Lipetsk *nix Association Forum Lipetsk *nix Association Forum
Новости:
 
*
Добро пожаловать, Гость. Пожалуйста, войдите или зарегистрируйтесь.
Вам не пришло письмо с кодом активации?
18 Декабря 2024, 05:12:05


Войти


Страниц: 1 [2]   Вниз
  Печать  
Автор Тема: ubuntu 17.10 & squid 4 трудности установки  (Прочитано 55154 раз)
0 Пользователей и 1 Гость смотрят эту тему.
wrag
Небритый одмин
*****

Карма: 0
Сообщений: 673


ОС:
Windows 7 Windows 7
Браузер:
Firefox 57.0 Firefox 57.0


Награды
« Ответ #15 : 10 Января 2018, 08:45:48 »

В общем после применения squid -z на последнем этапе установки кальмара - хоронит безгеморойную установку других версий параллельно.
Теперь по установке системы с флешки любой UBUNTU, использовал для записи образа на флешку ultraiso во всех опытах, в результате при установке выявлены особенности. Хрен его знает может где и описано такое, но запишу.
При установке на железо начиная с 2015 года с uefi биосом, при установке с флешки!!!
 Установка происходит без проблем если у вас записан образ:
- либо не серверная версия (десктопную версию грузим в режиме livecd и далее ставим без проблем), но не наш случай. 
- либо версия netinstall (mini.iso), любая версия.

Провереный метод работает (но бесит, заменен на netinstall из за большей простоты):
либо с гемороем и подмонтированием записаного на ту же флешку, что и установочные файлы исо-файл, в процессе установки, так как при установке из образа стандартного, стянутого с офф сайта, в процессе установки начинает требовать cdrom .
- не проверял но есть образ для флешки, возможно комуто проще его запиливать на флешку.

но сложилось, что любой образ на флешку записываю с ultraiso и после этого обычно нет проблемм с установкой, метод работает для всех систем виндовс (остальные варианты после проверки признаны мной не стабильными и забил на них).

Добавлено: [time]Ср 10 янв 2018 09:05:35[/time]
снес все, использовал для начала вариант 2 Без подмены сертификатов
линкhttps_://imbicile.pp.ru/ubuntu-16-04-prozrachnyj-squid-https/
все встало согласно инструкции
выполнил все кроме настройки iptables

первый запуск :
cache.log

2018/01/10 09:03:49 kid1| ERROR: No forward-proxy ports configured.
2018/01/10 09:03:49 kid1| ERROR: No forward-proxy ports configured.
2018/01/10 09:03:49 kid1| Finished loading MIME types and icons.
2018/01/10 09:03:49 kid1| HTCP Disabled.
2018/01/10 09:03:49 kid1| Pinger socket opened on FD 15
2018/01/10 09:03:49 kid1| Squid plugin modules loaded: 0
2018/01/10 09:03:49 kid1| Adaptation support is off.
2018/01/10 09:03:49 kid1| Accepting NAT intercepted HTTP Socket connections at local=192.168.88.253:3128 remote=[::] FD 12 flags=41
2018/01/10 09:03:49 kid1| Accepting NAT intercepted SSL bumped HTTPS Socket connections at local=192.168.88.253:3129 remote=[::] FD 13 flags=41
2018/01/10 09:03:49| pinger: Initialising ICMP pinger ...
2018/01/10 09:03:49| pinger: ICMP socket opened.
2018/01/10 09:03:49| pinger: ICMPv6 socket opened
2018/01/10 09:03:50 kid1| storeLateRelease: released 0 objects
___________________________
squid -k reconfigure
squid: ERROR: Could not send signal 1 to process 27887: (3) No such process
:/etc/squid#
:/etc/squid# /etc/init.d/squid restart
[ ok ] Restarting squid (via systemctl): squid.service.
:/etc/squid#
:/var/log/squid# ps ax | grep squid
28013 ?        Ss     0:00 /usr/sbin/squid -YC -f /etc/squid/squid.conf
28015 ?        S      0:00 (squid-1) -YC -f /etc/squid/squid.conf
28033 ?        S      0:00 (logfile-daemon) /var/log/squid/access.log
28062 pts/1    S+     0:00 grep --color=auto squid
:/var/log/squid#

_________________________
# /etc/init.d/squid status
● squid.service - LSB: Squid HTTP Proxy version 3.x
   Loaded: loaded (/etc/init.d/squid; bad; vendor preset: enabled)
   Active: active (running) since Ср 2018-01-10 09:03:49 MSK; 2h 14min ago
     Docs: man:systemd-sysv-generator(Крутой
  Process: 27956 ExecStop=/etc/init.d/squid stop (code=exited, status=0/SUCCESS)
  Process: 27971 ExecStart=/etc/init.d/squid start (code=exited, status=0/SUCCESS)
   CGroup: /system.slice/squid.service
           ├─28013 /usr/sbin/squid -YC -f /etc/squid/squid.conf
           ├─28015 (squid-1) -YC -f /etc/squid/squid.conf
           ├─28033 (logfile-daemon) /var/log/squid/access.log
           └─28034 (pinger)

янв 10 09:03:49 proxy systemd[1]: Starting LSB: Squid HTTP Proxy version 3.x...
янв 10 09:03:49 proxy squid[27971]:  * Starting Squid HTTP Proxy squid
янв 10 09:03:49 proxy squid[28013]: Squid Parent: will start 1 kids
янв 10 09:03:49 proxy squid[28013]: Squid Parent: (squid-1) process 28015 started
янв 10 09:03:49 proxy squid[27971]:    ...done.
янв 10 09:03:49 proxy systemd[1]: Started LSB: Squid HTTP Proxy version 3.x.


Добавлено: [time]Ср 10 янв 2018 13:41:47[/time]

Изначальный кусок конфига отвечающий за прозрачность:

http_port 192.168.88.253:3128 intercept
https_port 192.168.88.253:3129 intercept ssl-bump cert=/etc/squid/squidCA.pem

ssl_bump peek all
ssl_bump splice all

Менять на?:

_______________________________________
(все верно???):

http_port 192.168.88.253:3128 intercept options=NO_SSLv3:NO_SSLv2
http_port 192.168.88.253:3130 options=NO_SSLv3:NO_SSLv2
https_port 192.168.88.253:3129 intercept ssl-bump options=ALL:NO_SSLv3:NO_SSLv2 connection-auth=off cert=/etc/squid/squidCA.pem
always_direct allow all
sslproxy_cert_error allow all
sslproxy_flags DONT_VERIFY_PEER
# Ниже кусок что подменяет сертификат и если не в списке внутрений ИП адресс то блокировка по списку
acl blocked_fast ssl::server_name "/etc/squid/denied_urls"              #acl правило со списком блокируемых ресурсов в файле
acl step1 at_step SslBump1     #acl правило указывает что блочить соединение на стороне клиентов 
ssl_bump peek step1            # предварительная отсылка сертификата подсовывать вместо клиента свой сертификат
ssl_bump terminate !good_ip    #acl правило указывает что все машины кроме списка блочить доступ к ресурсу

#далее у всех одинаковый кусок
ssl_bump splice all
sslcrtd_program /usr/lib/squid/ssl_crtd -s /var/lib/ssl_db -M 4MB


Задача на машине с двумя сетевыми с ubuntu 16.04 squid 3.5.12, сделать следующим образом: через одну сетевую вводится локалка, через вторую выход на роутер на котором dhcp (то есть должно получится прокся ставится в разрыв между сетью локальной и роутером в интернет).


Добавлено: [time]Ср 10 янв 2018 14:24:06[/time]
будет ли так работать?
после настройки nat и iptables : Непонимающий

для iptables:
В локальную сеть предположим у меня смотрит интерфейс enp2s0 IP которого 192.168.88.253
В сеть провайдера(роутер) enp3s0, из этих условий вытекает то что указано ниже:

iptables -t nat -A PREROUTING -i enp2s0 ! -d 192.168.88.0/24 -p tcp -m multiport --dports 80,8080 -j DNAT --to-destination

192.168.88.253:3128
iptables -t nat -A PREROUTING -i enp2s0 ! -d 192.168.88.0/24 -p tcp -m multiport --dports 443 -j DNAT --to-destination 192.168.88.253:3129



Добавлено: 10 Января 2018, 16:09:11
проверил скуид завелся нормально, теперь бы с nat и iptable разобратся
итак судя по описанию
 Для автоматической загрузки настроек iptables при старте системы создадим новый пустой конфигурационный файл командой:
sudo touch /etc/nat
И откроем его для изменения:
nano /etc/nat
______________________________________________________


Минимальный набор настроек выглядит следующим образом:
#!/bin/sh
#Пересылка пакетов
echo 1 > /proc/sys/net/ipv4/ip_forward
#Откроем доступ наружу из внутренней сети
iptables -A FORWARD -i tap0 -o eth0 -j ACCEPT
#Включаем NAT
iptables -t nat -A POSTROUTING -o eth0 -s 192.168.0.1/24 -j MASQUERADE
#Разрешаем принимать ответы из внешней сети
iptables -A FORWARD -i eth0 -m state --state ESTABLISHED,RELATED -j ACCEPT
#Ограничим доступ во внутреннюю сеть снаружи
iptables -A FORWARD -i eth0 -o tap0 -j REJECT
___________________________________________-
После сохранения изменений обеспечим для файла права на исполнение:
chmod +x /etc/nat
Далее необходимо поставить созданный файл на автозагрузку при включении сервера. Для этого откроем рассмотренный ранее файл interfaces:
nano /etc/network/interfaces
и добавим в самый низ строку:
post-up /etc/nat
Перезагрузим сервер для автоматического применения новых настроек:
reboot

________________________
Но
_______________________
везде есть правило заворота трафика
в моем случае примет вид если все правильно:
В локальную сеть у меня смотрит интерфейс enp2s0 IP которого 192.168.88.253
В сеть провайдера(в моем случае на роутер с dhcp) enp1s0 команды 

iptables -t nat -A PREROUTING -i enp2s0 ! -d 192.168.88.0/24 -p tcp -m multiport --dports 80,8080 -j DNAT --to-destination 192.168.88.253:3128
iptables -t nat -A PREROUTING -i enp2s0 ! -d 192.168.88.0/24 -p tcp -m multiport --dports 443 -j DNAT --to-destination 192.168.88.253:3129

ЭТО отдельно выполняется команда или включить ее в файл


Добавлено: 10 Января 2018, 16:53:06
мля пока в тестовом режиме после внесения
 iptables -t nat -A PREROUTING -i enp2s0 ! -d 192.168.88.0/24 -p tcp -m multiport --dports 80,8080 -j DNAT --to-destination 192.168.88.253:3128
iptables -t nat -A PREROUTING -i enp2s0 ! -d 192.168.88.0/24 -p tcp -m multiport --dports 443 -j DNAT --to-destination 192.168.88.253:3129
пишет что доступа нет


Добавлено: 10 Января 2018, 16:57:15
# iptables -L -n -t nat -v
Chain PREROUTING (policy ACCEPT 245 packets, 16041 bytes)
 pkts bytes target     prot opt in     out     source               destination
    0     0 DNAT       tcp  --  enp2s0 *       0.0.0.0/0           !192.168.88.0/24      multiport dports 80,8080 to:192.168.88.253:3128
    0     0 DNAT       tcp  --  enp2s0 *       0.0.0.0/0           !192.168.88.0/24      multiport dports 443 to:192.168.88.253:3129

Chain INPUT (policy ACCEPT 91 packets, 8752 bytes)
 pkts bytes target     prot opt in     out     source               destination

Chain OUTPUT (policy ACCEPT 10 packets, 555 bytes)
 pkts bytes target     prot opt in     out     source               destination

Chain POSTROUTING (policy ACCEPT 6 packets, 360 bytes)
 pkts bytes target     prot opt in     out     source               destination
    4   195 MASQUERADE  all  --  *      enp2s0  192.168.88.0/24      0.0.0.0/0


Добавлено: 10 Января 2018, 17:04:31
в общем не пускает
доступ запрещен


Добавлено: 11 Января 2018, 11:15:28
вернул конфиг скуида к предыдущему варианту
получил
 ERR_TUNNEL_CONNECTION_FAILED в браузере с машины с прописанной проксей.
« Последнее редактирование: 11 Января 2018, 11:15:28 от wrag » Записан

живущий в консоли
начальник отдела системотехники Люцифеp
alexxxwork
Подозрительный тип
*

Карма: 0
Сообщений: 1

ОС:
Windows NT 10.0 Windows NT 10.0
Браузер:
Chrome 66.0.3359.181 Chrome 66.0.3359.181


Награды
« Ответ #16 : 21 Мая 2018, 12:43:39 »

Если роутер c iptables и squid на одной машине - нужно использовать REDIRECT
Если на разных - PBR, маршрут на squid и на машине со squid в iptables REDIRECT (prerouting, --dport=80 -j redirect 3128)
DNAT не работает.
Записан
wrag
Небритый одмин
*****

Карма: 0
Сообщений: 673


ОС:
Windows 7 Windows 7
Браузер:
Chrome 65.0.3325.181 Chrome 65.0.3325.181


Награды
« Ответ #17 : 10 Июля 2018, 09:20:26 »

В общем, наигрался на убунте со скуидом и пришел к выводу, что как-то не срастается нифига, сам скуид уже изучен примерный конфиг подобран. Даже работает, но что-то не то, медленно и упорно продолжаю пилить сервак, переезжаем в следующую тему, буду поднимать на freebsd информации больше и понятнее описано.
Записан

живущий в консоли
начальник отдела системотехники Люцифеp
Страниц: 1 [2]   Вверх
  Печать  
 
Перейти в:  

Powered by MySQL Powered by PHP Powered by SMF 1.1.21 | SMF © 2011, Simple Machines

Valid XHTML 1.0! Valid CSS! Dilber MC Theme by HarzeM