Squid Opsætning

Hmm er ikke sikker men tro det er noget med dit acl som ikke er sat op rigtigt.

Kig evt. her http://www.gnuskole.dk/bog/squid.html

Nu for jeg bare en:
Access Denied.

Her er min Squid.conf:

#!/bin/bash
http_port 3128
icp_port 0
cache_peer fwskpadv parent 3128 7 no-query
#cache_peer 80.166.87.205 parent 3128 0 no-query default
#hierarchy_stoplist cgi-bin ?
acl QUERY urlpath_regex cgi-bin \?
no_cache deny QUERY
cache_mem 48 MB
cache_dir ufs /var/spool/squid 600 16 256
cache_log /var/log/squid/cache.log
cache_access_log /var/log/squid/access.log
cache_store_log /var/log/squid/store.log
#dns_nameservers 192.168.100.2
acl all src 0.0.0.0/0.0.0.0
acl lan src 192.168.100.0/255.255.255.0
#acl allowed_hosts scr 192.168.100.0/255.255.255.0
#acl wordlist url_regex -i skak bronby sex mp3 divx vivo chat auto bil car truck motorcykler film movie spil game
#acl wordfil url_regex"/etc/squid/squid.ban"
acl localhost src 127.0.0.1/255.255.255.255
acl Safe_ports port 1024-65535
acl Safe_ports port 80
acl Safe_ports port 53
acl Safe_ports port 21
acl Safe_ports port 20
acl Safe_ports port 22
acl Safe_ports port 443
#acl Safe_ports port 25
#acl Safe_ports port 110
never_direct allow lan
acl SSL_ports port 443 563
acl CONNECT method CONNECT
#http_access allow manager localhost
#http_access deny manager
http_access deny !Safe_ports 
http_access deny CONNECT !SSL_ports
#http_access deny wordlist
#http_access deny wordfil
http_access allow localhost
#http_access allow lan
http_access deny all
cache_mgr administrator@skp-elev.dk
#icp_access allow all
#cache_effective_user squid
#cache_effective_group squid
visible_hostname fwskpadv

Kender ikke RH men i SuSE sker det således, i konsollen skriver du
rcsquid start
under forudsætning af du modtager et svar uden fejl åbner du en browser på din squid server
herefter er det blot at åbne en browser på dine klienter så kører det,du skal naturligvis indsætte de nødvendige værdier i squid.conf ligesom du skal konfigurere dine klienter til at gå på en proxy

#http_access allow lan

er problemet - fjern # - genstart squid - så har lan også adgang (fra 192.168.100.0/255.255.255.0)

--> Lap

Nu for vi denne fejl i browersen hos klienten:

The requested URL could not be retrieved

--------------------------------------------------------------------------------

While trying to retrieve the URL: http://www.msn.dk/

The following error was encountered:

Unable to determine IP address from host name for www.msn.dk
The dnsserver returned:

Name Error: The domain name does not exist.
This means that:

The cache was not able to resolve the hostname presented in the URL.
Check if the address is correct.

Your cache administrator is administrator@skp-elev.dk.



--------------------------------------------------------------------------------
Generated Tue, 04 Nov 2003 08:46:58 GMT by fwskpadv (Squid/2.4.STABLE7)

cat /etc/resolv.conf - står de korrekte navneservere her?

--> lap
Ja... det virker...

Jeg tror fejlen ligger i min firewall, altså iptables.
Kan i ikke fortælle mig præcis hvilke porte der skal "routes" , "forwardes" åbnes osv...

Alt står lige nu til "DROP" men hvilke linjer skal jeg tilføje i firewallen for at vores Squid kan køre ?

kunne du ikke lige vise dit iptables script

Undskyld jeg først svarer nu...

Men her er mine iptables:

#!/bin/sh

LAN_IP=192.168.100.1
WAN_IP=80.166.87.206
LAN_IF=eth0
WAN_IF=eth1
LOCAL_NET=192.168.100.0/24
SERVER=192.168.100.2
WINSERVER=192.168.100.3

iptables -F
iptables -t nat -F
iptables -X

iptables -P FORWARD DROP
iptables -P INPUT DROP
iptables -P OUTPUT DROP

#iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT



echo 1 > /proc/sys/net/ipv4/ip_forward

iptables -t nat -A POSTROUTING -p all -o eth1 -j SNAT --to $WAN_IP

# PROXY
iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 80 -j DNAT --to $LAN_IP:3128
#iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 443 -j DNAT --to $LAN_IP:3128

Dit problem er formentlig, at maskinen kører i loop ved proxy - prøv lige at lave linierne til:

iptables -t nat -A PREROUTING -s 192.168.100/24 -p tcp --dport 80 -j DNAT --to $LAN_IP:3128

--> Lab
Okay men den kode virker fint hvis jeg gør sådan:
iptables -P FORWARD ACCEPT
iptables -P INPUT ACCEPT
iptables -P OUTPUT ACCEPT

Altså hvis jeg ændre alt fra DROP til ACCEPT så virker koden som den skal.
Men så er der jo heller ingen sikkerhed på.

Proxyen køre på port 3128
Web port 80
DNS port 53

Skal jeg ikke åbne for de porte på en eller anden måde for at den køre ?

Den her kode gør bare sådan at hvis folk ikke manuelt har opsat proxy i browersen så gør server det for dem. Og det virker:

iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 80 -j DNAT --to $LAN_IP:3128

jeg er med på -t nat.... delen (transparent proxy) - jeg har ACCEPT på OUTPUT, men DROP på de 2 andre - prøv lige det (og det er ingen sikkerheds risiko)

takker for points :-)