nixp.ru v3.0

18 октября 2017,
среда,
01:04:34 MSK

DevOps с компанией «Флант»
neogeisha написала 27 июня 2007 года в 16:00 (523 просмотра) Ведет себя как женщина; открыла 53 темы в форуме, оставила 266 комментариев на сайте.

есть squid c ncsa_auth

оперу и интернет эксплорер настроила,

открываешь ya.ru выводиться табличка для ввода пароля и логина

видит яндех и другие сайты

воодишь адрес в файрфохе, табличку не показывает.. через некоторое время пишет: Время ожидания соединения истекло

хотя прокси уже по разному прописывала

что делать?

Anarchist

firefox как собран?

neogeisha
Anarchist
firefox как собран?

гы… он собран.. из setup.exe =)))))

виндовый он!

есть правда одна идея, все пакеты из локалки посылать на порт сквида…

но это потом, хочется узнать почему лиса так не работает…

DimkaS

Настройки лисы неправильные? У меня всё работает. Правда сквид под виндой.

Anarchist
DimkaS
Настройки лисы неправильные? У меня всё работает. Правда сквид под виндой.

Я бы смотрел не настройки Лиса, а сопоставлял настройки Сквида с настройками Лиса.

При этом желательно имень перед глазами рабочий пример.

Anarchist
neogeisha
гы… он собран.. из setup.exe =)))))

виндовый он!

Как тебе не ай-яй-яй? :)

neogeisha
есть правда одна идея, все пакеты из локалки посылать на порт сквида…

но это потом, хочется узнать почему лиса так не работает…

Сквид какой? Где?

Давай смотреть конфиг.

neogeisha
Anarchist
Как тебе не ай-яй-яй? :)

Сквид какой? Где?

Давай смотреть конфиг.

squid-2.5.9-10sa

cat squid.conf:

http_port 192.168.1.3:3128

icp_port 0

pid_filename /var/run/squid.pid

hierarchy_stoplist cgi-bin ? chat

acl QUERY urlpath_regex cgi-bin \? chat

no_cache deny QUERY

cache_mem 8 MB

cache_dir ufs /var/spool/squid 100 16 256

maximum_object_size 4096 KB

minimum_object_size 0 KB

maximum_object_size_in_memory 8 KB

cache_store_log none

cache_access_log /var/log/squid/access.log

cache_log /var/log/squid/cache.log

cache_store_log /var/log/squid/store.log

auth_param basic program /usr/lib/squid/ncsa_auth /usr/etc/passwd

acl users proxy_auth REQUIRED

http_access allow users

acl all src 0.0.0.0/0.0.0.0

acl manager proto cache_object

acl localhost src 127.0.0.1/255.255.255.255

acl server src 192.168.1.3

acl lan1 src 192.168.1.0/24

acl lan2 src 192.168.2.0/24

acl SSL_ports port 443 563

acl Safe_ports port 80 # http

acl Safe_ports port 21 # ftp

acl Safe_ports port 443 563 # https, snews

acl Safe_ports port 70 # gopher

acl Safe_ports port 210 # wais

acl Safe_ports port 280 # http-mgmt

acl Safe_ports port 488 # gss-http

acl Safe_ports port 591 # filemaker

acl Safe_ports port 777 # multiling http

acl SMTP port 25

acl CONNECT method CONNECT

http_access allow server

http_access allow lan1

http_access deny lan2

http_access deny !Safe_ports

http_access deny all

http_access deny SMTP

ftp_user anonymous@com.com

ftp_sanitycheck on

negative_ttl 1 minutes

positive_dns_ttl 6 hours

negative_dns_ttl 5 minutes

half_closed_clients on

neogeisha

хм… нашла на опен.нет статью

сквид для новичков

и там увидела это:

Как пример, запретим всем использование программы Mirc через наш прокси

сервер:

Acl Mirc port 6667-6669 7770-7776

http_access deny all Mirc

* acl имя_acl proto список

Указание протокола передачи.

Как пример, запретим вышеупомянутому Васе использование протокола FTP

через наш прокси сервер:

acl ftpproto proto ftp

http_access deny Pupkin ftpproto

* acl имя_acl method список

это действительно может работать, ведь сквид толька для http?

пробовала нчего не получилось

neogeisha

вот тут http_access deny !Safe_ports не так надо случаем http_access deny !SSL_ports ???

fly4life
neogeisha
это действительно может работать, ведь сквид толька для http?

Почему только для http? ftp тоже умеет проксировать.

Если очень захотеть, то можно хоть почту через него гонять (кстати, пример acl’ов для этого есть в твоём конфиге).

neogeisha
пробовала нчего не получилось

Что именно не получилось?

neogeisha
fly4life
Что именно не получилось?

irc & icq через прокси пускать, а также виндовый огнилис не хочет проксю видеть

Genie

к примеру, ICQ при соединении через HTTP-прокси, использует метод CONNECT

acl CONNECT method CONNECT
acl ICQ port 5190            # icq
http_access allow CONNECT ICQ

IRC вполне может использовать тот же метод.

кстати, смотри внимательно: по умолчанию CONNECT запрещён для не SSL_ports:

http_access deny CONNECT !SSL_ports
Genie

в твоём конфиге

http_access allow server
http_access allow lan1
http_access deny lan2
http_access deny !Safe_ports
http_access deny all
http_access deny SMTP

запрещают всем всё, кроме условий по server и lan1.

neogeisha

acl all src 0.0.0.0/0.0.0.0

acl manager proto cache_object

acl localhost src 127.0.0.1/255.255.255.255

acl server src 192.168.1.3

acl lan1 src 192.168.1.0/24

acl lan2 src 192.168.2.0/24

acl SSL_ports port 443 563 5190 6667-6669 7770-7776

acl Safe_ports port 80 # http

acl Safe_ports port 21 # ftp

acl Safe_ports port 443 563 # https, snews

acl Safe_ports port 70 # gopher

acl Safe_ports port 210 # wais

acl Safe_ports port 280 # http-mgmt

acl Safe_ports port 488 # gss-http

acl Safe_ports port 591 # filemaker

acl Safe_ports port 777 # multiling http

acl SMTP port 25

http_access allow server

http_access allow lan1

http_access deny lan2

http_access deny !SSL_ports

http_access deny all

http_access deny SMTP

acl CONNECT method CONNECT

http_access deny CONNECT !SSL_ports

irc все равно не хочет… (

Genie

эхх.. давай, по порядку, читать правила.

http_access allow server
http_access allow lan1
http_access deny lan2
http_access deny !SSL_ports
http_access deny all
http_access deny SMTP
acl CONNECT method CONNECT
http_access deny CONNECT !SSL_ports

1) server ходить через прокси может

2) lan1 тоже

3) lan2 не может

4) не к SSL портам обращаться нельзя

5) да и вообще никому никуда нельзя

6…) а сюда уже и смотреть не будет никто из-за правила 5.

если немного подумать, то процитированные правила эквивалентны этим трём:

http_access allow server
http_access allow lan1
http_access deny all

в общем, давай, рассказывай, что тебе надо настроить..

neogeisha

PS.: НАГАМИ НЕ ПИНАТЬ!

Все, разобралась! Я в мирке не тот прокси ставила, не домашний, а рабочий!!! =))))))

Проверьте плиз еще раз эти строчки на разумность =) :

acl SSL_ports port 443 563

acl Safe_ports port 80 # http

acl Safe_ports port 21 # ftp

acl Safe_ports port 443 563 # https, snews

acl Safe_ports port 70 # gopher

acl Safe_ports port 210 # wais

acl Safe_ports port 280 # http-mgmt

acl Safe_ports port 488 # gss-http

acl Safe_ports port 591 # filemaker

acl Safe_ports port 777 # multiling http

acl Safe_ports port 5190 # icq

acl Safe_ports port 6667-6670 # irc

acl CONNECT method CONNECT

# запретить все порты для server кроме Safe_ports

http_access deny server !Safe_ports

# разрешить все порты для lan1

http_access allow lan1

# закрываем все для всех

http_access deny all