрулить ситуасьон?

имею stable FreeBSD_12
установлен squid + sarg

все логируется, отчеты делаются.

Решил все дело автоматизировать и отдать в cron.
согласно моему конфигу sarg пишет в /usr/local/www/squid-reports (где они удачно отображаются по строке http://ip-adress/sarg) Но команда sarg парсит весь лог squid.

Я в /usr/local/www/squid-reports создал каталоги Daily Monthly Weekly
создал простой скрипт со строкой sarg -d day-1 -o /usr/local/www/squid-reports/Daily

права на чтение у апача одинаковые как на родительский каталог так и на созданные.
Скрипт запускаю от root.
Проблема в том, что при выполнении скрипта ежедневный отчет не кладется в указанный в скрипте каталог, а создает свой Daily. (именно с точкой. Если глянуть на менеджере mc то вместо точки виден знак вопроса - ?, типа Daily?)
Соответственно при переходе по ссылке со стартовой страницы там меня ждет ошибка. типа The requested URL /sarg/$Daily was not found on this server.

если переместить/скопировать созданные логи из каталога Daily. в Daily - то все отображается.

Как заставить сардж писать в нужный мне каталог?

на всякий случай стартовый index.html (стащил его с какого то форума)

<html>
<head>
<title>Access Reports $hostname</title>
</head>
<body>
<div align=center>
<table border=0 cellspacing=6 cellpadding=7>
<tr>
<th align=center nowrap><b><font face=Arial size=4 color=green>Access Reports $hostname</font></b></th>
</tr>
<tr>
<td align=center bgcolor=beige><font face=Arial size=3><a href=$Daily>Daily</a></font></td>
</tr>
<tr>
<td align=center bgcolor=beige><font face=Arial size=3><a href=$Weekly>Weekly</a></font></td>
</tr>
<tr>
<td align=center bgcolor=beige><font face=Arial size=3><a href=$Monthly>Monthly</a></font></td>
</tr>
</table>
</div>
</body>
</html>

Ответить | Сообщить модератору
Что можно смотреть в логах HAproxy?, !*! Аноним, (Другие proxy) 28-Дек-18, 19:29  [ | | | ] [линейный вид] [смотреть все]
Запускаю HAproxy для балансировки нагрузки между толстым клиентом и серверами. Один клиент работает, другой (другая программа) -- нет. В логах для обоих информация вида 
Dec 28 15:57:18 srv8 haproxy[58838]: 192.22.222.28:65134 [28/Dec/2018:15:57:18.821] public static/s2 0/0/8 269 -- 1/1/0/0/0 0/0

Конфиг:


$ cat /etc/haproxy/haproxy.cfg
global
        debug
        log /dev/log   local0 debug
        chroot /var/lib/haproxy
        stats socket /run/haproxy/admin.sock mode 660 level admin
        stats timeout 30s
        user haproxy
        group haproxy
        daemon
        ca-base /etc/ssl/certs
        crt-base /etc/ssl/private
        ssl-default-bind-ciphers ECDH+AESGCM:DH+AESGCM:ECDH+AES256:DH+AES256:ECDH+AES128:DH+AES:ECDH+3DES:DH+3DES:RSA+AESGCM:RSA+AES:RSA+3DES:!aNULL:!MD5:!DSS
        ssl-default-bind-options no-sslv3
defaults
        log    global
        mode    http
        option  httplog
        timeout connect 5000
        timeout client  50000
        timeout server  50000
        errorfile 400 /etc/haproxy/errors/400.http
        errorfile 403 /etc/haproxy/errors/403.http
        errorfile 408 /etc/haproxy/errors/408.http
        errorfile 500 /etc/haproxy/errors/500.http
        errorfile 502 /etc/haproxy/errors/502.http
        errorfile 503 /etc/haproxy/errors/503.http
        errorfile 504 /etc/haproxy/errors/504.http
frontend public
        log             global
        bind            srv8:7180 name clear
        mode            http
        log             global
        option          httplog
        maxconn         100
        timeout client  30s
        option          tcplog
        default_backend  static
backend static
        log             global
        mode            http
        balance         roundrobin
        retries         2
        option redispatch
        timeout connect 5s
        timeout server  5s
        server          s1 srv17:7100
        server          s2 srv17:7102
        server          s3 srv18:7100
        server          s4 srv18:7102

Информацию ловит rsyslog:


$ cat /etc/rsyslog.d/49-haproxy.conf
# Create an additional socket in haproxy's chroot in order to allow logging via
# /dev/log to chroot'ed HAProxy processes
$AddUnixListenSocket /var/lib/haproxy/dev/log
# Send HAProxy messages to a dedicated logfile
if $programname startswith 'haproxy' then /var/log/haproxy.log
&~

Что сделать, чтобы было больше информации в логе?

Ответить | Сообщить модератору
прозрачный squid + роутер, !*! garcia, (Прозрачный proxy) 03-Янв-19, 19:29  [ | | | ] [линейный вид] [смотреть все]
уже есть настроенный прозрачный прокси squid, есть роутер EdgeOSEdgeRouter
хочу сделать схему
все компьютеры сети -> роутер -> squid

squid - 109.0.0.110
router - 109.0.0.1
тестовая винда - 109.0.0.8
пробую эту доку
http://tldp.org/HOWTO/TransparentProxy-6.html

если на винде прописываю шлюз - 109.0.0.110, то все работает, без правил файервола, но надо настроить что бы работало через роутер - 109.0.0.1

прописал

iptables -t nat -A PREROUTING -i eth0 ! -s 109.0.0.110 -p tcp --dport 80 -j DNAT --to 109.0.0.110:3128
iptables -t nat -A POSTROUTING -o eth0 -s 109.0.0.8/32 -d 109.0.0.110/32 -j SNAT --to 109.0.0.1
iptables -A FORWARD -s 109.0.0.8/32 -d 109.0.0.110/32 -i eth0 -o eth0 -p tcp --dport 3128 -j ACCEPT

пробую на тестовой винде (109.0.0.8) открыть сайт - доступ запрещен, на винде шлюз стоит 109.0.0.1, в логах на squid

1546203601.533      0 109.0.0.110 TCP_MISS/403 4857 GET http://myip.ru/ - HIER_NONE/- text/html
1546203601.533      1 109.0.0.1 TCP_MISS/403 4977 GET http://myip.ru/ - ORIGINAL_DST/109.0.0.110 text/html

