The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

форумы
правила/FAQ
поиск
регистрация
вход
слежка
RSS


Создать новую тему
- Свернуть нити
Пометить прочитанным
1 | 2 | 3 | 4 | 5 | 6 | 7 | 8 | 9 | 10 | Архив | Избранное | Мое | Новое | | |  
Форум Настройка Squid, Tor и прокси серверов
ipf + ipnat + squid нет пинга у клиентов, а интернет есть, !*! Sten47, (Разное) 13-Июл-19, 09:29  [ | | | ] [линейный вид] [смотреть все] [раскрыть новое]
При переходе на другого провайдера твориться непонятно что. До меня система настраивалась кем то другим. В общем что происходит, у клиентов есть интернет, но через консоль нет пинга в инет. Так же перестаёт работать nylon. куда копать?
Ответить | Сообщить модератору
Прокси?для почты, !*! Maddoc, (Другие proxy) 23-Апр-19, 09:32  [ | | | ] [линейный вид] [смотреть все] [раскрыть новое]
Вот задача появилась-есть почтовые ящики на гугле и яндексе(большая часть на яндексе.
Все сотрудники пользуются оутлуком.
Что нужно-забирать почту с их ящиков к себе на сервер,а потом отдавать клиентам-чтоб кеш писем с вложениями хранился на сервере,у нас в конторе.
Своеобразный кеширующий прокси для почты какой-то.
Даже не знаю в ту ли ветку пишу-ребят,помогите советом,в какую сторону глядеть хотяб,может кто сталкивался с таким.
Ответить | Сообщить модератору
Не запускается Squid, !*! Berliqz, (Squid) 18-Апр-19, 10:02  [ | | | ] [линейный вид] [смотреть все] [раскрыть новое]
Здравствуйте, на микротике завернул трафик через nat на прокси сервер 192.168.1.101 по порту 3128. На дебиане с адресом 192.16.1.101 установил squid и прописал ему минимальный конфиг по образцу из форума, но  access.log пустой, при запуске в терминале пишет:
root@debian:/etc/squid# systemctl status squid.service
● squid.service - LSB: Squid HTTP Proxy version 3.x
   Loaded: loaded (/etc/init.d/squid; generated; vendor preset: enabled)
   Active: failed (Result: exit-code) since Thu 2019-04-18 13:10:23 +07; 15min a
     Docs: man:systemd-sysv-generator(8)
  Process: 3734 ExecStart=/etc/init.d/squid start (code=exited, status=3)

апр 18 13:10:23 debian systemd[1]: Starting LSB: Squid HTTP Proxy version 3.x...
апр 18 13:10:23 debian squid[3734]: FATAL: Bungled /etc/squid/squid.conf line 7:
апр 18 13:10:23 debian systemd[1]: squid.service: Control process exited, code=e
апр 18 13:10:23 debian systemd[1]: Failed to start LSB: Squid HTTP Proxy version
апр 18 13:10:23 debian systemd[1]: squid.service: Unit entered failed state.
апр 18 13:10:23 debian systemd[1]: squid.service: Failed with result 'exit-code'
lines 1-12/12 (END)...skipping...
● squid.service - LSB: Squid HTTP Proxy version 3.x
   Loaded: loaded (/etc/init.d/squid; generated; vendor preset: enabled)
   Active: failed (Result: exit-code) since Thu 2019-04-18 13:10:23 +07; 15min ago
     Docs: man:systemd-sysv-generator(8)
  Process: 3734 ExecStart=/etc/init.d/squid start (code=exited, status=3)

апр 18 13:10:23 debian systemd[1]: Starting LSB: Squid HTTP Proxy version 3.x...
апр 18 13:10:23 debian squid[3734]: FATAL: Bungled /etc/squid/squid.conf line 7: http_access allow officenet ... failed!
апр 18 13:10:23 debian systemd[1]: squid.service: Control process exited, code=exited status=3
апр 18 13:10:23 debian systemd[1]: Failed to start LSB: Squid HTTP Proxy version 3.x.
апр 18 13:10:23 debian systemd[1]: squid.service: Unit entered failed state.
апр 18 13:10:23 debian systemd[1]: squid.service: Failed with result 'exit-code'.

Конфиг Squid:
http_port 3128 transparent
acl localnet src 192.168.1.0/24
http_access allow localhost
http_access allow localnet
http_access allow officenet
acl SSL_ports port 443
acl Safe_ports port 80 # http
acl Safe_ports port 21 # ftp
acl Safe_ports port 443 # https
acl Safe_ports port 70 # gopher
acl Safe_ports port 210 # wais
acl Safe_ports port 1025-65535 # unregistered ports
acl Safe_ports port 280 # http-mgmt
acl Safe_ports port 488 # gss-http
acl Safe_ports port 591 # filemaker
acl Safe_ports port 777 # multiling http
acl CONNECT method

Права на файл:
root@debian:/etc/squid# ls -l
итого 8
-rwxr-xr-x 1 root root 1817 фев 12  2018 errorpage.css
-rwxr-xr-x 1 root root  552 апр 17 21:15 squid.conf


Подскажите в чем может быть проблема? У самого знаний пока не хватает

Ответить | Сообщить модератору


Настройка LightSquid , !*! Berliqz, (Squid) 17-Апр-19, 10:36  [ | | | ] [линейный вид] [смотреть все] [раскрыть новое]
Здравствуйте, в организации понадобился учет статистики пользователей (кто куда ходил)
Решил использовать mikrotik в паре со Squid. Добавил правило
/ip firewall mangle
chain=prerouting action=mark-routing new-routing-mark=squid passthrough=yes protocol=tcp
      src-address=!192.168.адрес.прокси dst-port=880,443,8080
/ip route
add comment=squid distance=1 gateway=192.168.адрес.проки routing-mark=squid

Далее на debian был установлен сквид.
его конфиг:
http_port 3128 intercept
acl localnet src 192.168.1.0/24
http_access allow localhost
http_access allow localnet
http_access allow officenet
http_access deny all
icp_access deny all
htcp_access deny all

Установил Apache и LightSquid по инструкции https://code-inside.com/ustanovka-i-nastroyka-lightsquid-v-d....

В них  прописал
Apache:
<Directory /var/www/lightsquid>
AddHandler cgi-script .cgi
AllowOverride All
</Directory>

LightSquid:
#path to additional `cfg` files
$cfgpath             ="/var/www/html/lightsquid";
#path to `tpl` folder
$tplpath             ="/var/www/html/lightsquid/tpl";
#path to `lang` folder
$langpath            ="/var/www/html/lightsquid/lang";
#path to `report` folder
$reportpath          ="/var/www/html/lightsquid/report";
#path to access.log
$logpath             ="/var/log/squid";
#path to `ip2name` folder
$ip2namepath         ="/var/www/html/lightsquid/ip2name";
$graphreport=0;

Далее запускаю проверку командой ./check-setup.pl после чего он пишет:

root@debian:/var/www/lightsquid# ./check-setup.pl
LightSquid Config Checker, (c) 2005-9 Sergey Erokhin GNU GPL

can't access to lightsquid.cfg !!

Скажите что я делаю неправильно?

Ответить | Сообщить модератору
Nginx SMTP-прокси и виртуальные домены, !*! nops, (Другие proxy) 20-Мрт-19, 09:20  [ | | | ] [линейный вид] [смотреть все] [раскрыть новое]
Доброго дня коллеги.
Задался вопросом. Есть у меня в локалке почтовик. Работает чудно, на роутере проброшены порты и все чудесно работает не один год, но сейчас появилась необходимость поставить второй почтарь, для клиента, свой собственный и разместить его в моей же локалке.
Задача: настроить smtp+imap прокси для распределения почты по нужным серверам. Нашел во такую статейку: https://www.dmosk.ru/miniinstruktions.php?mini=nginx-proxy-mail но там про авторизацию пользователей, для балансировки нагрузки, но это не то что мне нужно.
Итак вводные:
Роутер с белым IP.
сервер1 (стоит внутри сети с серым IP) - почтовик для домена domain.ru
сервер2 (стоит внутри сети с серым IP) - почтовик для домена example.com

Нужно, чтобы входящие письма для домена domain.ru переправлялись на "сервер1", а для example.com на "сервер2".

Как и чем можно такое реализовать.
Есть FreeBSD, на котором развернут Nginx+php-fpm+mysql он же прорисует веб-морду почтовика, с этим все просто, а как быть с smtp? Да, кстати, через прокси нужно не только получать почту от других почтовых серверов, но и подключаться снаружи почтовыми клиентами.

Подскажите пожалуйста решение.

Пока суть до дела, нашел статейку: https://www.vcloudnine.de/load-balancing-inbound-smtp-connec.../
В ней описывается балансировка между двумя почтовыми серверами, но так же я могу не только балансировать, а распределять почту исходя из домена получателя?
Вот кусок кода:
> mode tcp
>     no option http-server-close
>     balance roundrobin
>     option smtpchk HELO mail.terlisten-consulting.de
>     server mail1 192.168.200.107:25 send-proxy check
>     server mail2 192.168.200.108:25 send-proxy check

Тут я понимаю, что анализирую весь TCP-трафик. В данном случае интересует строчка: option smtpchk HELO mail.terlisten-consulting.de
Как я понимаю, поправьте меня, если я ошибаюсь, данной правило срабатывает, то есть передается весь TCP, если срабатывает обращение HELO mail.terlisten-consulting.de
Простите, с английским беда.
Другими словами, если обращение будет к другому серверу, то все замечательно будет срабатывать, вот так:
> mode tcp
>     no option http-server-close
>     balance roundrobin
>     option smtpchk HELO mail.domain.ru
>     server mail1 10.10.10.1:25 send-proxy check
> mode tcp
>     no option http-server-close
>     balance roundrobin
>     option smtpchk HELO mail.example.com
>     server mail2 10.10.20.1:25 send-proxy check

Я правильно мыслю?
если да, то другой вопрос, если на этом же сервере работает Nginx, то не будет ли проблем с http(s) трафиком?

Ответить | Сообщить модератору
lightsquid отчеты, !*! rpbt, (Squid) 28-Фев-19, 15:24  [ | | | ] [линейный вид] [смотреть все] [раскрыть новое]
Всем доброго времени.
Есть FreeBSD 12 + squid 4.5 + lightsquid + домменая авторизация.
Не получается правильно настроить отображение отчетов. При использовании ip2name.squidauth
имена пользователей и ip адреса, в вэб интефейсе отображаются. Если выбираешь пользователя, детальная информация по нему отображается, если выбираешь IP адрес, отображается пустая страница.
Пытался применить различные ip2name.* корректно отображают *.ip и *.dns. Моя мечта ) чтобы отображалось имя пользователя если нет то IP адрес со статистикой. Я пытался сам составить скрипт, но так ка знаний нет, получилось не очень. Имена выводит но вместо ip разные символы либо "-" или "0". В access.log иногда присутствует строка: NONE/000 0 NONE error:transaction-end-before-headers - HIER_NONE/- - . Может о неё спотыкается парсер.
Возможно кто нибуть знает решение моего вопроса.
Спасибо
Ответить | Сообщить модератору
IP попал под санкции, как обойти?, !*! DAI, (Другие proxy) 19-Фев-19, 14:12  [ | | | ] [линейный вид] [смотреть все] [раскрыть новое]
Всем привет!

IP сервиса попал под санкции и сервер с API недоступен из многих мест в России http://api2.bookinglayer.io/

Я подумал что можно сделать проксирование всех запросов для русских клиентов, но точно не знаю как и с помощью чего, есть опыт squid и tinyproxy но вообще во всем могу разобраться, не хочу придумывать велосипед, знатаки подскажите пож. как решить задачку.

Спасибо!

Ответить | Сообщить модератору
Перестала работать фильрация Dansguardian+Squid, !*! overlocked, (Прозрачный proxy) 15-Фев-19, 13:20  [ | | | ] [линейный вид] [смотреть все] [раскрыть новое]
Коллеги, приветствую!
Внезапно досталась в наследство подсеть с фильтрацией доступа через Dansguardian+Squid на сервере
Все отлично работало, пока не сменился поставщик интернета. Настройки на главном роутере изменил, на всех устройствах они подхватились, кроме вышеупомянутой подсети - в ней интернет не работал.
В настройках сервера для этой подсети были указаны старые DNS, заменил их на новые - интернет появился, но перестала работать фильтрация.
В /var/log/dansguardian/access.log отображает:
2019.2.15 10:52:15 - 172.16.6.110 https://www.youtube.com:443 *DENIED* Запрещенный сайт: youtube.com CONNECT 0 0 Banned Sites 1 403 -   -
2019.2.15 10:52:17 - 172.16.6.110 https://www.google.com:443 *DENIED* Запрещенный сайт: google.com CONNECT 0 0 Banned Sites 1 403 -   -
2019.2.15 10:52:28 - 172.16.6.110 https://vk.com:443 *DENIED* Запрещенный сайт: vk.com CONNECT 0 0 Banned Sites 1 403 -   -

Но эти сайты спокойно открываются (до смены провайдера и изменения dns не открывались).
В /var/log/squid3/access.log эти сайты не попадают
Подскажите, пожалуйста, куда дальше копать?
Ответить | Сообщить модератору
NONE/400 GET / - HIER_NONE/, !*! musho5755, (Прозрачный proxy) 06-Фев-19, 17:04  [ | | | ] [линейный вид] [смотреть все] [раскрыть новое]
Имеется ubuntu 16.04, squid3 Version 3.3.8

Squid.conf

acl Safe_ports port 21        # ftp
acl Safe_ports port 443        # https
acl Safe_ports port 70        # gopher
acl Safe_ports port 210        # wais
acl Safe_ports port 1025-65535    # unregistered ports
acl Safe_ports port 280        # http-mgmt
acl Safe_ports port 488        # gss-http
acl Safe_ports port 591        # filemaker
acl Safe_ports port 777        # multiling http
acl bad_url dstdomain "/etc/squid3/bad-sites.acl"
http_access deny bad_url
acl CONNECT method CONNECT
http_access allow localnet
http_access deny CONNECT !Safe_ports
http_access allow all
http_port 192.168.248.2:3128  
http_port 3128
http_port 8080
cache_dir ufs /var/spool/squid3 1000 16 256
reload_into_ims on
coredump_dir /etc/squid3
cache_log /var/log/squid3/cache.log
cache_mem 256 MB
maximum_object_size_in_memory 1024 KB
memory_replacement_policy heap GDSF
cache_replacement_policy heap LFUDA
maximum_object_size 32768 KB
range_offset_limit 1024 KB
ipcache_size 8192
cache_store_log none
client_db off
half_closed_clients off
refresh_pattern -i \.bz2$ 43200 100% 43200 override-lastmod override-expire ignore-reload ignore-no-cache
refresh_pattern -i \.exe$ 43200 100% 43200 override-lastmod override-expire ignore-reload ignore-no-cache
refresh_pattern -i \.gif$ 43200 100% 43200 override-lastmod override-expire ignore-reload ignore-no-cache
refresh_pattern -i \.gz$ 43200 100% 43200 override-lastmod override-expire ignore-reload ignore-no-cache
refresh_pattern -i \.ico$ 43200 100% 43200 override-lastmod override-expire ignore-reload ignore-no-cache
refresh_pattern -i \.jpg$ 43200 100% 43200 override-lastmod override-expire ignore-reload ignore-no-cache
refresh_pattern -i \.mid$ 43200 100% 43200 override-lastmod override-expire ignore-reload ignore-no-cache
refresh_pattern -i \.mp3$ 43200 100% 43200 override-lastmod override-expire ignore-reload ignore-no-cache
refresh_pattern -i \.mp4$ 43200 100% 43200 override-lastmod override-expire ignore-reload ignore-no-cache
refresh_pattern -i \.pdf$ 43200 100% 43200 override-lastmod override-expire ignore-reload ignore-no-cache
refresh_pattern -i \.swf$ 43200 100% 43200 override-lastmod override-expire ignore-reload ignore-no-cache
refresh_pattern -i \.svg$ 43200 100% 43200 override-lastmod override-expire ignore-reload ignore-no-cache
refresh_pattern -i \.tar$ 43200 100% 43200 override-lastmod override-expire ignore-reload ignore-no-cache
refresh_pattern -i \.tgz$ 43200 100% 43200 override-lastmod override-expire ignore-reload ignore-no-cache
refresh_pattern -i \.zip$ 43200 100% 43200 override-lastmod override-expire ignore-reload ignore-no-cache
refresh_pattern -i \.rar$ 43200 100% 43200 override-lastmod override-expire ignore-reload ignore-no-cache
refresh_pattern -i \.msi$ 43200 100% 43200 override-lastmod override-expire ignore-reload ignore-no-cache
refresh_pattern -i \.png$ 43200 100% 43200 override-lastmod override-expire ignore-reload ignore-no-cache
refresh_pattern ^ftp: 1440 20% 10080
refresh_pattern ^gopher: 1440 0% 1440
refresh_pattern -i (/cgi-bin/|\?) 0 0% 0
refresh_pattern . 0 20% 4320
memory_replacement_policy lru


squid3 -k parse

2019/02/06 17:59:26| Startup: Initializing Authentication Schemes ...
2019/02/06 17:59:26| Startup: Initialized Authentication Scheme 'basic'
2019/02/06 17:59:26| Startup: Initialized Authentication Scheme 'digest'
2019/02/06 17:59:26| Startup: Initialized Authentication Scheme 'negotiate'
2019/02/06 17:59:26| Startup: Initialized Authentication Scheme 'ntlm'
2019/02/06 17:59:26| Startup: Initialized Authentication.
2019/02/06 17:59:26| Processing Configuration File: /etc/squid3/squid.conf (depth 0)
2019/02/06 17:59:26| Processing: acl localnet src 192.168.0.0/16
2019/02/06 17:59:26| Processing: acl SSL_ports port 443
2019/02/06 17:59:26| Processing: acl Safe_ports port 80         # http
2019/02/06 17:59:26| Processing: acl Safe_ports port 21         # ftp
2019/02/06 17:59:26| Processing: acl Safe_ports port 443                # https
2019/02/06 17:59:26| Processing: acl Safe_ports port 70         # gopher
2019/02/06 17:59:26| Processing: acl Safe_ports port 210                # wais
2019/02/06 17:59:26| Processing: acl Safe_ports port 1025-65535 # unregistered ports
2019/02/06 17:59:26| Processing: acl Safe_ports port 280                # http-mgmt
2019/02/06 17:59:26| Processing: acl Safe_ports port 488                # gss-http
2019/02/06 17:59:26| Processing: acl Safe_ports port 591                # filemaker
2019/02/06 17:59:26| Processing: acl Safe_ports port 777                # multiling http
2019/02/06 17:59:26| Processing: acl bad_url dstdomain "/etc/squid3/bad-sites.acl"
2019/02/06 17:59:26| Processing: http_access deny bad_url
2019/02/06 17:59:26| Processing: acl CONNECT method CONNECT
2019/02/06 17:59:26| Processing: http_access allow localnet
2019/02/06 17:59:26| Processing: http_access deny CONNECT !Safe_ports
2019/02/06 17:59:26| Processing: http_access allow all
2019/02/06 17:59:26| Processing: http_port 192.168.248.2:3128
2019/02/06 17:59:26| Processing: http_port 3128
2019/02/06 17:59:26| Processing: http_port 8080
2019/02/06 17:59:26| Processing: cache_dir ufs /var/spool/squid3 1000 16 256
2019/02/06 17:59:26| Processing: reload_into_ims on
2019/02/06 17:59:26| Processing: coredump_dir /etc/squid3
2019/02/06 17:59:26| Processing: cache_log /var/log/squid3/cache.log
2019/02/06 17:59:26| Processing: cache_mem 256 MB
2019/02/06 17:59:26| Processing: maximum_object_size_in_memory 1024 KB
2019/02/06 17:59:26| Processing: memory_replacement_policy heap GDSF
2019/02/06 17:59:26| Processing: cache_replacement_policy heap LFUDA
2019/02/06 17:59:26| Processing: maximum_object_size 32768 KB
2019/02/06 17:59:26| Processing: range_offset_limit 1024 KB
2019/02/06 17:59:26| Processing: ipcache_size 8192
2019/02/06 17:59:26| Processing: cache_store_log none
2019/02/06 17:59:26| Processing: client_db off
2019/02/06 17:59:26| Processing: half_closed_clients off
2019/02/06 17:59:26| Processing: refresh_pattern ^ftp: 1440 20% 10080
2019/02/06 17:59:26| Processing: refresh_pattern ^gopher: 1440 0% 1440
2019/02/06 17:59:26| Processing: refresh_pattern -i (/cgi-bin/|\?) 0 0% 0
2019/02/06 17:59:26| Processing: refresh_pattern . 0 20% 4320
2019/02/06 17:59:26| Processing: memory_replacement_policy lru

iptables-save

:INPUT ACCEPT [26301:2133064]
:FORWARD ACCEPT [964030:4100373409]
:OUTPUT ACCEPT [186645:208320370]
-A INPUT -p udp -m udp --dport 53 -j ACCEPT
-A INPUT -i lo -j ACCEPT
-A INPUT -s 192.168.250.0/24 -p udp -m multiport --ports 53 -j ACCEPT
-A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
-A INPUT -s 192.168.250.0/24 -p tcp -m multiport --ports 53 -j ACCEPT
-A INPUT -p udp -m udp --dport 23 -j ACCEPT
-A FORWARD -s 192.168.250.0/24 -p tcp -m multiport --ports 80,8080,443,110,25,21 -j ACCEPT
:PREROUTING ACCEPT [2815:312010]
:INPUT ACCEPT [1362:92982]
:OUTPUT ACCEPT [1356:98585]
:POSTROUTING ACCEPT [1703:141634]
-A PREROUTING -s 192.168.0.0/16 -p tcp -m multiport --dports 80,8080 -j REDIRECT --to-ports 3128

access.log

1549461186.571      0 192.168.250.101 NONE/400 3492 GET / - HIER_NONE/- text/html
1549461187.057      0 192.168.250.101 NONE/400 3492 GET / - HIER_NONE/- text/html
1549461187.096      0 192.168.250.101 NONE/400 3514 GET /favicon.ico - HIER_NONE/- text/html
1549461187.102      0 192.168.250.101 NONE/400 3492 GET / - HIER_NONE/- text/html
1549461187.688      0 192.168.250.101 NONE/400 3492 GET / - HIER_NONE/- text/html
1549461187.718      0 192.168.250.101 NONE/400 3514 GET /favicon.ico - HIER_NONE/- text/html
1549461187.722      0 192.168.250.101 NONE/400 3492 GET / - HIER_NONE/- text/html
1549461188.166      0 192.168.250.101 NONE/400 3492 GET / - HIER_NONE/- text/html
1549461188.222      0 192.168.250.101 NONE/400 3514 GET /favicon.ico - HIER_NONE/- text/html
1549461188.233      0 192.168.250.101 NONE/400 3492 GET / - HIER_NONE/- text/html


что может быть? не открываются http сайты. Трафик гоняю прозрачно. При указании прокси сервера на браузера проблем не наблюдается.

ERROR
The requested URL could not be retrieved
The following error was encountered while trying to retrieve the URL: /ru/
Invalid URL
Some aspect of the requested URL is incorrect.
Some possible problems are:
Missing or incorrect access protocol (should be http:// or similar)
Missing hostname
Illegal double-escape in the URL-Path
Illegal character in hostname; underscores are not allowed.
Your cache administrator is webmaster.

Ответить | Сообщить модератору
Sarg (sarg -d в определенный каталог), !*! skycheg, (Squid) 23-Янв-19, 11:24  [ | | | ] [линейный вид] [смотреть все] [раскрыть новое]
Коллеги, приветствую.
А мне поможете разрулить ситуасьон?

имею stable FreeBSD_12
установлен squid + sarg

все логируется, отчеты делаются.

Решил все дело автоматизировать и отдать в cron.
согласно моему конфигу sarg пишет в /usr/local/www/squid-reports (где они удачно отображаются по строке http://ip-adress/sarg) Но команда sarg парсит весь лог squid.

Я в /usr/local/www/squid-reports создал каталоги Daily Monthly Weekly
создал простой скрипт со строкой sarg -d day-1 -o /usr/local/www/squid-reports/Daily

права на чтение у апача одинаковые как на родительский каталог так и на созданные.
Скрипт запускаю от root.
Проблема в том, что при выполнении скрипта ежедневный отчет не кладется в указанный в скрипте каталог, а создает свой Daily. (именно с точкой. Если глянуть на менеджере mc то вместо точки виден знак вопроса - ?, типа Daily?)
Соответственно при переходе по ссылке со стартовой страницы там меня ждет ошибка. типа The requested URL /sarg/$Daily was not found on this server.

если переместить/скопировать созданные логи из каталога Daily. в Daily - то все отображается.

Как заставить сардж писать в нужный мне каталог?

на всякий случай стартовый index.html (стащил его с какого то форума)

<html>
<head>
<title>Access Reports $hostname</title>
</head>
<body>
<div align=center>
<table border=0 cellspacing=6 cellpadding=7>
<tr>
<th align=center nowrap><b><font face=Arial size=4 color=green>Access Reports $hostname</font></b></th>
</tr>
<tr>
<td align=center bgcolor=beige><font face=Arial size=3><a href=$Daily>Daily</a></font></td>
</tr>
<tr>
<td align=center bgcolor=beige><font face=Arial size=3><a href=$Weekly>Weekly</a></font></td>
</tr>
<tr>
<td align=center bgcolor=beige><font face=Arial size=3><a href=$Monthly>Monthly</a></font></td>
</tr>
</table>
</div>
</body>
</html>

Ответить | Сообщить модератору
прозрачный squid + роутер, !*! garcia, (Прозрачный proxy) 03-Янв-19, 19:29  [ | | | ] [линейный вид] [смотреть все] [раскрыть новое]
уже есть настроенный прозрачный прокси squid, есть роутер EdgeOSEdgeRouter
хочу сделать схему
все компьютеры сети -> роутер -> squid

squid - 109.0.0.110
router - 109.0.0.1
тестовая винда - 109.0.0.8
пробую эту доку
http://tldp.org/HOWTO/TransparentProxy-6.html

если на винде прописываю шлюз - 109.0.0.110, то все работает, без правил файервола, но надо настроить что бы работало через роутер - 109.0.0.1

прописал

iptables -t nat -A PREROUTING -i eth0 ! -s 109.0.0.110 -p tcp --dport 80 -j DNAT --to 109.0.0.110:3128
iptables -t nat -A POSTROUTING -o eth0 -s 109.0.0.8/32 -d 109.0.0.110/32 -j SNAT --to 109.0.0.1
iptables -A FORWARD -s 109.0.0.8/32 -d 109.0.0.110/32 -i eth0 -o eth0 -p tcp --dport 3128 -j ACCEPT

пробую на тестовой винде (109.0.0.8) открыть сайт - доступ запрещен, на винде шлюз стоит 109.0.0.1, в логах на squid

1546203601.533      0 109.0.0.110 TCP_MISS/403 4857 GET http://myip.ru/ - HIER_NONE/- text/html
1546203601.533      1 109.0.0.1 TCP_MISS/403 4977 GET http://myip.ru/ - ORIGINAL_DST/109.0.0.110 text/html

конфиг squid.conf, версия - squid-3.5.27

# You should use the same dns resolver on squid and all clients
dns_nameservers 127.0.0.1
# acls
acl localnet src 109.0.0.0/24        # RFC1918 possible internal network
acl localnet src 192.168.1.0/24 # RFC1918 possible internal network
acl localnet src 192.168.10.0/24        # RFC1918 possible internal network
acl SSL_ports port 443
acl Safe_ports port 80          # http
acl Safe_ports port 21          # ftp
acl Safe_ports port 443         # https
acl Safe_ports port 70          # gopher
acl Safe_ports port 210         # wais
acl Safe_ports port 1025-65535  # unregistered ports
acl Safe_ports port 280         # http-mgmt
acl Safe_ports port 488         # gss-http
acl Safe_ports port 591         # filemaker
acl Safe_ports port 777         # multiling http
acl CONNECT method CONNECT
acl blocked_http dstdomain "/etc/squid/blocked_sites.txt"
# http access
http_access deny !Safe_ports
http_access deny CONNECT !SSL_ports
http_access allow localhost manager
http_access deny manager
http_access deny blocked_http
http_access allow localnet
http_access allow localhost
http_access deny all
http_port 3128 intercept
https_port 3129 intercept  ssl-bump connection-auth=off cert=/etc/squid/squidCA.pem
http_port 3130
always_direct allow all
sslproxy_cert_error allow all
sslproxy_flags DONT_VERIFY_PEER
acl blocked ssl::server_name "/etc/squid/blocked_https.txt"
acl whitelist src "/etc/squid/whitelist_ip.txt"
ssl_bump splice whitelist
acl step1 at_step SslBump1
ssl_bump peek step1
ssl_bump terminate blocked
ssl_bump splice all
sslcrtd_program /opt/source/squid-3.5.27/src/ssl/ssl_crtd -s /var/lib/ssl_db -M 4MB
sslcrtd_children 8 startup=1 idle=1
acl YOUTUBE ssl::server_name .googlevideo.com
delay_pools 1
delay_class 1 2
delay_parameters 1 -1/-1 5120/5120
delay_access 1 allow YOUTUBE
coredump_dir /var/spool/squid
refresh_pattern ^ftp:         &n... 1440    20%     10080
refresh_pattern ^gopher:        1440    0%      1440
refresh_pattern -i (/cgi-bin/|\?) 0     0%      0
refresh_pattern .               0       20%     4320
cache_dir aufs /var/spool/squid 20000 49 256
maximum_object_size 61440 KB
minimum_object_size 3 KB
cache_swap_low 90
cache_swap_high 95
maximum_object_size_in_memory 512 KB
memory_replacement_policy lru
logfile_rotate 4

в чем может быть проблема?

Ответить | Сообщить модератору


Что можно смотреть в логах HAproxy?, !*! Аноним, (Другие proxy) 28-Дек-18, 19:29  [ | | | ] [линейный вид] [смотреть все] [раскрыть новое]
Запускаю HAproxy для балансировки нагрузки между толстым клиентом и серверами. Один клиент работает, другой (другая программа) -- нет. В логах для обоих информация вида 
Dec 28 15:57:18 srv8 haproxy[58838]: 192.22.222.28:65134 [28/Dec/2018:15:57:18.821] public static/s2 0/0/8 269 -- 1/1/0/0/0 0/0

Конфиг:


$ cat /etc/haproxy/haproxy.cfg
global
        debug
        log /dev/log   local0 debug
        chroot /var/lib/haproxy
        stats socket /run/haproxy/admin.sock mode 660 level admin
        stats timeout 30s
        user haproxy
        group haproxy
        daemon
        ca-base /etc/ssl/certs
        crt-base /etc/ssl/private
        ssl-default-bind-ciphers ECDH+AESGCM:DH+AESGCM:ECDH+AES256:DH+AES256:ECDH+AES128:DH+AES:ECDH+3DES:DH+3DES:RSA+AESGCM:RSA+AES:RSA+3DES:!aNULL:!MD5:!DSS
        ssl-default-bind-options no-sslv3
defaults
        log    global
        mode    http
        option  httplog
        timeout connect 5000
        timeout client  50000
        timeout server  50000
        errorfile 400 /etc/haproxy/errors/400.http
        errorfile 403 /etc/haproxy/errors/403.http
        errorfile 408 /etc/haproxy/errors/408.http
        errorfile 500 /etc/haproxy/errors/500.http
        errorfile 502 /etc/haproxy/errors/502.http
        errorfile 503 /etc/haproxy/errors/503.http
        errorfile 504 /etc/haproxy/errors/504.http
frontend public
        log             global
        bind            srv8:7180 name clear
        mode            http
        log             global
        option          httplog
        maxconn         100
        timeout client  30s
        option          tcplog
        default_backend  static
backend static
        log             global
        mode            http
        balance         roundrobin
        retries         2
        option redispatch
        timeout connect 5s
        timeout server  5s
        server          s1 srv17:7100
        server          s2 srv17:7102
        server          s3 srv18:7100
        server          s4 srv18:7102

Информацию ловит rsyslog:


$ cat /etc/rsyslog.d/49-haproxy.conf
# Create an additional socket in haproxy's chroot in order to allow logging via
# /dev/log to chroot'ed HAProxy processes
$AddUnixListenSocket /var/lib/haproxy/dev/log
# Send HAProxy messages to a dedicated logfile
if $programname startswith 'haproxy' then /var/log/haproxy.log
&~

Что сделать, чтобы было больше информации в логе?

Ответить | Сообщить модератору
squid не срабатывает правило src, !*! kind21, (ACL, блокировки) 19-Ноя-18, 07:24  [ | | | ] [линейный вид] [смотреть все] [раскрыть новое]
Никак не могу заставить работать squid с фильтрацией по определенным ip адресам в сети.
Т.е. чтобы определенные ip могли ходить в интернет.

Имею следующий конфиг squid:
visible_hostname gate
dns_nameservers 192.168.1.1
dns_v4_first on
shutdown_lifetime 1 seconds
debug_options ALL,1 28,9

acl localnet1 src 192.168.1.0/24
acl full_access src 192.169.1.124

http_access allow full_access
http_access allow localnet1
http_access deny all

http_port 192.168.1.1:3128
http_port 127.0.0.1:3128

cache_dir ufs /var/squid/cache 100 16 256
coredump_dir /var/squid/cache

refresh_pattern ^ftp:         &n... 1440    20%     10080
refresh_pattern -i (/cgi-bin/|\?) 0     0%      0
refresh_pattern .               0       20%     4320


В логах вот такая картина:
2018/11/19 11:15:21.692 kid1| 28,4| Eui48.cc(438) lookup: Got address 74:27:ea:00:59:bd
2018/11/19 11:15:21.693 kid1| 28,3| Checklist.cc(70) preCheck: 0x8033aa418 checking slow rules
2018/11/19 11:15:21.693 kid1| 28,5| Acl.cc(124) matches: checking http_access
2018/11/19 11:15:21.693 kid1| 28,5| Checklist.cc(397) bannedAction: Action 'ALLOWED/0' is not banned
2018/11/19 11:15:21.693 kid1| 28,5| Acl.cc(124) matches: checking http_access#1
2018/11/19 11:15:21.693 kid1| 28,5| Acl.cc(124) matches: checking full_access
2018/11/19 11:15:21.693 kid1| 28,9| Ip.cc(96) aclIpAddrNetworkCompare: aclIpAddrNetworkCompare: compare: 192.168.1.124:41924/[ffff:ffff:ffff:ffff:ffff:ffff:ffff:ffff] (192.168.1.124:41924)  vs 192.169.1.124-[::]/[ffff:ffff:ffff:ffff:ffff:ffff:ffff:ffff]
2018/11/19 11:15:21.693 kid1| 28,3| Ip.cc(538) match: aclIpMatchIp: '192.168.1.124:41924' NOT found
2018/11/19 11:15:21.693 kid1| 28,3| Acl.cc(151) matches: checked: full_access = 0
2018/11/19 11:15:21.693 kid1| 28,3| Acl.cc(151) matches: checked: http_access#1 = 0
2018/11/19 11:15:21.693 kid1| 28,5| Checklist.cc(397) bannedAction: Action 'ALLOWED/0' is not banned
2018/11/19 11:15:21.693 kid1| 28,5| Acl.cc(124) matches: checking http_access#2
2018/11/19 11:15:21.693 kid1| 28,5| Acl.cc(124) matches: checking localnet1
2018/11/19 11:15:21.693 kid1| 28,9| Ip.cc(96) aclIpAddrNetworkCompare: aclIpAddrNetworkCompare: compare: 192.168.1.124:41924/[ffff:ffff:ffff:ffff:ffff:ffff:ffff:ff00] (192.168.1.0:41924)  vs 192.168.1.0-[::]/[ffff:ffff:ffff:ffff:ffff:ffff:ffff:ff00]
2018/11/19 11:15:21.693 kid1| 28,3| Ip.cc(538) match: aclIpMatchIp: '192.168.1.124:41924' found
2018/11/19 11:15:21.693 kid1| 28,3| Acl.cc(151) matches: checked: localnet1 = 1
2018/11/19 11:15:21.693 kid1| 28,3| Acl.cc(151) matches: checked: http_access#2 = 1
2018/11/19 11:15:21.693 kid1| 28,3| Acl.cc(151) matches: checked: http_access = 1
2018/11/19 11:15:21.693 kid1| 28,3| Checklist.cc(63) markFinished: 0x8033aa418 answer ALLOWED for match


Здесь интересно то, что фильтр находит совпадения ip с acl подсети,но не находит совпадения ip если указан конкретный ip адрес.

Если есть мудрые люди, подскажите, почему не срабатывает правило http_access allow full_access ?
И почему в логах вот это: 2018/11/19 11:15:21.693 kid1| 28,9| Ip.cc(96) aclIpAddrNetworkCompare: aclIpAddrNetworkCompare: compare: 192.168.1.124:41924/[ffff:ffff:ffff:ffff:ffff:ffff:ffff:ffff] (192.168.1.124:41924)  vs 192.169.1.124-[::]/[ffff:ffff:ffff:ffff:ffff:ffff:ffff:ffff]
2018/11/19 11:15:21.693 kid1| 28,3| Ip.cc(538) match: aclIpMatchIp: '192.168.1.124:41924' NOT found

Ответить | Сообщить модератору
squid, ssl_bump поясните, в чем разница между peek и stare?, !*! borisdenis, (ACL, блокировки) 29-Окт-18, 09:09  [ | | | ] [линейный вид] [смотреть все] [раскрыть новое]
Имеется прокси, настроенное на мониторинг посещаемых https сайтов без подмены сертификата, все работает, но иногда в браузере появляется вот такая ошибка
https://hsto.org/webt/5b/d6/a0/5bd6a0053236b494686403.jpeg

после перехода в адресную строку и нажатия Enter сайт открывается успешно, в логах ошибок нет, проявляется редко и повторить ошибку специально не удается. В процессе поиска решения и чтения документации попал в тупик, не могу понять разницу между ssl_bump peek step1 и ssl_bump stare step1, в чем разница? В документации такое описание:

peek
    When a peek rule matches during step1, Squid proceeds to step2 where it parses the TLS Client Hello and extracts SNI (if any). When a peek rule matches during step 2, Squid proceeds to step3 where it parses the TLS Server Hello and extracts server certificate while preserving the possibility of splicing the client and server connections; peeking at the server certificate usually precludes future bumping (see Limitations).


stare
    When a stare rule matches during step1, Squid proceeds to step2 where it parses the TLS Client Hello and extracts SNI (if any). When a stare rule matches during step2, Squid proceeds to step3 where it parses the TLS Server Hello and extracts server certificate while preserving the possibility of bumping the client and server connections; staring at the server certificate usually precludes future splicing (see Limitations).


Разница в описании минимальна, но моих познаний английского не хватает чтоб понять в чем у них разница? В каком случае применять одна, а в каком другое.

Может кто пояснить человеческим языком что к чему?

Ответить | Сообщить модератору
Как закрыть соединения типа TCP_TUNNEL принудительно?, !*! Alick116, (Подключение фильтров) 22-Окт-18, 14:57  [ | | | ] [линейный вид] [смотреть все] [раскрыть новое]
Доброго времени суток всем. Задача состояла такая, что бы определенный список сайтов был недоступен в определенное время. Все вроде сделал aclки времени и список соц сетей задал, что бы юзеры могли пользоваться соц сетями в обед. Но одно но. Те сайты которые на HTTPS продолжают работать, помогает только закрытие браузера, либо бездействие на самом сайте. Вот хотел спросить может кто нибудь сталкивался и решал данную проблему?
Ответить | Сообщить модератору
Почему SQUID не блокирует http сайты? Где накосячил?, !*! borisdenis, (ACL, блокировки) 11-Окт-18, 11:31  [ | | | ] [линейный вид] [смотреть все] [раскрыть новое]
Есть сервер squid 3.5.28, все работает кроме одного, не блокирует сайты заданные в файле (/opt/squid/etc/blocked_reklama) при доступе к ним по http протоколу, а вот при доступе через https прекрасно блокирует. Не могу понять такого поведения, где и что исправить?

Содержимое файла /opt/squid/etc/blocked_reklama
www.mult.ru
www.securitylab.ru


Конфиг:
#Для авторизации через AD
auth_param negotiate program /opt/squid/libexec/negotiate_kerberos_auth -s HTTP/xxx.xx.xx
auth_param negotiate children 40 startup=0 idle=1
auth_param negotiate keep_alive on

acl localnet src 10.16.0.0/16 # RFC1918 possible internal network
acl pcname srcdomain "/opt/squid/etc/block_comp_name" # компьютеров из имен компьютеров в файле block_comp_name
acl nohttps dstdomain "/opt/squid/etc/no_https"
acl blocked_ads dstdomain "/opt/squid/etc/blocked_reklama" # сайтов для блокировки (реклама)

acl userauth proxy_auth REQUIRED # аутентифицированный пользователь попадает в группу userauth

acl SSL_ports port 443
acl Safe_ports port 80 # http
acl Safe_ports port 21 # ftp
acl Safe_ports port 443 # https
acl Safe_ports port 70 # gopher
acl Safe_ports port 210 # wais
acl Safe_ports port 1025-65535 # unregistered ports
acl Safe_ports port 280 # http-mgmt
acl Safe_ports port 488 # gss-http
acl Safe_ports port 591 # filemaker
acl Safe_ports port 777 # multiling http
acl CONNECT method CONNECT
acl manager proto cache_object


http_access deny pcname #запрещаем доступ группе pcname
http_access deny blocked_ads #Запрещаем доступ к сайтам из указанных списков
http_access deny !Safe_ports
http_access deny CONNECT !SSL_ports
http_access allow localhost manager
http_access deny manager
http_access allow userauth #Разрешаем интернет аутентифицированным пользователям
http_access allow localnet #Разрешаем интернет из нашей сети
http_access allow localhost #Разрешаем интернет локально
http_access deny all #Запрещаем все остальное


#################################################################################################################################
#Для http прозрачного прокси
http_port 3129 intercept
#Для https без подмены сертификата
#https_port 3130 intercept
https_port 3130 intercept ssl-bump options=ALL:NO_SSLv3:NO_SSLv2 connection-auth=off cert=/opt/squid/etc/squidCA.pem
always_direct allow all
acl blocked_ads_ssl ssl::server_name "/opt/squid/etc/blocked_reklama" # сайтов для блокировки (реклама и т.п.)
acl step1 at_step SslBump1
ssl_bump peek step1
ssl_bump terminate blocked_ads_ssl #Закрываем соединение на сайт
ssl_bump bump userauth !nohttps #Расшифровываем трафик для пользователей группы userauth кроме сайтов из файла no_https
ssl_bump splice all #Без расшифровки для всех остальных

#################################################################################################################################
http_port 3128 ssl-bump options=ALL:NO_SSLv3:NO_SSLv2 generate-host-certificates=on dynamic_cert_mem_cache_size=4MB cert=/opt/squid/etc/adkey.pem
sslcrtd_program /opt/squid/libexec/ssl_crtd -s /opt/squid/var/squid3_ssldb -M 4MB
sslcrtd_children 10

always_direct allow all # не использовать кэш

sslproxy_cert_error allow all #разрешает обрабатывать запрос при ошибке проверки сертификата веб сайта
sslproxy_flags DONT_VERIFY_PEER #отключает проверку по списку СА по умолчанию и принимает сертификат, издатель которых неизвестен

ssl_bump server-first all #режим для установки соединения сначала с веб-сервером, затем SSL-соединение с клиентом

coredump_dir /opt/squid/var/cache/squid

#
# Add any of your own refresh_pattern entries above these.
#
refresh_pattern ^ftp:        1440    20%    10080
refresh_pattern ^gopher:    1440    0%    1440
refresh_pattern -i (/cgi-bin/|\?) 0    0%    0
refresh_pattern .        0    20%    4320


max_filedescriptors 4096
cache_replacement_policy GDSF
persistent_connection_after_error off #после возникновения HTTP ошибки, Squid перестанет использовать persistent соединение с этим клиентом

icap_enable on
icap_send_client_ip on
icap_send_client_username on
icap_client_username_encode off
icap_client_username_header X-Authenticated-User
icap_preview_enable on
icap_preview_size 1024
#icap_service_failure_limit 10 in 5 seconds #После 10 ошибок в течении 5 секунд приостанавливается использование icap
icap_service service_avi_req reqmod_precache icap://127.0.0.1:1344/virus_scan bypass=on
adaptation_access service_avi_req allow all
icap_service service_avi_resp respmod_precache icap://127.0.0.1:1344/virus_scan bypass=on
adaptation_access service_avi_resp allow all

logfile_rotate 0


При таком конфиге доступ на https://www.securitylab.ru закрыт, а на www.mult.ru прекрасно заходит, сайты указаны просто для теста, потом будут заменены на другие. squidguard использовать не предлагать, должно же и так работать. Что я пропустил?

squid -v
Squid Cache: Version 3.5.28
Service Name: squid

This binary uses OpenSSL 1.0.2n  7 Dec 2017. For legal restrictions on distribution see https://www.openssl.org/source/license.html

configure options:  '--prefix=/opt/squid' '--with-large-files' '--enable-ssl' '--enable-ssl-crtd' '--enable-ltdl-convenienc' '--enable-auth-negotiate=kerberos,wrapper' '--enable-icap-client' '--with-openssl=/opt/openssl-1.0.2p' '--enable-http-violations' --enable-ltdl-convenience

Ответить | Сообщить модератору
SECURITY ALERT: Host header forgery detected on loca, !*! Marina, (Разное) 08-Окт-18, 17:47  [ | | | ] [линейный вид] [смотреть все] [раскрыть новое]
Привет!
Ребята постоянно в логах пишет:
2018/10/08 18:08:27 kid1| SECURITY ALERT: Host header forgery detected on local=52.109.12.24:443 remote=192.168.0.239:59891 FD 73 flags=33$
2018/10/08 18:08:27 kid1| SECURITY ALERT: on URL: nexus.officeapps.live.com:443

C чем это связанно ?

Ответить | Сообщить модератору
Ребят как прописать несколько интерфейсов ?, !*! Marina, (Прозрачный proxy) 04-Окт-18, 19:53  [ | | | ] [линейный вид] [смотреть все] [раскрыть новое]
Ребят как прописать несколько интерфейсов ?
iptables -t nat -A PREROUTING -i $LAN -p tcp --dport $HTTP  -j REDIRECT --to-port $SQUIDH
iptables -t nat -A PREROUTING -i $LAN -p tcp --dport $HTTPS -j REDIRECT --to-port $SQUIDS

Попробовала так, не получается...
iptables -t nat -A PREROUTING -i $LAN,$LAN2,$LAN3 -p tcp --dport $HTTP  -j REDIRECT --to-port $SQUIDH
iptables -t nat -A PREROUTING -i $LAN,$LAN2,$LAN3 -p tcp --dport $HTTPS -j REDIRECT --to-port $SQUIDS
Спасибо!!!

Ответить | Сообщить модератору


Быстрый VPN, !*! Дмитрий, (VPN) 12-Сен-18, 23:03  [ | | | ] [линейный вид] [смотреть все] [раскрыть новое]
Дорогой Опеннет!

Подскажи, как VPN провайдеры организуют свою сеть, чтобы трафик ходил наиболее оптимальным способом?
Предположим, есть клиент из России, ему нужно "выпрыгнуть" в Штатах.

Схема #1
Имеем один сервер в Штатах (выходная нода) с OpenVPN.
Клиент подключается к серверу в Штатах напрямую по OpenVPN, на нем натится и выпригивает в интернет. Все просто.

Схема #2
Имеем два сервера: один в России (входная нода) с OpenVPN, поближе к одной из точек обмена трафиком, и произвольный сервер в Штатах(выходная нода), они объеденены в одну сеть средствами Tinc VPN.

Кслиет подключается к входной точке по OpenVPN, трафик роутится до сервера в Штатах, там натится и выпрыгивает в интернет.

Какая из этих двух схем наиболее оптимальна с точки срения скорости сети и почему?

Ответить | Сообщить модератору
Раздача интернет-трафика без squid и iptables, !*! Ape, (Разное) 12-Сен-18, 11:57  [ | | | ] [линейный вид] [смотреть все] [раскрыть новое]
Есть компьютер с двумя сетевыми интерфейсами - eth0, eth1.
На eth0 прямое подключение провайдера.
На eth1 домашняя сеть.
Возможно ли с помощью sysctl -w net.ipv4.ip_forward=1 и route add пробрасывать все пакеты из домашней сети в интернет и обратно без установки squid и iptabes, nftables?

Из домашней сети пингуется внешний интерфейс eth0. То есть, пакеты из домашней сети форвардятся через компьютер на интерфейс, где подключение провайдера. Дальше не идут. Как пробросить их дальше?
Помогите, кто знаком с ситуацией!!!

Ответить | Сообщить модератору
squid + ftp-клиент, !*! jive, (Squid) 19-Июл-18, 15:00  [ | | | ] [линейный вид] [смотреть все] [раскрыть новое]
Друзья, вот уж никак не думал, что по такому (вначале казалось простому) вопросу придётся обращаться на форум. Суть проблемы.
Маленькая компания, на компьютере-шлюзе установлена Windows, на ней Squid 2.7
Один из компьютеров на регулярной основе выкладывает кое-какие файлы на внешний удалённый ftp-сервер. Для решения этой задачи на этот компьютер был установлен Total Commander и настроено ftp-соединение, причём в окне "Настройки брандмауэра" в группе "Способ соединения" была выбрана радио-кнопка "HTTP-прокси с поддержкой FTP".
Недавно руководством было принято решение перейти на какой-нибудь freeware ftp-клиент для Windows, но не консольный, а с интерфейсом, как положено. Всё-таки Total Commander - это программный продукт shareware и в идеале необходимо приобретать лицензию, а в условиях кризиса сами понимаете...
К сожалению, мои попытки реализовать данную задачу пока не привели к желаемому результату. Одни бесплатные ftp-клиенты, которые уже были испробованы, разрешают завести какой-то просто абстрактный proxy-сервер, только адрес и порт, но ничего не работает. Другие разрешают указать не только адрес и порт, но ещё и тип proxy-сервера, вот только выбор небогат: HTTP CONNECT да SOCKS либо 4 либо 5 и опять же ничего не работает.
Подскажите какой-нибудь "реально freeware" ftp-клиент, который смог бы заменить в данной ситуации Total Commander, может быть у кого-нибудь давно реально и успешно работает такая связка?
Вначале честно пытался бродить по просторам интернета, но ничего вразумительного не нашёл.
Было мнение, что это дохлый номер и даже великий FileZilla тут бессилен, не говоря уж о других.
Ответить | Сообщить модератору
Как с 3proxy или другого прокси сервера перенаправлять запросы , !*! Qwentor, (Другие proxy) 24-Июн-18, 01:03  [ | | | ] [линейный вид] [смотреть все] [раскрыть новое]
Сабж. Лучше для 3proxy, если это возможно. Если нет, то для squid/dante

Нужно поднять прокси сервер, который бы распределял соединения по другим прокси на основе запрашиваемого домена.

Как такое реализовать?

Ответить | Сообщить модератору
, ***, (Tor) -Дек-, 00:  [ | | | ] [линейный вид] [смотреть все]
Ответить | Сообщить модератору
Squid3, SSL bump, самоподписанный сертификат Squid, !*! ПавелС, (Аутентификация) 10-Июн-18, 14:18  [ | | | ] [линейный вид] [смотреть все] [раскрыть новое]
Скомпилил squid3.4 с поддержкой SSL на Debian 8 для раскрытия ssl траффика для проверки антивирусом через c-icap.
Использую самоподписанный сертификат на Squid, импортировал в браузер.

Простые ssl странички открываются и проверяются антивирусом нормально.
А воти типа gmail.com в Firefox даёт SEC_ERROR_INADEQUATE_KEY_USAGE.

Гуглил гуглил ничего путного ненагугил.

Вообще сне надо для продакшена для браузеров Chrome и IE.

Посоветуйте что, может купить сертификат, будет то же самое или нет?

Ответить | Сообщить модератору
Не запускается squid после ребута, !*! dANCER, (Squid) 03-Июн-18, 21:06  [ | | | ] [линейный вид] [смотреть все] [раскрыть новое]
Всем привет.
Подскажите, пожалуйста, в чем может быть проблема.Шлюз на OpenBSD 5.7, после перезагрузки не запустился squid, в cache.log:
ERROR: /cache/dir: (2) No such file or directory
FATAL:     Failed to verify one of the swap directories, Check cache.log
    for details.  Run 'squid -z' to create swap directories
    if needed, or if running Squid for the first time.


Попытался запустить squid -z, получил:
2018/06/01 18:20:51 kid1| Set Current Directory to /var/squid/cache
2018/06/01 18:20:51 kid1| Creating missing swap directories
FATAL: Failed to make swap directory /cache/dir: (13) Permission denied
Squid Cache (Version 3.4.12): Terminated abnormally.
CPU Usage: 0.020 seconds = 0.020 user + 0.000 sys
Maximum Resident Size: 25632 KB
Page faults with physical i/o: 0


Конфиг squid.conf:
acl rg_dhcp src 10.1.4.0/24
acl rg_user src 10.1.5.0/24
acl rg_stat src 10.1.7.0/24
acl rg_wifi src 10.1.8.0/24

http_access allow rg_dhcp
http_access allow rg_user
http_access allow rg_stat
http_access allow rg_wifi
http_access allow localhost

# And finally deny all other access to this proxy
http_access deny all

# Squid normally listens to port 3128
http_port 10.1.1.1:3128
http_port 127.0.0.1:3127 intercept

# Uncomment and adjust the following to add a disk cache directory.
cache_dir ufs /cache/dir 41472 32 512

max_filedesc 8192
access_log none
cache_store_log none

# Leave coredumps in the first cache dir
coredump_dir /var/squid/cache

Ответить | Сообщить модератору
не работает ext_kerberos_ldap_group_acl, !*! visitor, (Squid) 23-Май-18, 10:58  [ | | | ] [линейный вид] [смотреть все] [раскрыть новое]
Всем привет
помогите разобраться плиз с сабжем


ext_kerberos_ldap_group_acl -i -a -g internet -D MYDOMAIN.BY
aduser
kerberos_ldap_group.cc(378): pid=413 :2018/05/23 10:44:56| kerberos_ldap_group: INFO: Got User: aduser set default domain: MYDOMAIN.BY
kerberos_ldap_group.cc(383): pid=413 :2018/05/23 10:44:56| kerberos_ldap_group: INFO: Got User: aduser Domain: MYDOMAIN.BY
support_ldap.cc(1061): pid=413 :2018/05/23 10:44:56| kerberos_ldap_group: ERROR: Error determining ldap server type: Operations error
support_member.cc(134): pid=413 :2018/05/23 10:44:56| kerberos_ldap_group: INFO: User aduser is not member of group@domain internet@NULL
ERR

запуск в дебаге

/usr/sbin/ext_kerberos_ldap_group_acl -d -a -g internet -D MYDOMAIN.BY
kerberos_ldap_group.cc(283): pid=399 :2018/05/23 10:43:28| kerberos_ldap_group: INFO: Starting version 1.3.1sq
support_group.cc(382): pid=399 :2018/05/23 10:43:28| kerberos_ldap_group: INFO: Group list internet
support_group.cc(447): pid=399 :2018/05/23 10:43:28| kerberos_ldap_group: INFO: Group internet  Domain NULL
support_netbios.cc(83): pid=399 :2018/05/23 10:43:28| kerberos_ldap_group: DEBUG: Netbios list NULL
support_netbios.cc(87): pid=399 :2018/05/23 10:43:28| kerberos_ldap_group: DEBUG: No netbios names defined.
support_lserver.cc(82): pid=399 :2018/05/23 10:43:28| kerberos_ldap_group: DEBUG: ldap server list NULL
support_lserver.cc(86): pid=399 :2018/05/23 10:43:28| kerberos_ldap_group: DEBUG: No ldap servers defined.
aduser
kerberos_ldap_group.cc(376): pid=399 :2018/05/23 10:43:34| kerberos_ldap_group: INFO: Got User: aduser set default domain: MYDOMAIN.BY
kerberos_ldap_group.cc(381): pid=399 :2018/05/23 10:43:34| kerberos_ldap_group: INFO: Got User: aduser Domain: MYDOMAIN.BY
support_member.cc(63): pid=399 :2018/05/23 10:43:34| kerberos_ldap_group: DEBUG: User domain loop: group@domain internet@NULL
support_member.cc(91): pid=399 :2018/05/23 10:43:34| kerberos_ldap_group: DEBUG: Default domain loop: group@domain internet@NULL
support_member.cc(119): pid=399 :2018/05/23 10:43:34| kerberos_ldap_group: DEBUG: Default group loop: group@domain internet@NULL
support_member.cc(121): pid=399 :2018/05/23 10:43:34| kerberos_ldap_group: DEBUG: Found group@domain internet@NULL
support_ldap.cc(898): pid=399 :2018/05/23 10:43:34| kerberos_ldap_group: DEBUG: Setup Kerberos credential cache
support_krb5.cc(127): pid=399 :2018/05/23 10:43:34| kerberos_ldap_group: DEBUG: Set credential cache to MEMORY:squid_ldap_399
support_krb5.cc(138): pid=399 :2018/05/23 10:43:34| kerberos_ldap_group: DEBUG: Get default keytab file name
support_krb5.cc(144): pid=399 :2018/05/23 10:43:34| kerberos_ldap_group: DEBUG: Got default keytab file name /etc/krb5.keytab
support_krb5.cc(158): pid=399 :2018/05/23 10:43:34| kerberos_ldap_group: DEBUG: Get principal name from keytab /etc/krb5.keytab
support_krb5.cc(169): pid=399 :2018/05/23 10:43:34| kerberos_ldap_group: DEBUG: Keytab entry has realm name: MYDOMAIN.BY
support_krb5.cc(189): pid=399 :2018/05/23 10:43:34| kerberos_ldap_group: DEBUG: Found principal  name: HTTP/squid-1.mydomain.com@MYDOMAIN.BY
support_krb5.cc(205): pid=399 :2018/05/23 10:43:34| kerberos_ldap_group: DEBUG: Got principal name HTTP/squid-1.mydomain.com@MYDOMAIN.BY
support_krb5.cc(269): pid=399 :2018/05/23 10:43:34| kerberos_ldap_group: DEBUG: Stored credentials
support_ldap.cc(927): pid=399 :2018/05/23 10:43:34| kerberos_ldap_group: DEBUG: Initialise ldap connection
support_ldap.cc(933): pid=399 :2018/05/23 10:43:34| kerberos_ldap_group: DEBUG: Canonicalise ldap server name for domain MYDOMAIN.BY
support_resolv.cc(379): pid=399 :2018/05/23 10:43:34| kerberos_ldap_group: DEBUG: Resolved SRV _ldap._tcp.MYDOMAIN.BY record to adc1.mydomain.com
support_resolv.cc(379): pid=399 :2018/05/23 10:43:34| kerberos_ldap_group: DEBUG: Resolved SRV _ldap._tcp.MYDOMAIN.BY record to adc4.mydomain.com
support_resolv.cc(379): pid=399 :2018/05/23 10:43:34| kerberos_ldap_group: DEBUG: Resolved SRV _ldap._tcp.MYDOMAIN.BY record to adc3.mydomain.com
support_resolv.cc(379): pid=399 :2018/05/23 10:43:34| kerberos_ldap_group: DEBUG: Resolved SRV _ldap._tcp.MYDOMAIN.BY record to adc2.mydomain.com
support_resolv.cc(207): pid=399 :2018/05/23 10:43:34| kerberos_ldap_group: DEBUG: Resolved address 1 of MYDOMAIN.BY to adc1.mydomain.com
support_resolv.cc(207): pid=399 :2018/05/23 10:43:34| kerberos_ldap_group: DEBUG: Resolved address 2 of MYDOMAIN.BY to adc1.mydomain.com
support_resolv.cc(207): pid=399 :2018/05/23 10:43:34| kerberos_ldap_group: DEBUG: Resolved address 3 of MYDOMAIN.BY to adc1.mydomain.com
support_resolv.cc(207): pid=399 :2018/05/23 10:43:34| kerberos_ldap_group: DEBUG: Resolved address 4 of MYDOMAIN.BY to adc4.mydomain.com
support_resolv.cc(207): pid=399 :2018/05/23 10:43:34| kerberos_ldap_group: DEBUG: Resolved address 5 of MYDOMAIN.BY to adc4.mydomain.com
support_resolv.cc(207): pid=399 :2018/05/23 10:43:34| kerberos_ldap_group: DEBUG: Resolved address 6 of MYDOMAIN.BY to adc4.mydomain.com
support_resolv.cc(207): pid=399 :2018/05/23 10:43:34| kerberos_ldap_group: DEBUG: Resolved address 7 of MYDOMAIN.BY to adc2.mydomain.com
support_resolv.cc(207): pid=399 :2018/05/23 10:43:34| kerberos_ldap_group: DEBUG: Resolved address 8 of MYDOMAIN.BY to adc2.mydomain.com
support_resolv.cc(207): pid=399 :2018/05/23 10:43:34| kerberos_ldap_group: DEBUG: Resolved address 9 of MYDOMAIN.BY to adc2.mydomain.com
support_resolv.cc(207): pid=399 :2018/05/23 10:43:34| kerberos_ldap_group: DEBUG: Resolved address 10 of MYDOMAIN.BY to adc3.mydomain.com
support_resolv.cc(207): pid=399 :2018/05/23 10:43:34| kerberos_ldap_group: DEBUG: Resolved address 11 of MYDOMAIN.BY to adc3.mydomain.com
support_resolv.cc(207): pid=399 :2018/05/23 10:43:34| kerberos_ldap_group: DEBUG: Resolved address 12 of MYDOMAIN.BY to adc3.mydomain.com
support_resolv.cc(407): pid=399 :2018/05/23 10:43:34| kerberos_ldap_group: DEBUG: Adding MYDOMAIN.BY to list
support_resolv.cc(443): pid=399 :2018/05/23 10:43:34| kerberos_ldap_group: DEBUG: Sorted ldap server names for domain MYDOMAIN.BY:
support_resolv.cc(445): pid=399 :2018/05/23 10:43:34| kerberos_ldap_group: DEBUG: Host: adc4.mydomain.com Port: 389 Priority: 0 Weight: 100
support_resolv.cc(445): pid=399 :2018/05/23 10:43:34| kerberos_ldap_group: DEBUG: Host: adc3.mydomain.com Port: 389 Priority: 0 Weight: 100
support_resolv.cc(445): pid=399 :2018/05/23 10:43:34| kerberos_ldap_group: DEBUG: Host: adc2.mydomain.com Port: 389 Priority: 0 Weight: 100
support_resolv.cc(445): pid=399 :2018/05/23 10:43:34| kerberos_ldap_group: DEBUG: Host: adc1.mydomain.com Port: 389 Priority: 0 Weight: 100
support_resolv.cc(445): pid=399 :2018/05/23 10:43:34| kerberos_ldap_group: DEBUG: Host: MYDOMAIN.BY Port: -1 Priority: -2 Weight: -2
support_ldap.cc(942): pid=399 :2018/05/23 10:43:34| kerberos_ldap_group: DEBUG: Setting up connection to ldap server adc4.mydomain.com:389
support_ldap.cc(953): pid=399 :2018/05/23 10:43:34| kerberos_ldap_group: DEBUG: Bind to ldap server with SASL/GSSAPI
support_ldap.cc(967): pid=399 :2018/05/23 10:43:34| kerberos_ldap_group: DEBUG: Successfully initialised connection to ldap server adc4.mydomain.com:389
support_ldap.cc(333): pid=399 :2018/05/23 10:43:34| kerberos_ldap_group: DEBUG: Search ldap server with bind path "" and filter: (objectclass=*)
support_ldap.cc(602): pid=399 :2018/05/23 10:43:34| kerberos_ldap_group: DEBUG: Search ldap entries for attribute : schemaNamingContext
support_ldap.cc(645): pid=399 :2018/05/23 10:43:34| kerberos_ldap_group: DEBUG: 1 ldap entry found with attribute : schemaNamingContext
support_ldap.cc(342): pid=399 :2018/05/23 10:43:34| kerberos_ldap_group: DEBUG: Search ldap server with bind path CN=Schema,CN=Configuration,DC=mtb,DC=minsk,DC=by and filter: (ldapdisplayname=samaccountname)
support_ldap.cc(345): pid=399 :2018/05/23 10:43:34| kerberos_ldap_group: DEBUG: Found 0 ldap entries
support_ldap.cc(350): pid=399 :2018/05/23 10:43:34| kerberos_ldap_group: DEBUG: Determined ldap server not as an Active Directory server
support_ldap.cc(1061): pid=399 :2018/05/23 10:43:34| kerberos_ldap_group: ERROR: Error determining ldap server type: Operations error
support_member.cc(132): pid=399 :2018/05/23 10:43:34| kerberos_ldap_group: INFO: User aduser is not member of group@domain internet@NULL
ERR
kerberos_ldap_group.cc(416): pid=399 :2018/05/23 10:43:34| kerberos_ldap_group: DEBUG: ERR
^C

Ответить | Сообщить модератору
LightSquid + Logrotate = log does not need rotating, !*! Azaka, (Учет работы пользователей, логи) 24-Мрт-18, 13:52  [ | | | ] [линейный вид] [смотреть все] [раскрыть новое]
Здравствуйте уважаемые форумчане!
Столкнулся с проблемой: отчёт LightSquid не обновляется по заданию.
Соответственно по команде: "sudo /usr/sbin/logrotate --verbose /etc/squid3/squid.logrotate" выводится следующее:
_______________________________________________
reading config file /etc/squid3/squid.logrotate
Handling 1 logs
rotating pattern: /var/log/squid3/*.log  after 1 days (3 rotations)
empty log files are rotated, old logs are removed
considering log /var/log/squid3/access.log
  log does not need rotating
considering log /var/log/squid3/cache.log
  log does not need rotating
not running postrotate script, since no logs were rotated
_______________________________________________

Каталог по пути "/var/log/squid3/" логами заполняется, от этого и непонятен смысл приведённой ошибки:
_______________________________________________
access.log     access.log.17    access.log.6  cache.log.11  cache.log.19    cache.log.6
access.log.10  access.log.18    access.log.7  cache.log.12  cache.log.2     cache.log.7
access.log.11  access.log.19    access.log.8  cache.log.13  cache.log.20    cache.log.8
access.log.12  access.log.2     access.log.9  cache.log.14  cache.log.2.gz  cache.log.9
access.log.13  access.log.20    cache.log     cache.log.15  cache.log.3     netdb.state
access.log.14  access.log.2.gz  cache.log.0   cache.log.16  cache.log.3.gz
access.log.15  access.log.3     cache.log.1   cache.log.17  cache.log.4
access.log.16  access.log.5     cache.log.10  cache.log.18  cache.log.5
_______________________________________________

Содержимое squid.logrotate:
_______________________________________________
/var/log/squid3/*.log {
        daily
        compress
        delaycompress
        rotate 3
        missingok
        nocreate
        sharedscripts
        postrotate
              test ! -e /var/run/squid3.pid || test ! -x /usr/sbin/squid3 || /usr/sbin/squid3 -k rotate
              sleep 120
              /usr/share/lightsquid/lightparser.pl access.log.1
        endscript
}
_______________________________________________

Кто сталкивался со схожей проблемой, подскажите пожалуйста, что и как необходимо проверить?

P.S. В Unix системах совсем "новенький", многое не понимаю и не знаю.

Ответить | Сообщить модератору
Не работает почтовый прокси nginx, !*! billybons2006, (Другие proxy) 01-Мрт-18, 11:36  [ | | | ] [линейный вид] [смотреть все] [раскрыть новое]
Для гибкой настройки почтовых клиентов решил испытать nginx в режиме почтового прокси. В общем, штука такая вышла. Есть мой почтовик (postfix/dovecot). Через него nginx отправляет почту исправно.

А вот на внешние, не подконтрольные мне smtp вообще не работает.

В логе nginx (отправляю почту через не мой smtp через прокси nginx):
*29 mail auth http process status line
*29 mail auth http process headers
*29 mail auth http header: "Server: nginx/1.12.2"
*29 mail auth http header: "Date: Thu, 01 Mar 2018 08:10:45 GMT"
*29 mail auth http header: "Content-Type: text/html"
*29 mail auth http header: "Connection: close"
*29 mail auth http header: "Auth-Status: OK"
*29 mail auth http header: "Auth-Server: 1.2.3.4"
*29 mail auth http header: "Auth-Port: 465"
*29 mail auth http header done
...
upstream timed out (110: Connection timed out) while connecting to upstream, client: 102.17.23.11, server: 0.0.0.0:465, login: "backend-email@domain.com", upstream: 1.2.3.4:465

Т.е. проверку на nginx прохожу, nginx пытается соединиться с правильным 1.2.3.4:465 (в соотв. с настройками). И - timed out.

Аналогичный таймаут возникает если коннектиться на 25/STARTTLS.

Естественно, проверял напрямую (без прокси nginx) - отправка через 465/SSL/TLS идет.

nginx version: nginx/1.12.2
установлен на centos (yum install)

Куда копать?

Ответить | Сообщить модератору
Разрешить только определённые https сайты, !*! olenka777, (Squid) 13-Фев-18, 10:21  [ | | | ] [линейный вид] [смотреть все] [раскрыть новое]
Привет! Нужно разрешить только определённый http сайты

acl SSLProtokol proto HTTPS
acl HTTPSPort port 443
acl HTTPSSite dstdomain .mail.ru .yandex.ru .ya.ru
http_access allow SSLProtokol HTTPSPort HTTPSSite CONNECT LANUSERS

Попробовала так, но так не работает (((
Прокси не прозрачный...

Ответить | Сообщить модератору
прокси через прозрачный прокси, !*! zouch, (Прозрачный proxy) 01-Фев-18, 10:29  [ | | | ] [линейный вид] [смотреть все] [раскрыть новое]
Добрый день.
Может кто-то что-то подскажет?
В сети имеется центральный прокси с прозрачной авторизацией в active directory. Мне необходимо запустить локальный прокси на машине с windows который должен выходить в интернет через центральный. Я поставил squid. Но не смог заставить его авторизоваться на центральном прокси. Выскакивает запрос логина и пароля, но попытки ввести данные ни к чему не приводят. Логи и настройки центрального прокси не доступны.
Как решить такую проблему?
Если на локальной машине поставить другой прокси, то это можно. Но какой?  
Ответить | Сообщить модератору
 
Пометить прочитанным Создать тему
1 | 2 | 3 | 4 | 5 | 6 | 7 | 8 | 9 | 10 | Архив | Избранное | Мое | Новое | | |



Партнёры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей 		Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру