Polskie Forum Użytkowników Debiana

Polski portal użytkowników dystrybucji Debian GNU/Linux, dyskusje, artykuły, nowości, blog, porady, pomoc.
https://www.debian.pl/

[+] Squid, wykluczenie jednej stacji roboczej

https://www.debian.pl/viewtopic.php?t=26686

Strona 1 z 1

[+] Squid, wykluczenie jednej stacji roboczej

: 12 kwietnia 2012, 07:27
autor: nero.ps
Witam.

Bardzo prosiłbym o pomoc w wyłączeniu z analizowania przez squida jednej stacji roboczej.
Problem mam następujący, na serwerze (Debian 6.0.4) mam zainstalowanych kilka usług wraz ze squidem. Blokuje mi on wysyłanie i odbieranie raportów z jednego programu, który zresztą robi to na porcie 80. Nie wiem czemu akurat blokuje wysyłanie różnych raportów tylko z tego komputera. Ta sama aplikacja jest zainstalowana na paru innych komputerach i wszystko jest w porządku.
Chciałem zapytać, czy jest jakaś możliwość wyłączenia jednego z adresów IP z analizowania przez squida?
Bardzo prosiłbym o pomoc.

Pozdrawiam nero.

: 12 kwietnia 2012, 08:40
autor: LordRuthwen
A może podasz jakieś informacje na temat sieci? Np jak jest kierowany ruch na Squida?
Wróżki wzięły wolne po świętach.

: 12 kwietnia 2012, 08:49
autor: snejk
Pokaż konfig Squida. Czy te komputery są w tej samej podsieci? Proxy przezroczyste czy jawne?

: 12 kwietnia 2012, 10:08
autor: nero.ps
Ruch kierowany jest na squida przez przekierowanie portu 80 na 3128, ustawiony jest przezroczyście, wszystko w tej samej podsieci 192.168.1.0/24.

Konfig squida:

Kod: Zaznacz cały

acl all src 0.0.0.0/0.0.0.0
acl manager proto cache_object
acl localhost src 127.0.0.0/255.255.255.255
acl to_localhost dst 127.0.0.0/8
acl SSL_ports port 443 563 110 #poczta
acl Safe_ports port 80 # http
acl Safe_ports port 21 # ftp
acl Safe_ports port 443 563 # httpd. snews
acl Safe_ports port 70 # gopher
acl Safe_ports port 210 # wais
acl Safe_ports port 1025-65535 #niezarejestrowane porty
acl Safe_ports port 9022 # ssh
acl Safe_ports port 8074 # gg
acl Safe_ports port 280 # http_mgmt
acl Safe_ports port 488 # gss-http
acl Safe_ports port 591 # filemaker
acl Safe_ports port 777 #multiling http
acl CONNECT method CONNECT
acl lista url_regex /etc/squid/lista.acl
# dodajemy nasza siec

acl our_networks src 192.168.1.0/24
# co ma działać a co nie:)
http_access allow manager localhost
http_access deny  manager
http_access deny !Safe_ports
http_access deny CONNECT !SSL_ports
http_access allow our_networks
http_access deny  all
http_access deny lista


# port na uktórym działa squid
http_port 3128 transparent

#pamiec dla squida
cache_mem 1200 MB

#maksymalny rozmiar obieku w ram
maximum_object_size_in_memory 256 KB

#metoda odświerzania ram
memory_replacement_policy heap GDSF

#metoda odswierzania dla hdd
cache_dir aufs /backup/squid_cache 2048 16 256

#minimalny rozmiar objec dla dysku
minimum_object_size 0 KB

#maksymalny rozmair obejct dla dysku
maximum_object_size 500 MB

#poziomy , na których ma następoować agresywna wymiana cache
cache_swap_low 90
cache_swap_high 97

#lokalizacja logĂłw

access_log /var/log/squid/access.log
cache_log /var/log/squid/cache.log
cache_store_log /var/log/squid/store.log

#maska klienta
client_netmask 255.255.255.0

#maksymalny rozmiar wysyłanego nagłówka
request_header_max_size 1 MB

#maksymaly rozmiar treśći zapytania
request_body_max_size 2 MB

#odrzuca niedokończone połączenia
half_closed_clients off
#czas zamkniecia/restartu squida
shutdown_lifetime 10 second
#użytkownic uprawiony do korzystania z proxy
cache_effective_user proxy
#grupa uprawniona do uzywania cache
cache_effective_group proxy
#logi bledow
error_directory /var/log/squid/errors/Polish
#wsparcie dla dns
dns_defnames on
#adresy ip dns
dns_nameservers 194.204.152.34 194.204.159.1
#coś tam z ip
ipcache_size 10240
ipcache_low 90
ipcache_size 97
#buforowanie nazw domen
fqdncache_size 8192
#squid trzyma pamięć dla potencjalnego usera
memory_pools on
#limit zarezerwowanej pamięci
memory_pools_limit 100 MB
 
#odswiezanie plikow
 
#odswiezanie dla obrazkow
refresh_pattern -i \.(gif|tif|tiff|bmp|jpg|jpeg|png|ico) 1440 50% 10080
#odswiezanie dla obrazkow
refresh_pattern -i \.(wav|mp3|mp2|wmp|mid) 10080 50%  20160
#odswiezanie dokumentow
refresh_pattern -i \.(txt|pdf|doc|xls|docx|odf|ppt|pptx) 4320 50%  10080
#odswiezanie statycznych elementow stron
refresh_pattern -i \.(css|html|htm) 2880 50% 43200
#odswiezanie filmow
refresh_pattern -i \.(flv|swf|mp4|wmv|) 10080 70% 43200

: 12 kwietnia 2012, 10:15
autor: LordRuthwen
nero.ps pisze:Ruch kierowany jest na squida przez przekierowanie portu 80 na 3128, ustawiony jest przezroczyście, wszystko w tej samej podsieci 192.168.1.0/24.
I tym sposobem odpowiedziałeś sobie sam jak nie przepuszczać ruchu z konkretnego IP przez Squida.
Dodaj wyjątek w iptables.

: 12 kwietnia 2012, 11:22
autor: nero.ps
W sumie to nie pomyślałem o tym.
Dziękuję.

: 19 kwietnia 2012, 12:33
autor: nero.ps
Witam
mam jeszcze jeden problem

czy może ktoś mi podpowiedzieć co do sposobu, aby https nie szło na squida? chodzi mi o to, że mimo że mam wpis
acl Safe_ports port 443 563 # httpd. snews
który ustawiony jest na allow, z jakiegoś powodu blokuje mi czasem wysyłanie plików przez https (w logach mam ze jest błędny nagłówek). NIestety nie mam na neiego wpływu wiec co zrobić aby ominąć port 443?
przekierowanie na squida wyglada tak:
iptables -t nat -A PREROUTING -s 192.168.1.0/24 -p tcp --dport 80 -j REDIRECT --to-port 3128
Strefa czasowa UTC+02:00
Strona 1 z 1

Technologię dostarcza phpBB® Forum Software © phpBB Limited

Polski pakiet językowy dostarcza phpBB.pl