конфиг squid.conf, версия - squid-3.5.27

# You should use the same dns resolver on squid and all clients
dns_nameservers 127.0.0.1
# acls
acl localnet src 109.0.0.0/24        # RFC1918 possible internal network
acl localnet src 192.168.1.0/24 # RFC1918 possible internal network
acl localnet src 192.168.10.0/24        # RFC1918 possible internal network
acl SSL_ports port 443
acl Safe_ports port 80          # http
acl Safe_ports port 21          # ftp
acl Safe_ports port 443         # https
acl Safe_ports port 70          # gopher
acl Safe_ports port 210         # wais
acl Safe_ports port 1025-65535  # unregistered ports
acl Safe_ports port 280         # http-mgmt
acl Safe_ports port 488         # gss-http
acl Safe_ports port 591         # filemaker
acl Safe_ports port 777         # multiling http
acl CONNECT method CONNECT
acl blocked_http dstdomain "/etc/squid/blocked_sites.txt"
# http access
http_access deny !Safe_ports
http_access deny CONNECT !SSL_ports
http_access allow localhost manager
http_access deny manager
http_access deny blocked_http
http_access allow localnet
http_access allow localhost
http_access deny all
http_port 3128 intercept
https_port 3129 intercept  ssl-bump connection-auth=off cert=/etc/squid/squidCA.pem
http_port 3130
always_direct allow all
sslproxy_cert_error allow all
sslproxy_flags DONT_VERIFY_PEER
acl blocked ssl::server_name "/etc/squid/blocked_https.txt"
acl whitelist src "/etc/squid/whitelist_ip.txt"
ssl_bump splice whitelist
acl step1 at_step SslBump1
ssl_bump peek step1
ssl_bump terminate blocked
ssl_bump splice all
sslcrtd_program /opt/source/squid-3.5.27/src/ssl/ssl_crtd -s /var/lib/ssl_db -M 4MB
sslcrtd_children 8 startup=1 idle=1
acl YOUTUBE ssl::server_name .googlevideo.com
delay_pools 1
delay_class 1 2
delay_parameters 1 -1/-1 5120/5120
delay_access 1 allow YOUTUBE
coredump_dir /var/spool/squid
refresh_pattern ^ftp:         &n... 1440    20%     10080
refresh_pattern ^gopher:        1440    0%      1440
refresh_pattern -i (/cgi-bin/|\?) 0     0%      0
refresh_pattern .               0       20%     4320
cache_dir aufs /var/spool/squid 20000 49 256
maximum_object_size 61440 KB
minimum_object_size 3 KB
cache_swap_low 90
cache_swap_high 95
maximum_object_size_in_memory 512 KB
memory_replacement_policy lru
logfile_rotate 4

в чем может быть проблема?

Ответить | Сообщить модератору
  • Ну так на роутере и смотрите port forwarding Где прописал На сквиде, на роуте, !*! Аноним (1), 10:32 , 04-Янв-19 (1)
    > если на винде прописываю шлюз - 109.0.0.110, то все работает, без правил
    > файервола, но надо настроить что бы работало через роутер - 109.0.0.1

    Ну так на роутере и смотрите port forwarding...

    > прописал

    Где прописал? На сквиде, на роутере - раскрасьте сами...

    > в чем может быть проблема?

    В роутере, очевидно, раз без него все работает как надо...

    сообщить модератору +/ответить
  • по tcpdump вижу что пакеты проходят на прокси, т е правила файервола работают, , !*! garcia (ok), 18:24 , 04-Янв-19 (9)
    по tcpdump вижу что пакеты проходят на прокси, т.е. правила файервола работают, но почему он отдает 403, если в конфиге
    acl localnet src 109.0.0.0/24
    http_access allow localnet
    разрешена сеть
    сообщить модератору +/ответить
  • при добавлении правил на роутере code iptables -t nat -I PREROUTING -i eth0 -s 1, !*! garcia (ok), 21:05 , 05-Янв-19 (13)
    при добавлении правил на роутере
    iptables -t nat -I PREROUTING -i eth0 -s 109.0.0.8 -p tcp --dport 80 -j DNAT --to 109.0.0.110:3128
    iptables -t nat -I PREROUTING -i eth0 -s 109.0.0.8 -p tcp --dport 443 -j DNAT --to 109.0.0.110:3129
    iptables -t nat -I POSTROUTING -o eth0 -s 109.0.0.8 -d 109.0.0.110 -j SNAT --to 109.0.0.1

    правила на прокси сервере

    *nat
    :PREROUTING ACCEPT [314:20555]
    :INPUT ACCEPT [313:20511]
    :OUTPUT ACCEPT [844:60999]
    :POSTROUTING ACCEPT [2:130]
    -A PREROUTING -s 109.0.0.0/24 -p tcp -m tcp --dport 443 -j REDIRECT --to-ports 3129
    -A PREROUTING -s 109.0.0.0/24 -p tcp -m tcp --dport 80 -j REDIRECT --to-ports 3128
    -A PREROUTING -s 192.168.10.0/24 -p tcp -m tcp --dport 443 -j REDIRECT --to-ports 3129
    -A PREROUTING -s 192.168.10.0/24 -p tcp -m tcp --dport 80 -j REDIRECT --to-ports 3128
    -A PREROUTING -s 192.168.1.0/24 -p tcp -m tcp --dport 443 -j REDIRECT --to-ports 3129
    -A PREROUTING -s 192.168.1.0/24 -p tcp -m tcp --dport 80 -j REDIRECT --to-ports 3128
    -A POSTROUTING -s 109.0.0.0/24 -j SNAT --to-source 109.0.0.110
    -A POSTROUTING -s 192.168.10.0/24 -j SNAT --to-source 109.0.0.110
    -A POSTROUTING -s 192.168.1.0/24 -j SNAT --to-source 109.0.0.110
    COMMIT
    *filter
    :INPUT ACCEPT [340:18626]
    :FORWARD ACCEPT [0:0]
    :OUTPUT ACCEPT [1809:273786]
    -A INPUT -i lo -j ACCEPT
    -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
    -A INPUT -s 109.0.0.0/24 -j ACCEPT
    -A INPUT -s 192.168.1.0/24 -j ACCEPT
    -A INPUT -s 192.168.10.0/24 -j ACCEPT
    -A INPUT -j LOG
    -A INPUT -p tcp -m multiport --dports 3128:3130 -j DROP
    -A FORWARD -s 109.0.0.0/24 -p udp -m multiport --dports 80,443 -j DROP
    COMMIT

    при открытии на винде какого-нибудь сайта по http, в cache.log

    kid1| WARNING: Forwarding loop detected for:
    GET / HTTP/1.1^M
    Upgrade-Insecure-Requests: 1^M
    User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/71.0.3578.98 Safari/537.36^M
    Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/webp,image/apng,*/*;q=0.8^M
    Accept-Encoding: gzip, deflate^M
    Accept-Language: ru-RU,ru;q=0.9,en-US;q=0.8,en;q=0.7^M
    Via: 1.1 proxy.server (squid/3.5.27)^M
    X-Forwarded-For: 109.0.0.1^M
    Cache-Control: max-age=259200^M
    Connection: keep-alive^M
    Host: myip.ru^M
    ^M
    kid1| WARNING: Forwarding loop detected for:
    GET /favicon.ico HTTP/1.1^M
    User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/71.0.3578.98 Safari/537.36^M
    Accept: image/webp,image/apng,image/*,*/*;q=0.8^M
    Referer: http://myip.ru/^M
    Accept-Encoding: gzip, deflate^M
    Accept-Language: ru-RU,ru;q=0.9,en-US;q=0.8,en;q=0.7^M
    Via: 1.1 proxy.server (squid/3.5.27)^M
    X-Forwarded-For: 109.0.0.1^M
    Cache-Control: max-age=259200^M
    Connection: keep-alive^M
    Host: myip.ru^M

    в access.log

    1546711344.892      0 109.0.0.110 TCP_MISS/403 4514 GET http://myip.ru/ - HIER_NONE/- text/html
    1546711344.893      0 109.0.0.1 TCP_MISS/403 4634 GET http://myip.ru/ - ORIGINAL_DST/109.0.0.110 text/html
    1546711344.913      0 109.0.0.110 TCP_MISS/403 4479 GET http://myip.ru/favicon.ico - HIER_NONE/- text/html
    1546711344.913      0 109.0.0.1 TCP_MISS/403 4599 GET http://myip.ru/favicon.ico - ORIGINAL_DST/109.0.0.110 text/html

    > WARNING: Forwarding loop detected for

    из-за чего это может быть? и как это можно исправить, что бы все заработало

    сообщить модератору +/ответить


squid не срабатывает правило src, !*! kind21, (ACL, блокировки) 19-Ноя-18, 07:24  [ | | | ] [линейный вид] [смотреть все]
Никак не могу заставить работать squid с фильтрацией по определенным ip адресам в сети.
Т.е. чтобы определенные ip могли ходить в интернет.

Имею следующий конфиг squid:
visible_hostname gate
dns_nameservers 192.168.1.1
dns_v4_first on
shutdown_lifetime 1 seconds
debug_options ALL,1 28,9

acl localnet1 src 192.168.1.0/24
acl full_access src 192.169.1.124

http_access allow full_access
http_access allow localnet1
http_access deny all

http_port 192.168.1.1:3128
http_port 127.0.0.1:3128

cache_dir ufs /var/squid/cache 100 16 256
coredump_dir /var/squid/cache

refresh_pattern ^ftp:         &n... 1440    20%     10080
refresh_pattern -i (/cgi-bin/|\?) 0     0%      0
refresh_pattern .               0       20%     4320


В логах вот такая картина:
2018/11/19 11:15:21.692 kid1| 28,4| Eui48.cc(438) lookup: Got address 74:27:ea:00:59:bd
2018/11/19 11:15:21.693 kid1| 28,3| Checklist.cc(70) preCheck: 0x8033aa418 checking slow rules
2018/11/19 11:15:21.693 kid1| 28,5| Acl.cc(124) matches: checking http_access
2018/11/19 11:15:21.693 kid1| 28,5| Checklist.cc(397) bannedAction: Action 'ALLOWED/0' is not banned
2018/11/19 11:15:21.693 kid1| 28,5| Acl.cc(124) matches: checking http_access#1
2018/11/19 11:15:21.693 kid1| 28,5| Acl.cc(124) matches: checking full_access
2018/11/19 11:15:21.693 kid1| 28,9| Ip.cc(96) aclIpAddrNetworkCompare: aclIpAddrNetworkCompare: compare: 192.168.1.124:41924/[ffff:ffff:ffff:ffff:ffff:ffff:ffff:ffff] (192.168.1.124:41924)  vs 192.169.1.124-[::]/[ffff:ffff:ffff:ffff:ffff:ffff:ffff:ffff]
2018/11/19 11:15:21.693 kid1| 28,3| Ip.cc(538) match: aclIpMatchIp: '192.168.1.124:41924' NOT found
2018/11/19 11:15:21.693 kid1| 28,3| Acl.cc(151) matches: checked: full_access = 0
2018/11/19 11:15:21.693 kid1| 28,3| Acl.cc(151) matches: checked: http_access#1 = 0
2018/11/19 11:15:21.693 kid1| 28,5| Checklist.cc(397) bannedAction: Action 'ALLOWED/0' is not banned
2018/11/19 11:15:21.693 kid1| 28,5| Acl.cc(124) matches: checking http_access#2
2018/11/19 11:15:21.693 kid1| 28,5| Acl.cc(124) matches: checking localnet1
2018/11/19 11:15:21.693 kid1| 28,9| Ip.cc(96) aclIpAddrNetworkCompare: aclIpAddrNetworkCompare: compare: 192.168.1.124:41924/[ffff:ffff:ffff:ffff:ffff:ffff:ffff:ff00] (192.168.1.0:41924)  vs 192.168.1.0-[::]/[ffff:ffff:ffff:ffff:ffff:ffff:ffff:ff00]
2018/11/19 11:15:21.693 kid1| 28,3| Ip.cc(538) match: aclIpMatchIp: '192.168.1.124:41924' found
2018/11/19 11:15:21.693 kid1| 28,3| Acl.cc(151) matches: checked: localnet1 = 1
2018/11/19 11:15:21.693 kid1| 28,3| Acl.cc(151) matches: checked: http_access#2 = 1
2018/11/19 11:15:21.693 kid1| 28,3| Acl.cc(151) matches: checked: http_access = 1
2018/11/19 11:15:21.693 kid1| 28,3| Checklist.cc(63) markFinished: 0x8033aa418 answer ALLOWED for match


Здесь интересно то, что фильтр находит совпадения ip с acl подсети,но не находит совпадения ip если указан конкретный ip адрес.

Если есть мудрые люди, подскажите, почему не срабатывает правило http_access allow full_access ?
И почему в логах вот это: 2018/11/19 11:15:21.693 kid1| 28,9| Ip.cc(96) aclIpAddrNetworkCompare: aclIpAddrNetworkCompare: compare: 192.168.1.124:41924/[ffff:ffff:ffff:ffff:ffff:ffff:ffff:ffff] (192.168.1.124:41924)  vs 192.169.1.124-[::]/[ffff:ffff:ffff:ffff:ffff:ffff:ffff:ffff]
2018/11/19 11:15:21.693 kid1| 28,3| Ip.cc(538) match: aclIpMatchIp: '192.168.1.124:41924' NOT found

Ответить | Сообщить модератору
squid, ssl_bump поясните, в чем разница между peek и stare?, !*! borisdenis, (ACL, блокировки) 29-Окт-18, 09:09  [ | | | ] [линейный вид] [смотреть все]
Имеется прокси, настроенное на мониторинг посещаемых https сайтов без подмены сертификата, все работает, но иногда в браузере появляется вот такая ошибка
https://hsto.org/webt/5b/d6/a0/5bd6a0053236b494686403.jpeg

после перехода в адресную строку и нажатия Enter сайт открывается успешно, в логах ошибок нет, проявляется редко и повторить ошибку специально не удается. В процессе поиска решения и чтения документации попал в тупик, не могу понять разницу между ssl_bump peek step1 и ssl_bump stare step1, в чем разница? В документации такое описание:

peek
    When a peek rule matches during step1, Squid proceeds to step2 where it parses the TLS Client Hello and extracts SNI (if any). When a peek rule matches during step 2, Squid proceeds to step3 where it parses the TLS Server Hello and extracts server certificate while preserving the possibility of splicing the client and server connections; peeking at the server certificate usually precludes future bumping (see Limitations).


stare
    When a stare rule matches during step1, Squid proceeds to step2 where it parses the TLS Client Hello and extracts SNI (if any). When a stare rule matches during step2, Squid proceeds to step3 where it parses the TLS Server Hello and extracts server certificate while preserving the possibility of bumping the client and server connections; staring at the server certificate usually precludes future splicing (see Limitations).


