The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]

форумы  помощь  поиск  регистрация  майллист  вход/выход  слежка  RSS
"Направить Squid через другой Squid"
Вариант для распечатки  
Пред. тема | След. тема 
Форум Настройка Squid и других прокси серверов (Прозрачный proxy)
Изначальное сообщение [ Отслеживать ]

"Направить Squid через другой Squid"  +/
Сообщение от Tiarasu (ok) on 17-Сен-14, 17:13 
День добрый. Ситуация следующая.
Есть отдельно стоящий компьютер, ip 10.10.0.3/24, gateway 10.10.0.2. Больше на нем ничего не настроено, ни dns, ни proxy, только эти параметры.
Этим интерфейсом он смотрит на сервер с установленным Squid. У Squid две сетевые карты - одна ip 10.10.0.2/24, вторая 192.168.1.222/22, смотрит в локальную сеть с интернетом и вторым Squid в ней.
Вот squid.conf


dns_nameservers 192.168.0.122 192.168.0.10
dns_v4_first on
shutdown_lifetime 10 seconds
coredump_dir /usr/local/squid
visible_hostname serv.altest.net
tcp_outgoing_address 192.168.1.222
cache_peer 192.168.0.162 parent 3128 0 proxy-only no-query default
never_direct allow all
#ICAP SECTION
icap_enable on
icap_service_failure_limit 500
icap_service_revival_delay 30
icap_service Zgate_ICAP_Proxy reqmod_precache bypass=0 icap://192.168.0.231:1344/reqmod
icap_service Zgate_ICAP_Logger respmod_precache routing=1 icap://192.168.0.231:1344/respmod
icap_send_client_ip on
icap_send_client_username on
adaptation_service_set class_proxy Zgate_ICAP_Proxy
adaptation_service_set class_logger Zgate_ICAP_Logger
adaptation_access class_proxy allow all
adaptation_access class_logger allow all

#HTTPS SECTION
http_port 3128 ssl-bump cert=/usr/local/etc/squid/root.cer key=/usr/local/etc/squid/root.key generate-host-certificates=on
ssl_bump client-first all
always_direct allow all
sslproxy_cert_error allow all

#CACHE SETTINGS
acl QUERY urlpath_regex cgi-bin \\?
no_cache deny !QUERY
cache_dir ufs /usr/local/squid/cache 3000 16 256
maximum_object_size 320 MB
quick_abort_min 5 MB

#ACCESS CONTROL LISTS!

acl localnet src 192.168.0.0/22
acl localnet src 10.10.0.0/24
acl CONNECT method CONNECT
acl BlockSite dstdomain .woman.ru
acl BlockSite dstdomain .odnoklassniki.ru
http_access allow manager localhost
http_access deny to_localhost
http_access deny all BlockSite
http_access allow localnet
http_reply_access allow all
debug_options 93,5
refresh_pattern -i (/cgi-bin/|\?) 0     0%      0
refresh_pattern .               0       20%     4320

Если я не ошибаюсь, опции cache_peer и never_direct должны перенаправлять на второй squid (192.168.0.162). Для проверки на втором Squid заблокировал сайт rbc.ru. К сожалению, клиентский хост на rbc пускает, следовательно, он идет не через второй Squid, а напрямую. Подскажите пожалуйста, что я делаю не так.

Ответить | Правка | Cообщить модератору

Оглавление

Сообщения по теме [Сортировка по ответам | RSS]

1. "Направить Squid через другой Squid"  +/
Сообщение от PavelR (??) on 18-Сен-14, 12:17 
> Подскажите пожалуйста, что я делаю не так.

В логи не смотрите.


Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

2. "Направить Squid через другой Squid"  +/
Сообщение от Tiarasu (ok) on 18-Сен-14, 12:32 
>> Подскажите пожалуйста, что я делаю не так.
> В логи не смотрите.

Лог родительского прокси чист.
К дочернему логу добавил в раздел http_port опцию intercept.
Лог родительского по прежнему чист, лог дочернего выдает:


1411026960.368      3 192.168.1.222 TCP_MISS/403 5226 GET http://www.google.ru/url? - HIER_NONE/- text/html
1411026960.372     12 192.168.0.231 TCP_MISS/403 5298 GET http://www.google.ru/url? - HIER_DIRECT/192.168.1.222 text/html
1411026960.463      3 192.168.1.222 TCP_MISS/403 4467 GET http://www.squid-cache.org/Artwork/SN.png - HIER_NONE/- text/html
1411026960.468     12 192.168.0.231 TCP_MISS/403 4539 GET http://www.squid-cache.org/Artwork/SN.png - HIER_DIRECT/192.168.1.222 text/html
1411026961.210      0 192.168.0.231 NONE/409 3846 CONNECT mail.google.com:443 - HIER_NONE/- text/html
1411026962.270      0 10.10.0.3 NONE/409 3825 CONNECT jim43.mail.ru:443 - HIER_NONE/- text/html
1411026971.922      0 10.10.0.3 NONE/409 3831 CONNECT mail.google.com:443 - HIER_NONE/- text/html

но при это пишет, что доступ на страничку запрещен. В какую сторону копать?
Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

3. "Направить Squid через другой Squid"  +/
Сообщение от Tiarasu (ok) on 18-Сен-14, 17:08 
>> Подскажите пожалуйста, что я делаю не так.
> В логи не смотрите.

