Здравствуйте, на микротике завернул трафик через nat на прокси сервер 192.168.1.101 по порту 3128. На дебиане с адресом 192.16.1.101 установил squid и прописал ему минимальный конфиг по образцу из форума, но access.log пустой, при запуске в терминале пишет:
root@debian:/etc/squid# systemctl status squid.service
● squid.service - LSB: Squid HTTP Proxy version 3.x
Loaded: loaded (/etc/init.d/squid; generated; vendor preset: enabled)
Active: failed (Result: exit-code) since Thu 2019-04-18 13:10:23 +07; 15min a
Docs: man:systemd-sysv-generator(8)
Process: 3734 ExecStart=/etc/init.d/squid start (code=exited, status=3)апр 18 13:10:23 debian systemd[1]: Starting LSB: Squid HTTP Proxy version 3.x...
апр 18 13:10:23 debian squid[3734]: FATAL: Bungled /etc/squid/squid.conf line 7:
апр 18 13:10:23 debian systemd[1]: squid.service: Control process exited, code=e
апр 18 13:10:23 debian systemd[1]: Failed to start LSB: Squid HTTP Proxy version
апр 18 13:10:23 debian systemd[1]: squid.service: Unit entered failed state.
апр 18 13:10:23 debian systemd[1]: squid.service: Failed with result 'exit-code'
lines 1-12/12 (END)...skipping...
● squid.service - LSB: Squid HTTP Proxy version 3.x
Loaded: loaded (/etc/init.d/squid; generated; vendor preset: enabled)
Active: failed (Result: exit-code) since Thu 2019-04-18 13:10:23 +07; 15min ago
Docs: man:systemd-sysv-generator(8)
Process: 3734 ExecStart=/etc/init.d/squid start (code=exited, status=3)апр 18 13:10:23 debian systemd[1]: Starting LSB: Squid HTTP Proxy version 3.x...
апр 18 13:10:23 debian squid[3734]: FATAL: Bungled /etc/squid/squid.conf line 7: http_access allow officenet ... failed!
апр 18 13:10:23 debian systemd[1]: squid.service: Control process exited, code=exited status=3
апр 18 13:10:23 debian systemd[1]: Failed to start LSB: Squid HTTP Proxy version 3.x.
апр 18 13:10:23 debian systemd[1]: squid.service: Unit entered failed state.
апр 18 13:10:23 debian systemd[1]: squid.service: Failed with result 'exit-code'.Конфиг Squid:
http_port 3128 transparent
acl localnet src 192.168.1.0/24
http_access allow localhost
http_access allow localnet
http_access allow officenet
acl SSL_ports port 443
acl Safe_ports port 80 # http
acl Safe_ports port 21 # ftp
acl Safe_ports port 443 # https
acl Safe_ports port 70 # gopher
acl Safe_ports port 210 # wais
acl Safe_ports port 1025-65535 # unregistered ports
acl Safe_ports port 280 # http-mgmt
acl Safe_ports port 488 # gss-http
acl Safe_ports port 591 # filemaker
acl Safe_ports port 777 # multiling http
acl CONNECT methodПрава на файл:
root@debian:/etc/squid# ls -l
итого 8
-rwxr-xr-x 1 root root 1817 фев 12 2018 errorpage.css
-rwxr-xr-x 1 root root 552 апр 17 21:15 squid.conf
Подскажите в чем может быть проблема? У самого знаний пока не хватает
> порту 3128. На дебиане с адресом 192.16.1.101 установил squid и прописал
> ему минимальный конфиг по образцу из форума,Не надо пользоваться образцами с форумов. У сквида свой минимальный рабочий хорошо документированный конфиг.
> при запуске в терминале пишет:
> апр 18 13:10:23 debian squid[3734]: FATAL: Bungled /etc/squid/squid.conf line 7:
> Подскажите в чем может быть проблема? У самого знаний пока не хватаетНу и каких знаний тебе не хватает? Русским английским языком написано, что напортачено в 7 строке твоего "по образцу из форума". Смотри и ищи что не так.
Гадать по копипасте копипасты тут никто не будет. Сноси свои "по образцу", бери то, что в комплекте со сквидом, приводи в порядок под себя.
Удалось запустить squd, но access.log пустойroot@debian:/etc/squid# systemctl status squid.service
● squid.service - LSB: Squid HTTP Proxy version 3.x
Loaded: loaded (/etc/init.d/squid; generated; vendor preset: enabled)
Active: active (running) since Thu 2019-04-18 15:11:55 +07; 26min ago
Docs: man:systemd-sysv-generator(8)
Process: 6420 ExecStart=/etc/init.d/squid start (code=exited, status=0/SUCCESS)
Main PID: 6058 (squid)
Tasks: 0 (limit: 4915)
CGroup: /system.slice/squid.service
‣ 6058 (squid-1) -f /etc/squid/squid.conf -d 9апр 18 15:11:55 debian systemd[1]: Starting LSB: Squid HTTP Proxy version 3.x...
апр 18 15:11:55 debian squid[6420]: Starting Squid HTTP Proxy: squid failed!
апр 18 15:11:55 debian systemd[1]: squid.service: Supervising process 6058 which is
апр 18 15:11:55 debian systemd[1]: Started LSB: Squid HTTP Proxy version 3.xПорт вроде тоже правильный:root@debian:~# netstat -nap|grep 3128
tcp6 0 0 :::3128 :::* LISTEN 6058/(squid-1)
tcp6 0 0 192.168.1.101:3128 192.168.1.1:64849 TIME_WAIT -
tcp6 0 0 192.168.1.101:3128 192.168.1.1:64853 TIME_WAIT -
tcp6 0 0 192.168.1.101:3128 192.168.1.1:64851 TIME_WAIT -
tcp6 0 0 192.168.1.101:3128 192.168.1.1:64852 TIME_WAITВ микротике воспользовался sniffer и вот что он выдал:
/tool sniffer quick interface=bridge_main ip-protocol=tcp port 3128 ip-address 192.168.1.101
INT TIME NUM DI SRC-MAC DST-MAC VLAN SRC-ADDRESS DST-ADDRESS PROTOCOL SIZE
bri 9.717 61 -> 64:D1:54:F1:D2:8D 4C:72:B9:AA:21:6E 192.168.1.253:49426 192.168.1.101:3128 (squid) ip:tcp 66
bri 9.717 62 -> 64:D1:54:F1:D2:8D 58:00:E3:FE:01:81 192.168.1.101:3128 (squid) 192.168.1.253:49426 ip:tcp 66
bri 9.72 63 -> 64:D1:54:F1:D2:8D 4C:72:B9:AA:21:6E 192.168.1.253:49426 192.168.1.101:3128 (squid) ip:tcp 54
bri 9.72 64 -> 64:D1:54:F1:D2:8D 4C:72:B9:AA:21:6E 192.168.1.253:49426 192.168.1.101:3128 (squid) ip:tcp 182
bri 9.72 65 -> 64:D1:54:F1:D2:8D 58:00:E3:FE:01:81 192.168.1.101:3128 (squid) 192.168.1.253:49426 ip:tcp 54
bri 9.72 66 -> 64:D1:54:F1:D2:8D 58:00:E3:FE:01:81 192.168.1.101:3128 (squid) 192.168.1.253:49426 ip:tcp 54
bri 9.723 67 -> 64:D1:54:F1:D2:8D 4C:72:B9:AA:21:6E 192.168.1.253:49426 192.168.1.101:3128 (squid) ip:tcp 54
bri 9.723 68 -> 64:D1:54:F1:D2:8D 4C:72:B9:AA:21:6E 192.168.1.253:49426 192.168.1.101:3128 (squid) ip:tcp 54
bri 9.723 69 -> 64:D1:54:F1:D2:8D 4C:72:B9:AA:21:6E 192.168.1.253:49426 192.168.1.101:3128 (squid) ip:tcp 54
bri 9.723 70 -> 64:D1:54:F1:D2:8D 58:00:E3:FE:01:81 192.168.1.101:3128 (squid) 192.168.1.253:49426 ip:tcp 54
bri 9.729 71 -> 64:D1:54:F1:D2:8D 4C:72:B9:AA:21:6E 192.168.1.253:49427 192.168.1.101:3128 (squid) ip:tcp 66
bri 9.729 72 -> 64:D1:54:F1:D2:8D 58:00:E3:FE:01:81 192.168.1.101:3128 (squid) 192.168.1.253:49427 ip:tcp 66
bri 9.733 73 -> 64:D1:54:F1:D2:8D 4C:72:B9:AA:21:6E 192.168.1.253:49427 192.168.1.101:3128 (squid) ip:tcp 54
bri 9.733 74 -> 64:D1:54:F1:D2:8D 4C:72:B9:AA:21:6E 192.168.1.253:49427 192.168.1.101:3128 (squid) ip:tcp 626
bri 9.733 75 -> 64:DОтвета от squida получается нет
>[оверквотинг удален]
>
> 192.168.1.101:3128 (squid)
> ip:tcp 54
> bri 9.733 74 -> 64:D1:54:F1:D2:8D
> 4C:72:B9:AA:21:6E 192.168.1.253:49427
>
> 192.168.1.101:3128 (squid)
> ip:tcp 626
> bri 9.733 75 -> 64:D
> Ответа от squida получается нетДа и сквид поправил:
http_port 3128 transparent
acl localnet src 192.168.1.0/24
http_access allow localhost
http_access allow localnetacl SSL_ports port 443
acl Safe_ports port 80 # http
acl Safe_ports port 21 # ftp
acl Safe_ports port 443 # https
acl Safe_ports port 70 # gopher
acl Safe_ports port 210 # wais
acl Safe_ports port 1025-65535 # unregistered ports
acl Safe_ports port 280 # http-mgmt
acl Safe_ports port 488 # gss-http
acl Safe_ports port 591 # filemaker
acl Safe_ports port 777 # multiling http
acl CONNECT method CONNECT
>> Ответа от squida получается нетВестимо...
