LINUX.ORG.RU

Сообщения IceTony

 

Сертификаты в Google Chrome (squid)

Стоит squid 3.3 с настройкой ssl-bump для проксирования https Сгенерировал сертификат squid.der, импортирую его в браузер Google Chrome (linux), захожу к примеру на https://wikipedia.org - не открывает, ругается на сертификат: 

Ваше подключение не защищено
Злоумышленники могут пытаться похитить ваши данные с сайта ru.wikipedia.org (например, пароли, сообщения или номера банковских карт). NET::ERR_CERT_INVALID
https://youtube.com - тоже самое https://linux.org.ru - все нормально Т.е. некоторые https-сайты работают, некоторые нет...

Захожу в Firefox, импортирую тот же сертификат, проверяю - все сайты работают нормально. Захожу в Google Chrome на Windows, импортирую тот же сертификат, проверяю - все сайты работают нормально.

Кто-нибудь может подсказать в чем тут дело и как заставить работать линуксовый хром?

 , ,

IceTony
()

squid не верно проксирует

Доброго времени суток. Поднял сквид (версия 3.4.8), вот конфиг: 

auth_param basic program /usr/lib/squid3/basic_db_auth --user squid1 --password qwerty --plaintext --persist
auth_param basic children 5
auth_param basic realm Web-Proxy
auth_param basic credentialsttl 1 minute
auth_param basic casesensitive off
acl db-auth proxy_auth REQUIRED

acl SSL_ports port 443
acl Safe_ports port 80		# http
acl Safe_ports port 21		# ftp
acl Safe_ports port 443		# https
#acl Safe_ports port 70		# gopher
#acl Safe_ports port 210		# wais
#acl Safe_ports port 1025-65535	# unregistered ports
#acl Safe_ports port 280		# http-mgmt
#acl Safe_ports port 488		# gss-http
#acl Safe_ports port 591		# filemaker
#acl Safe_ports port 777		# multiling http
acl CONNECT method CONNECT

http_access allow db-auth
http_access allow localhost
http_access deny !Safe_ports
http_access deny CONNECT !SSL_ports
http_access deny all

http_port 3128

cache_mem 256 MB

maximum_object_size_in_memory 512 KB

maximum_object_size 120480 KB

cache_dir ufs /var/spool/squid3 5000 32 256

cache_swap_low 90

cache_swap_high 95

logfile_rotate 5

coredump_dir /var/spool/squid3

url_rewrite_program /usr/bin/sams2redir

url_rewrite_children 5

refresh_pattern ^ftp:		1440	20%	10080
refresh_pattern ^gopher:	1440	0%	1440
refresh_pattern -i (/cgi-bin/|\?) 0	0%	0
refresh_pattern .		0	20%	4320

visible_hostname squidproxy


icp_port 0

dns_nameservers 192.168.1.87

Как видно из конфига, настроена авторизация по mysql

При заходе например на ya.ru выдает: Ошибка 404 Нет такой страницы Вместо запроса «песни о любви» прокси отправляет запрос яндексу: 

песни о любви 192.168.1.5/-admin GET my ip=192.168.1.122 my port=3128
При заходе на 2ip.ru выдало:

Страница 2ip.ru не работает Сайт 2ip.ru выполнил переадресацию слишком много раз. Удалите файлы cookie.. ERR_TOO_MANY_REDIRECTS

И так почти все сайты, ошибка 404 нет такой страницы... Где что не верно настроено?

 ,

IceTony
()
9 комментариев

squid не работает авторизация через mysql

Доброго времени суток. Поднял сквид (версия 3.4.8), вот конфиг: 

auth_param basic program /usr/lib/squid3/basic_db_auth --user squid1 --password qwerty --plaintext --persist
auth_param basic children 5
auth_param basic realm Web-Proxy
auth_param basic credentialsttl 1 minute
auth_param basic casesensitive off
acl db-auth proxy_auth REQUIRED

acl SSL_ports port 443
acl Safe_ports port 80		# http
acl Safe_ports port 21		# ftp
acl Safe_ports port 443		# https
#acl Safe_ports port 70		# gopher
#acl Safe_ports port 210		# wais
#acl Safe_ports port 1025-65535	# unregistered ports
#acl Safe_ports port 280		# http-mgmt
#acl Safe_ports port 488		# gss-http
#acl Safe_ports port 591		# filemaker
#acl Safe_ports port 777		# multiling http
acl CONNECT method CONNECT

http_access allow db-auth
http_access allow localhost
http_access deny !Safe_ports
http_access deny CONNECT !SSL_ports
http_access deny all

http_port 3128

cache_mem 256 MB

maximum_object_size_in_memory 512 KB

maximum_object_size 120480 KB

cache_dir ufs /var/spool/squid3 5000 32 256

cache_swap_low 90

cache_swap_high 95

logfile_rotate 5

coredump_dir /var/spool/squid3

url_rewrite_program /usr/bin/sams2redir

url_rewrite_children 5

refresh_pattern ^ftp:		1440	20%	10080
refresh_pattern ^gopher:	1440	0%	1440
refresh_pattern -i (/cgi-bin/|\?) 0	0%	0
refresh_pattern .		0	20%	4320

visible_hostname squidproxy


icp_port 0

dns_nameservers 192.168.1.87

Настроил по мануалу http://wiki.squid-cache.org/ConfigExamples/Authenticate/Mysql База: 

create database squid;
grant select on squid.* to squid1@localhost identified by 'qwerty';
Таблица: 
CREATE TABLE `passwd` (
  `user` varchar(32) NOT NULL default '',
  `password` varchar(35) NOT NULL default '',
  `enabled` tinyint(1) NOT NULL default '1',
  `fullname` varchar(60) default NULL,
  `comment` varchar(60) default NULL,
  PRIMARY KEY  (`user`)
);

insert into passwd values('admin','password',1,'Admin','for testing purpose');

Сохраняю конфиг, перезапускаю сквид, прописываю прокси в свойствах обозревателя, ввожу адрес в браузере, появляется форма авторизации, ввожу admin password и ничего не происходит, снова вылазит пустая форма авторизации.

Логи: 

1486098667.713      0 192.168.1.5 TCP_DENIED/407 4037 GET http://linux.org/ - HIER_NONE/- text/html
1486098673.512      8 192.168.1.5 TCP_DENIED/407 4094 GET http://linux.org/ admin HIER_NONE/- text/html
1486098685.770      4 192.168.1.5 TCP_DENIED/407 4094 GET http://linux.org/ admin HIER_NONE/- text/html

 , ,

IceTony
()
3 комментария

Не сохраняется mount после перезагрузки

Доброго времени суток. Ubuntu 12, после того как был убран один из жестких дисков, каждый раз после перезагрузки слетают настройки монтирования. После перезагрузки система сообщает что отсутствует жесткий диск и приходится каждый раз заново вводить команду 

mount /dev/sdc1 /media/work
в чем может быть причина?

 

IceTony
()
3 комментария

OpenVPN настройка и маршрутизация

1. ПЕРВЫЙ ОФИС. Роутер D-Link DIR-615 поднимает инет соединение (адрес роутера 192.168.1.1)
2. Машина на Debian выступает в качестве шлюза локальной сети, имеет два сетевых интерфейса: eth0=192.168.1.11 и eth1=192.168.0.1 (все компьютеры в сети имеют адрес 192.168.0.х)
3. На этой же машине установлен OpenVPN сервер, согласно инструкции: http://debian-help.ru/articles/ustanovka-nastroika-openvpn-servera-debian-6/
Конфиг сервера: 

push "route 192.168.0.0 255.255.255.0"
tls-auth ta.key 0 
cipher DES-EDE3-CBC
port 1194
proto udp
dev tun
ca ca.crt
cert server.crt
key server.key  
dh dh1024.pem
server 10.8.0.0 255.255.255.0
ifconfig-pool-persist ipp.txt
keepalive 10 120
comp-lzo
persist-key
persist-tun
status openvpn-status.log
log /var/log/openvpn.log
verb 3
4. На роутере в разделе virtual server открываю порт 1194 UDP для адреса 192.168.1.11 и запускаю OpenVPN через команду: 
/etc/init.d/openvpn start
5. ВТОРОЙ ОФИС. Клиентом OpenVPN выступает машина на windows, внутренний IP=172.17.10.100, подключена к роутеру напрямую.
Передаю ключи и сертификаты клиенту (кстати говоря файлы *.key не хотели даже открываться, но chmod 777 вроде решил данную проблему), создаю конфиг клиента: 
client
port 1194
proto udp
dev tun
dev-node "VPN"
remote 78.85.32.29 1194
remote-cert-tls server
ca ca.crt
cert user.crt
key user.key
tls-auth ta.key 1
tun-mtu 1500
tun-mtu-extra 32
mssfix 1450
ping-restart 60
ping 10
comp-lzo
persist-key
persist-tun
cipher DES-EDE3-CBC
status "C:\\Program Files\\OpenVPN\\log\\openvpn-status.log"
log "C:\\Program Files\\OpenVPN\\log\\openvpn.log"
verb 3
mute 20
6. Клиент НЕ подключается к серверу
Лог клиента: 
Thu Feb 04 19:42:21 2016 OpenVPN 2.3.10 x86_64-w64-mingw32 [SSL (OpenSSL)] [LZO] [PKCS11] [IPv6] built on Feb  1 2016
Thu Feb 04 19:42:21 2016 Windows version 6.2 (Windows 8 or greater)
Thu Feb 04 19:42:21 2016 library versions: OpenSSL 1.0.1r  28 Jan 2016, LZO 2.09
Thu Feb 04 19:42:21 2016 MANAGEMENT: TCP Socket listening on [AF_INET]127.0.0.1:25340
Thu Feb 04 19:42:21 2016 Need hold release from management interface, waiting...
Thu Feb 04 19:42:22 2016 MANAGEMENT: Client connected from [AF_INET]127.0.0.1:25340
Thu Feb 04 19:42:22 2016 MANAGEMENT: CMD 'state on'
Thu Feb 04 19:42:22 2016 MANAGEMENT: CMD 'log all on'
Thu Feb 04 19:42:22 2016 MANAGEMENT: CMD 'hold off'
Thu Feb 04 19:42:22 2016 MANAGEMENT: CMD 'hold release'
Thu Feb 04 19:42:22 2016 Control Channel Authentication: using 'ta.key' as a OpenVPN static key file
Thu Feb 04 19:42:22 2016 Outgoing Control Channel Authentication: Using 160 bit message hash 'SHA1' for HMAC authentication
Thu Feb 04 19:42:22 2016 Incoming Control Channel Authentication: Using 160 bit message hash 'SHA1' for HMAC authentication
Thu Feb 04 19:42:22 2016 Socket Buffers: R=[65536->65536] S=[65536->65536]
Thu Feb 04 19:42:22 2016 UDPv4 link local (bound): [undef]
Thu Feb 04 19:42:22 2016 UDPv4 link remote: [AF_INET]78.85.32.29:1194
Thu Feb 04 19:42:22 2016 MANAGEMENT: >STATE:1454600542,WAIT,,,
Thu Feb 04 19:43:22 2016 [UNDEF] Inactivity timeout (--ping-restart), restarting
Thu Feb 04 19:43:22 2016 SIGUSR1[soft,ping-restart] received, process restarting
Thu Feb 04 19:43:22 2016 MANAGEMENT: >STATE:1454600602,RECONNECTING,ping-restart,,
Thu Feb 04 19:43:22 2016 Restart pause, 2 second(s)
Thu Feb 04 19:43:24 2016 Socket Buffers: R=[65536->65536] S=[65536->65536]
Thu Feb 04 19:43:24 2016 UDPv4 link local (bound): [undef]
Thu Feb 04 19:43:24 2016 UDPv4 link remote: [AF_INET]78.85.32.29:1194
Thu Feb 04 19:43:24 2016 MANAGEMENT: >STATE:1454600604,WAIT,,,
Лог сервера 
Fri Feb  5 01:09:29 2016 OpenVPN 2.2.1 i486-linux-gnu [SSL] [LZO2] [EPOLL] [PKCS11] [eurephia] [MH] [PF_INET6] [IPv6 payload 20110424-2 (2.2RC2)] built on Dec  1 2014
Fri Feb  5 01:09:29 2016 NOTE: your local LAN uses the extremely common subnet address 192.168.0.x or 192.168.1.x.  Be aware that this might create routing conflicts if you connect to the VPN server from public locations such as internet cafes that use the same subnet.
Fri Feb  5 01:09:29 2016 NOTE: OpenVPN 2.1 requires '--script-security 2' or higher to call user-defined scripts or executables
Fri Feb  5 01:09:29 2016 Diffie-Hellman initialized with 1024 bit key
Fri Feb  5 01:09:29 2016 Control Channel Authentication: using 'ta.key' as a OpenVPN static key file
Fri Feb  5 01:09:29 2016 Outgoing Control Channel Authentication: Using 160 bit message hash 'SHA1' for HMAC authentication
Fri Feb  5 01:09:29 2016 Incoming Control Channel Authentication: Using 160 bit message hash 'SHA1' for HMAC authentication
Fri Feb  5 01:09:29 2016 TLS-Auth MTU parms [ L:1542 D:166 EF:66 EB:0 ET:0 EL:0 ]
Fri Feb  5 01:09:29 2016 Socket Buffers: R=[163840->131072] S=[163840->131072]
Fri Feb  5 01:09:29 2016 ROUTE default_gateway=192.168.1.1
Fri Feb  5 01:09:29 2016 TUN/TAP device tun0 opened
Fri Feb  5 01:09:29 2016 TUN/TAP TX queue length set to 100
Fri Feb  5 01:09:29 2016 do_ifconfig, tt->ipv6=0, tt->did_ifconfig_ipv6_setup=0
Fri Feb  5 01:09:29 2016 /sbin/ifconfig tun0 10.8.0.1 pointopoint 10.8.0.2 mtu 1500
Fri Feb  5 01:09:29 2016 /sbin/route add -net 10.8.0.0 netmask 255.255.255.0 gw 10.8.0.2
Fri Feb  5 01:09:29 2016 Data Channel MTU parms [ L:1542 D:1450 EF:42 EB:135 ET:0 EL:0 AF:3/1 ]
Fri Feb  5 01:09:29 2016 UDPv4 link local (bound): [undef]
Fri Feb  5 01:09:29 2016 UDPv4 link remote: [undef]
Fri Feb  5 01:09:29 2016 MULTI: multi_init called, r=256 v=256
Fri Feb  5 01:09:29 2016 IFCONFIG POOL: base=10.8.0.4 size=62, ipv6=0
Fri Feb  5 01:09:29 2016 IFCONFIG POOL LIST
Fri Feb  5 01:09:29 2016 Initialization Sequence Completed
Кажется сервер даже не видит клиента... Требуется сделать так, что бы все компьютеры из первого офиса (192.168.0.х) видели все компьютеры из второго офиса (172.17.10.х) по их внутренним IP. Помогите пожалуйста.