Разница в описании минимальна, но моих познаний английского не хватает чтоб понять в чем у них разница? В каком случае применять одна, а в каком другое.

Может кто пояснить человеческим языком что к чему?

Ответить | Сообщить модератору
  • Подглядывание простое и продвинутое peek позволяет подсмотреть всю доступн, !*! Аноним (1), 09:53 , 29-Окт-18 (1)
    > в чем у них разница?

    Подглядывание "простое" и "продвинутое".

    peek позволяет "подсмотреть" всю доступную информацию о соединении, не заглядывая внутрь. После применения peek на следующем шаге уже нельзя "влезть" (bump) в соединение.

    stare также позволяет "подсмотреть" всю доступную информацию о соединении, не заглядывая внутрь, но при этом сохраняется возможность бампинга на следующем шаге.

    > В каком случае применять одна, а в каком другое.

    АХЗ. Документация крайне скудна, на практике обычно только splice/bump используется. Остальное для каких-то хитро[cencored] случаев может пригодиться, не сталкивался...

    сообщить модератору +/ответить
Как закрыть соединения типа TCP_TUNNEL принудительно?, !*! Alick116, (Подключение фильтров) 22-Окт-18, 14:57  [ | | | ] [линейный вид] [смотреть все]
Доброго времени суток всем. Задача состояла такая, что бы определенный список сайтов был недоступен в определенное время. Все вроде сделал aclки времени и список соц сетей задал, что бы юзеры могли пользоваться соц сетями в обед. Но одно но. Те сайты которые на HTTPS продолжают работать, помогает только закрытие браузера, либо бездействие на самом сайте. Вот хотел спросить может кто нибудь сталкивался и решал данную проблему?
Ответить | Сообщить модератору
Ребят как прописать несколько интерфейсов ?, !*! Marina, (Прозрачный proxy) 04-Окт-18, 19:53  [ | | | ] [линейный вид] [смотреть все]
Ребят как прописать несколько интерфейсов ?
iptables -t nat -A PREROUTING -i $LAN -p tcp --dport $HTTP  -j REDIRECT --to-port $SQUIDH
iptables -t nat -A PREROUTING -i $LAN -p tcp --dport $HTTPS -j REDIRECT --to-port $SQUIDS

Попробовала так, не получается...
iptables -t nat -A PREROUTING -i $LAN,$LAN2,$LAN3 -p tcp --dport $HTTP  -j REDIRECT --to-port $SQUIDH
iptables -t nat -A PREROUTING -i $LAN,$LAN2,$LAN3 -p tcp --dport $HTTPS -j REDIRECT --to-port $SQUIDS
Спасибо!!!

Ответить | Сообщить модератору


Почему SQUID не блокирует http сайты? Где накосячил?, !*! borisdenis, (ACL, блокировки) 11-Окт-18, 11:31  [ | | | ] [линейный вид] [смотреть все]
Есть сервер squid 3.5.28, все работает кроме одного, не блокирует сайты заданные в файле (/opt/squid/etc/blocked_reklama) при доступе к ним по http протоколу, а вот при доступе через https прекрасно блокирует. Не могу понять такого поведения, где и что исправить?

Содержимое файла /opt/squid/etc/blocked_reklama
www.mult.ru
www.securitylab.ru


Конфиг:
#Для авторизации через AD
auth_param negotiate program /opt/squid/libexec/negotiate_kerberos_auth -s HTTP/xxx.xx.xx
auth_param negotiate children 40 startup=0 idle=1
auth_param negotiate keep_alive on

acl localnet src 10.16.0.0/16 # RFC1918 possible internal network
acl pcname srcdomain "/opt/squid/etc/block_comp_name" # компьютеров из имен компьютеров в файле block_comp_name
acl nohttps dstdomain "/opt/squid/etc/no_https"
acl blocked_ads dstdomain "/opt/squid/etc/blocked_reklama" # сайтов для блокировки (реклама)

acl userauth proxy_auth REQUIRED # аутентифицированный пользователь попадает в группу userauth

acl SSL_ports port 443
acl Safe_ports port 80 # http
acl Safe_ports port 21 # ftp
acl Safe_ports port 443 # https
acl Safe_ports port 70 # gopher
acl Safe_ports port 210 # wais
acl Safe_ports port 1025-65535 # unregistered ports
acl Safe_ports port 280 # http-mgmt
acl Safe_ports port 488 # gss-http
acl Safe_ports port 591 # filemaker
acl Safe_ports port 777 # multiling http
acl CONNECT method CONNECT
acl manager proto cache_object


http_access deny pcname #запрещаем доступ группе pcname
http_access deny blocked_ads #Запрещаем доступ к сайтам из указанных списков
http_access deny !Safe_ports
http_access deny CONNECT !SSL_ports
http_access allow localhost manager
http_access deny manager
http_access allow userauth #Разрешаем интернет аутентифицированным пользователям
http_access allow localnet #Разрешаем интернет из нашей сети
http_access allow localhost #Разрешаем интернет локально
http_access deny all #Запрещаем все остальное


#################################################################################################################################
#Для http прозрачного прокси
http_port 3129 intercept
#Для https без подмены сертификата
#https_port 3130 intercept
https_port 3130 intercept ssl-bump options=ALL:NO_SSLv3:NO_SSLv2 connection-auth=off cert=/opt/squid/etc/squidCA.pem
always_direct allow all
acl blocked_ads_ssl ssl::server_name "/opt/squid/etc/blocked_reklama" # сайтов для блокировки (реклама и т.п.)
acl step1 at_step SslBump1
ssl_bump peek step1
ssl_bump terminate blocked_ads_ssl #Закрываем соединение на сайт
ssl_bump bump userauth !nohttps #Расшифровываем трафик для пользователей группы userauth кроме сайтов из файла no_https
ssl_bump splice all #Без расшифровки для всех остальных

