forum.opennet.ru - "Настройка Squid" (5)

форумы

помощь

поиск

регистрация

майллист

вход/выход

слежка

"Настройка Squid"

Форум Настройка Squid и других прокси серверов (Squid)
Вариант для распечатки		Пред. тема \| След. тема
Изначальное сообщение		[ Отслеживать ]

"Настройка Squid"	+1 +/–
Сообщение от m16master (ok) on 20-Окт-11, 22:33
При настройке squid вознилка такая проблема. Открываются все сайты, кроме сайта Vkontakte.ru, odnoklassniki.ru, gmail.com. Например, открывает сайт одноклассников, но не открывает страницу с сообщениями и т.д. Вот конфиг: visible_hostname ats http_port 3128 acl localnet src 195.222.80.30/255.255.255.255 acl localhost src 192.168.123.5/255.255.255.255 acl Safe_ports port 443 acl CONNECT method CONNECT acl all src 0.0.0.0/0.0.0.0 http_access allow localnet http_access allow localhost http_access deny !Safe_ports http_access deny CONNECT http_access deny all Может кто подскажет как решить проблему?
Ответить \| Правка \| Cообщить модератору

Оглавление

Настройка Squid, Cristian, 10:17 , 21-Окт-11, (1)

Настройка Squid, m16master, 21:53 , 23-Окт-11, (2)

Настройка Squid, Cristian, 15:42 , 24-Окт-11, (3)

Настройка Squid, m16master, 21:07 , 24-Окт-11, (4)

Настройка Squid, Михаил, 23:52 , 01-Авг-12, (5)

Сообщения по теме [Сортировка по времени | RSS]

1. "Настройка Squid" +/–

Сообщение от Cristian (ok) on 21-Окт-11, 10:17

Доброе время суток!
Вы сделали грубую ошибку:
http_access deny !Safe_ports         # этим правилом вы запретили все кроме Safe_port (443)
http_access deny CONNECT             # а этим вы запретили метод CONNECT, который нужен для HTTPS/SSL. Таким образом и не работают выше указанные WEB-ресурсы.
Вам необходимо сделать примерно так:
============================================================
http_access allow localnet
http_access allow localhost
http_access allow CONNECT Safe_ports         #разрешаем метод CONNECT только на порт 443 (Safe_ports)
http_access deny CONNECT                   #Все остальные соединения по методу CONNECT запрещаем
http_access deny all

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

2. "Настройка Squid" +/–

Сообщение от m16master (ok) on 23-Окт-11, 21:53

>[оверквотинг удален]
> Вам необходимо сделать примерно так:
> ============================================================
> http_access allow localnet
> http_access allow localhost
> http_access allow CONNECT Safe_ports
> #разрешаем метод CONNECT только на порт 443 (Safe_ports)
> http_access deny CONNECT
>          #Все остальные
> соединения по методу CONNECT запрещаем
> http_access deny all
Сделал такой конфиг, но проблема так и не решилась. Сайт "Вконтакте" так и неоткрывается, в отличии от других сайтов =(
visible_hostname aff
http_port 3128
acl localnet src 195.222.1-255.1-255/255.255.255.255
acl localhost src 192.168.123.3-5/255.255.255.255
acl Safe_ports port 443
acl CONNECT method CONNECT
acl all src 0.0.0.0/0.0.0.0
http_access allow localnet
http_access allow localhost
http_access allow CONNECT Safe_ports
http_access allow all

Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

3. "Настройка Squid" +/–

Сообщение от Cristian (ok) on 24-Окт-11, 15:42

Пришлите блок текста с access.log-a, важно видеть, что при этом пишется в журнал.
Явно где-то в конфиге есть ошибки, так как правило "http_access allow all" разрешает все всем, и по идее все должно работать.
Пришлите весь конфиг сквида, только замените данные в нем, которые вы бы не хотели показывать в интернете.
Вот пример как получить не за комментированные строки в конфинге:
#cat /././squid.conf | grep -v #

Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

4. "Настройка Squid" +/–

Сообщение от m16master (ok) on 24-Окт-11, 21:07

> Пришлите блок текста с access.log-a, важно видеть, что при этом пишется в
> журнал.
> Явно где-то в конфиге есть ошибки, так как правило "http_access allow all"
> разрешает все всем, и по идее все должно работать.
> Пришлите весь конфиг сквида, только замените данные в нем, которые вы бы
> не хотели показывать в интернете.
> Вот пример как получить не за комментированные строки в конфинге:
> #cat /././squid.conf | grep -v #
Сервер устанавливался под Win Xp. Access.log я не нашел =(
Вот полный конфиг:
visible_hostname aaa
http_port 3128
acl localnet src 195.222.1-255.1-255/255.255.255.255
acl localhost src 192.168.1-223.3-5/255.255.255.255
acl Safe_ports port 443
acl CONNECT method CONNECT
acl all src 0.0.0.0/0.0.0.0
http_access allow localhost
http_access allow localnet
http_access allow CONNECT
http_access allow CONNECT Safe_ports
http_access allow all
httpd_accel_host virtual
httpd_accel_port 80
httpd_accel_with_proxy on
httpd_accel_uses_host_header on
Почему то не могу зайти на gmail.com и вконтакте. На mail.ru в почту захожу без проблем.

Ответить | Правка | ^ к родителю #3 | Наверх | Cообщить модератору

5. "Настройка Squid" +/–

Сообщение от Михаил (??) on 01-Авг-12, 23:52

Потому, что первым правилом срабатывает
http_access allow CONNECT
на любой хост и любой порт
При обращении методом CONNECT на 80 порт некоторые web сервера думают, что Вы пытаетесь их использовать как proxy-server и блокируют вас, как злоумышленника.
Вот такой должен быть конфиг, что бы получить доступ на все сервера.
http_port 3128
acl localnet src 195.222.1-255.1-255/255.255.255.255
acl localhost src 192.168.1-223.3-5/255.255.255.255
acl Safe_ports port 443
acl CONNECT method CONNECT
acl all src 0.0.0.0/0.0.0.0
http_access allow localhost
http_access allow localnet
http_access allow CONNECT Safe_ports
http_access allow all

Ответить | Правка | ^ к родителю #4 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру

1. "Настройка Squid"	+/–
Сообщение от Cristian (ok) on 21-Окт-11, 10:17
Доброе время суток! Вы сделали грубую ошибку: http_access deny !Safe_ports # этим правилом вы запретили все кроме Safe_port (443) http_access deny CONNECT # а этим вы запретили метод CONNECT, который нужен для HTTPS/SSL. Таким образом и не работают выше указанные WEB-ресурсы. Вам необходимо сделать примерно так: ============================================================ http_access allow localnet http_access allow localhost http_access allow CONNECT Safe_ports #разрешаем метод CONNECT только на порт 443 (Safe_ports) http_access deny CONNECT #Все остальные соединения по методу CONNECT запрещаем http_access deny all
Ответить \| Правка \| ^ к родителю #0 \| Наверх \| Cообщить модератору


	2. "Настройка Squid"	+/–
	Сообщение от m16master (ok) on 23-Окт-11, 21:53
	>[оверквотинг удален] > Вам необходимо сделать примерно так: > ============================================================ > http_access allow localnet > http_access allow localhost > http_access allow CONNECT Safe_ports > #разрешаем метод CONNECT только на порт 443 (Safe_ports) > http_access deny CONNECT > #Все остальные > соединения по методу CONNECT запрещаем > http_access deny all Сделал такой конфиг, но проблема так и не решилась. Сайт "Вконтакте" так и неоткрывается, в отличии от других сайтов =( visible_hostname aff http_port 3128 acl localnet src 195.222.1-255.1-255/255.255.255.255 acl localhost src 192.168.123.3-5/255.255.255.255 acl Safe_ports port 443 acl CONNECT method CONNECT acl all src 0.0.0.0/0.0.0.0 http_access allow localnet http_access allow localhost http_access allow CONNECT Safe_ports http_access allow all
	Ответить \| Правка \| ^ к родителю #1 \| Наверх \| Cообщить модератору


	3. "Настройка Squid"	+/–
	Сообщение от Cristian (ok) on 24-Окт-11, 15:42
	Пришлите блок текста с access.log-a, важно видеть, что при этом пишется в журнал. Явно где-то в конфиге есть ошибки, так как правило "http_access allow all" разрешает все всем, и по идее все должно работать. Пришлите весь конфиг сквида, только замените данные в нем, которые вы бы не хотели показывать в интернете. Вот пример как получить не за комментированные строки в конфинге: #cat /././squid.conf \| grep -v #
	Ответить \| Правка \| ^ к родителю #2 \| Наверх \| Cообщить модератору


	4. "Настройка Squid"	+/–
	Сообщение от m16master (ok) on 24-Окт-11, 21:07
	> Пришлите блок текста с access.log-a, важно видеть, что при этом пишется в > журнал. > Явно где-то в конфиге есть ошибки, так как правило "http_access allow all" > разрешает все всем, и по идее все должно работать. > Пришлите весь конфиг сквида, только замените данные в нем, которые вы бы > не хотели показывать в интернете. > Вот пример как получить не за комментированные строки в конфинге: > #cat /././squid.conf \| grep -v # Сервер устанавливался под Win Xp. Access.log я не нашел =( Вот полный конфиг: visible_hostname aaa http_port 3128 acl localnet src 195.222.1-255.1-255/255.255.255.255 acl localhost src 192.168.1-223.3-5/255.255.255.255 acl Safe_ports port 443 acl CONNECT method CONNECT acl all src 0.0.0.0/0.0.0.0 http_access allow localhost http_access allow localnet http_access allow CONNECT http_access allow CONNECT Safe_ports http_access allow all httpd_accel_host virtual httpd_accel_port 80 httpd_accel_with_proxy on httpd_accel_uses_host_header on Почему то не могу зайти на gmail.com и вконтакте. На mail.ru в почту захожу без проблем.
	Ответить \| Правка \| ^ к родителю #3 \| Наверх \| Cообщить модератору


	5. "Настройка Squid"	+/–
	Сообщение от Михаил (??) on 01-Авг-12, 23:52
	Потому, что первым правилом срабатывает http_access allow CONNECT на любой хост и любой порт При обращении методом CONNECT на 80 порт некоторые web сервера думают, что Вы пытаетесь их использовать как proxy-server и блокируют вас, как злоумышленника. Вот такой должен быть конфиг, что бы получить доступ на все сервера. http_port 3128 acl localnet src 195.222.1-255.1-255/255.255.255.255 acl localhost src 192.168.1-223.3-5/255.255.255.255 acl Safe_ports port 443 acl CONNECT method CONNECT acl all src 0.0.0.0/0.0.0.0 http_access allow localhost http_access allow localnet http_access allow CONNECT Safe_ports http_access allow all
	Ответить \| Правка \| ^ к родителю #4 \| Наверх \| Cообщить модератору