> Да и сквид поправил:
Молодец, а теперь гугли про transparent proxy. Минимальная конфигурация здесь уже не канает.
> Молодец, а теперь гугли про transparent proxy. Минимальная конфигурация здесь уже не
> канает.Вот же блин, а HTTPS запросы получается не будут логироваться? И нужно теперь на стороне squid заворачивать трафик обратно в микротик с помощью iptables?
> Вот же блин, а HTTPS запросы получается не будут логироваться? И нужно
> теперь на стороне squid заворачивать трафик обратно в микротик с помощью
> iptables?Ну это как гланды удалять через задний проход...
Все можно настроить, но придется изрядно поплясать с бубном. Про прозрачный прокси ты, будем считать, подошел к пониманию вопроса, теперь почитай ещё про ssl-bump...
>> Вот же блин, а HTTPS запросы получается не будут логироваться? И нужно
>> теперь на стороне squid заворачивать трафик обратно в микротик с помощью
>> iptables?
> Ну это как гланды удалять через задний проход...
> Все можно настроить, но придется изрядно поплясать с бубном. Про прозрачный прокси
> ты, будем считать, подошел к пониманию вопроса, теперь почитай ещё про
> ssl-bump...Прочитал и понял, но у меня squid пока что даже http запросы не сохраняет в access.log(
> Прочитал и понял, но у меня squid пока что даже http запросы
> не сохраняет в access.log(Ну дак и я не вижу в приведенных конфигах, что у тебя настроена запись в аксесс.лог... Где access_log tag?
Давай сделаем так: ты сейчас почитаешь http://www.squid-cache.org/Versions/v3/3.5/cfgman/index.html - внимательно, а не по диагонали. Потом выспишься, а с утра еще раз почитаешь. Глядишь, и детские болезни сами рассосутся.
> Давай сделаем так: ты сейчас почитаешь http://www.squid-cache.org/Versions/v3/3.5/cfgman/index.html
> - внимательно, а не по диагонали. Потом выспишься, а с утра
> еще раз почитаешь. Глядишь, и детские болезни сами рассосутся.:)
>>> Вот же блин, а HTTPS запросы получается не будут логироваться? И нужно
>>> теперь на стороне squid заворачивать трафик обратно в микротик с помощью
>>> iptables?
>> Ну это как гланды удалять через задний проход...
>> Все можно настроить, но придется изрядно поплясать с бубном. Про прозрачный прокси
>> ты, будем считать, подошел к пониманию вопроса, теперь почитай ещё про
>> ssl-bump...
> Прочитал и понял, но у меня squid пока что даже http запросы
> не сохраняет в access.log(access_log /путь/logs/access.log
cache_log /путь/logs/cache.logне забудь права прописать на эти файлы и папки
на всякий touch cache.log access.log
ребята а на русском языке гденибудь есть ман по сквиду?
>[оверквотинг удален]
> acl Safe_ports port 488 # gss-http
> acl Safe_ports port 591 # filemaker
> acl Safe_ports port 777 # multiling http
> acl CONNECT method
> Права на файл:
> root@debian:/etc/squid# ls -l
> итого 8
> -rwxr-xr-x 1 root root 1817 фев 12 2018 errorpage.css
> -rwxr-xr-x 1 root root 552 апр 17 21:15 squid.conf
> Подскажите в чем может быть проблема? У самого знаний пока не хватаетhttp_access allow officenet
officenet - это имя акля который в конфиге не описан. Т.о. добавимacl officenet src xxx.xxx.xxx.xxx (например 192.168.2.0/24)