Автор Тема: Не могу подключиться через прокси-сервер ( Альтлинукс сервер 9.0) (Прочитано 9065 раз)

galkin24 · « : 02.06.2020 14:16:37 »

Вынужден просить помощи, поскольку сам не могу разобраться.
Установил Альтлинкс сервер 9.0.
Настроил сеть. Интернет на самом сервере есть, интернет на клиентах есть. Включен брандмауэр в режиме шлюз.
Прокси-сервер активен, режим обычный , аутентификация: PAM.
Браузер на самом сервере через прокси работает только если через порт 3128 пускать http, если включить для остальных протоколов - не работает. Клиенты вообще не работают через прокси. "Прокси-сервер отказывается принимать соединения" Имел опыт только с ШС 5.0.2 и образовательными дистрибутивами 5-7 платформ. И там все работало сразу. И было давно...
Чего не хватает?

Спойлер

auth_param basic program /usr/lib/squid/basic_pam_auth
acl AUTHENTICATED proxy_auth REQUIRED
acl localnet src 0.0.0.1-0.255.255.255   # RFC 1122 "this" network (LAN)
acl localnet src 10.0.0.0/8      # RFC 1918 local private network (LAN)
acl localnet src 100.64.0.0/10      # RFC 6598 shared address space (CGN)
acl localnet src 169.254.0.0/16    # RFC 3927 link-local (directly plugged) machines
acl localnet src 172.16.0.0/12      # RFC 1918 local private network (LAN)
acl localnet src 192.168.0.0/16      # RFC 1918 local private network (LAN)
acl localnet src fc00::/7     # RFC 4193 local private network range
acl localnet src fe80::/10    # RFC 4291 link-local (directly plugged) machines
acl Safe_ports port 80 # HTTP
acl Safe_ports port 21 # FTP
acl Safe_ports port 70 # GOPHER
acl Safe_ports port 280 # HTTP-MGMT
acl Safe_ports port 591 # Filemaker
acl Safe_ports port 901 # SWAT
acl Safe_ports port 1025-65535 # Other ports
acl SSL_ports port 563 # SNEWS (C)
acl Safe_ports port 210 # WAIS
acl Safe_ports port 777 # Multilingual HTTP
acl SSL_ports port 443 # HTTPS (C)
acl Safe_ports port 873 # RSYNC
acl Safe_ports port 488 # GSS-HTTP
acl Safe_ports port 631 # CUPS
acl CONNECT method CONNECT
http_access deny !Safe_ports
http_access deny CONNECT !SSL_ports
http_access allow localhost manager
http_access deny manager
http_access deny !Safe_ports !SSL_ports
acl CONNECT method CONNECT
http_access deny CONNECT !SSL_ports
acl our_networks src 127.0.0.0/8 # LOCALHOST
acl our_networks src 192.168.20.0/24 #
http_access deny !our_networks
http_access allow all
http_access deny all
http_port 3128
coredump_dir /var/spool/squid
refresh_pattern ^ftp:      1440   20%   10080
refresh_pattern ^gopher:   1440   0%   1440
refresh_pattern -i (/cgi-bin/|\?) 0   0%   0
refresh_pattern .      0   20%   4320

yaleks · « **Ответ #1 :** 02.06.2020 15:33:54 »

а вы squid запустить не забыли? и что он в своих логах пишет...

galkin24 · « **Ответ #2 :** 02.06.2020 15:44:27 »

Очевидно я что то делаю не то... ибо ШС7.0.5 ведет себя идентично
squid запущен

NickM · « **Ответ #3 :** 02.06.2020 15:45:48 »

galkin24, а Вы конфиг какой версии squid привели?

Новая версия может потребовать другой настройки для https.

galkin24 · « **Ответ #4 :** 02.06.2020 15:50:54 »

какой? какая была изначально в дистрибутиве 4.8
У меня лет 6-7 работал ШС 5.0.2, последние полгода иногда переставали на некоторое время работать сервисы яндекса. А неделю назад перестал работать интернет через прокси-сервер, недогружалась первая страница...

Код: [Выделить]

[root@ks ~]# service squid status
active

так пишет, если с самого сервера через прокси по всем протоколам

Спойлер

1591104408.352 0 192.168.20.1 TCP_DENIED/403 3991 CONNECT yandex.ru:443 - HIER_NONE/- text/html
1591104420.367 0 192.168.20.1 TCP_DENIED/403 3991 CONNECT yandex.ru:443 - HIER_NONE/- text/html
1591104432.371 0 192.168.20.1 TCP_DENIED/403 3991 CONNECT yandex.ru:443 - HIER_NONE/- text/html
1591104444.379 0 192.168.20.1 TCP_DENIED/403 3991 CONNECT yandex.ru:443 - HIER_NONE/- text/html
1591104445.271 0 192.168.20.1 TCP_DENIED/403 4006 CONNECT www.rambler.ru:443 - HIER_NONE/- text/html
1591104456.409 0 192.168.20.1 TCP_DENIED/403 3991 CONNECT yandex.ru:443 - HIER_NONE/- text/html
1591104468.432 0 192.168.20.1 TCP_DENIED/403 3991 CONNECT yandex.ru:443 - HIER_NONE/- text/html
1591104475.263 0 192.168.20.1 TCP_DENIED/403 4027 CONNECT horoscopes.rambler.ru:443 - HIER_NONE/- text/html
1591104480.451 0 192.168.20.1 TCP_DENIED/403 3991 CONNECT yandex.ru:443 - HIER_NONE/- text/html
1591104491.101 0 192.168.20.1 TCP_DENIED/403 4054 CONNECT incoming.telemetry.mozilla.org:443 - HIER_NONE/- text/html
1591104491.118 0 192.168.20.1 TCP_DENIED/403 4054 CONNECT incoming.telemetry.mozilla.org:443 - HIER_NONE/- text/html
1591104492.476 0 192.168.20.1 TCP_DENIED/403 3991 CONNECT yandex.ru:443 - HIER_NONE/- text/html
1591104504.490 0 192.168.20.1 TCP_DENIED/403 3991 CONNECT yandex.ru:443 - HIER_NONE/- text/html
1591104511.078 0 192.168.20.1 TCP_DENIED/403 4006 CONNECT www.rambler.ru:443 - HIER_NONE/- text/html
1591104511.108 0 192.168.20.1 TCP_DENIED/403 4006 CONNECT www.rambler.ru:443 - HIER_NONE/- text/html
1591104511.159 0 192.168.20.1 TCP_DENIED/403 4006 CONNECT www.rambler.ru:443 - HIER_NONE/- text/html

так, если с сервера только по протоколу http

Спойлер

1591103896.561 54 192.168.20.1 TCP_MISS/200 503 GET http://detectportal.firefox.com/success.txt - HIER_DIRECT/104.84.153.161 text/plain
1591103896.637 54 192.168.20.1 TCP_MISS/200 503 GET http://detectportal.firefox.com/success.txt? - HIER_DIRECT/104.84.153.161 text/plain
1591103896.637 54 192.168.20.1 TCP_MISS/200 503 GET http://detectportal.firefox.com/success.txt? - HIER_DIRECT/104.84.153.161 text/plain
1591103898.696 29 192.168.20.1 TCP_MISS/200 1831 POST http://yandex.ocsp-responder.com/ - HIER_DIRECT/5.45.205.244 application/ocsp-response
1591103898.732 29 192.168.20.1 TCP_MISS/200 1831 POST http://yandex.ocsp-responder.com/ - HIER_DIRECT/5.45.205.244 application/ocsp-response
1591103898.743 26 192.168.20.1 TCP_MISS/200 1831 POST http://yandex.ocsp-responder.com/ - HIER_DIRECT/5.45.205.244 application/ocsp-response
1591103898.803 29 192.168.20.1 TCP_MISS/200 1831 POST http://yandex.ocsp-responder.com/ - HIER_DIRECT/5.45.205.244 application/ocsp-response
1591103898.811 29 192.168.20.1 TCP_MISS/200 1831 POST http://yandex.ocsp-responder.com/ - HIER_DIRECT/5.45.205.244

это если с клиента

Спойлер

1591104871.031 126 192.168.20.100 TCP_MISS/302 468 GET http://r.mail.ru/clb52423656/go.mail.ru/search_social? - HIER_DIRECT/94.100.180.197 text/html
1591104871.227 187 192.168.20.100 TCP_MISS/307 686 GET http://go.mail.ru/search_social? - HIER_DIRECT/217.69.139.53 text/html
1591104873.428 13 192.168.20.100 TCP_MISS/302 458 GET http://r.mail.ru/clb657255/go.mail.ru/search_video? - HIER_DIRECT/94.100.180.197 text/html
1591104873.505 12 192.168.20.100 TCP_MISS/302 459 GET http://r.mail.ru/clb657254/go.mail.ru/search_images? - HIER_DIRECT/94.100.180.197 text/html
1591104873.600 12 192.168.20.100 TCP_MISS/307 676 GET http://go.mail.ru/search_video? - HIER_DIRECT/217.69.139.53 text/html
1591104873.619 14 192.168.20.100 TCP_MISS/307 677 GET http://go.mail.ru/search_images? - HIER_DIRECT/217.69.139.53 text/html
1591104875.110 12 192.168.20.100 TCP_MISS/302 449 GET http://r.mail.ru/clb657259/otvet.mail.ru/? - HIER_DIRECT/94.100.180.197 text/html
1591104875.198 43 192.168.20.100 TCP_MISS/301 3432 GET http://otvet.mail.ru/? - HIER_DIRECT/217.69.139.50 text/html

yaleks · « **Ответ #5 :** 02.06.2020 16:32:11 »

А в iptables у вас случайно порт не закрыт? С localhost прокси пускает?
Ну и конфиг целиком переписывать может быть нехорошо...

galkin24 · « **Ответ #6 :** 02.06.2020 16:41:01 »

конфиг не переписан, оригинал, просто вывод без комментированных строк

Цитата: yaleks от 02.06.2020 16:32:11

А в iptables у вас случайно порт не закрыт? С localhost прокси пускает?
Ну и конфиг целиком переписывать может быть нехорошо...

Скажите что посмотреть по простому

не тут?

NickM · « **Ответ #7 :** 02.06.2020 18:58:18 »

Цитата: yaleks от 02.06.2020 16:32:11

А в iptables у вас случайно порт не закрыт?

Цитата: galkin24 от 02.06.2020 16:41:01

Скажите что посмотреть по простому

Например:

Код: [Выделить]

#cat /etc/net/ifaces/default/fw/iptables/nat/PREROUTING

Код: [Выделить]

#cat /etc/net/ifaces/default/fw/iptables/nat/POSTROUTING
Ну и остальные цепочки посмотреть тоже можно.

Вот Мой рабочий конфиг на p9, промахнулся, на p8 в одной из школ:

Спойлер

Код: [Выделить]

# grep ^[^#] squid.conf
acl SSL_ports port 443    # HTTPS (C)
acl SSL_ports port 8080    # AHTTPD (C)
acl SSL_ports port 9090-9091    # WEB OPENFIRE
acl Safe_ports port 80    # HTTP
acl Safe_ports port 443    # HTTPS (C)
acl Safe_ports port 5222-5223    # JSERVER
acl Safe_ports port 8080    # AHTTPD
acl Safe_ports port 9090-9091    # WEB OPENFIRE
http_access deny !Safe_ports !SSL_ports
acl CONNECT method CONNECT
http_access deny CONNECT !SSL_ports
acl Gopher proto Gopher
http_access deny Gopher
http_access deny !Safe_ports
acl our_networks src 127.0.0.0/8    #LOCALHOST
acl our_networks src 192.168.10.0/24 #LOCALNET
acl whitelist.src src 192.168.10.129-192.168.10.254
acl teachers.src src 192.168.10.1-192.168.10.128
http_access allow all
http_access allow CONNECT SSL_ports all
acl whitelist.list dstdomain -i "/etc/squid/acl/whitelist"
http_access allow whitelist.src whitelist.list
http_access allow CONNECT SSL_ports whitelist.src whitelist.list
acl blacklist.list dstdomain -i "/etc/squid/acl/blacklist"
http_access deny blacklist.list
http_access deny CONNECT SSL_ports blacklist.list
acl nocache.list dstdomain -i "/etc/squid/acl/nocache"
no_cache deny nocache.list
http_access allow teachers.src
http_access allow CONNECT SSL_ports teachers.src
http_access deny all
http_access deny CONNECT SSL_ports all
http_port 192.168.10.1:3128 intercept options=NO_SSLv3:NO_SSLv2
http_port 192.168.10.1:3130 options=NO_SSLv3:NO_SSLv2
dns_nameservers 192.168.10.1
append_domain .school.int
visible_hostname SystemOfContentFiltering
dns_v4_first on
half_closed_clients on
shutdown_lifetime 5 seconds
negative_ttl 5 minutes
cache_dir ufs /var/spool/squid 10024 16 255
cache_effective_user squid
maximum_object_size 65536 KB
minimum_object_size 0 KB
maximum_object_size_in_memory 8 KB
access_log daemon:/var/log/squid/access.log squid
cache_log /var/log/squid/cache.log
cache_store_log daemon:/var/log/squid/store.log
error_directory /usr/share/squid/errors/ru-ru
debug_options ALL,1
acl QUERY urlpath_regex cgi-bin \?
cache deny QUERY
refresh_pattern -i \.jpeg$ 43200 100% 43200 override-lastmod override-expire
refresh_pattern -i \.tar$ 43200 100% 43200 override-lastmod override-expire
refresh_pattern -i \.gz$ 43200 100% 43200 override-lastmod override-expire
refresh_pattern -i \.tgz$ 43200 100% 43200 override-lastmod override-expire
refresh_pattern -i \.prz$ 43200 100% 43200 override-lastmod override-expire
refresh_pattern -i \.ppt$ 43200 100% 43200 override-lastmod override-expire
refresh_pattern -i \.inf$ 43200 100% 43200 override-lastmod override-expire
refresh_pattern -i \.mid$ 43200 100% 43200 override-lastmod override-expire
refresh_pattern -i \.wav$ 43200 100% 43200 override-lastmod override-expire
refresh_pattern -i \.exe$ 43200 100% 43200 override-expire reload-into-ims ignore-reload ignore-no-cache
refresh_pattern -i \.cab$ 43200 100% 43200 override-expire reload-into-ims ignore-reload ignore-no-cache
refresh_pattern -i \.xpi$ 43200 100% 43200 override-expire reload-into-ims ignore-reload ignore-no-cache
refresh_pattern -i \.doc$ 43200 100% 43200 override-expire reload-into-ims ignore-reload ignore-no-cache
refresh_pattern -i \.rtf$ 43200 100% 43200 override-expire reload-into-ims ignore-reload ignore-no-cache
refresh_pattern -i \.pdf$ 43200 100% 43200 override-expire reload-into-ims ignore-reload ignore-no-cache
refresh_pattern -i \.odt$ 43200 100% 43200 override-expire reload-into-ims ignore-reload ignore-no-cache
refresh_pattern -i \.xls$ 43200 100% 43200 override-expire reload-into-ims ignore-reload ignore-no-cache
refresh_pattern -i \.bmp$ 43200 100% 43200 override-expire reload-into-ims ignore-reload ignore-no-cache
refresh_pattern -i \.gif$ 43200 100% 43200 override-expire reload-into-ims ignore-reload ignore-no-cache
refresh_pattern -i \.jpg$ 43200 100% 43200 override-expire reload-into-ims ignore-reload ignore-no-cache
refresh_pattern -i \.ico$ 43200 100% 43200 override-expire reload-into-ims ignore-reload ignore-no-cache
refresh_pattern -i \.png$ 43200 100% 43200 override-expire reload-into-ims ignore-reload ignore-no-cache
refresh_pattern -i \.swf$ 43200 100% 43200 override-expire reload-into-ims ignore-reload ignore-no-cache
refresh_pattern -i \.tiff$ 43200 100% 43200 override-expire reload-into-ims ignore-reload ignore-no-cache
refresh_pattern -i \.arj$ 43200 100% 43200 override-expire reload-into-ims ignore-reload ignore-no-cache
refresh_pattern -i \.Z$ 43200 100% 43200 override-expire reload-into-ims ignore-reload ignore-no-cache
refresh_pattern -i \.7z$ 43200 100% 43200 override-expire reload-into-ims ignore-reload ignore-no-cache
refresh_pattern -i \.rar$ 43200 100% 43200 override-expire reload-into-ims ignore-reload ignore-no-cache
refresh_pattern -i \.mp3$ 43200 100% 43200 override-expire reload-into-ims ignore-reload ignore-no-cache
refresh_pattern -i \.mpeg$ 43200 100% 43200 override-expire reload-into-ims ignore-reload ignore-no-cache
refresh_pattern -i \.avi$ 43200 100% 43200 override-expire reload-into-ims ignore-reload ignore-no-cache
refresh_pattern http://ad/. 43200 100% 43200 override-lastmod override-expire ignore-reload ignore-no-cache
refresh_pattern http://ads/. 43200 100% 43200 override-lastmod override-expire ignore-reload ignore-no-cache
refresh_pattern http://adv/. 43200 100% 43200 override-lastmod override-expire ignore-reload ignore-no-cache
refresh_pattern http://click\. 43200 100% 43200 override-lastmod override-expire ignore-reload ignore-no-cache
refresh_pattern http://count\. 43200 100% 43200 override-lastmod override-expire ignore-reload ignore-no-cache
refresh_pattern http://counter\. 43200 100% 43200 override-lastmod override-expire ignore-reload ignore-no-cache
refresh_pattern http://engine\. 43200 100% 43200 override-lastmod override-expire ignore-reload ignore-no-cache
refresh_pattern http://img\.readme\.ru 43200 100% 43200 override-lastmod override-expire ignore-reload ignore-no-cache
refresh_pattern http://userpic\.livejournal\.com 43200 100% 43200 override-lastmod override-expire ignore-reload ignore-no-cache
refresh_pattern \.ru/bf-analyze 43200 100% 43200 override-lastmod override-expire ignore-reload ignore-no-cache
refresh_pattern \.ru/bf-si 43200 100% 43200 override-lastmod override-expire ignore-reload ignore-no-cache
refresh_pattern /advs/ 43200 100% 43200 override-lastmod override-expire ignore-reload ignore-no-cache
refresh_pattern /banners/ 43200 100% 43200 override-lastmod override-expire ignore-reload ignore-no-cache
refresh_pattern /baners/ 43200 100% 43200 override-lastmod override-expire ignore-reload ignore-no-cache
refresh_pattern /cgi-bin/iframe/ 43200 100% 43200 override-lastmod override-expire ignore-reload ignore-no-cache
refresh_pattern ^ftp:    1440 20% 10080
refresh_pattern ^gopher: 1440 0%  1440
refresh_pattern -i (/cgi-bin/|\?) 0 0% 0
refresh_pattern .        0    20% 4320
acl apache rep_header Server ^Apache
logfile_rotate 0
retry_on_error on
coredump_dir /var/spool/squid

galkin24 · « **Ответ #8 :** 02.06.2020 20:05:51 »

[root@ks ~]# cat /etc/net/ifaces/default/fw/iptables/nat/PREROUTING
# This file was automatically created by alterator-net-iptables.
# If you are using alterator-net-iptables then all changes
# made in this file by hands may lost!
# For more information see alterator-net-iptables(1).
т.е. пустой

[root@ks ~]# cat /etc/net/ifaces/default/fw/iptables/nat/POSTROUTING
# This file was automatically created by alterator-net-iptables.
# If you are using alterator-net-iptables then all changes
# made in this file by hands may lost!
# For more information see alterator-net-iptables(1).

-o enp3s1 -j MASQUERADE
(где enp3s1 - интерфейс внешней сети)

Посмотрел на ШС 5.0.2 - так же

NickM · « **Ответ #9 :** 02.06.2020 20:39:13 »

Цитата: galkin24 от 02.06.2020 14:16:37

Код: [Выделить]
http_access allow all

добавьте

Код: [Выделить]

http_access allow CONNECT SSL_ports all

Цитата: galkin24 от 02.06.2020 20:05:51

PREROUTING
...
т.е. пустой

Цитата: galkin24 от 02.06.2020 20:05:51

POSTROUTING
...
-o enp3s1 -j MASQUERADE
(где enp3s1 - интерфейс внешней сети)

здесь понятно.

galkin24 · « **Ответ #10 :** 02.06.2020 20:56:51 »

нет, не помогло

Александр Ерещенко · « **Ответ #11 :** 02.06.2020 21:50:20 »

У Вас на скриншоте альтератора не отмечен пункт "Прокси-сервер".
Видимо, по порту 3128 не пускает из локалки.
Заодно покажите

Код: [Выделить]

cat /etc/net/ifaces/default/fw/iptables/filter/INPUT

galkin24 · « **Ответ #12 :** 02.06.2020 23:00:47 »

а вот этот пункт я не могу включить, после постановки галки и нажатия кнопки "применить" появляется ругательство
« /usr/bin/iptables_helper: строка 1024: comm: не заданы границы переменной»

[root@ks ~]# cat /etc/net/ifaces/default/fw/iptables/filter/INPUT
# This file was automatically created by alterator-net-iptables.
# If you are using alterator-net-iptables then all changes
# made in this file by hands may lost!
# For more information see alterator-net-iptables(1).

-P ACCEPT
-f -j DROP
-m conntrack --ctstate ESTABLISHED,RELATED -j ACCEPT
-i enp3s1 -p tcp --dport 8080 -j ACCEPT
-i enp3s1 -p udp --dport 1194 -j ACCEPT
-i enp3s1 -p tcp --dport 1194 -j ACCEPT
-i enp3s1 -p tcp --dport 3128 -j ACCEPT
-i enp3s1 -p tcp --dport 22 -j ACCEPT
-i enp3s1 -p udp --dport 22 -j ACCEPT
-i enp3s1 -p icmp -j ACCEPT
-i enp3s1 -j DROP

Форум сообщества
Альт Линукс