nixp.ru v3.0

16 января 2017,
понедельник,
22:26:59 MSK

DevOps с компанией «Флант»
yei написала 5 ноября 2006 года в 22:48 (1516 просмотров) Ведет себя как женщина; открыла 14 тем в форуме, оставила 79 комментариев на сайте.

debian 3.1 r2

squid 2.5.STABLE9

Не работает squid+ncsa_auth

выход в инет по pppoe[eth0]

eth0 — СЕТЬ ПРОВАЙДЕРА

eth1 — локалка

даже если делаю маскрдинг, все равно через прокси не хочет пущать

вот конфиг сквида, в иптаблесе пусто, шлюз для всех ppp0

squid.conf:

http_port 192.168.1.1:3128

icp_port 0

hierarchy_stoplist cgi-bin ?

acl QUERY urlpath_regex cgi-bin \?

no_cache deny QUERY

cache_dir ufs /var/spool/squid 100 16 256

maximum_object_size 4096 KB

minimum_object_size 0 KB

maximum_object_size_in_memory 8 KB

cache_store_log none

cache_access_log /var/log/squid/access.log

cache_log /var/log/squid/cache.log

cache_store_log /var/log/squid/store.log

auth_param basic program /usr/lib/squid/ncsa_auth /usr/etc/passwd

acl users proxy_auth REQUIRED

http_access allow users

acl all src 0.0.0.0/0.0.0.0

acl manager proto cache_object

acl localhost src 127.0.0.1/255.255.255.255

acl server src 192.168.1.1

acl lan1 src 192.168.1.0/24

acl lan2 src 192.168.2.0/24

acl SSL_ports port 443 563

acl Safe_ports port 80 # http

acl Safe_ports port 21 # ftp

acl Safe_ports port 443 563 # https, snews

acl Safe_ports port 70 # gopher

acl Safe_ports port 210 # wais

acl Safe_ports port 1025-65535 # unregistered ports

acl Safe_ports port 280 # http-mgmt

acl Safe_ports port 488 # gss-http

acl Safe_ports port 591 # filemaker

acl Safe_ports port 777 # multiling http

acl CONNECT method CONNECT

http_access allow server

http_access allow lan1

http_access deny lan2

http_access deny !Safe_ports

http_access deny SMTP

http_access deny all

/usr/etc/passwd:

test:1z36V3N7xb9us

eth0      Link encap:Ethernet  HWaddr 00:05:5D:C7:08:49

         inet addr:10.12.1.31  Bcast:10.12.1.255  Mask:255.255.255.0

eth1      Link encap:Ethernet  HWaddr 00:50:BA:5F:69:FA

         inet addr:192.168.1.1  Bcast:192.168.1.255  Mask:255.255.255.0

fly4life
yei
debian 3.1 r2

squid 2.5.STABLE9

Не работает squid+ncsa_auth

выход в инет по pppoe[eth0]

eth0 — СЕТЬ ПРОВАЙДЕРА

eth1 — локалка

даже если делаю маскрдинг, все равно через прокси не хочет пущать

Маскарадинг работе прокси абсолютно праллелен.

Какая ошибка выводится в браузере при попытке загрузить какую-нибудь страницу?

_jack_

Поскольку используется ncsa_auth необходимо делать след. образом

http_access allow lan1 users в соответствии с описанным acl users

fly4life
_jack_
Поскольку используется ncsa_auth необходимо делать след. образом

http_access allow lan1 users в соответствии с описанным acl users

Правилом: «http_access allow lan1» — он разрешил доступ своей 'lan1\′ безо всякой авторизации, однако ж всё равно не пускает. Интересно, почему?

REDkiy

А не может влиять правило:

http_access deny !SSL_ports?

fly4life
REDkiy
А не может влиять правило:

http_access deny !SSL_ports?

Наверное, ты имел в виду «http_access deny !Safe_ports"?

Да нет. Оно, во-первых, идёт позже разрешающего правила, а во-вторых, это правило на 80-ый порт (ведь, скорее всего, пытаются открыть какую-нибудь веб-страницу) пускать должно.

yei
fly4life
Маскарадинг работе прокси абсолютно праллелен.

Какая ошибка выводится в браузере при попытке загрузить какую-нибудь страницу?

я знаю что ||

это просто был шаг отчаяния описанный выше ((

он ничего не пишет, просто не отображает страницу

сквид даже и без авторизации не работает, хм

yei
fly4life
Наверное, ты имел в виду «http_access deny !Safe_ports"?

Да нет. Оно, во-первых, идёт позже разрешающего правила, а во-вторых, это правило на 80-ый порт (ведь, скорее всего, пытаются открыть какую-нибудь веб-страницу) пускать должно.

угу

yei

хм.. может там нужно маршруты прописать?

fly4life
yei
хм.. может там нужно маршруты прописать?

Не понял. =/

Ты, кстати, так и не сказала, какая ошибка выводится в браузере при попытке загрузить какую-нибудь страницу.

yei

что то вроде

error: the requested url could not be retrieved

The following error was encountered:

* Connection Failed

The system returned:

(111) Connection refused

такс,

/var/log/squid/cache.log пусто

зато в store.log записано что пытались подключится к серверу,

/var/log/squid# cat store.log

1162985757.139 RELEASE -1 FFFFFFFF F3C6B8199113B65AF2D68E4663249AC5  503 1162985757         0 1162985757 text/html 1045/1288 GET http://test.ru/

да и шлюз по имени не пингует!-

будем копать bind9

fly4life

Гм. А кто такой «test.ru»?

yei

)))

тестовый сервер на денвере

fly4life
yei
)))

тестовый сервер на денвере

А на нём Web-сервер точно запущен? ;)

Что-нибудь, кроме тестового, пробовали загрузить?

Anarchist
fly4life
Гм. А кто такой «test.ru»?

И он прописан в DNS?

fly4life
Anarchist
И он прописан в DNS?

Если б не был, то ошибка была бы иной. Что-то вроде: «The domain name does not exist».

REDkiy

Если я правильно понял,на какой-то из машин в сети установлен Денвер.Это такая штука в которую входит Apache,PHP,MySQL,Perl?

Если она,то насколько я помню,все эти сервисы настроены исключительно на работу в пределах одного компа.Так как Денвер предназначен для разработки и тестирования сайтов.

Хотя все могло измениться.

fly4life
REDkiy
Если я правильно понял,на какой-то из машин в сети установлен Денвер.Это такая штука в которую входит Apache,PHP,MySQL,Perl?

Если она,то насколько я помню,все эти сервисы настроены исключительно на работу в пределах одного компа.Так как Денвер предназначен для разработки и тестирования сайтов.

Я так понимаю, что это на проблему никоим образом не влияет.

yei

Так, нафиг этот днс, пропишу их в самом прокси и в /etc/hosts

Всем СПАСИБО!

Будем разбираться дальше!!!!

yei

а не подскажите еще вот такой вопросик, как лучше и правдивее подсчитать трафик для каждого пользователя в /usr/etc/passwd ?

да, знаю что Google.com в помощь, но столько всего написано,

что и не знаю что лучше и правдивее

Вот решила спросить у сообщества

fly4life
yei
а не подскажите еще вот такой вопросик, как лучше и правдивее подсчитать трафик для каждого пользователя в /usr/etc/passwd ?

да, знаю что Google.com в помощь, но столько всего написано,

что и не знаю что лучше и правдивее

Вот решила спросить у сообщества

Я не совсем понял, что значит «для каждого пользователя в /usr/etc/passwd», но думаю тебе надо считать тех, кто прошёл через твою проксю. Тогда посмотри на SAMS (http://sams.irc.perm.ru/).

grisha

Я тоже не могу авторизоваться через ncsa_auth. (standalone computer)

auth_param basic program /usr/lib/squid3/ncsa_auth /etc/squid3/passwd
auth_param basic children 1
auth_param basic concurrency 0
acl password proxy_auth REQUIRED
http_access allow password

При попытке открыть страницу ввожу в появляющемся окне логин и пароль, однако доступ по-прежнему блокируется и требует заново ввести имя и пароль. В логах

2008/11/06 16:54:42| temporary disabling (Unauthorized) digest from 127.0.0.1

Файл passwd был создан через htpasswd, владельца изменил на proxy.

grisha

Вклчил debug на сквиде, после этого увидел еще вот такую строчку в логах

2008/11/06 17:22:45.318| authenticateAuthUserAddIp: user 'wasya' has been seen at a new IP address (127.0.0.1)

Юзера васю уже видели на этом локальном компе? Прокомментируйте пожалуйста.

Denisxppro
grisha
Я тоже не могу авторизоваться через ncsa_auth. (standalone computer)

auth_param basic program /usr/lib/squid3/ncsa_auth /etc/squid3/passwd
auth_param basic children 1
auth_param basic concurrency 0
acl password proxy_auth REQUIRED
http_access allow password

При попытке открыть страницу ввожу в появляющемся окне логин и пароль, однако доступ по-прежнему блокируется и требует заново ввести имя и пароль. В логах

2008/11/06 16:54:42| temporary disabling (Unauthorized) digest from 127.0.0.1

Файл passwd был создан через htpasswd, владельца изменил на proxy.

У меня решение проблемы было простое /usr/lib/squid/ncsa_auth /etc/squid/ncsa.sams и авторизация происходила

ecobeingecobeing.ru
Экология и вегетарианство на благо всем живым существам Планеты.