 

IceTony
()
86 комментариев (стр. 2)

openvpn не слушает 1194 порт

Добрый вечер! Настроил OpenVPN согласно инструкции: http://debian-help.ru/articles/ustanovka-nastroika-openvpn-servera-debian-6/
Запускаю openvpn командой: 

/etc/init.d/openvpn start
Далее проверяю порт 1194: 
netstat -an | grep ':1194'
Получаю: 
udp        0      0 0.0.0.0:1194            0.0.0.0:*
В чем проблема может быть? Где открывается данный порт?

 

IceTony
()
3 комментария

Вопрос по бэкапу

День добрый, товарищи линуксоиды. От предыдущего админа достался ubuntu server на котором стоит файловый сервер samba. Обнаружил что создается бэкап файлов. Как я могу найти эту софтину которая создает бэкап и перенастроить ее по своему? Или может это стандартны средства убунты?

 

IceTony
()
9 комментариев

DIR 615+Squid

Доброе утро.

Сеть организована по следующей схеме: роутер Dlink DIR-615 поднимает PPPoE соединение (адрес 192.168.1.1), дальше стоит прокси сервер squid (адрес 192.168.0.1) который раздает инет на всю локальную сеть.

В сети есть видеорегистратор (адрес 192.168.0.69), на который нужно получить доступ извне что бы получать картинку с камеры из любого места (использует порты 555 и 8080).

В настройках роутера прописывал: -DMZ=192.168.0.69 -в разделе virtual server указывал адрес 192.168.0.69 и порты 555, 8080 -в разделе port forwarding указывал адрес 192.168.0.69 и порты 555, 8080 -пробовал отключать SPI

Вообщем что только не пробовал, но доступа через внешний IP все равно нету. Есть мысли, что дело может быть в squid, в его настройках, так как роутер и видеорегистратор имеют разные подсети. Подскажите пожалуйста решение данной проблемы.

 ,

IceTony
()
1 комментарий

Вопрос по squid

Добрый день. Имеется юзверь которому нужно запретить отправлять по почте некоторые файлы (doc, xlsx и т.п.), возможно ли сделать это по средствам squid?

 

IceTony
()
2 комментария

squid pools

Доброго времени суток! Стоит Squid на Debian, хочу порезать всем юзерам в сети скорость до 5 мбит/сек Код: acl localnet src 192.168.0.1-192.168.0.254 delay_pools 1 delay_class 1 1 delay_parameters 1 640000/640000 delay_access 1 allow localnet

Перезапускаю squid, пишет что все ОК. Иду на speedtest.net - скорость не изменилась В чем моя ошибка?

 

IceTony
()
5 комментариев
← предыдущие

RSS подписка на новые темы