forum.opennet.ru

Составление сообщения

Исходное сообщение

"Настройка авторизации по имени и паролю"
Отправлено kolyzey, 01-Фев-17 10:32

Здравствуйте !
принимайте новичка :)
Озадачился созданием прокси SQUID, на Ubuntu
Создал сервер, установил squid/3.5.12
Поднял NAT.
СОДЕРЖАНИЕ squid.config :
acl url_filtred src 192.168.0.1-192.168.1.250
acl localnet src 192.168.0.0/24 192.168.1.0/24

access_log daemon:/var/log/squid/access.log squid
logfile_rotate 31
acl SSL_ports port 443
acl Safe_ports port 80          # http
acl Safe_ports port 21          # ftp
acl Safe_ports port 443         # https
acl Safe_ports port 70          # gopher
acl Safe_ports port 210         # wais
acl Safe_ports port 1025-65535  # unregistered ports
acl Safe_ports port 280         # http-mgmt
acl Safe_ports port 488         # gss-http
acl Safe_ports port 591         # filemaker
acl Safe_ports port 777         # multiling http
acl CONNECT method CONNECT
http_access deny CONNECT !SSL_ports
http_access allow localhost manager
http_access deny manager
#http_access allow localnet
http_access allow localhost
# And finally deny all other access to this proxy
auth_param basic program /usr/lib/squid/ncsa_auth /etc/squid/internet_users
auth_param basic children 5
auth_param basic realm =My PROXY serveR=
auth_param basic credentialsttl 2 hours
acl internet_users proxy_auth REQUIRED
http_access allow internet_users
http_access deny all
http_port 192.168.1.252:3128 intercept
maximum_object_size 4 MB
cache_dir ufs /var/spool/squid 2048 16 256
СОДЕРЖАНИЕ nat:
#!/bin/sh

#Включаем форвардинг пакетов
echo 1 > /proc/sys/net/ipv4/ip_forward

#Разрешаем траффик на lo
iptables -A INPUT -i lo -j ACCEPT

# Запрещаем HTTP через NAT
#iptables -A FORWARD -i eth1 -p tcp --dport 80 -j REJECT

#Разрешаем доступ из внутренней сети наружу
iptables -A FORWARD -i ens160 -o ens192 -j ACCEPT

#Включаем NAT
iptables -t nat -A POSTROUTING -o ens192 -s 192.168.0.0/23 -j MASQUERADE

#Разрешаем ответы из внешней сети
iptables -A FORWARD -i ens192 -m state --state ESTABLISHED,RELATED -j ACCEPT

#Запрещаем доступ снаружи во внутреннюю сеть
iptables -A FORWARD -i ens192 -o ens160 -j REJECT
# Заворачиваем http на прокси
iptables -t nat -A PREROUTING -i ens160 ! -d 192.168.0.0/23 -p tcp -m multiport --dport 80,8080 -j DNAT --to 192.168.1.252:3128
# Заворачиваем http на прокси
iptables -t nat -A PREROUTING -i ens160 ! -d 192.168.1.0/23 -p tcp -m multiport --dport 80,8080 -j DNAT --to 192.168.1.252:3128
Если в конфиге квида вместо строки
http_port 192.168.1.252:3128 intercept
оставить  http_port 3128
и убрать :
# And finally deny all other access to this proxy
auth_param basic program /usr/lib/squid/ncsa_auth /etc/squid/internet_users
auth_param basic children 5
auth_param basic realm =My PROXY serveR=
auth_param basic credentialsttl 2 hours
acl internet_users proxy_auth REQUIRED
http_access allow internet_users
то пускает всех из локалки (с указанием прокси в браузере)
Ткните носом - что не так.
Заранее спасибо !!!

Исходное сообщение
"Настройка авторизации по имени и паролю" Отправлено kolyzey, 01-Фев-17 10:32
Здравствуйте ! принимайте новичка :) Озадачился созданием прокси SQUID, на Ubuntu Создал сервер, установил squid/3.5.12 Поднял NAT. СОДЕРЖАНИЕ squid.config : acl url_filtred src 192.168.0.1-192.168.1.250 acl localnet src 192.168.0.0/24 192.168.1.0/24 access_log daemon:/var/log/squid/access.log squid logfile_rotate 31 acl SSL_ports port 443 acl Safe_ports port 80 # http acl Safe_ports port 21 # ftp acl Safe_ports port 443 # https acl Safe_ports port 70 # gopher acl Safe_ports port 210 # wais acl Safe_ports port 1025-65535 # unregistered ports acl Safe_ports port 280 # http-mgmt acl Safe_ports port 488 # gss-http acl Safe_ports port 591 # filemaker acl Safe_ports port 777 # multiling http acl CONNECT method CONNECT http_access deny CONNECT !SSL_ports http_access allow localhost manager http_access deny manager #http_access allow localnet http_access allow localhost # And finally deny all other access to this proxy auth_param basic program /usr/lib/squid/ncsa_auth /etc/squid/internet_users auth_param basic children 5 auth_param basic realm =My PROXY serveR= auth_param basic credentialsttl 2 hours acl internet_users proxy_auth REQUIRED http_access allow internet_users http_access deny all http_port 192.168.1.252:3128 intercept maximum_object_size 4 MB cache_dir ufs /var/spool/squid 2048 16 256 СОДЕРЖАНИЕ nat: #!/bin/sh #Включаем форвардинг пакетов echo 1 > /proc/sys/net/ipv4/ip_forward #Разрешаем траффик на lo iptables -A INPUT -i lo -j ACCEPT # Запрещаем HTTP через NAT #iptables -A FORWARD -i eth1 -p tcp --dport 80 -j REJECT #Разрешаем доступ из внутренней сети наружу iptables -A FORWARD -i ens160 -o ens192 -j ACCEPT #Включаем NAT iptables -t nat -A POSTROUTING -o ens192 -s 192.168.0.0/23 -j MASQUERADE #Разрешаем ответы из внешней сети iptables -A FORWARD -i ens192 -m state --state ESTABLISHED,RELATED -j ACCEPT #Запрещаем доступ снаружи во внутреннюю сеть iptables -A FORWARD -i ens192 -o ens160 -j REJECT # Заворачиваем http на прокси iptables -t nat -A PREROUTING -i ens160 ! -d 192.168.0.0/23 -p tcp -m multiport --dport 80,8080 -j DNAT --to 192.168.1.252:3128 # Заворачиваем http на прокси iptables -t nat -A PREROUTING -i ens160 ! -d 192.168.1.0/23 -p tcp -m multiport --dport 80,8080 -j DNAT --to 192.168.1.252:3128 Если в конфиге квида вместо строки http_port 192.168.1.252:3128 intercept оставить http_port 3128 и убрать : # And finally deny all other access to this proxy auth_param basic program /usr/lib/squid/ncsa_auth /etc/squid/internet_users auth_param basic children 5 auth_param basic realm =My PROXY serveR= auth_param basic credentialsttl 2 hours acl internet_users proxy_auth REQUIRED http_access allow internet_users то пускает всех из локалки (с указанием прокси в браузере) Ткните носом - что не так. Заранее спасибо !!!

