Squid linux

0

1

Здравствуйте! Squid настроен на удаленном сервере linux. Пытаюсь попробовать с другого компьютера подключиться к нему. В свойствах подключения ввожу IP прокси и порт, но к интернету не подключается... Попробовал разные порты но что-то не вышло Вот squid.conf

acl localnet src 192.168.0.0/16 # RFC1918 possible internal network
#acl allnet src 85.26.233.0/24
acl SingleUser src 85.26.233.160
#http_access allow mynet
acl SSL_ports port 443
acl Safe_ports port 80          # http
acl Safe_ports port 21          # ftp
acl Safe_ports port 443         # https
acl Safe_ports port 70          # gopher
acl Safe_ports port 210         # wais
acl Safe_ports port 1025-65535  # unregistered ports
acl Safe_ports port 280         # http-mgmt
acl Safe_ports port 488         # gss-http
acl Safe_ports port 591         # filemaker
acl Safe_ports port 777         # multiling http
acl Safe_ports port 901         # SWAT

acl CONNECT method CONNECT

#Добавление в acl трёх списков: запрещенные, разрешенные и группа расширенного доступа
acl denied_urls url_regex "/etc/squid/denied_urls"
acl allowed_urls url_regex "/etc/squid/allowed_urls"
acl extended_access_group src "/etc/squid/extended_access_group"

http_access deny !Safe_ports

#http_access deny CONNECT !SSL_ports
http_access allow CONNECT !SSL_ports
http_access allow localhost manager
http_access deny manager

#Ключевая строчка из-за которой долго ломали голову, так как без нее запрос сертификатов к сайтам 
# на https не осуществляется.
#Разрешаем осуществлять коннект к ресурсу, если https
http_access allow localnet CONNECT
#Запрещаем всем доступ на запрещенные сайты
http_access deny denied_urls
#Этим правилом разрешаем всем кто не в группе расширенного доступа ходить только на 
#разрешенные сайты
http_access deny !extended_access_group !allowed_urls

http_access allow localnet
http_access allow localhost
http_access allow all
http_access allow SingleUser

#Обязательно один из портов должен быть в таком виде и являться заглушкой
http_port 185.170.215.148:3130 intercept
http_port 185.170.215.148:3131
http_port 185.170.215.148:8888


always_direct allow all

Ссылка

←	NGING proxy_pass access log как узнать порт

Отвалился демон Smartmontools

→

Порт то слушает? По телнету можно зайти?

~~chenbr0~~ ☆
(23.03.21 16:50:02 MSK)

Ответ на: комментарий от chenbr0 23.03.21 16:50:02 MSK

А как это проверить?

t1m4
(23.03.21 17:17:17 MSK) автор топика

Ответ на: комментарий от chenbr0 23.03.21 16:50:02 MSK

Слушает, но там все ранво пишет time out

t1m4
(23.03.21 17:33:54 MSK) автор топика

Ответ на: комментарий от t1m4 23.03.21 17:17:17 MSK

https://losst.ru/kak-polzovatsya-telnet

~~chenbr0~~ ☆
(23.03.21 17:52:13 MSK)

Ответ на: комментарий от t1m4 23.03.21 17:33:54 MSK

Следующий шаг - настройка фаервола.

~~chenbr0~~ ☆
(23.03.21 17:52:40 MSK)

Ссылка

Ответ на: комментарий от chenbr0 23.03.21 17:52:13 MSK

Тогда у меня другая проблема, я выключаю squid, но на порте 3128 все равно вижу что работает, как это так?

t1m4
(24.03.21 16:15:39 MSK) автор топика

Ответ на: комментарий от t1m4 24.03.21 16:15:39 MSK

https://unix.stackexchange.com/questions/106561/finding-the-pid-of-the-process-using-a-specific-port

~~chenbr0~~ ☆
(24.03.21 17:00:28 MSK)

Vsevolod-linuxoid, не справляюсь, не думал, что зайдет так далеко 😁

~~chenbr0~~ ☆
(24.03.21 17:01:46 MSK)

Ссылка

Ответ на: комментарий от chenbr0 24.03.21 17:00:28 MSK

А вообще это возможно, что я делаю proxy-server squid на удаленном сервере и подключаюсь к нему через свой браузер? Наверное вопрос глупый, но лучше наверное спросить.

t1m4
(24.03.21 18:28:31 MSK) автор топика

Ответ на: комментарий от chenbr0 23.03.21 17:52:13 MSK

А вот telnet где проверять на серваке или нет?

t1m4
(24.03.21 18:34:42 MSK) автор топика

Ссылка

Ответ на: комментарий от chenbr0 23.03.21 16:50:02 MSK

По телнету все работает, а вот подключиться с браузера что-то не могу

t1m4
(24.03.21 18:39:55 MSK) автор топика

Ответ на: комментарий от t1m4 24.03.21 18:28:31 MSK

Зависит от твоих задач, squid можно поставить и локально, при необходимости.

Часто squid не использовал, но где он был основная задача - кешировать страницы и ограничивать доступ к ресурсам, обычно его ставят в компаниях для оптимизации трафика, скорости запросов и закрытия развлекательных сайтов.

~~chenbr0~~ ☆
(24.03.21 18:41:35 MSK)

Ответ на: комментарий от chenbr0 24.03.21 18:41:35 MSK

Нет хочу поставить удаленно(просто из интереса), чтобы можно было подключиться к нему, и он закрывал сайты

t1m4
(24.03.21 18:43:58 MSK) автор топика

Ссылка

Ответ на: комментарий от t1m4 24.03.21 18:39:55 MSK

На сервере сквид работает\слушает?

systemctl status squid

ps -ax | grep squid

netstat -tulpn | grep 3128

~~chenbr0~~ ☆
(24.03.21 18:45:50 MSK)

Ответ на: комментарий от chenbr0 24.03.21 18:45:50 MSK

Да все работает

t1m4
(24.03.21 18:47:41 MSK) автор топика

Ссылка

Ответ на: комментарий от chenbr0 24.03.21 18:45:50 MSK

nmap

22/tcp   open  ssh
80/tcp   open  http
3128/tcp open  squid-http

t1m4
(24.03.21 18:48:18 MSK) автор топика

Ссылка

Ответ на: комментарий от chenbr0 24.03.21 18:45:50 MSK

а вот пытаюсь проверить с другой машины показывает вот так

22/tcp   open  ssh
80/tcp   open  http
3128/tcp filtered  squid-http

t1m4
(24.03.21 18:50:27 MSK) автор топика

Ответ на: комментарий от t1m4 24.03.21 18:50:27 MSK

А если сделать с клиента?

telnet <ip-squid> 3128

~~chenbr0~~ ☆
(24.03.21 18:51:25 MSK)

Ответ на: комментарий от chenbr0 24.03.21 18:51:25 MSK

Не совсем понимаю как и кто у тебя слушает 3128 порт на сервере, если в конфиге этого порта нет?

# Squid normally listens to port 3128
http_port 3128

Во всех примерах указан слушающий порт.

https://gist.github.com/sritchie/1357652

https://gist.github.com/praveenkumar/54d762008c4728068112b775dca5d2e2

Или ты обновил конфиг?

~~chenbr0~~ ☆
(24.03.21 18:55:57 MSK)

Ответ на: комментарий от chenbr0 24.03.21 18:51:25 MSK

Кидает time out

t1m4
(24.03.21 18:58:07 MSK) автор топика

Ссылка

Ответ на: комментарий от chenbr0 24.03.21 18:55:57 MSK

Я уже давно conf обновил и порт добавил

t1m4
(24.03.21 19:00:37 MSK) автор топика

Ответ на: комментарий от t1m4 24.03.21 19:00:37 MSK

acl localnet src 192.168.0.0/16 # RFC1918 possible internal network
#acl allnet src 85.26.233.0/24
acl SingleUser src 85.26.233.0/24
#http_access allow mynet
acl SSL_ports port 443
acl Safe_ports port 80          # http
acl Safe_ports port 21          # ftp
acl Safe_ports port 443         # https
acl Safe_ports port 70          # gopher
acl Safe_ports port 210         # wais
acl Safe_ports port 1025-65535  # unregistered ports
acl Safe_ports port 280         # http-mgmt
acl Safe_ports port 488         # gss-http
acl Safe_ports port 591         # filemaker
acl Safe_ports port 777         # multiling http
acl Safe_ports port 901         # SWAT

acl CONNECT method CONNECT

#Добавление в acl трёх списков: запрещенные, разрешенные и группа расширенного доступа
acl denied_urls url_regex "/etc/squid/denied_urls"
acl allowed_urls url_regex "/etc/squid/allowed_urls"
acl extended_access_group src "/etc/squid/extended_access_group"

http_access deny !Safe_ports

#http_access deny CONNECT !SSL_ports
http_access allow CONNECT !SSL_ports
http_access allow localhost manager
http_access deny manager

#Ключевая строчка из-за которой долго ломали голову, так как без нее запрос сертификатов к сайтам 
# на https не осуществляется.
#Разрешаем осуществлять коннект к ресурсу, если https
http_access allow localnet CONNECT
#Запрещаем всем доступ на запрещенные сайты
http_access deny denied_urls
#Этим правилом разрешаем всем кто не в группе расширенного доступа ходить только на 
#разрешенные сайты
http_access deny !extended_access_group !allowed_urls

http_access allow localnet
http_access allow localhost
http_access allow all
http_access allow SingleUser

#Обязательно один из портов должен быть в таком виде и являться заглушкой
#http_port 185.170.215.148:3130 intercept
http_port 185.170.215.148:3128
cache_dir ufs /var/spool/squid 4096 32 256
#http_port 185.170.215.148:8888
#https_port 3129 intercept ssl-bump options=ALL:NO_SSLv3:NO_SSLv2 connection-auth=off cert=/etc/squid/squidCA.pem

#always_direct allow all

t1m4
(24.03.21 19:01:22 MSK) автор топика

Ответ на: комментарий от t1m4 24.03.21 19:01:22 MSK

Что с фаерволом? Какой дистрибутив? Нужный порт (наверно 3128) ты добавил в исключения фаервола?

~~chenbr0~~ ☆
(24.03.21 19:01:59 MSK)

Ответ на: комментарий от chenbr0 24.03.21 18:51:25 MSK

Ответ от telnet unable to connect to remote host: connection timeout

t1m4
(24.03.21 19:02:30 MSK) автор топика

Ссылка

Ответ на: комментарий от chenbr0 24.03.21 19:01:59 MSK

ubuntu 20.04 с фаерволом не знаю, подскажи как добавить. Тип ufw allow 3128?

t1m4
(24.03.21 19:03:20 MSK) автор топика

Ответ на: комментарий от t1m4 24.03.21 19:03:20 MSK

https://www.digitalocean.com/community/tutorials/how-to-set-up-a-firewall-with-ufw-on-ubuntu-20-04-ru

После настройки фаервола, попробуй telnet еще раз.

~~chenbr0~~ ☆
(24.03.21 19:06:02 MSK)
Последнее исправление: chenbr0 24.03.21 19:06:46 MSK (всего исправлений: 1)

Ответ на: комментарий от chenbr0 24.03.21 19:06:02 MSK

УРААААА, все работает. Спасибо большое, я бы сам никогда до ufw не додумался

t1m4
(24.03.21 19:11:38 MSK) автор топика

Ответ на: комментарий от t1m4 24.03.21 19:11:38 MSK

Пометь тему решенной. На будущее - основной алгоритм проверки сетевых сервисов - netstat + telnet

Vsevolod-linuxoid, Сева, с тебя одна звездочка 😁

~~chenbr0~~ ☆
(24.03.21 19:12:45 MSK)
Последнее исправление: chenbr0 24.03.21 19:13:41 MSK (всего исправлений: 1)

Ответ на: комментарий от chenbr0 24.03.21 19:12:45 MSK

Понять бы как:)

t1m4
(24.03.21 19:14:55 MSK) автор топика

Ответ на: комментарий от t1m4 24.03.21 19:14:55 MSK

https://i.ibb.co/d4TLR2V/image.png

~~chenbr0~~ ☆
(24.03.21 19:16:39 MSK)

Ссылка

Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.

←	NGING proxy_pass access log как узнать порт

Admin

Отвалился демон Smartmontools

→

Похожие темы