#################################################################################################################################
http_port 3128 ssl-bump options=ALL:NO_SSLv3:NO_SSLv2 generate-host-certificates=on dynamic_cert_mem_cache_size=4MB cert=/opt/squid/etc/adkey.pem
sslcrtd_program /opt/squid/libexec/ssl_crtd -s /opt/squid/var/squid3_ssldb -M 4MB
sslcrtd_children 10

always_direct allow all # не использовать кэш

sslproxy_cert_error allow all #разрешает обрабатывать запрос при ошибке проверки сертификата веб сайта
sslproxy_flags DONT_VERIFY_PEER #отключает проверку по списку СА по умолчанию и принимает сертификат, издатель которых неизвестен

ssl_bump server-first all #режим для установки соединения сначала с веб-сервером, затем SSL-соединение с клиентом

coredump_dir /opt/squid/var/cache/squid

#
# Add any of your own refresh_pattern entries above these.
#
refresh_pattern ^ftp:        1440    20%    10080
refresh_pattern ^gopher:    1440    0%    1440
refresh_pattern -i (/cgi-bin/|\?) 0    0%    0
refresh_pattern .        0    20%    4320


max_filedescriptors 4096
cache_replacement_policy GDSF
persistent_connection_after_error off #после возникновения HTTP ошибки, Squid перестанет использовать persistent соединение с этим клиентом

icap_enable on
icap_send_client_ip on
icap_send_client_username on
icap_client_username_encode off
icap_client_username_header X-Authenticated-User
icap_preview_enable on
icap_preview_size 1024
#icap_service_failure_limit 10 in 5 seconds #После 10 ошибок в течении 5 секунд приостанавливается использование icap
icap_service service_avi_req reqmod_precache icap://127.0.0.1:1344/virus_scan bypass=on
adaptation_access service_avi_req allow all
icap_service service_avi_resp respmod_precache icap://127.0.0.1:1344/virus_scan bypass=on
adaptation_access service_avi_resp allow all

logfile_rotate 0


При таком конфиге доступ на https://www.securitylab.ru закрыт, а на www.mult.ru прекрасно заходит, сайты указаны просто для теста, потом будут заменены на другие. squidguard использовать не предлагать, должно же и так работать. Что я пропустил?

squid -v
Squid Cache: Version 3.5.28
Service Name: squid

This binary uses OpenSSL 1.0.2n  7 Dec 2017. For legal restrictions on distribution see https://www.openssl.org/source/license.html

configure options:  '--prefix=/opt/squid' '--with-large-files' '--enable-ssl' '--enable-ssl-crtd' '--enable-ltdl-convenienc' '--enable-auth-negotiate=kerberos,wrapper' '--enable-icap-client' '--with-openssl=/opt/openssl-1.0.2p' '--enable-http-violations' --enable-ltdl-convenience

Ответить | Сообщить модератору
  • Конфиг по кускам подергал с разных хау-ту, что ли Выкинь из конфигурации все про, !*! Аноним (1), 14:28 , 11-Окт-18 (1)
    Конфиг по кускам подергал с разных хау-ту, что ли?

    Выкинь из конфигурации все про прозрачный прокси. Не получится у тебя пока по-человечески скрестить ежа с ужом. Бампинг в 3.5 тоже через задницу работает. Так что оставь только http_port 3128, или переходи на 4 сквид, но там сейчас других косяков хватает.

    И вместо
    www.mult.ru
    www.securitylab.ru

    пиши
    .mult.ru
    .securitylab.ru

    т.е. домен со всеми поддоменами.


    сообщить модератору +/ответить
  • Вопрос снят, пересобрал squid еще раз с теми же параметрами и все заработало , !*! borisdenis (ok), 12:50 , 15-Окт-18 (3)
    Вопрос снят, пересобрал squid еще раз с теми же параметрами и все заработало... Чудеса...


    >[оверквотинг удален]
    > squidguard использовать не предлагать, должно же и так работать. Что я
    > пропустил?
    > squid -v
    > Squid Cache: Version 3.5.28
    > Service Name: squid
    > This binary uses OpenSSL 1.0.2n  7 Dec 2017. For legal restrictions
    > on distribution see https://www.openssl.org/source/license.html
    > configure options:  '--prefix=/opt/squid' '--with-large-files' '--enable-ssl' '--enable-ssl-crtd'
    > '--enable-ltdl-convenienc' '--enable-auth-negotiate=kerberos,wrapper' '--enable-icap-client'
    > '--with-openssl=/opt/openssl-1.0.2p' '--enable-http-violations' --enable-ltdl-convenience

    сообщить модератору +/ответить
SECURITY ALERT: Host header forgery detected on loca, !*! Marina, (Разное) 08-Окт-18, 17:47  [ | | | ] [линейный вид] [смотреть все]
Привет!
Ребята постоянно в логах пишет:
2018/10/08 18:08:27 kid1| SECURITY ALERT: Host header forgery detected on local=52.109.12.24:443 remote=192.168.0.239:59891 FD 73 flags=33$
2018/10/08 18:08:27 kid1| SECURITY ALERT: on URL: nexus.officeapps.live.com:443

C чем это связанно ?

Ответить | Сообщить модератору
Раздача интернет-трафика без squid и iptables, !*! Ape, (Разное) 12-Сен-18, 11:57  [ | | | ] [линейный вид] [смотреть все]
Есть компьютер с двумя сетевыми интерфейсами - eth0, eth1.
На eth0 прямое подключение провайдера.
На eth1 домашняя сеть.
Возможно ли с помощью sysctl -w net.ipv4.ip_forward=1 и route add пробрасывать все пакеты из домашней сети в интернет и обратно без установки squid и iptabes, nftables?

Из домашней сети пингуется внешний интерфейс eth0. То есть, пакеты из домашней сети форвардятся через компьютер на интерфейс, где подключение провайдера. Дальше не идут. Как пробросить их дальше?
Помогите, кто знаком с ситуацией!!!

Ответить | Сообщить модератору
squid + ftp-клиент, !*! jive, (Squid) 19-Июл-18, 15:00  [ | | | ] [линейный вид] [смотреть все]
Друзья, вот уж никак не думал, что по такому (вначале казалось простому) вопросу придётся обращаться на форум. Суть проблемы.
Маленькая компания, на компьютере-шлюзе установлена Windows, на ней Squid 2.7
Один из компьютеров на регулярной основе выкладывает кое-какие файлы на внешний удалённый ftp-сервер. Для решения этой задачи на этот компьютер был установлен Total Commander и настроено ftp-соединение, причём в окне "Настройки брандмауэра" в группе "Способ соединения" была выбрана радио-кнопка "HTTP-прокси с поддержкой FTP".
Недавно руководством было принято решение перейти на какой-нибудь freeware ftp-клиент для Windows, но не консольный, а с интерфейсом, как положено. Всё-таки Total Commander - это программный продукт shareware и в идеале необходимо приобретать лицензию, а в условиях кризиса сами понимаете...
К сожалению, мои попытки реализовать данную задачу пока не привели к желаемому результату. Одни бесплатные ftp-клиенты, которые уже были испробованы, разрешают завести какой-то просто абстрактный proxy-сервер, только адрес и порт, но ничего не работает. Другие разрешают указать не только адрес и порт, но ещё и тип proxy-сервера, вот только выбор небогат: HTTP CONNECT да SOCKS либо 4 либо 5 и опять же ничего не работает.
Подскажите какой-нибудь "реально freeware" ftp-клиент, который смог бы заменить в данной ситуации Total Commander, может быть у кого-нибудь давно реально и успешно работает такая связка?
Вначале честно пытался бродить по просторам интернета, но ничего вразумительного не нашёл.
Было мнение, что это дохлый номер и даже великий FileZilla тут бессилен, не говоря уж о других.
Ответить | Сообщить модератору
Как с 3proxy или другого прокси сервера перенаправлять запросы , !*! Qwentor, (Другие proxy) 24-Июн-18, 01:03  [ | | | ] [линейный вид] [смотреть все]
Сабж. Лучше для 3proxy, если это возможно. Если нет, то для squid/dante

Нужно поднять прокси сервер, который бы распределял соединения по другим прокси на основе запрашиваемого домена.

Как такое реализовать?

Ответить | Сообщить модератору
Не запускается squid после ребута, !*! dANCER, (Squid) 03-Июн-18, 21:06  [ | | | ] [линейный вид] [смотреть все]
Всем привет.
Подскажите, пожалуйста, в чем может быть проблема.Шлюз на OpenBSD 5.7, после перезагрузки не запустился squid, в cache.log:
ERROR: /cache/dir: (2) No such file or directory
FATAL:     Failed to verify one of the swap directories, Check cache.log
    for details.  Run 'squid -z' to create swap directories
    if needed, or if running Squid for the first time.


Попытался запустить squid -z, получил:
2018/06/01 18:20:51 kid1| Set Current Directory to /var/squid/cache
2018/06/01 18:20:51 kid1| Creating missing swap directories
FATAL: Failed to make swap directory /cache/dir: (13) Permission denied
Squid Cache (Version 3.4.12): Terminated abnormally.
CPU Usage: 0.020 seconds = 0.020 user + 0.000 sys
Maximum Resident Size: 25632 KB
Page faults with physical i/o: 0


Конфиг squid.conf:
acl rg_dhcp src 10.1.4.0/24
acl rg_user src 10.1.5.0/24
acl rg_stat src 10.1.7.0/24
acl rg_wifi src 10.1.8.0/24

http_access allow rg_dhcp
http_access allow rg_user
http_access allow rg_stat
http_access allow rg_wifi
http_access allow localhost

# And finally deny all other access to this proxy
http_access deny all

# Squid normally listens to port 3128
http_port 10.1.1.1:3128
http_port 127.0.0.1:3127 intercept

# Uncomment and adjust the following to add a disk cache directory.
cache_dir ufs /cache/dir 41472 32 512

max_filedesc 8192
access_log none
cache_store_log none

# Leave coredumps in the first cache dir
coredump_dir /var/squid/cache

Ответить | Сообщить модератору
squid+dansguardian+sarg, !*! DethKlok, (Учет работы пользователей, логи) 04-Мрт-14, 05:57  [ | | | ] [линейный вид] [смотреть все]
Добрый день, помогите донастроить.
Вся связка работает, прописав правило:
iptables -F
iptables -t nat -F
iptables -t nat -A PREROUTING -s 192.168.121.151 -p tcp --dport 80 -j ACCEPT
iptables -t nat -A PREROUTING -s 192.168.121.151 -p tcp --dport 8080 -j ACCEPT
iptables -t nat -A PREROUTING -p tcp --dport 80 -j DNAT --to-destination 192.168.121.151:8081
iptables -t nat -A PREROUTING -p tcp --dport 8080 -j DNAT --to-destination 192.168.121.151:8081
iptables -t nat -A POSTROUTING -j MASQUERADE
все пользователи сразу идут через dansguardian, без необходимости прописывания на каждом компе в настройках браузера прокси dansguarda, но проблема стала в следующем когда sarg формирует отчет за день он отображает только внешний интерфейс шлюза, т.е. вместо ip пользаков он отображает что шлюз на этих сайтах бывает.
Так же еще вопрос как запинать squid или sarg чтоб помимо сайтов считал скачкивание?
Если нужен какой нить выхлоп говорите, выкину.
Ответить | Сообщить модератору
  • gt оверквотинг удален потому что к squid обращается dansguardasarg оперирует р, !*! reader (ok), 11:43 , 04-Мрт-14 (1)
    >[оверквотинг удален]
    > iptables -t nat -A PREROUTING -p tcp --dport 80 -j DNAT --to-destination
    > 192.168.121.151:8081
    > iptables -t nat -A PREROUTING -p tcp --dport 8080 -j DNAT --to-destination
    > 192.168.121.151:8081
    > iptables -t nat -A POSTROUTING -j MASQUERADE
    > все пользователи сразу идут через dansguardian, без необходимости прописывания на каждом
    > компе в настройках браузера прокси dansguarda, но проблема стала в следующем
    > когда sarg формирует отчет за день он отображает только внешний интерфейс
    > шлюза, т.е. вместо ip пользаков он отображает что шлюз на этих
    > сайтах бывает.

    потому что к squid обращается dansguarda

    > Так же еще вопрос как запинать squid или sarg чтоб помимо сайтов
    > считал скачкивание?

    sarg оперирует размерами файлов указаных в логах squid и к чему относится этот файл ( к элементу сайта или это файл с обменника ) ему до пофиг
    > Если нужен какой нить выхлоп говорите, выкину.

    сообщить модератору +/ответить
, ***, (Tor) -Дек-, 00:  [ | | | ] [линейный вид] [смотреть все]
Squid3, SSL bump, самоподписанный сертификат Squid, !*! ПавелС, (Аутентификация) 10-Июн-18, 14:18  [ | | | ] [линейный вид] [смотреть все]
Скомпилил squid3.4 с поддержкой SSL на Debian 8 для раскрытия ssl траффика для проверки антивирусом через c-icap.
Использую самоподписанный сертификат на Squid, импортировал в браузер.

Простые ssl странички открываются и проверяются антивирусом нормально.
А воти типа gmail.com в Firefox даёт SEC_ERROR_INADEQUATE_KEY_USAGE.

Гуглил гуглил ничего путного ненагугил.

Вообще сне надо для продакшена для браузеров Chrome и IE.

Посоветуйте что, может купить сертификат, будет то же самое или нет?

Ответить | Сообщить модератору
не работает ext_kerberos_ldap_group_acl, !*! visitor, (Squid) 23-Май-18, 10:58  [ | | | ] [линейный вид] [смотреть все]
Всем привет
помогите разобраться плиз с сабжем


ext_kerberos_ldap_group_acl -i -a -g internet -D MYDOMAIN.BY
aduser
kerberos_ldap_group.cc(378): pid=413 :2018/05/23 10:44:56| kerberos_ldap_group: INFO: Got User: aduser set default domain: MYDOMAIN.BY
kerberos_ldap_group.cc(383): pid=413 :2018/05/23 10:44:56| kerberos_ldap_group: INFO: Got User: aduser Domain: MYDOMAIN.BY
support_ldap.cc(1061): pid=413 :2018/05/23 10:44:56| kerberos_ldap_group: ERROR: Error determining ldap server type: Operations error
support_member.cc(134): pid=413 :2018/05/23 10:44:56| kerberos_ldap_group: INFO: User aduser is not member of group@domain internet@NULL
ERR

запуск в дебаге

/usr/sbin/ext_kerberos_ldap_group_acl -d -a -g internet -D MYDOMAIN.BY
kerberos_ldap_group.cc(283): pid=399 :2018/05/23 10:43:28| kerberos_ldap_group: INFO: Starting version 1.3.1sq
support_group.cc(382): pid=399 :2018/05/23 10:43:28| kerberos_ldap_group: INFO: Group list internet
support_group.cc(447): pid=399 :2018/05/23 10:43:28| kerberos_ldap_group: INFO: Group internet  Domain NULL
support_netbios.cc(83): pid=399 :2018/05/23 10:43:28| kerberos_ldap_group: DEBUG: Netbios list NULL
support_netbios.cc(87): pid=399 :2018/05/23 10:43:28| kerberos_ldap_group: DEBUG: No netbios names defined.
support_lserver.cc(82): pid=399 :2018/05/23 10:43:28| kerberos_ldap_group: DEBUG: ldap server list NULL
support_lserver.cc(86): pid=399 :2018/05/23 10:43:28| kerberos_ldap_group: DEBUG: No ldap servers defined.
aduser
kerberos_ldap_group.cc(376): pid=399 :2018/05/23 10:43:34| kerberos_ldap_group: INFO: Got User: aduser set default domain: MYDOMAIN.BY
kerberos_ldap_group.cc(381): pid=399 :2018/05/23 10:43:34| kerberos_ldap_group: INFO: Got User: aduser Domain: MYDOMAIN.BY
support_member.cc(63): pid=399 :2018/05/23 10:43:34| kerberos_ldap_group: DEBUG: User domain loop: group@domain internet@NULL
support_member.cc(91): pid=399 :2018/05/23 10:43:34| kerberos_ldap_group: DEBUG: Default domain loop: group@domain internet@NULL
support_member.cc(119): pid=399 :2018/05/23 10:43:34| kerberos_ldap_group: DEBUG: Default group loop: group@domain internet@NULL
support_member.cc(121): pid=399 :2018/05/23 10:43:34| kerberos_ldap_group: DEBUG: Found group@domain internet@NULL
support_ldap.cc(898): pid=399 :2018/05/23 10:43:34| kerberos_ldap_group: DEBUG: Setup Kerberos credential cache
support_krb5.cc(127): pid=399 :2018/05/23 10:43:34| kerberos_ldap_group: DEBUG: Set credential cache to MEMORY:squid_ldap_399
support_krb5.cc(138): pid=399 :2018/05/23 10:43:34| kerberos_ldap_group: DEBUG: Get default keytab file name
support_krb5.cc(144): pid=399 :2018/05/23 10:43:34| kerberos_ldap_group: DEBUG: Got default keytab file name /etc/krb5.keytab
support_krb5.cc(158): pid=399 :2018/05/23 10:43:34| kerberos_ldap_group: DEBUG: Get principal name from keytab /etc/krb5.keytab
support_krb5.cc(169): pid=399 :2018/05/23 10:43:34| kerberos_ldap_group: DEBUG: Keytab entry has realm name: MYDOMAIN.BY
support_krb5.cc(189): pid=399 :2018/05/23 10:43:34| kerberos_ldap_group: DEBUG: Found principal  name: HTTP/squid-1.mydomain.com@MYDOMAIN.BY
support_krb5.cc(205): pid=399 :2018/05/23 10:43:34| kerberos_ldap_group: DEBUG: Got principal name HTTP/squid-1.mydomain.com@MYDOMAIN.BY
support_krb5.cc(269): pid=399 :2018/05/23 10:43:34| kerberos_ldap_group: DEBUG: Stored credentials
support_ldap.cc(927): pid=399 :2018/05/23 10:43:34| kerberos_ldap_group: DEBUG: Initialise ldap connection
support_ldap.cc(933): pid=399 :2018/05/23 10:43:34| kerberos_ldap_group: DEBUG: Canonicalise ldap server name for domain MYDOMAIN.BY
support_resolv.cc(379): pid=399 :2018/05/23 10:43:34| kerberos_ldap_group: DEBUG: Resolved SRV _ldap._tcp.MYDOMAIN.BY record to adc1.mydomain.com
support_resolv.cc(379): pid=399 :2018/05/23 10:43:34| kerberos_ldap_group: DEBUG: Resolved SRV _ldap._tcp.MYDOMAIN.BY record to adc4.mydomain.com
support_resolv.cc(379): pid=399 :2018/05/23 10:43:34| kerberos_ldap_group: DEBUG: Resolved SRV _ldap._tcp.MYDOMAIN.BY record to adc3.mydomain.com
support_resolv.cc(379): pid=399 :2018/05/23 10:43:34| kerberos_ldap_group: DEBUG: Resolved SRV _ldap._tcp.MYDOMAIN.BY record to adc2.mydomain.com
support_resolv.cc(207): pid=399 :2018/05/23 10:43:34| kerberos_ldap_group: DEBUG: Resolved address 1 of MYDOMAIN.BY to adc1.mydomain.com
support_resolv.cc(207): pid=399 :2018/05/23 10:43:34| kerberos_ldap_group: DEBUG: Resolved address 2 of MYDOMAIN.BY to adc1.mydomain.com
support_resolv.cc(207): pid=399 :2018/05/23 10:43:34| kerberos_ldap_group: DEBUG: Resolved address 3 of MYDOMAIN.BY to adc1.mydomain.com
support_resolv.cc(207): pid=399 :2018/05/23 10:43:34| kerberos_ldap_group: DEBUG: Resolved address 4 of MYDOMAIN.BY to adc4.mydomain.com
support_resolv.cc(207): pid=399 :2018/05/23 10:43:34| kerberos_ldap_group: DEBUG: Resolved address 5 of MYDOMAIN.BY to adc4.mydomain.com
support_resolv.cc(207): pid=399 :2018/05/23 10:43:34| kerberos_ldap_group: DEBUG: Resolved address 6 of MYDOMAIN.BY to adc4.mydomain.com
support_resolv.cc(207): pid=399 :2018/05/23 10:43:34| kerberos_ldap_group: DEBUG: Resolved address 7 of MYDOMAIN.BY to adc2.mydomain.com
support_resolv.cc(207): pid=399 :2018/05/23 10:43:34| kerberos_ldap_group: DEBUG: Resolved address 8 of MYDOMAIN.BY to adc2.mydomain.com
support_resolv.cc(207): pid=399 :2018/05/23 10:43:34| kerberos_ldap_group: DEBUG: Resolved address 9 of MYDOMAIN.BY to adc2.mydomain.com
support_resolv.cc(207): pid=399 :2018/05/23 10:43:34| kerberos_ldap_group: DEBUG: Resolved address 10 of MYDOMAIN.BY to adc3.mydomain.com
support_resolv.cc(207): pid=399 :2018/05/23 10:43:34| kerberos_ldap_group: DEBUG: Resolved address 11 of MYDOMAIN.BY to adc3.mydomain.com
support_resolv.cc(207): pid=399 :2018/05/23 10:43:34| kerberos_ldap_group: DEBUG: Resolved address 12 of MYDOMAIN.BY to adc3.mydomain.com
support_resolv.cc(407): pid=399 :2018/05/23 10:43:34| kerberos_ldap_group: DEBUG: Adding MYDOMAIN.BY to list
support_resolv.cc(443): pid=399 :2018/05/23 10:43:34| kerberos_ldap_group: DEBUG: Sorted ldap server names for domain MYDOMAIN.BY:
support_resolv.cc(445): pid=399 :2018/05/23 10:43:34| kerberos_ldap_group: DEBUG: Host: adc4.mydomain.com Port: 389 Priority: 0 Weight: 100
support_resolv.cc(445): pid=399 :2018/05/23 10:43:34| kerberos_ldap_group: DEBUG: Host: adc3.mydomain.com Port: 389 Priority: 0 Weight: 100
support_resolv.cc(445): pid=399 :2018/05/23 10:43:34| kerberos_ldap_group: DEBUG: Host: adc2.mydomain.com Port: 389 Priority: 0 Weight: 100
support_resolv.cc(445): pid=399 :2018/05/23 10:43:34| kerberos_ldap_group: DEBUG: Host: adc1.mydomain.com Port: 389 Priority: 0 Weight: 100
support_resolv.cc(445): pid=399 :2018/05/23 10:43:34| kerberos_ldap_group: DEBUG: Host: MYDOMAIN.BY Port: -1 Priority: -2 Weight: -2
support_ldap.cc(942): pid=399 :2018/05/23 10:43:34| kerberos_ldap_group: DEBUG: Setting up connection to ldap server adc4.mydomain.com:389
support_ldap.cc(953): pid=399 :2018/05/23 10:43:34| kerberos_ldap_group: DEBUG: Bind to ldap server with SASL/GSSAPI
support_ldap.cc(967): pid=399 :2018/05/23 10:43:34| kerberos_ldap_group: DEBUG: Successfully initialised connection to ldap server adc4.mydomain.com:389
support_ldap.cc(333): pid=399 :2018/05/23 10:43:34| kerberos_ldap_group: DEBUG: Search ldap server with bind path "" and filter: (objectclass=*)
support_ldap.cc(602): pid=399 :2018/05/23 10:43:34| kerberos_ldap_group: DEBUG: Search ldap entries for attribute : schemaNamingContext
support_ldap.cc(645): pid=399 :2018/05/23 10:43:34| kerberos_ldap_group: DEBUG: 1 ldap entry found with attribute : schemaNamingContext
support_ldap.cc(342): pid=399 :2018/05/23 10:43:34| kerberos_ldap_group: DEBUG: Search ldap server with bind path CN=Schema,CN=Configuration,DC=mtb,DC=minsk,DC=by and filter: (ldapdisplayname=samaccountname)
support_ldap.cc(345): pid=399 :2018/05/23 10:43:34| kerberos_ldap_group: DEBUG: Found 0 ldap entries
support_ldap.cc(350): pid=399 :2018/05/23 10:43:34| kerberos_ldap_group: DEBUG: Determined ldap server not as an Active Directory server
support_ldap.cc(1061): pid=399 :2018/05/23 10:43:34| kerberos_ldap_group: ERROR: Error determining ldap server type: Operations error
support_member.cc(132): pid=399 :2018/05/23 10:43:34| kerberos_ldap_group: INFO: User aduser is not member of group@domain internet@NULL
ERR
kerberos_ldap_group.cc(416): pid=399 :2018/05/23 10:43:34| kerberos_ldap_group: DEBUG: ERR
^C

Ответить | Сообщить модератору
LightSquid + Logrotate = log does not need rotating, !*! Azaka, (Учет работы пользователей, логи) 24-Мрт-18, 13:52  [ | | | ] [линейный вид] [смотреть все]
Здравствуйте уважаемые форумчане!
Столкнулся с проблемой: отчёт LightSquid не обновляется по заданию.
Соответственно по команде: "sudo /usr/sbin/logrotate --verbose /etc/squid3/squid.logrotate" выводится следующее:
_______________________________________________
reading config file /etc/squid3/squid.logrotate
Handling 1 logs
rotating pattern: /var/log/squid3/*.log  after 1 days (3 rotations)
empty log files are rotated, old logs are removed
considering log /var/log/squid3/access.log
  log does not need rotating
considering log /var/log/squid3/cache.log
  log does not need rotating
not running postrotate script, since no logs were rotated
_______________________________________________

Каталог по пути "/var/log/squid3/" логами заполняется, от этого и непонятен смысл приведённой ошибки:
_______________________________________________
access.log     access.log.17    access.log.6  cache.log.11  cache.log.19    cache.log.6
access.log.10  access.log.18    access.log.7  cache.log.12  cache.log.2     cache.log.7
access.log.11  access.log.19    access.log.8  cache.log.13  cache.log.20    cache.log.8
access.log.12  access.log.2     access.log.9  cache.log.14  cache.log.2.gz  cache.log.9
access.log.13  access.log.20    cache.log     cache.log.15  cache.log.3     netdb.state
access.log.14  access.log.2.gz  cache.log.0   cache.log.16  cache.log.3.gz
access.log.15  access.log.3     cache.log.1   cache.log.17  cache.log.4
access.log.16  access.log.5     cache.log.10  cache.log.18  cache.log.5
_______________________________________________

Содержимое squid.logrotate:
_______________________________________________
/var/log/squid3/*.log {
        daily
        compress
        delaycompress
        rotate 3
        missingok
        nocreate
        sharedscripts
        postrotate
              test ! -e /var/run/squid3.pid || test ! -x /usr/sbin/squid3 || /usr/sbin/squid3 -k rotate
              sleep 120
              /usr/share/lightsquid/lightparser.pl access.log.1
        endscript
}
_______________________________________________

Кто сталкивался со схожей проблемой, подскажите пожалуйста, что и как необходимо проверить?

P.S. В Unix системах совсем "новенький", многое не понимаю и не знаю.

Ответить | Сообщить модератору
  • А где написано, что это ошибка В конфиг ещё допиши notifempty, !*! pavlinux (ok), 21:44 , 24-Мрт-18 (1)
    > непонятен смысл приведённой ошибки:

    А где написано, что это ошибка?


    В конфиг ещё допиши notifempty

    сообщить модератору +/ответить
 
Пометить прочитанным Создать тему
1 | 2 | 3 | 4 | 5 | 6 | 7 | 8 | 9 | 10 | Архив | Избранное | Мое | Новое | | |



Партнёры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей 		Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру