Задать вопрос
rad1us
@rad1us

Squid на FreeBSD работает неправильно. Где ошибка?

Приветствую. Друзья, я изучаю FreeBSD всего несколько дней. Основным источником информации на начальном этапе выбрал для себя книгу К.А. Корниенко "FreeBSD9 Корпоративный Интернет-сервер".

Все эксперименты провожу на VMware Workstation, в которой установлено две виртуалки, одна с FreeBSD, другая с XP (которая типа в локалке за прокси-сервером). Установил Squid, настроил все как описано, прописал правило, которое запрещает ходить на yandex.ru, но вот незадача:
1. XP не ходит на yandex.ru, но если ввести https://yandex.ru, то сайт открывается.
2. XP вообще теперь не ходит ни на один сайт, кроме тех, к которым можно добавить https://

И да, пока Squid был не прозрачным, была такая особенность - при входе на yandex.ru появлялась страничка с логотипом сквида и "доступ запрещен....". Сейчас стандартно "страница недоступна".

В чем проблема? Подскажите пожалуйста! Уже пару дней не могу разобраться, перечитал уйму форумов, а результата нет...

Все что настраивал во FreeBSD:
uname -a
FreeBSD free9.home.com 9.3-RELEASE FreeBSD 9.3-RELEASE #0:

rc.conf
hostname="free9.home.com"
sshd_enable="YES"
ntpd_enable="YES"
dumpdev="NO"
#____Networks
ifconfig_em0="inet 192.168.1.252 netmask 255.255.255.0"
ifconfig_em1="inet 172.16.0.1 netmask 255.255.255.0"
defaultrouter="192.168.1.1"
#____Firewall
firewall_enable="YES"
firewall_type="/etc/firewall.conf"
#____Named
named_enable="YES"
#____NAT
gateway_enable="YES"
natd_enable="YES"
natd_interface="em0"
#____SQUID
squid_enable="YES"

named.conf
acl ACCESS { 127.0.0.1; 172.16.0.0/24 ;};
options {
listen-on { 127.0.0.1; 172.16.0.1; };
allow-recursion { ACCESS; };

forwarders {
192.168.1.1;
8.8.8.8;
};
};

firewall.conf
add 4000 divert natd ip from any to any via em0
add 4100 fwd 127.0.0.1,3128 tcp from any to any 80 via em1
add 65500 allow ip from any to any

squid.conf
#acl localnet src 10.0.0.0/8 # RFC1918 possible internal network
acl localnet src 172.16.0.0/24 # RFC1918 possible internal network
acl dom_deny dstdomain yandex.ru
#acl users src "/usr/local/etc/squid/users.txt"
#acl localnet src 192.168.0.0/16 # RFC1918 possible internal network
#acl localnet src fc00::/7 # RFC 4193 local private network range
#acl localnet src fe80::/10 # RFC 4291 link-local (directly plugged) machines
acl SSL_ports port 443
acl Safe_ports port 80 # http
acl Safe_ports port 21 # ftp
acl Safe_ports port 443 # https
acl Safe_ports port 70 # gopher
acl Safe_ports port 210 # wais
acl Safe_ports port 1025-65535 # unregistered ports
acl Safe_ports port 280 # http-mgmt
acl Safe_ports port 488 # gss-http
acl Safe_ports port 591 # filemaker
acl Safe_ports port 777 # multiling http
acl CONNECT method CONNECT

http_access deny !Safe_ports
http_access deny CONNECT !SSL_ports
http_access allow localhost manager
http_access deny manager

http_access allow localnet !dom_deny
#http_access allow localhost
#http_access allow users
http_access deny all
http_port 3128 transparent

coredump_dir /var/squid/cache
refresh_pattern ^ftp: 1440 20% 10080
refresh_pattern ^gopher: 1440 0% 1440
refresh_pattern -i (/cgi-bin/|\?) 0 0% 0
refresh_pattern . 0 20% 4320
  • Вопрос задан
  • 449 просмотров
Подписаться 1 Оценить Комментировать
Решения вопроса 1
@mureevms
Когда занимаетесь траблшутингом сведите влияние всех возможных компонентов к минимуму. А именно -
- переведите фаер в режим allow all
- полностью отключите в сквиде https
- уберите из сквида все свои acl, кроме
acl localnet src  172.16.0.0/24 #у Вас же эта подсеть виртуальная
http_access allow localnet

Если все правильно, то должно заработать.
Ответ написан
Комментировать
Пригласить эксперта
Ответы на вопрос 2
@Tilk
эникейщик-МегаЛамер
Правило http_access deny CONNECT !SSL_ports предписывает сквиду блокировать всё, кроме https.
Ответ написан
@Konkase
Блокировать https трафик на нужный вам домен вы не сможете. Для блокировки по выборочному домену, небходимо знать, что внутри шифрованного трафика , а это или иметь приватный ключ вледельца или подменять на свой или же блокировать полностью по IP.
Ответ написан
Комментировать
Ваш ответ на вопрос

Войдите, чтобы написать ответ

Похожие вопросы