Ваше сообщение

Имя*:

EMail:

Для отправки новых сообщений в текущей нити на email укажите знак ! перед адресом, например, !user@host.ru (!! - не показывать email).
Более тонкая настройка отправки ответов производится в профиле зарегистрированного участника форума.

Заголовок*:

Сообщение*:

> Здравствуйте !
> принимайте новичка :) 
> Озадачился созданием прокси SQUID, на Ubuntu 
> Создал сервер, установил squid/3.5.12 
> Поднял NAT.
> СОДЕРЖАНИЕ squid.config : 
> acl url_filtred src 192.168.0.1-192.168.1.250

> acl localnet src 192.168.0.0/24 192.168.1.0/24

> access_log daemon:/var/log/squid/access.log squid 
> logfile_rotate 31

> acl SSL_ports port 443 
> acl Safe_ports port 80         
>  # http 
> acl Safe_ports port 21         
>  # ftp 
> acl Safe_ports port 443         
> # https 
> acl Safe_ports port 70         
>  # gopher 
> acl Safe_ports port 210         
> # wais 
> acl Safe_ports port 1025-65535  # unregistered ports 
> acl Safe_ports port 280         
> # http-mgmt 
> acl Safe_ports port 488         
> # gss-http 
> acl Safe_ports port 591         
> # filemaker 
> acl Safe_ports port 777         
> # multiling http 
> acl CONNECT method CONNECT

> http_access deny CONNECT !SSL_ports

> http_access allow localhost manager 
> http_access deny manager

> #http_access allow localnet 
> http_access allow localhost

> # And finally deny all other access to this proxy

> auth_param basic program /usr/lib/squid/ncsa_auth /etc/squid/internet_users 
> auth_param basic children 5 
> auth_param basic realm =My PROXY serveR= 
> auth_param basic credentialsttl 2 hours 
> acl internet_users proxy_auth REQUIRED 
> http_access allow internet_users

> http_access deny all

> http_port 192.168.1.252:3128 intercept

> maximum_object_size 4 MB

> cache_dir ufs /var/spool/squid 2048 16 256

> СОДЕРЖАНИЕ nat:

> #!/bin/sh

> #Включаем форвардинг пакетов 
> echo 1 > /proc/sys/net/ipv4/ip_forward

> #Разрешаем траффик на lo 
> iptables -A INPUT -i lo -j ACCEPT

> # Запрещаем HTTP через NAT 
> #iptables -A FORWARD -i eth1 -p tcp --dport 80 -j REJECT

> #Разрешаем доступ из внутренней сети наружу 
> iptables -A FORWARD -i ens160 -o ens192 -j ACCEPT

> #Включаем NAT 
> iptables -t nat -A POSTROUTING -o ens192 -s 192.168.0.0/23 -j MASQUERADE

> #Разрешаем ответы из внешней сети 
> iptables -A FORWARD -i ens192 -m state --state ESTABLISHED,RELATED -j ACCEPT

> #Запрещаем доступ снаружи во внутреннюю сеть 
> iptables -A FORWARD -i ens192 -o ens160 -j REJECT

> # Заворачиваем http на прокси 
> iptables -t nat -A PREROUTING -i ens160 ! -d 192.168.0.0/23 -p tcp 
> -m multiport --dport 80,8080 -j DNAT --to 192.168.1.252:3128

> # Заворачиваем http на прокси 
> iptables -t nat -A PREROUTING -i ens160 ! -d 192.168.1.0/23 -p tcp 
> -m multiport --dport 80,8080 -j DNAT --to 192.168.1.252:3128

> Если в конфиге квида вместо строки 
> http_port 192.168.1.252:3128 intercept

> оставить  http_port 3128 
> и убрать : 
> # And finally deny all other access to this proxy

> то пускает всех из локалки (с указанием прокси в браузере)

> Ткните носом - что не так.

> Заранее спасибо !!!

При общении не допускается: неуважительное отношение к собеседнику, хамство, унизительное обращение, ненормативная лексика, переход на личности, агрессивное поведение, обесценивание собеседника, провоцирование флейма голословными и заведомо ложными заявлениями. Не отвечайте на сообщения, явно нарушающие правила - удаляются не только сами нарушения, но и все ответы на них. Лог модерирования.

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру