LINUX.ORG.RU
решено ФорумAdmin

squid с доступом извне

 , ,


0

2

Нужно поднять прокси, который будет не брезговать принимать запросы от всех и ходить на любые ресурсы, даже за пределами локальной сети. Машина со сквайдом подключена к интернету через роутер, порт проброшен.

Мой squid.conf:


acl CONNECT method CONNECT
# line 26: add ( define new ACL )
# line 54: add ( allow defined ACL above )
http_access allow all
# line 59: change
http_port 8080
# add at the last line
request_header_access Referer deny all
request_header_access X-Forwarded-For deny all
request_header_access Via deny all
request_header_access Cache-Control deny all
# add (specify hostname)
visible_hostname lan.server.world
# add (hide IP address)
forwarded_for off


С таким конфигом прокси работает только для локальных клиентов, т.е. настраиваю прокси на localhost 8080 — все работает. Пишу вместо локалхоста айпишник, полученный роутером, и ничего.

★★★★★

Последнее исправление: f1xmAn (всего исправлений: 3)

Ответ на: комментарий от vel

iptables --list

$ nmap -sT 0 localhost

Starting Nmap 6.45 ( http://nmap.org ) at 2014-10-19 16:46 EEST
Nmap scan report for 0 (0.0.0.0)
Host is up (0.00052s latency).
Not shown: 997 closed ports
PORT     STATE SERVICE
631/tcp  open  ipp
5432/tcp open  postgresql
8080/tcp open  http-proxy

Nmap scan report for localhost (127.0.0.1)
Host is up (0.00055s latency).
rDNS record for 127.0.0.1: localhost.localdomain
Not shown: 997 closed ports
PORT     STATE SERVICE
631/tcp  open  ipp
5432/tcp open  postgresql
8080/tcp open  http-proxy

Nmap done: 2 IP addresses (2 hosts up) scanned in 0.10 seconds

f1xmAn ★★★★★
() автор топика
Ответ на: комментарий от f1xmAn

гм. как бы это помягче выразиться на счет вывода iptables...

«iptables -L» - бесполезный вариант, пригодный только для подсчета числа правил.

Chain INPUT (policy ACCEPT)
target     prot opt source               destination        
ACCEPT     all  --  anywhere             anywhere             ctstate RELATED,ESTABLISHED
ACCEPT     all  --  anywhere             anywhere            
INPUT_direct  all  --  anywhere             anywhere            
INPUT_ZONES_SOURCE  all  --  anywhere             anywhere            
INPUT_ZONES  all  --  anywhere             anywhere            
ACCEPT     icmp --  anywhere             anywhere            
REJECT     all  --  anywhere             anywhere             reject-with icmp-host-prohibited

Без in/out интерфейсов это бесполезные данные.

Добавь разрешающее правило 

iptabes -I INPUT 1 -p tcp --dport 8080 -j ACCEPT
и проверь доступность с другой машины.

vel ★★★★★
()
Ответ на: комментарий от vel

Порт точно открыт. Если повесить на него другое приложение, то оно работает, т.ч. полагаю, что дело именно в конфиге сквайда.

f1xmAn ★★★★★
() автор топика
Ответ на: комментарий от f1xmAn 
# firewall-cmd --add-port=8080/tcp
# firewall-cmd --add-port=8080/tcp --permanent

это если у тебя порт закрыт.

powerguy ★★★
()
Ответ на: комментарий от vel

посмотри логи

Вижу там запросы только от настроенного прокси на localhost.
/var/log/squid/access.log — этот же?

А всяких selinux-ов случаем нет ?

Есть, но никаких алертов не было.

f1xmAn ★★★★★
() автор топика
Ответ на: комментарий от powerguy

# ausearch -m avc

Там длинная простыня, но если грепать по «squid», то пусто.

f1xmAn ★★★★★
() автор топика

давно не пользовался сквидом, но может быть нужно:

http_port 0.0.0.0:8080
powerguy ★★★
()
Ответ на: комментарий от snaf

Сегодня я его не настраивал.

f1xmAn ★★★★★
() автор топика
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.
Admin