Strona 1 z 1

Squid nie przepuszcza żadnej strony

: 05 marca 2018, 19:07
autor: butek
Mam zainstalowanego squida i dansguardiana na portach 3128 i 8080.
W przeglądarce chromium nie mogę wejść na żadną stronę, natomiast w firefox-ie niektóre strony chodzą ? W logach squida mam

Kod: Zaznacz cały

1520255447.288    297 192.168.1.2 TCP_DENIED/403 4272 GET http://www.pomorska.pl/tag/sex-pl/ - HIER_NONE/- text/html
1520255447.326      0 192.168.1.2 TCP_DENIED/403 4251 GET http://server:0/squid-internal-static/icons/SN.png - HIER_NON$/proc/sys/net/ipv4/ip_forward
192.168.1.2 - adres karty WAN.
Moja sieć to 172.23.198.0
server - to nazwa serwera.

Kod: Zaznacz cały

# czyszczenie starych regul
iptables -F
iptables -X
iptables -t nat -X
iptables -t nat -F
# ustawienie polityki dzialania
iptables -P INPUT DROP
iptables -P FORWARD DROP
iptables -P OUTPUT ACCEPT

iptables -A INPUT -p udp --dport 22 -j ACCEPT
iptables -A INPUT -p tcp --dport 22 -j ACCEPT
iptables -A INPUT -i eth0 -s 172.23.198.0/24 -j ACCEPT 

iptables -A INPUT -p icmp --icmp-type echo-request -j ACCEPT

iptables -A INPUT  -p tcp --dport 9400 -m state --state NEW -j  ACCEPT
iptables -A INPUT  -p tcp --dport 9401 -m state --state NEW -j ACCEPT
iptables -A INPUT  -p tcp --dport 9402 -m state --state NEW -j  ACCEPT
iptables -A INPUT  -p tcp --dport 9403 -m state --state NEW -j ACCEPT
iptables -A INPUT  -p tcp --dport 111 -m state --state NEW -j  ACCEPT
iptables -A INPUT  -p tcp --dport 2049 -m state --state NEW -j ACCEPT

iptables -A INPUT  -p tcp --dport 8080 -m state --state NEW -j ACCEPT
iptables -A INPUT  -p tcp --dport 3128 -m state --state NEW -j ACCEPT

iptables -A INPUT  -p udp --dport 8080 -m state --state NEW -j ACCEPT
iptables -A INPUT  -p udp --dport 3128 -m state --state NEW -j ACCEPT

iptables -I FORWARD -p tcp -s 172.23.198.0/24 --dport 9400  -j ACCEPT
iptables -I FORWARD -p tcp -s 172.23.198.0/24 --dport 9401  -j ACCEPT
iptables -I FORWARD -p tcp -s 172.23.198.0/24 --dport 9402  -j ACCEPT
iptables -I FORWARD -p tcp -s 172.23.198.0/24 --dport 9403  -j ACCEPT
iptables -I FORWARD -p tcp -s 172.23.198.0/24 --dport 111  -j ACCEPT
iptables -I FORWARD -p tcp -s 172.23.198.0/24 --dport 2049  -j ACCEPT

iptables -A OUTPUT  -p tcp --dport 9400 -m state --state NEW -j  ACCEPT
iptables -A OUTPUT  -p tcp --dport 9401 -m state --state NEW -j ACCEPT
iptables -A OUTPUT  -p tcp --dport 9402 -m state --state NEW -j  ACCEPT
iptables -A OUTPUT  -p tcp --dport 9403 -m state --state NEW -j ACCEPT
iptables -A OUTPUT  -p tcp --dport 111 -m state --state NEW -j  ACCEPT
iptables -A OUTPUT  -p tcp --dport 2049 -m state --state NEW -j ACCEPT
iptables -A INPUT -i lo -j ACCEPT
iptables -A FORWARD -o lo -j ACCEPT
iptables -A INPUT -s 0/0 -d 172.23.198.1 -p tcp --dport 22 -j ACCEPT
iptables -A OUTPUT -s 0/0 -d 172.23.198.1 -p tcp --dport 22 -j ACCEPT
iptables -A INPUT -s 0/0 -d 172.23.198.1  -p udp --dport 22 -j ACCEPT
iptables -A OUTPUT -s 0/0 -d 172.23.198.1 -p udp --dport 22 -j ACCEPT
iptables -A INPUT -s 0/0 -d 172.23.198.1 -p tcp --dport 3128 -j ACCEPT
iptables -A OUTPUT -s 0/0 -d 172.23.198.1 -p tcp --dport 3128 -j ACCEPT
iptables -A INPUT -s 0/0 -d 172.23.198.1  -p udp --dport 3128 -j ACCEPT
iptables -A OUTPUT -s 0/0 -d 172.23.198.1 -p udp --dport 3128 -j ACCEPT
iptables -A INPUT -s 0/0 -d 172.23.198.1 -p tcp --dport 8080 -j ACCEPT
iptables -A OUTPUT -s 0/0 -d 172.23.198.1 -p tcp --dport 8080 -j ACCEPT
iptables -A INPUT -s 0/0 -d 172.23.198.1  -p udp --dport 8080 -j ACCEPT
iptables -A OUTPUT -s 0/0 -d 172.23.198.1 -p udp --dport 8080 -j ACCEPT
iptables -A INPUT -s 0/0 -d 172.23.198.1 -p tcp --dport 111 -j ACCEPT
iptables -A INPUT -s 0/0 -d 172.23.198.1 -p tcp --dport 9400  -j ACCEPT
iptables -A INPUT -s 0/0 -d 172.23.198.1 -p tcp --dport 2049 -j ACCEPT
iptables -A INPUT -s 0/0 -d 172.23.198.1 -p tcp --dport 9401 -j ACCEPT
iptables -A INPUT -s 0/0 -d 172.23.198.1 -p tcp --dport 9402 -j ACCEPT
iptables -A INPUT -s 0/0 -d 172.23.198.1 -p tcp --dport 9403  -j ACCEPT
iptables -A INPUT -s 0/0 -d 172.23.198.0/24 -p tcp --dport 3128 -j ACCEPT
iptables -A OUTPUT -s 0/0 -d 172.23.198.0/24 -p tcp --dport 3128 -j ACCEPT
iptables -A INPUT -s 0/0 -d 172.23.198.0/24  -p udp --dport 3128 -j ACCEPT
iptables -A OUTPUT -s 0/0 -d 172.23.198.0/24 -p udp --dport 3128 -j ACCEPT

iptables -A INPUT -s 0/0 -d 172.23.198.0/24 -p tcp --dport 111 -j ACCEPT
iptables -A INPUT -s 0/0 -d 172.23.198.0/24 -p tcp --dport 9400  -j ACCEPT
iptables -A INPUT -s 0/0 -d 172.23.198.0/24 -p tcp --dport 2049 -j ACCEPT
iptables -A INPUT -s 0/0 -d 172.23.198.0/24 -p tcp --dport 9401 -j ACCEPT
iptables -A INPUT -s 0/0 -d 172.23.198.0/24 -p tcp --dport 9402 -j ACCEPT
iptables -A INPUT -s 0/0 -d 172.23.198.0/24 -p tcp --dport 9403  -j ACCEPT

iptables -A INPUT -j ACCEPT -m state --state ESTABLISHED,RELATED
iptables -A FORWARD -j ACCEPT -m state --state ESTABLISHED,RELATED
iptables -A OUTPUT -j ACCEPT -m state --state ESTABLISHED,RELATED

iptables -t filter -A FORWARD -s 172.23.198.0/255.255.255.0 -d 0/0 -j ACCEPT
iptables -t filter -A FORWARD -s 0/0 -d 172.23.198.0/255.255.255.0 -j ACCEPT

iptables -t nat -A POSTROUTING -s 172.23.198.0/24 -j MASQUERADE
iptables -t nat -A PREROUTING -s 172.23.198.0/255.255.255.0 -p tcp --dport 80 -j REDIRECT --to-port 8080

Re: Squid nie przepuszcza żadnej strony

: 05 marca 2018, 21:32
autor: dedito
Z tego co widać ta maszyna z serwerem proxy jest też routerem.
Sam firewall jest lekko sknocony i niechlujnie poukładany, autor za bardzo nie ma pojęcia jak to działa.
No, a adres karty WAN to 192.168.1.2?
Załączone regułki mówią coś zupełnie innego.
Opisz szczegółowo swoją sieć, załącz plik konfiguracyjny squida, podaj dane systemu, informacje na temat tego jak były instalowane aplikacje.

Re: Squid nie przepuszcza żadnej strony

: 06 marca 2018, 11:54
autor: butek
eno1: 192.168.1.2/26 - WAN
eno2: 172.23.198.1/24 LAN
Squid oraz dansguardian były instalowane z repozytorium.
Dansguardian ma problem ze skomunikowaniem się z proxy.

Kod: Zaznacz cały

Mar  6 12:05:01 server dansguardian[16454]: Error connecting to proxy
Mar  6 12:05:01 server dansguardian[16453]: Error connecting to proxy
dansguardian.conf (fragment)

Kod: Zaznacz cały

filterip =172.23.198.1
filterport = 8080
proxyip = 172.23.198.1
Nie które strony ładują się np. gimpuj.info, google.pl.

Squid.conf

Kod: Zaznacz cały

acl all src 0.0.0.0/0.0.0.0
acl manager proto cache_object
acl localhost src 127.0.0.1/255.255.255.255
acl to_localhost dst 127.0.0.0/8
acl siec src 172.23.198.0/24
acl godziny_pracy time  00:01-21:30


acl SSL_ports port 443
acl Safe_ports port 80          # http
acl Safe_ports port 21          # ftp
acl Safe_ports port 443         # https
acl Safe_ports port 70          # gopher
acl Safe_ports port 210         # wais
acl Safe_ports port 1025-65535  # unregistered ports
acl Safe_ports port 280         # http-mgmt
acl Safe_ports port 488         # gss-http
acl Safe_ports port 591         # filemaker
acl Safe_ports port 777         # multiling http
acl CONNECT method CONNECT

# Deny requests to certain unsafe ports
http_access deny !Safe_ports

# Deny CONNECT to other than secure SSL ports
http_access deny CONNECT !SSL_ports

# Only allow cachemgr access from localhost
http_access allow localhost manager
http_access deny manager

http_access allow localhost
http_access allow siec godziny_pracy

# And finally deny all other access to this proxy
http_access deny all

http_port 3128 transparent

Re: Squid nie przepuszcza żadnej strony

: 06 marca 2018, 12:10
autor: dedito
Udziel pełnych informacji zgodnie z tym co pisałem wcześniej.

Re: Squid nie przepuszcza żadnej strony

: 06 marca 2018, 12:16
autor: butek
Nie wiem co jeszcze chcesz. Tak jak pisałeś.. ta maszyna jest bramą dla sieci ,routerem oraz proxy.

Re: Squid nie przepuszcza żadnej strony

: 06 marca 2018, 12:31
autor: dedito
Opisz szczegółowo swoją sieć.

Re: Squid nie przepuszcza żadnej strony

: 06 marca 2018, 12:50
autor: butek
Jak mam przekierowanie na proxy to internet działa bez problemu.

Kod: Zaznacz cały

iptables -t nat -A PREROUTING -s 172.23.198.0/255.255.255.0 -p tcp --dport 80 -j REDIRECT --to-port 3128 
Problemy są gdy ruch jest przekierowany na dansguardiana.

Kod: Zaznacz cały

iptables -t nat -A PREROUTING -s 172.23.198.0/255.255.255.0 -p tcp --dport 80 -j REDIRECT --to-port 8080

Re: Squid nie przepuszcza żadnej strony

: 06 marca 2018, 13:21
autor: dedito
Ech ... a gdzie plik konfiguracyjny dansguardiana?
Jestem lekko przeziębiony więc może nie kontaktuje ale pliku nie widzę :/

Re: Squid nie przepuszcza żadnej strony

: 06 marca 2018, 13:39
autor: butek
Jest kawałek u góry. Dopisałem w nim tylko linjke kodu która odpowiada za banowanie stron

Re: Squid nie przepuszcza żadnej strony

: 06 marca 2018, 14:10
autor: dedito
Weź to zaoraj i postaw od zera zgodnie z wiki Debiana.