Перейти из форума на сайт.

НовостиФайловые архивы
ПоискАктивные темыТоп лист
ПравилаКто в on-line?
Вход Забыли пароль? Первый раз на этом сайте? Регистрация
Компьютерный форум Ru.Board » Компьютеры » В помощь системному администратору » SQUID (только под *nix)

Модерирует : lynx, Crash_Master, dg, emx, ShriEkeR

 Версия для печати • ПодписатьсяДобавить в закладки
Страницы: 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131 132 133 134 135 136 137 138 139 140 141

Открыть новую тему     Написать ответ в эту тему

Zmey



Strangled by Lynx
Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
Я думаю удобнее сделать будет один топик по Squid и все вопросы касательно него постить сюда. :)
У меня вопрос такого характера: как настроить резку трафика squid и как настроить замену баннеров или просто их вырезку.


SQUID - HTTP/HTTPS прокси под *nix

 
В первом посте собираем полезные ссылки, преимущественно на русском по Squid.
 
Официальный сайт: www.squid-cache.org
Squid (кеширующий прокси для http): установка, настройка и использование
Squid Web Proxy Cache: получение, компилляция, настройка (архивная версия)
Squid Proxy Server 3.1 Beginners Guide,  Packtpub, 2011, PDF (см. также и другие источники)
 
About Squid Web Proxy Cache (архивная версия)
Зона особого внимания: Squid (архивная версия)
Как не получать рекламы через Internet  
FAQ по Squid (архивная версия)
Авторизация squid в домене Windows 2003 Server
Статьи по Squid на Opennet.ru  
Как заставить Squid быть только прокси, без кэширования чего-либо?
 
Также смотрите фильтр по squid
 
В отдельных темах обсуждается

Squid и ограничение доступа по времени
Squid: ограничить трафик для отдельного юзера: ширина канала
Squid и вырезание баннеров
Анализаторы логов для Squid
 

// текущий бэкап шапки..

Всего записей: 303 | Зарегистр. 07-12-2001 | Отправлено: 14:56 10-05-2002 | Исправлено: TheBarmaley TMP, 15:33 23-03-2016
Stils55

Junior Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
вот такое в логе.
60016 10.194.123.123 TAG_NONE/503 0 CONNECT www.1-ofd.ru:443 - HIER_NONE/- -
еще момент - мы накатили последние обновления, на компах без обновлений открывается.
 
Добавлено:
 
Вот логи
59580 10.194.200.. TAG_NONE/503 0 CONNECT www.1-ofd.ru:443 - HIER_NONE/- -

Всего записей: 69 | Зарегистр. 08-02-2012 | Отправлено: 07:49 04-09-2019
Mavrikii

Platinum Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Stils55
IPv6 используется?  
http://squid-web-proxy-cache.1019090.n4.nabble.com/Squid-3-5-TAG-NONE-503-HIER-NONE-td4685511.html

Всего записей: 15493 | Зарегистр. 20-09-2014 | Отправлено: 08:01 04-09-2019
Stils55

Junior Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
У меня в  конфиге
 
# DNS OPTIONS
# -----------------------------------------------------------------------------
#
dns_v4_first on
 
По ссылке вроде такое решение.
 
Связались с техподдержкой сайта они там что-то поправили стало отображаться.

Всего записей: 69 | Зарегистр. 08-02-2012 | Отправлено: 08:13 04-09-2019 | Исправлено: Stils55, 05:53 06-09-2019
irodin

Newbie
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Всем привет, нужна помощь в настройке связки прозрачного squid и openwrt
Если настроить браузер на проксю (192.168.174.2:3130), то http открывается без проблем.
Если перенаправляю трафик на прозрачный порт, то в access.log ничего не пишется, а в cache.log:
2019/12/26 13:45:02 kid1| ERROR: NF getsockopt(ORIGINAL_DST) failed on local=192.168.174.2:3128 remote=192.168.174.1:43574 FD 13 flags=33: (2) No such file or directory
2019/12/26 13:45:02 kid1| ERROR: NAT/TPROXY lookup failed to locate original IPs on local=192.168.174.2:3128 remote=192.168.174.1:43574 FD 13 flags=33
В браузере ошибка: Connection refused
 
Куда копать, чего ему не хватает?
 
Конфигурация сети:
шлюз на openwrt(192.168.174.1)
squid сервер ubuntu 19.04(192.168.174.2)
 
Конфигурация firewall openwrt

Код:
 
config redirect
        option name         'squid_http_dnat'
        option src              lan
        option dest            wan
        option proto          tcp
        option src_ip         !192.168.174.2
        option src_dport   80
        option dest_ip       192.168.174.2
        option dest_port   3128
        option target         DNAT
        option enabled      1
 
config redirect
        option name          'squid_http_snat'
        option dest            lan
        option proto          tcp
        option src_dip       192.168.174.1
        option dest_ip       192.168.174.2
        option dest_port    3128
        option target          SNAT
        option enabled       1
 

Конфигурация squid.conf

Код:
 
http_port  3130 accel allow-direct
http_port  3128 intercept
client_dst_passthru off
acl localnet src 192.168.174.0/24 # RFC1918 possible internal network
acl SSL_ports port 443
acl Safe_ports port 80          # http
acl Safe_ports port 8080          # http
acl Safe_ports port 21          # ftp
acl Safe_ports port 443         # https
acl Safe_ports port 70          # gopher
acl Safe_ports port 210         # wais
acl Safe_ports port 1025-65535  # unregistered ports
acl Safe_ports port 280         # http-mgmt
acl Safe_ports port 488         # gss-http
acl Safe_ports port 591         # filemaker
acl Safe_ports port 777         # multiling http
acl CONNECT method CONNECT
http_access deny !Safe_ports
http_access deny CONNECT !SSL_ports
http_access allow localhost manager
http_access deny manager
http_access deny to_localhost
http_access allow localnet
http_access allow localhost
http_access deny all
always_direct allow all
cache_dir ufs /var/spool/squid 2048 64 256
coredump_dir /var/spool/squid
refresh_pattern ^ftp:           1440    20%     10080
refresh_pattern ^gopher:        1440    0%      1440
refresh_pattern -i (/cgi-bin/|\?) 0     0%      0
refresh_pattern .               0       20%     4320
dns_v4_first on
shutdown_lifetime 3 seconds
cache_mem 256 MB
maximum_object_size_in_memory 1 MB
dns_nameservers 192.168.174.1
visible_hostname home-srv.local
redirect_program /usr/local/rejik3/redirector /usr/local/rejik3/redirector.conf
 

 
Параметры squid

Код:
 
Squid Cache: Version 4.4
Service Name: squid
Ubuntu linux
configure options:  '--build=x86_64-linux-gnu' '--prefix=/usr' '--includedir=${prefix}/include' '--mandir=${prefix}/share/man' '--infodir=${prefix}/share/info' '--sysconfdir=/etc' '--localstatedir=/var' '--libexecdir=${prefix}/lib/squid' '--srcdir=.' '--disable-maintainer-mode' '--disable-dependency-tracking' '--disable-silent-rules' 'BUILDCXXFLAGS=-g -O2 -fdebug-prefix-map=/build/squid-y3c0Vk/squid-4.4=. -fstack-protector-strong -Wformat -Werror=format-security -Wdate-time -D_FORTIFY_SOURCE=2 -Wl,-Bsymbolic-functions -Wl,-z,relro -Wl,-z,now -Wl,--as-needed' '--enable-build-info=Ubuntu linux' '--datadir=/usr/share/squid' '--sysconfdir=/etc/squid' '--libexecdir=/usr/lib/squid' '--mandir=/usr/share/man' '--enable-inline' '--disable-arch-native' '--enable-async-io=8' '--enable-storeio=ufs,aufs,diskd,rock' '--enable-removal-policies=lru,heap' '--enable-delay-pools' '--enable-cache-digests' '--enable-icap-client' '--enable-follow-x-forwarded-for' '--enable-auth-basic=DB,fake,getpwnam,LDAP,NCSA,NIS,PAM,POP3,RADIUS,SASL,SMB' '--enable-auth-digest=file,LDAP' '--enable-auth-negotiate=kerberos,wrapper' '--enable-auth-ntlm=fake,SMB_LM' '--enable-external-acl-helpers=file_userip,kerberos_ldap_group,LDAP_group,session,SQL_session,time_quota,unix_group,wbinfo_group' '--enable-security-cert-validators=fake' '--enable-storeid-rewrite-helpers=file' '--enable-url-rewrite-helpers=fake' '--enable-eui' '--enable-esi' '--enable-icmp' '--enable-zph-qos' '--enable-ecap' '--disable-translation' '--with-swapdir=/var/spool/squid' '--with-logdir=/var/log/squid' '--with-pidfile=/var/run/squid.pid' '--with-filedescriptors=65536' '--with-large-files' '--with-default-user=proxy' '--with-gnutls' '--enable-linux-netfilter' 'build_alias=x86_64-linux-gnu' 'CFLAGS=-g -O2 -fdebug-prefix-map=/build/squid-y3c0Vk/squid-4.4=. -fstack-protector-strong -Wformat -Werror=format-security -Wall' 'LDFLAGS=-Wl,-Bsymbolic-functions -Wl,-z,relro -Wl,-z,now -Wl,--as-needed' 'CPPFLAGS=-Wdate-time -D_FORTIFY_SOURCE=2' 'CXXFLAGS=-g -O2 -fdebug-prefix-map=/build/squid-y3c0Vk/squid-4.4=. -fstack-protector-strong -Wformat -Werror=format-security'
 

