Nie jesteś zalogowany.
Jeśli nie posiadasz konta, zarejestruj je już teraz! Pozwoli Ci ono w pełni korzystać z naszego serwisu. Spamerom dziękujemy!
Prosimy o pomoc dla małej Julki — przekaż 1% podatku na Fundacji Dzieciom zdazyć z Pomocą.
Więcej informacji na dug.net.pl/pomagamy/.
Witam wszystkich fanów Ubuntu i serwerów Proxy.
Z góry informuje, że nie jestem zaawansowana w informatyce, raczej wolę inne zajęcia.
Jednak na zajęciach z informatyki dostaliśmy takie zadanie: instalacja squd-a na linux-ie ubunty 20.04 LTS.
Instalacja squid’a poszła OK, ale jest problem: chcę aby mój komputer o adresie IP 165.165.100.100 + jeszcze jeden komputer o IP 165.165.100.101 ( oba są połączone w sieci LAN przez ruter, adres rutera to 165.165.100.1 ), miały dostęp do internetu przez proxy.
I teraz w ustawieniach na Firefox: W konfiguracja proxy do łączenia z Internetem , ręcznie wpisuję: Serwer proxy HTTP: 165.165.100.100 port 3128 (wpisuję taki adres IP bo Proxy jest zainstalowany na tym pierwszym komputerze).
Przy próbie połączenia z Internetem, z pierwszego komputera, PROXY odrzuca mi połączenie.
Drugiego nie sprawdzałam.
Czemu tak się dzieje?
Za pomoc w temacie, wyślę buziaka.
Basia
Offline
https://ubuntu.com/server/docs/proxy-servers-squid
ACL ustawione?
Offline
Tak, ACL ustawione
Offline
Czy taki wpis, w pliku konfiguracyjnym jest dobry: http_port 165.165.100.100:3128
Offline
Wygląda poprawnie.
Dostępne formy tego parametru masz opisane na stronie squida http://www.squid-cache.org/Doc/config/http_port/
Usage: port [mode] [options]
hostname:port [mode] [options]
1.2.3.4:port [mode] [options]
The socket addresses where Squid will listen for HTTP client
requests. You may specify multiple socket addresses.
There are three forms: port alone, hostname with port, and
IP address with port. If you specify a hostname or IP
address, Squid binds the socket to that specific
address. Most likely, you do not need to bind to a specific
address, so you can use the port number alone.
Sprawdź sobie czy coś na tym porcie nasłuchuje i czy firewall nie blokuje połączeń.
No i pokaż ten swój plik konfiguracyjny.
Ostatnio edytowany przez arecki (2020-11-05 13:20:18)
Offline
Dzięki za odp.
arecki - pozwolisz, że odezwę się po 18-tej? i prześlę plik konfiguracyjny w całości.
Offline
Jestem wcześniej, koleżanka poszła :-)
A więc tak, potrzebuję aby squid miała dostęp do Internetu tylko z dwóch adresów IP 165.165.100.100 (ubuntu i proxy jest na tym komputerze) oraz drugi komp IP 165.165.100.101
Brama w ruterze 165..165.100.1 ... port 3128
Nie ma potrzeby aby ktoś z internetu korzystał z tego proxy.
Wysyłam plik .conf i mała prośba proszę o pod powiedź jak ręcznie skonfigurować Firefoxa aby dział z tymi powyższymi ustawianiem.
Pisałeś coś o firewall-u, a jak to ustawić w Ubuntu? W Windowsie to wiem :-)
No i jak się sprawdza czy sqid nasłuchuje, dl mnie to to czarna d...a ;(
Z informatyki coś tam wiem, ale w Linuxie to dopiero początek.
Sorrki, że zawracam głowę takimi lamerskimi pytaniami.
Do usłyszenia :-)
hmmmmmmm ....... arecki jak mogę tobie przesłać moj plik squid.con ??? może na priv?
Offline
Wklej po prostu zawartość pliku do posta w wątku, zamykając treść w znacznikach kodu (dla odróżnienia od dyskusyjnej części posta).
Sprawdzenie co nasłuchuje na danym interfejsie i porcie można wykonać np. programem netstat
netstat -plant
Sprawdzenie czy firewall nie blokuje można wykonać sprawdzając reguły firewalla, choćby tak (trzeba to robić z poziomu konta root lub z jego uprawnieniami):
iptables -nvL
Ostatnio edytowany przez arecki (2020-11-05 15:37:32)
Offline
Rozumiem, że o to Tobie chodzi?
acl localnet src 0.0.0.1-0.255.255.255 # RFC 1122 "this" network (LAN) acl localnet src 10.0.0.0/8 # RFC 1918 local private network (LAN) #acl localnet src 100.64.0.0/10 # RFC 6598 shared address space (CGN) #acl localnet src 169.254.0.0/16 # RFC 3927 link-local (directly plugged) machines #acl localnet src 172.16.0.0/12 # RFC 1918 local private network (LAN) acl localnet src 165.165.100.0/24 # RFC 1918 local private network (LAN) acl localnet src fc00::/7 # RFC 4193 local private network range acl localnet src fe80::/10 # RFC 4291 link-local (directly plugged) machines acl SSL_ports port 443 acl Safe_ports port 80 # http acl Safe_ports port 21 # ftp acl Safe_ports port 443 # https acl Safe_ports port 70 # gopher acl Safe_ports port 210 # wais acl Safe_ports port 1025-65535 # unregistered ports acl Safe_ports port 280 # http-mgmt acl Safe_ports port 488 # gss-http acl Safe_ports port 591 # filemaker acl Safe_ports port 777 # multiling http acl CONNECT method CONNECT acl mylan src 165.165.100.0/24
Offline
Chodzi o pełną zawartość pliku konfiguracyjnego squid
/etc/squid/squid.conf
Offline
OK, już się robi :-)
Przy okazji możesz tak ustawić aby Proxi maskował się i pokazywał inne IP niż moje w sieci Internet.
Offline
ale to jest ponad 8 tysięcy wierszy!!!!!!
Jak mam przesłać zawartość squid.conf ????
Offline
A na przykład tak -> https://pastebin.pl/
Ostatnio edytowany przez arecki (2020-11-05 18:29:39)
Offline
Mówisz i masz, musiałam to rozkminić, ten pastebin.
Skorzystałam z pastebin.com, bo pastebin.pl nie działa poprawnie.
Kod squid.conf
https://pastebin.com/raw/c7mu7yCz
Offline
kurcze, nie sądziła, że tak szybko to zniknie, teraz ustawiłam aby kod znikł po tygodniu.
https://pastebin.com/raw/WcVzy4gN
Offline
Twoja konfiguracja po oczyszczeniu z komentarzy i pustych linii.
acl localnet src 0.0.0.1-0.255.255.255 acl localnet src 10.0.0.0/8 acl localnet src 165.165.100.0/24 acl localnet src fc00::/7 acl localnet src fe80::/10 acl SSL_ports port 443 acl Safe_ports port 80 acl Safe_ports port 21 acl Safe_ports port 443 acl Safe_ports port 70 acl Safe_ports port 210 acl Safe_ports port 1025-65535 acl Safe_ports port 280 acl Safe_ports port 488 acl Safe_ports port 591 acl Safe_ports port 777 acl CONNECT method CONNECT acl mylan src 165.165.100.0/24 http_access allow all http_access allow localhost manager include /etc/squid/conf.d/* http_access allow localnet http_access allow localhost http_access deny all http_port 165.165.100.100:3128 tcp_outgoing_address 139.1.2.3 forwarded_for delete via off forwarded_for off follow_x_forwarded_for deny all request_header_access X-Forwarded-For deny all forwarded_for delete cache_mem 256 MB coredump_dir /var/spool/squid refresh_pattern ^ftp: 1440 20% 10080 refresh_pattern ^gopher: 1440 0% 1440 refresh_pattern -i (/cgi-bin/|\?) 0 0% 0 refresh_pattern \/(Packages|Sources)(|\.bz2|\.gz|\.xz)$ 0 0% 0 refresh-ims refresh_pattern \/Release(|\.gpg)$ 0 0% 0 refresh-ims refresh_pattern \/InRelease$ 0 0% 0 refresh-ims refresh_pattern \/(Translation-.*)(|\.bz2|\.gz|\.xz)$ 0 0% 0 refresh-ims refresh_pattern . 0 20% 4320 via off dns_nameservers 194.204.159.1 , 194.204.152.34
Ja proponuję zacząć od najprostszego konfigu https://wiki.squid-cache.org/SquidFaq/ConfiguringSq … nf_example.3F i jak już pisałem sprawdzić, czy squid działa i nasłuchuje na porcie.
Jak to zadziała, wtedy dodawać własne ustawienia.
Ostatnio edytowany przez arecki (2020-11-06 07:04:16)
Offline
Witaj arecki, to teraz moje pytanie, czy ten poprawiony kod mogę wkleić do squid.conf i zadziała?
Czy raczej mam kombinować dalej?
Pomijam wątek sprawdzenia nasłuchiwania itd.
Offline
Ja niczego nie poprawiałem w tym kodzie, ja go tylko oczyściłem z komentarzy i pustych linii aby go łatwiej analizować.
Jak coś nie działa to patrzaj w logi
/var/log/squid3/access.log
(jeśli pamięć mnie nie myli)
Ostatnio edytowany przez arecki (2020-11-06 08:54:39)
Offline
Rozumiem.
Teraz kwestia nasłuchiwania, po komendzie:
netstat -plant,
lista nasłuch jest długa:
Active Internet connections (servers and established) Proto Recv-Q Send-Q Local Address Foreign Address State PID/Program name tcp 0 0 165.165.100.100:3128 0.0.0.0:* LISTEN - tcp 0 0 127.0.0.53:53 0.0.0.0:* LISTEN - tcp 0 0 127.0.0.1:631 0.0.0.0:* LISTEN - tcp 0 0 165.165.100.100:37802 172.217.22.99:443 ESTABLISHED 2987/firefox
itd. ............
ale po komendzie:
iptables -nvL
wynik jest takli:
Fatal: can't open lock file /run/xtables.lock: Permission denied
co teraz mam zrobić?
Ostatnio edytowany przez mala_basia (2020-11-06 10:50:16)
Offline
Sprawdzenie firewalla trzeba robić z poziomu konta root lub z jego uprawnieniami, przykładowo z użyciem sudo.
Jak już zrobisz sobie poprawną konfugurację (taka najprostsza zajmuje kilka linijek) to sobie możesz sprawdzić poprawność poleceniem
squid -k check
Sprawdzanie portów też rób z uprawnieniami root bo widzę, że nie wyświetla nazwy programu na tym porcie 3128
Ostatnio edytowany przez arecki (2020-11-06 11:12:14)
Offline
faktyczni, masz rację, pominęłam sudo
teraz wpisałam tak:
sudo iptables -nvL
i dostałam taki wynik:
h
ain INPUT (policy DROP 70 packets, 2240 bytes) pkts bytes target prot opt in out source destination 5078 2062K ufw-before-logging-input all -- * * 0.0.0.0/0 0.0.0.0/0 5078 2062K ufw-before-input all -- * * 0.0.0.0/0 0.0.0.0/0 109 5968 ufw-after-input all -- * * 0.0.0.0/0 0.0.0.0/0 70 2240 ufw-after-logging-input all -- * * 0.0.0.0/0 0.0.0.0/0 70 2240 ufw-reject-input all -- * * 0.0.0.0/0 0.0.0.0/0 70 2240 ufw-track-input all -- * * 0.0.0.0/0 0.0.0.0/0 Chain FORWARD (policy DROP 0 packets, 0 bytes) pkts bytes target prot opt in out source destination 0 0 ufw-before-logging-forward all -- * * 0.0.0.0/0 0.0.0.0/0 0 0 ufw-before-forward all -- * * 0.0.0.0/0 0.0.0.0/0 0 0 ufw-after-forward all -- * * 0.0.0.0/0 0.0.0.0/0 0 0 ufw-after-logging-forward all -- * * 0.0.0.0/0 0.0.0.0/0 0 0 ufw-reject-forward all -- * * 0.0.0.0/0 0.0.0.0/0 0 0 ufw-track-forward all -- * * 0.0.0.0/0 0.0.0.0/0 Chain OUTPUT (policy ACCEPT 2 packets, 80 bytes) pkts bytes target prot opt in out source destination 4618 482K ufw-before-logging-output all -- * * 0.0.0.0/0 0.0.0.0/0 4618 482K ufw-before-output all -- * * 0.0.0.0/0 0.0.0.0/0 556 42387 ufw-after-output all -- * * 0.0.0.0/0 0.0.0.0/0 556 42387 ufw-after-logging-output all -- * * 0.0.0.0/0 0.0.0.0/0 556 42387 ufw-reject-output all -- * * 0.0.0.0/0 0.0.0.0/0 556 42387 ufw-track-output all -- * * 0.0.0.0/0 0.0.0.0/0 Chain ufw-after-forward (1 references) pkts bytes target prot opt in out source destination Chain ufw-after-input (1 references) pkts bytes target prot opt in out source destination 33 2736 ufw-skip-to-policy-input udp -- * * 0.0.0.0/0 0.0.0.0/0 udp dpt:137 0 0 ufw-skip-to-policy-input udp -- * * 0.0.0.0/0 0.0.0.0/0 udp dpt:138 0 0 ufw-skip-to-policy-input tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp dpt:139 0 0 ufw-skip-to-policy-input tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp dpt:445 2 682 ufw-skip-to-policy-input udp -- * * 0.0.0.0/0 0.0.0.0/0 udp dpt:67 0 0 ufw-skip-to-policy-input udp -- * * 0.0.0.0/0 0.0.0.0/0 udp dpt:68 4 310 ufw-skip-to-policy-input all -- * * 0.0.0.0/0 0.0.0.0/0 ADDRTYPE match dst-type BROADCAST Chain ufw-after-logging-forward (1 references) pkts bytes target prot opt in out source destination 0 0 LOG all -- * * 0.0.0.0/0 0.0.0.0/0 limit: avg 3/min burst 10 LOG flags 0 level 4 prefix "[UFW BLOCK] " Chain ufw-after-logging-input (1 references) pkts bytes target prot opt in out source destination 70 2240 LOG all -- * * 0.0.0.0/0 0.0.0.0/0 limit: avg 3/min burst 10 LOG flags 0 level 4 prefix "[UFW BLOCK] " Chain ufw-after-logging-output (1 references) pkts bytes target prot opt in out source destination Chain ufw-after-output (1 references) pkts bytes target prot opt in out source destination Chain ufw-before-forward (1 references) pkts bytes target prot opt in out source destination 0 0 ACCEPT all -- * * 0.0.0.0/0 0.0.0.0/0 ctstate RELATED,ESTABLISHED 0 0 ACCEPT icmp -- * * 0.0.0.0/0 0.0.0.0/0 icmptype 3 0 0 ACCEPT icmp -- * * 0.0.0.0/0 0.0.0.0/0 icmptype 11 0 0 ACCEPT icmp -- * * 0.0.0.0/0 0.0.0.0/0 icmptype 12 0 0 ACCEPT icmp -- * * 0.0.0.0/0 0.0.0.0/0 icmptype 8 0 0 ufw-user-forward all -- * * 0.0.0.0/0 0.0.0.0/0 Chain ufw-before-input (1 references) pkts bytes target prot opt in out source destination 820 81617 ACCEPT all -- lo * 0.0.0.0/0 0.0.0.0/0 4120 1972K ACCEPT all -- * * 0.0.0.0/0 0.0.0.0/0 ctstate RELATED,ESTABLISHED 0 0 ufw-logging-deny all -- * * 0.0.0.0/0 0.0.0.0/0 ctstate INVALID 0 0 DROP all -- * * 0.0.0.0/0 0.0.0.0/0 ctstate INVALID 0 0 ACCEPT icmp -- * * 0.0.0.0/0 0.0.0.0/0 icmptype 3 0 0 ACCEPT icmp -- * * 0.0.0.0/0 0.0.0.0/0 icmptype 11 0 0 ACCEPT icmp -- * * 0.0.0.0/0 0.0.0.0/0 icmptype 12 0 0 ACCEPT icmp -- * * 0.0.0.0/0 0.0.0.0/0 icmptype 8 0 0 ACCEPT udp -- * * 0.0.0.0/0 0.0.0.0/0 udp spt:67 dpt:68 138 8969 ufw-not-local all -- * * 0.0.0.0/0 0.0.0.0/0 29 3001 ACCEPT udp -- * * 0.0.0.0/0 224.0.0.251 udp dpt:5353 0 0 ACCEPT udp -- * * 0.0.0.0/0 239.255.255.250 udp dpt:1900 109 5968 ufw-user-input all -- * * 0.0.0.0/0 0.0.0.0/0 Chain ufw-before-logging-forward (1 references) pkts bytes target prot opt in out source destination Chain ufw-before-logging-input (1 references) pkts bytes target prot opt in out source destination Chain ufw-before-logging-output (1 references) pkts bytes target prot opt in out source destination Chain ufw-before-output (1 references) pkts bytes target prot opt in out source destination 822 81697 ACCEPT all -- * lo 0.0.0.0/0 0.0.0.0/0 3240 358K ACCEPT all -- * * 0.0.0.0/0 0.0.0.0/0 ctstate RELATED,ESTABLISHED 556 42387 ufw-user-output all -- * * 0.0.0.0/0 0.0.0.0/0 Chain ufw-logging-allow (0 references) pkts bytes target prot opt in out source destination 0 0 LOG all -- * * 0.0.0.0/0 0.0.0.0/0 limit: avg 3/min burst 10 LOG flags 0 level 4 prefix "[UFW ALLOW] " Chain ufw-logging-deny (2 references) pkts bytes target prot opt in out source destination 0 0 RETURN all -- * * 0.0.0.0/0 0.0.0.0/0 ctstate INVALID limit: avg 3/min burst 10 0 0 LOG all -- * * 0.0.0.0/0 0.0.0.0/0 limit: avg 3/min burst 10 LOG flags 0 level 4 prefix "[UFW BLOCK] " Chain ufw-not-local (1 references) pkts bytes target prot opt in out source destination 0 0 RETURN all -- * * 0.0.0.0/0 0.0.0.0/0 ADDRTYPE match dst-type LOCAL 99 5241 RETURN all -- * * 0.0.0.0/0 0.0.0.0/0 ADDRTYPE match dst-type MULTICAST 39 3728 RETURN all -- * * 0.0.0.0/0 0.0.0.0/0 ADDRTYPE match dst-type BROADCAST 0 0 ufw-logging-deny all -- * * 0.0.0.0/0 0.0.0.0/0 limit: avg 3/min burst 10 0 0 DROP all -- * * 0.0.0.0/0 0.0.0.0/0 Chain ufw-reject-forward (1 references) pkts bytes target prot opt in out source destination Chain ufw-reject-input (1 references) pkts bytes target prot opt in out source destination Chain ufw-reject-output (1 references) pkts bytes target prot opt in out source destination Chain ufw-skip-to-policy-forward (0 references) pkts bytes target prot opt in out source destination 0 0 DROP all -- * * 0.0.0.0/0 0.0.0.0/0 Chain ufw-skip-to-policy-input (7 references) pkts bytes target prot opt in out source destination 39 3728 DROP all -- * * 0.0.0.0/0 0.0.0.0/0 Chain ufw-skip-to-policy-output (0 references) pkts bytes target prot opt in out source destination 0 0 ACCEPT all -- * * 0.0.0.0/0 0.0.0.0/0 Chain ufw-track-forward (1 references) pkts bytes target prot opt in out source destination Chain ufw-track-input (1 references) pkts bytes target prot opt in out source destination Chain ufw-track-output (1 references) pkts bytes target prot opt in out source destination 182 10920 ACCEPT tcp -- * * 0.0.0.0/0 0.0.0.0/0 ctstate NEW 372 31387 ACCEPT udp -- * * 0.0.0.0/0 0.0.0.0/0 ctstate NEW Chain ufw-user-forward (1 references) pkts bytes target prot opt in out source destination Chain ufw-user-input (1 references) pkts bytes target prot opt in out source destination 0 0 ACCEPT tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp dpt:8080 0 0 ACCEPT tcp -- * * 0.0.0.0/0 0.0.0.0/0 multiport dports 2048,3128,3130,3401,4827 /* 'dapp_Squid' */ Chain ufw-user-limit (0 references) pkts bytes target prot opt in out source destination 0 0 LOG all -- * * 0.0.0.0/0 0.0.0.0/0 limit: avg 3/min burst 5 LOG flags 0 level 4 prefix "[UFW LIMIT BLOCK] " 0 0 REJECT all -- * * 0.0.0.0/0 0.0.0.0/0 reject-with icmp-port-unreachable Chain ufw-user-limit-accept (0 references) pkts bytes target prot opt in out source destination 0 0 ACCEPT all -- * * 0.0.0.0/0 0.0.0.0/0 Chain ufw-user-logging-forward (0 references) pkts bytes target prot opt in out source destination Chain ufw-user-logging-input (0 references) pkts bytes target prot opt in out source destination Chain ufw-user-logging-output (0 references) pkts bytes target prot opt in out source destination Chain ufw-user-output (1 references) pkts bytes target prot opt in out source destination nge@nge-egn:~$
Offline
No i jeszcze raz te porty, dla potwierdzenia co tam słucha na 3128.
Offline
Arecki witaj powtórnie.
Z powyższych odczytów - co sądzisz o odczycie na temat Firewalla? Czy Firewall jest dobrze ustawiony?
a teraz porty:
sudo netstat -plant
wynik:
Active Internet connections (servers and established) Proto Recv-Q Send-Q Local Address Foreign Address State PID/Program name tcp 0 0 127.0.0.53:53 0.0.0.0:* LISTEN 905/systemd-resolve tcp 0 0 127.0.0.1:631 0.0.0.0:* LISTEN 934/cupsd tcp 0 0 165.165.100.100:3128 0.0.0.0:* LISTEN 3261/(squid-1) tcp 0 0 165.165.100.100:40168 35.165.120.205:443 ESTABLISHED 2785/firefox tcp 0 0 165.165.100.100:39452 99.86.7.75:443 TIME_WAIT - tcp 0 0 165.165.100.100:55324 34.98.75.36:443 TIME_WAIT - tcp6 0 0 ::1:631 :::* LISTEN 934/cupsd
Offline
Hmmmm ... nadal kiszka, po skonfigurowaniu Firefoxa: Serwer proxy odrzuca połączenia !!!
Spróbuję poczytać o tych logach.
Offline
wpisałam
sudo nano /var/log/squid/access.log
i .......... on jest całkowicie pusty !! :-)
w ogóle żadnego wpisu tam nie ma. :(
Fajnie, że mi pomagasz, i zastanawiam sie kiedy puszczą Tobie nerwy i zrezygnujesz z tej konwersacji.
A znasz jakiś fajny poradnik dla Linux Ubuntu 20.04 serwer Proxy Squid4 (instalacja i konfiguracja)
Offline