Golthana 3 Опубликовано: 2016-04-20 09:36:52 Share Опубликовано: 2016-04-20 09:36:52 Настраиваю прозрачный прокси. Проверил sockstat squid слушает порты 3128 добавляю правило ${FwCMD} add 100 172.0.0.1,3128 from 172.16.0.0/24 to any dst-port 80 via igb1 А вот слушаю tcpdump -pnei igb1 port 3128, а там пусто (при том, что я делаю запросы по 80 порту) Ссылка на сообщение Поделиться на других сайтах
loki 86 Опубліковано: 2016-04-20 09:54:11 Share Опубліковано: 2016-04-20 09:54:11 Побольше инфы дайте. Прокси локально на этой машине крутится, или отдельный хост ? Ссылка на сообщение Поделиться на других сайтах
Golthana 3 Опубліковано: 2016-04-20 10:18:09 Автор Share Опубліковано: 2016-04-20 10:18:09 Все на одной машине. Здесь же и НАС (рскриптД) и решил резать url. Судя по ipfw show, то на правиле, которое заворачивает трафик идет, ну вот узел недоступен всегда. Нужно ли какое-то правило, которое разрешает squid отправлять запросы в инет? Ссылка на сообщение Поделиться на других сайтах
Melanxolik 63 Опубліковано: 2016-04-20 10:21:28 Share Опубліковано: 2016-04-20 10:21:28 log logamount 1000, есть что-то? Ссылка на сообщение Поделиться на других сайтах
foreverok 95 Опубліковано: 2016-04-20 10:33:33 Share Опубліковано: 2016-04-20 10:33:33 На loopback интерфейсе запускайте tcpdump. Ссылка на сообщение Поделиться на других сайтах
Golthana 3 Опубліковано: 2016-04-20 12:25:39 Автор Share Опубліковано: 2016-04-20 12:25:39 На loopback интерфейсе запускайте tcpdump. Пусто Ссылка на сообщение Поделиться на других сайтах
John_Doe 301 Опубліковано: 2016-04-20 13:19:57 Share Опубліковано: 2016-04-20 13:19:57 ${FwCMD} add 100 172.0.0.1,3128 from 172.16.0.0/24 to any dst-port 80 via igb1 А шо это такое за правило и шо оно вообще должно делать? ТС а ну покеж ipfw show 100 Ссылка на сообщение Поделиться на других сайтах
Golthana 3 Опубліковано: 2016-04-20 13:57:43 Автор Share Опубліковано: 2016-04-20 13:57:43 Вручную писал, там add 100 127.0.0.1,3128 tcp from 172.16.0.0/24 (абонентская сеть) to any dst-port 80 via igb1 (local interface) Ссылка на сообщение Поделиться на других сайтах
John_Doe 301 Опубліковано: 2016-04-20 14:03:19 Share Опубліковано: 2016-04-20 14:03:19 (відредаговано) Вручную писал, там add 100 127.0.0.1,3128 tcp from 172.16.0.0/24 (абонентская сеть) to any dst-port 80 via igb1 (local interface) не бывает таких правил в ipfw покажи вывод ipfw show 1-100 Відредаговано 2016-04-20 14:05:47 John_Doe Ссылка на сообщение Поделиться на других сайтах
Golthana 3 Опубліковано: 2016-04-20 18:14:26 Автор Share Опубліковано: 2016-04-20 18:14:26 00002 tee 10001 ip from any to any via igb100003 deny ip6 from any to any00004 allow ip from table(2) to 10.10.0.1 dst-port 53 via igb100004 allow ip from 10.10.0.1 to table(2) src-port 53 via igb100004 allow ip from table(2) to me dst-port 80 via igb100004 allow ip from me to table(2) src-port 80 via igb100006 fwd 127.0.0.1,81 ip from table(47) to not 172.20.0.1 dst-port 8000020 allow ip from any to any via lo000030 deny ip from any to 127.0.0.0/800040 deny ip from 127.0.0.0/8 to any00050 fwd 127.0.0.1,3128 ip from 10.10.0.2 to any dst-port 80 Ссылка на сообщение Поделиться на других сайтах
John_Doe 301 Опубліковано: 2016-04-20 18:40:32 Share Опубліковано: 2016-04-20 18:40:32 А это так задумано на лупбек все резать и тудаже шото форвардить? Ссылка на сообщение Поделиться на других сайтах
Demid 2 Опубліковано: 2016-04-20 18:47:41 Share Опубліковано: 2016-04-20 18:47:41 (відредаговано) а squid какой интерфейс слушает? ${FwCMD} add 100 fwd ip squid, 3128 tcp from table\(2\) to not me dst-port 80 via ${LAN_IF} Відредаговано 2016-04-20 18:48:21 Demid Ссылка на сообщение Поделиться на других сайтах
Golthana 3 Опубліковано: 2016-04-20 19:59:34 Автор Share Опубліковано: 2016-04-20 19:59:34 А это так задумано на лупбек все резать и тудаже шото форвардить? Тех правил уже нет. Просто конфиг старый был открыт. Вопрос решился обновлением кальмарчика) Ссылка на сообщение Поделиться на других сайтах
John_Doe 301 Опубліковано: 2016-04-20 20:48:23 Share Опубліковано: 2016-04-20 20:48:23 А это так задумано на лупбек все резать и тудаже шото форвардить? Тех правил уже нет. Просто конфиг старый был открыт. Вопрос решился обновлением кальмарчика) Вследующий раз если просите помощи показывайте то что есть Ссылка на сообщение Поделиться на других сайтах
Golthana 3 Опубліковано: 2016-04-20 21:04:54 Автор Share Опубліковано: 2016-04-20 21:04:54 Вследующий раз если просите помощи показывайте то что есть Извините за неполноту изложенных мною данных Ссылка на сообщение Поделиться на других сайтах
Golthana 3 Опубліковано: 2016-04-21 11:48:58 Автор Share Опубліковано: 2016-04-21 11:48:58 Кто-нибудь прикручивал валидный сертификат в squid? Ссылка на сообщение Поделиться на других сайтах
John_Doe 301 Опубліковано: 2016-04-21 12:18:21 Share Опубліковано: 2016-04-21 12:18:21 Кто-нибудь прикручивал валидный сертификат в squid? Сертификат чего? Ссылка на сообщение Поделиться на других сайтах
vop 366 Опубліковано: 2016-04-21 12:19:44 Share Опубліковано: 2016-04-21 12:19:44 Кто-нибудь прикручивал валидный сертификат в squid? А в чем проблема? В получении сертификата, или в прикручивании? Ссылка на сообщение Поделиться на других сайтах
Golthana 3 Опубліковано: 2016-04-21 12:27:09 Автор Share Опубліковано: 2016-04-21 12:27:09 Да пока ни в чем. Собираю информацию. Меня вообще интересует какой сертификат нужен? Или подойдет базовый для проверки домена? А в прикручивании: вместо текущего самоподписанного нужно прописать полученный от СА Ссылка на сообщение Поделиться на других сайтах
John_Doe 301 Опубліковано: 2016-04-21 12:30:51 Share Опубліковано: 2016-04-21 12:30:51 Да пока ни в чем. Собираю информацию. Меня вообще интересует какой сертификат нужен? Или подойдет базовый для проверки домена? А в прикручивании: вместо текущего самоподписанного нужно прописать полученный от СА Цель какая иметь сертификат на проксе? Ссылка на сообщение Поделиться на других сайтах
Golthana 3 Опубліковано: 2016-04-21 12:35:55 Автор Share Опубліковано: 2016-04-21 12:35:55 Задача блокировка из списка запрещенный сайтов. Если с 80 портов проблем нет, сквид его режет. А вот с https трафиком проблема. Когда заворачиваю 443 порт на прокси, то, естественно почти все ресурсы не пускают из-за того, что сертификат не прошел проверку подлинности. Вот и узнаю какой сертификат конкретно нужен и как его можно связать со сквидом. Ссылка на сообщение Поделиться на других сайтах
John_Doe 301 Опубліковано: 2016-04-21 12:43:47 Share Опубліковано: 2016-04-21 12:43:47 Задача блокировка из списка запрещенный сайтов. Если с 80 портов проблем нет, сквид его режет. А вот с https трафиком проблема. Когда заворачиваю 443 порт на прокси, то, естественно почти все ресурсы не пускают из-за того, что сертификат не прошел проверку подлинности. Вот и узнаю какой сертификат конкретно нужен и как его можно связать со сквидом. Никакой, начнете бампить ssl и резать запрещеные сайты,перестанут работать все остальные.Такое можно делать в офисе имея доступ к клиентским компам и устанавливая им свой сертификат . Для предоставления услуги это не прокатит Ссылка на сообщение Поделиться на других сайтах
Golthana 3 Опубліковано: 2016-04-21 13:13:35 Автор Share Опубліковано: 2016-04-21 13:13:35 Для предоставления услуги это не прокатит Понятно. А какие механизмы еще есть? Ссылка на сообщение Поделиться на других сайтах
John_Doe 301 Опубліковано: 2016-04-21 15:23:44 Share Опубліковано: 2016-04-21 15:23:44 Для предоставления услуги это не прокатит Понятно. А какие механизмы еще есть? Для SSL никаких. Ссылка на сообщение Поделиться на других сайтах
Golthana 3 Опубліковано: 2016-04-21 15:59:07 Автор Share Опубліковано: 2016-04-21 15:59:07 Печально Ссылка на сообщение Поделиться на других сайтах
Рекомендованные сообщения
Создайте аккаунт или войдите в него для комментирования
Вы должны быть пользователем, чтобы оставить комментарий
Создать аккаунт
Зарегистрируйтесь для получения аккаунта. Это просто!
Зарегистрировать аккаунтВхід
Уже зарегистрированы? Войдите здесь.
Войти сейчас