Всего записей: 14 | Зарегистр. 25-03-2015 | Отправлено: 17:17 26-12-2019 | Исправлено: irodin, 17:19 26-12-2019
Ruza



Gold Member
Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
irodin

Цитата:
Если перенаправляю трафик на прозрачный порт, то в access.log ничего не пишется, а в cache.log

А чем интересно перенаправляете?

----------
Fools rush in where angels fear to tread.

Всего записей: 5474 | Зарегистр. 10-09-2003 | Отправлено: 06:54 27-12-2019
ipmanyak



Platinum Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
del

----------
В сортире лучше быть юзером, чем админом...

Всего записей: 11938 | Зарегистр. 10-12-2003 | Отправлено: 07:35 27-12-2019 | Исправлено: ipmanyak, 07:37 27-12-2019
yuris

Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
irodin
Мне кажется вам нужно отказаться от этой связки. И гонять трафик со шлюза на прокси и обратно не придется.
Делаете убунту шлюзом для локалки, и перенаправляете на ней порт 80 на 3128 и всё.

Всего записей: 383 | Зарегистр. 19-11-2001 | Отправлено: 08:09 27-12-2019
irodin

Newbie
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
yuris

Цитата:
Мне кажется вам нужно отказаться от этой связки. И гонять трафик со шлюза на прокси и обратно не придется.
Делаете убунту шлюзом для локалки, и перенаправляете на ней порт 80 на 3128 и всё.

Если squid и шлюз на одной машине то эта связка работает, но в моем случае это не удобно...
 
Ruza

Цитата:
А чем интересно перенаправляете?

На шлюзе посредством iptables
 
Дополню, лог на дебаге

Цитата:
2019/12/27 19:35:42.335 kid1| 5,2| TcpAcceptor.cc(224) doAccept: New connection on FD 18
2019/12/27 19:35:42.335 kid1| 5,2| TcpAcceptor.cc(317) acceptNext: connection on local=0.0.0.0:3128 remote=[::] FD 18 flags=41
2019/12/27 19:35:42.335 kid1| 51,3| fd.cc(198) fd_open: fd_open() FD 12 HTTP Request
2019/12/27 19:35:42.335 kid1| 89,5| Intercept.cc(405) Lookup: address BEGIN: me/client= 192.168.174.2:3128, destination/me= 192.168.174.1:48699
2019/12/27 19:35:42.335 kid1| ERROR: NF getsockopt(ORIGINAL_DST) failed on local=192.168.174.2:3128 remote=192.168.174.1:48699 FD 12 flags=33: (2) No such file or directory
2019/12/27 19:35:42.335 kid1| ERROR: NAT/TPROXY lookup failed to locate original IPs on local=192.168.174.2:3128 remote=192.168.174.1:48699 FD 12 flags=33
2019/12/27 19:35:42.335 kid1| 17,2| QosConfig.cc(126) getNfmarkFromConnection: QOS: Failed to retrieve connection mark: (-1) (2) No such file or directory (Destination 192.168.174.2:3128, source 192.168.174.1:48699)
2019/12/27 19:35:42.335 kid1| 5,5| TcpAcceptor.cc(308) acceptOne: Listener: local=0.0.0.0:3128 remote=[::] FD 18 flags=41 accepted new connection local=192.168.174.2:3128 remote=192.168.174.1:48699 FD 12 flags=33 handler Subscription: 0x555e201a2f00*1
2019/12/27 19:35:42.335 kid1| 5,5| AsyncCall.cc(26) AsyncCall: The AsyncCall httpAccept constructed, this=0x555e1fd3fd30 [call381]
2019/12/27 19:35:42.335 kid1| 5,5| AsyncCall.cc(93) ScheduleCall: TcpAcceptor.cc(339) will call httpAccept(local=192.168.174.2:3128 remote=192.168.174.1:48699 FD 12 flags=33, flag=-1, MXID_74) [call381]
2019/12/27 19:35:42.335 kid1| 5,5| ModEpoll.cc(117) SetSelect: FD 18, type=1, handler=1, client_data=0x555e201a7418, timeout=0
2019/12/27 19:35:42.335 kid1| 5,5| AsyncCallQueue.cc(55) fireNext: entering httpAccept(local=192.168.174.2:3128 remote=192.168.174.1:48699 FD 12 flags=33, flag=-1, MXID_74)
2019/12/27 19:35:42.335 kid1| 5,5| AsyncCall.cc(38) make: make call httpAccept [call381]
2019/12/27 19:35:42.335 kid1| 33,2| client_side.cc(2457) httpAccept: local=0.0.0.0:3128 remote=[::] FD 18 flags=41: accept failure: (0) No error.
2019/12/27 19:35:42.335 kid1| 5,5| AsyncCallQueue.cc(57) fireNext: leaving httpAccept(local=192.168.174.2:3128 remote=192.168.174.1:48699 FD 12 flags=33, flag=-1, MXID_74)
2019/12/27 19:35:42.335 kid1| 5,4| Connection.cc(45) ~Connection: BUG #3329: Orphan Comm::Connection: local=192.168.174.2:3128 remote=192.168.174.1:48699 FD 12 flags=33
2019/12/27 19:35:42.335 kid1| 5,4| Connection.cc(46) ~Connection: NOTE: 22 Orphans since last started.

 
Похоже проблема в том, что я как то не так заворачиваю трафик на шлюзе, если в правилах указать не прозрачный порт 3130, то сайты становятся доступны, но в access.log, все запросы маркируются с sourceip == шлюз.
 

Цитата:
1577541264.659    245 192.168.174.1 TCP_MISS/200 4195 GET http://forum.ru-board.com/postings.cgi? - HIER_DIRECT/94.156.128.52 text/html
1577541265.084    143 192.168.174.1 TCP_REFRESH_UNMODIFIED/200 2405 GET http://i.ru-board.com/Cheery/projects/vkeyboard/vkeyboard/vkeyb.js - HIER_DIRECT/94.156.128.52 application/javascript
1577541356.432     31 192.168.174.1 TCP_MISS/204 226 GET http://connectivitycheck.gstatic.com/generate_204 - HIER_DIRECT/172.217.17.99 -

Всего записей: 14 | Зарегистр. 25-03-2015 | Отправлено: 15:04 27-12-2019 | Исправлено: irodin, 16:58 28-12-2019
yuris

Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
irodin
Может я не до конца объяснил, но шлюз для локалки не всегда является шлюзом в интернет.
В вашем случае, на линуксе легко можно организовать такой шлюз, на убунту делаете редирект портов на сквид, включаете форвард пакетов, проверяете днс, и практически всё, а шлюзом в интернет для убунту останется опенврт.  
Переделки минимальные, можно даже поменять ip-адреса местами у опенврт и убунту и в локалке никто не заметит.

Цитата:
все запросы маркируются с sourceip == шлюз

Вы же делаете nat на шлюзе, в этом случае в логе сквида всегда будет адрес шлюза и не сможете узнать кто сделал запрос.

Всего записей: 383 | Зарегистр. 19-11-2001 | Отправлено: 20:50 28-12-2019
irodin

Newbie
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Победа, все работает squid пересобран с поддержкой peek/splice
Так же, на проксе живет nginx на тех же портах
 
на шлюзе

Код:
 
#!/bin/ash
PROXY_IP=192.168.174.2
RT_TABLE=/etc/iproute2/rt_tables
CLIENT_IFACE=br-lan
FW_MARK=33
 
ADD_TABLE=`cat ${RT_TABLE} | grep '^200     proxy$' | wc -l`
if [ ${ADD_TABLE} = 0 ]; then
    echo '200     proxy' >> ${RT_TABLE}
fi
 
iptables -t mangle -A PREROUTING -j ACCEPT -p tcp -m multiport --dports 80,443 -s ${PROXY_IP}
iptables -t mangle -A PREROUTING -j MARK --set-mark ${FW_MARK} -p tcp -m multiport --dports 80,443
ip rule del fwmark ${FW_MARK}
ip rule add fwmark ${FW_MARK} table proxy
ip route add default via ${PROXY_IP} dev br-lan table proxy
 

 
На проксе

Код:
 
iptables -A PREROUTING -t nat -i ens2 -p tcp --dport 80 ! -d 192.168.174.2 -j REDIRECT --to-port 3128
iptables -A PREROUTING -t nat -i ens2 -p tcp --dport 443 ! -d 192.168.174.2 -j REDIRECT --to-port 3129
 


Всего записей: 14 | Зарегистр. 25-03-2015 | Отправлено: 00:06 29-12-2019
irodin

Newbie
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Привет, немного странная проблема с squid, он работает в режиме прозрачного с пересобранными опциями для ssl_bump
Возникает не то что бы ошибка, но в приложении AliExpress на Android, когда пытаешься открыть какой либо конкретный товар в магазине, приложение выдает ошибку "Не удалось подключится к интернету". Через сайт все открывает корректно, в т.ч. и мобильную версию.
Все остальные ресурсы так же работают нормально.
 
Все ресурсы сети используют один dns сервер, отдаваемый по dhcp.
В cache.log ничего необычного, redirector отключал - не помогает.
Куда копать?
 
В access.log по IP телефона на это событие только это:
 

Код:
192.168.174.101 NONE_ABORTED/200 0 CONNECT 47.254.143.71:443 - HIER_NONE/- -
192.168.174.101 NONE/200 0 CONNECT 47.254.143.72:443 - HIER_NONE/- -
192.168.174.101 TCP_TUNNEL/200 801 CONNECT acs.aliexpress.com:443 - HIER_DIRECT/47.254.143.72 -
192.168.174.101 TCP_MISS/302 668 GET http://err.taobao.com/error1.html - HIER_DIRECT/47.246.48.232 text/html
192.168.174.101 NONE/200 0 CONNECT 47.246.48.232:443 - HIER_NONE/- -
192.168.174.101 TCP_TUNNEL/200 7444 CONNECT market.m.taobao.com:443 - HIER_DIRECT/47.246.48.233 -
192.168.174.101 TCP_TUNNEL/200 3653 CONNECT h-adashx.ut.taobao.com:443 - HIER_DIRECT/106.11.250.27 -
192.168.174.101 NONE/200 0 CONNECT 198.11.132.66:443 - HIER_NONE/- -

 
Конфиг squid

Код:
http_port  3130 accel allow-direct
http_port  3128 intercept
https_port 3129 intercept ssl-bump options=ALL:NO_SSLv3:NO_SSLv2 connection-auth=off cert=/etc/squid/squidCA.pem
client_dst_passthru off
log_fqdn on
acl SSL_ports port 443
acl CONNECT method CONNECT
http_access deny !Safe_ports
http_access deny CONNECT !SSL_ports
http_access allow localhost manager
http_access deny manager
http_access deny to_localhost
http_access allow localnet
http_access allow localhost
http_access deny all
acl https_site_block ssl::server_name "/etc/squid/https_site_block"
always_direct allow all
sslproxy_cert_error allow all
tls_outgoing_options flags=DONT_VERIFY_PEER
acl step1 at_step SslBump1
ssl_bump peek step1
ssl_bump terminate https_site_block
ssl_bump splice all
sslcrtd_program /usr/lib/squid/security_file_certgen -s /var/log/squid/ssl_db -M 16MB
cache_dir ufs /var/spool/squid 2048 64 256
coredump_dir /var/spool/squid
refresh_pattern ^ftp:           1440    20%     10080
refresh_pattern ^gopher:        1440    0%      1440
refresh_pattern -i (/cgi-bin/|\?) 0     0%      0
refresh_pattern .               0       20%     4320
dns_v4_first on
shutdown_lifetime 3 seconds
cache_mem 256 MB
maximum_object_size_in_memory 1 MB
dns_nameservers 192.168.174.1
visible_hostname home-srv.local
redirect_program /usr/local/rejik3/redirector /usr/local/rejik3/redirector.conf
global_internal_static on

Всего записей: 14 | Зарегистр. 25-03-2015 | Отправлено: 21:06 06-01-2020
andreysev

BANNED
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Подробнее...

Всего записей: 1 | Зарегистр. 09-01-2020 | Отправлено: 18:14 09-01-2020
irodin

Newbie
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
to andreysev, похоже на мою проблему.
Но у меня youtube на смарте, google store чувствуют себя хорошо, что дурит:
web.wathapp на десктопе, не подгружает медиафайлы.
telegramm на android, подружает медиа только со второго раза.
aliexpress, описано выше.
 
У тебя squid патченный?, у меня дефолтный 4.6 из реп дебиана, выдавал ошибку на любое https соединение...

Всего записей: 14 | Зарегистр. 25-03-2015 | Отправлено: 11:07 10-01-2020
Artezys



Junior Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Привет,
 
Пытаюсь развернуть сквид прокси для windows WSUS и ESET которые находятся в корпоративной сети, а прокси в дмз. Как мои знание очень скромны по сквид, мог бы кто направить как заполнять конфиг файл, или можете поделиться готовым файлом для windows WSUS и ESET. Был бы очень благодарен, а то пока дальше чем инсталляция на продвинулся.

Всего записей: 143 | Зарегистр. 17-02-2017 | Отправлено: 20:57 26-03-2020
Mavrikii

Platinum Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Artezys
вы и в прошлом топике так и не объяснили проблему. зачем вам Squid или Nginx? у WSUS нет прямого выхода в сеть и хотите чтобы он выходил через другую машину? или разгрузить локальные запросы к WSUS?

Всего записей: 15493 | Зарегистр. 20-09-2014 | Отправлено: 05:07 27-03-2020 | Исправлено: Mavrikii, 05:08 27-03-2020
Artezys



Junior Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Mavrikii,
 
Как WSUS у меня не имеет доступа к интернету я не могу развернуть на сервере до конца, по тому что ему нужен доступ к windows update, а ето можно сделать через прокси, я так понял. Тоже самое с ESET antivirus.  
Если им дать доступ к интернету всё работает, но мне они нужны в локальной сети а не дмз.
 
Я так понял.

Всего записей: 143 | Зарегистр. 17-02-2017 | Отправлено: 13:15 27-03-2020
Mavrikii

Platinum Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Artezys
Настраиваете Squid на авторизацию по любой инструкции, после чего указываете использование прокси в WSUS https://docs.microsoft.com/ru-ru/security-updates/windowsupdateservices/18149233
 
+ https://wiki.squid-cache.org/SquidFaq/WindowsUpdate
 
Аналогично указываете данные прокси и для антивируса (о нем есть отдельная тема)

Всего записей: 15493 | Зарегистр. 20-09-2014 | Отправлено: 22:04 27-03-2020 | Исправлено: Mavrikii, 22:06 27-03-2020
Artezys



Junior Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Mavrikii,  
 
Кажется настроил сквид, но не могу всё равно подключиться с WSUS  к нему, показывает ошибку - "No connection could be made because the target machine actively refuse it IP:80". В низу сквид лог, а сам WSUS в subnet 10.10.20.0/24. Сквид работает и показывает в пид процесс 7743.
 

Код:
 
#
# Recommended minimum configuration:
#
 
# Example rule allowing access from your local networks.
# Adapt to list your (internal) IP networks from where browsing
# should be allowed
 
acl windowsupdate dstdomain windowsupdate.microsoft.com
acl windowsupdate dstdomain .update.microsoft.com
acl windowsupdate dstdomain download.windowsupdate.com
acl windowsupdate dstdomain redir.metaservices.microsoft.com
acl windowsupdate dstdomain images.metaservices.microsoft.com
acl windowsupdate dstdomain c.microsoft.com
acl windowsupdate dstdomain www.download.windowsupdate.com
acl windowsupdate dstdomain wustat.windows.com
acl windowsupdate dstdomain crl.microsoft.com
acl windowsupdate dstdomain sls.microsoft.com
acl windowsupdate dstdomain productactivation.one.microsoft.com
acl windowsupdate dstdomain ntservicepack.microsoft.com
acl localnet src 10.10.10.0/24        # APP subnet (LAN)
acl localnet src 10.10.20.0/24        # Web subnet (CGN)
 
acl SSL_ports port 443
acl Safe_ports port 80        # http
acl Safe_ports port 21        # ftp
acl Safe_ports port 443        # https
acl Safe_ports port 70        # gopher
acl Safe_ports port 210        # wais
acl Safe_ports port 1025-65535    # unregistered ports
acl Safe_ports port 280        # http-mgmt
acl Safe_ports port 488        # gss-http
acl Safe_ports port 591        # filemaker
acl Safe_ports port 777        # multiling http
acl CONNECT method CONNECT
acl wuCONNECT dstdomain www.update.microsoft.com
acl wuCONNECT dstdomain sls.microsoft.com
 
#
# Recommended minimum Access Permission configuration:
#
# Deny requests to certain unsafe ports
http_access deny !Safe_ports
 
# Deny CONNECT to other than secure SSL ports
#http_access deny CONNECT !SSL_ports
 
# Only allow cachemgr access from localhost
http_access allow localhost manager
http_access allow CONNECT wuCONNECT localnet
http_access allow windowsupdate localnet
http_access allow localnet
http_access deny manager
 
# We strongly recommend the following be uncommented to protect innocent
# web applications running on the proxy server who think the only
# one who can access services on "localhost" is a local user
#http_access deny to_localhost
 
#
# INSERT YOUR OWN RULE(S) HERE TO ALLOW ACCESS FROM YOUR CLIENTS
#
 
# Example rule allowing access from your local networks.
# Adapt localnet in the ACL section to list your (internal) IP networks
# from where browsing should be allowed
http_access allow localnet
http_access allow localhost
 
# And finally deny all other access to this proxy
http_access deny all
 
# Squid normally listens to port 3128
http_port 3128
http_port 80
 
# Uncomment and adjust the following to add a disk cache directory.
#cache_dir ufs /opt/squid/var/cache/squid 100 16 256
 
# Leave coredumps in the first cache dir
coredump_dir /opt/squid/var/cache/squid
 
#
# Add any of your own refresh_pattern entries above these.
#
refresh_pattern -i microsoft.com/.*\.(cab|exe|ms[i|u|f]|[ap]sf|wm[v|a]|dat|zip) 4320 80% 43200 reload-into-ims
refresh_pattern -i windowsupdate.com/.*\.(cab|exe|ms[i|u|f]|[ap]sf|wm[v|a]|dat|zip) 4320 80% 43200 reload-into-ims
refresh_pattern -i windows.com/.*\.(cab|exe|ms[i|u|f]|[ap]sf|wm[v|a]|dat|zip) 4320 80% 43200 reload-into-ims
 
refresh_pattern ^ftp:        1440    20%    10080
refresh_pattern ^gopher:    1440    0%    1440
refresh_pattern -i (/cgi-bin/|\?) 0    0%    0
refresh_pattern .        0    20%    4320
 
# WSUS cache
 
range_offset_limit 200 MB windowsupdate
maximum_object_size 200 MB
quick_abort_min -1
 
 

 

Код:
 
$ wget yahoo.com
URL transformed to HTTPS due to an HSTS policy
--2020-03-29 16:47:07--  https://yahoo.com/
Connecting to 10.10.10.5:80... failed: No route to host.
 

Всего записей: 143 | Зарегистр. 17-02-2017 | Отправлено: 17:21 29-03-2020 | Исправлено: Artezys, 18:48 29-03-2020
Mavrikii

Platinum Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Artezys
1) зачем вам столько открытых портов?
2)
Цитата:
No connection could be made because the target machine actively refuse it

вы в WSUS указали использование прокси?

Цитата:
Сквид работает и показывает в пид процесс  

какие порты слушает? файерволл их не блокирует?
 

Цитата:
wget yahoo.com

сказали wget использовать прокси?

Всего записей: 15493 | Зарегистр. 20-09-2014 | Отправлено: 23:26 29-03-2020 | Исправлено: Mavrikii, 23:30 29-03-2020
Artezys



Junior Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Mavrikii,
 
Кажется всё заработало, осталось с кеш разобраться.

Всего записей: 143 | Зарегистр. 17-02-2017 | Отправлено: 19:23 01-04-2020
Открыть новую тему     Написать ответ в эту тему

Страницы: 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131 132 133 134 135 136 137 138 139 140 141

Компьютерный форум Ru.Board » Компьютеры » В помощь системному администратору » SQUID (только под *nix)


Реклама на форуме Ru.Board.

Powered by Ikonboard "v2.1.7b" © 2000 Ikonboard.com
Modified by Ru.B0ard
© Ru.B0ard 2000-2024

BitCoin: 1NGG1chHtUvrtEqjeerQCKDMUi6S6CG4iC

Рейтинг.ru