Последовал совету, посмотрел в логи. Сейчас в cache.log торчит ошибка:
SECURITY ALERT: Host header forgery detected on local=10.10.0.2:3128 remote=10.10.0.3:2368 FD 11 flags=33 (intercepted port does not match 443)

И не гуглится. Может быть, кто-то встречался с чем-то подобным?

Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

4. "Направить Squid через другой Squid"  +/
Сообщение от Andrey Mitrofanov on 18-Сен-14, 18:01 
> SECURITY ALERT: Host header forgery detected on local=10.10.0.2:3128 remote=10.10.0.3:2368
> FD 11 flags=33 (intercepted port does not match 443)

Может, все порты на ssl-bump-прозрачный порт завернул, может, непрозрачно настроенным броузером на прозрачный порт пошёл, может ещё чего, кто ж его знает.

Ответить | Правка | ^ к родителю #3 | Наверх | Cообщить модератору

5. "Направить Squid через другой Squid"  +/
Сообщение от Tiarasu (ok) on 19-Сен-14, 09:13 
>> SECURITY ALERT: Host header forgery detected on local=10.10.0.2:3128 remote=10.10.0.3:2368
>> FD 11 flags=33 (intercepted port does not match 443)
> Может, все порты на ssl-bump-прозрачный порт завернул, может, непрозрачно настроенным
> броузером на прозрачный порт пошёл, может ещё чего, кто ж его
> знает.

Ок.
Поправил squid.conf дабы не бампить SSl


http_port 127.0.0.1:3129
http_port 127.0.0.1:3128 intercept

Все просто и прозрачно.
Все равно не пускает. На https ругается в cache.loc так

2014/09/19 09:06:24.647 kid1| SECURITY ALERT: Host header forgery detected on local=192.168.1.222:3128 remote=10.10.0.3:2545 FD 12 flags=33 (intercepted port does not match 443)
2014/09/19 09:06:24.647 kid1| SECURITY ALERT: By user agent: Mozilla/5.0 (Windows NT 5.1; rv:32.0) Gecko/20100101 Firefox/32.0
2014/09/19 09:06:24.647 kid1| SECURITY ALERT: on URL: mail.ru:443
2014/09/19 09:06:24.647 kid1| abandoning local=192.168.1.222:3128 remote=10.10.0.3:2545 FD 12 flags=33

на http ругается в access.log так

1411103452.183   4504 10.10.0.3 TCP_MISS/503 3977 GET http://www.opennet.ru/ - HIER_DIRECT/192.168.1.222 text/html
1411103452.369      1 10.10.0.3 TCP_MISS/503 4058 GET http://www.squid-cache.org/Artwork/SN.png - HIER_DIRECT/192.168.1.222 text/html
1411103452.523      1 10.10.0.3 TCP_MISS/503 3978 GET http://www.opennet.ru/favicon.ico - HIER_DIRECT/192.168.1.222 text/html
1411103452.535      1 10.10.0.3 TCP_MISS/503 4010 GET http://www.opennet.ru/favicon.ico - HIER_DIRECT/192.168.1.222 text/html

Причем, ругается в разные логи. Упоминания mail.ru нет в access.log, упоминаний об opennet нет в cache.log
Браузер настроен прозрачно (Mozilla, использовать системные прокси), в качестве шлюза указан адрес squid'a.
Ответить | Правка | ^ к родителю #4 | Наверх | Cообщить модератору

6. "Направить Squid через другой Squid"  +/
Сообщение от tonys (??) on 19-Сен-14, 11:29 
> tcp_outgoing_address 192.168.1.222

С этого интерфейса Squid отправляет запросы
> cache_peer 192.168.0.162 parent 3128 0 proxy-only no-query default

Как у вас пакеты из х.х.1.х попадают в х.х.0.х?

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

7. "Направить Squid через другой Squid"  +/
Сообщение от Tiarasu (ok) on 19-Сен-14, 12:09 
>> tcp_outgoing_address 192.168.1.222
> С этого интерфейса Squid отправляет запросы
>> cache_peer 192.168.0.162 parent 3128 0 proxy-only no-query default
> Как у вас пакеты из х.х.1.х попадают в х.х.0.х?

там маска 22.

Ответить | Правка | ^ к родителю #6 | Наверх | Cообщить модератору


Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема




Спонсоры:
Слёрм
Inferno Solutions
Hosting by Ihor
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2019 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру