Настройка Squid

[vanchope]

Здравствуйте!
Имеется:
главный компьютер с ALT Master 5.0 с двумя сетевыми картами:
Eth0 настроен на получение ip по DHCP от ADSL роутера (выход в Интернет), обычно 192.168.1.2;
Eth1 настроен вручную 192.168.0.1 (локальная сеть);
Задача:
Чтобы компьютеры локальный сети (192.168.0.2/4) и сам главный компьютер ходили в Интернет через прокси Squid.

В Squid.conf прописал

Код: [Выделить]

acl our_networks src 192.168.0.1/3    # моя сеть
http_access allow our_networks
http_access deny allПерезапустил Squid
В центре управления системой поставил адрес прокси сервера 192.168.0.1  и порт 3128. В параметрах системы во вкладке прокси указал параметры прокси вручную. Для надёжности в Firefox тоже прописал выходить через прокси. Думал, что этого достаточно, но ни главный компьютер, ни компы локальной сети в интернет не выходят. Что ещё нужно сделать?

[ruslandh]

192.168.0.1/3 - какая-то странная у вас  маска сети.

[vanchope]

192.168.0.1/3 - какая-то странная у вас  маска сети.

Я просто хотел, чтобы локальная сеть состояла из компов с ip 192.168.0.1, 192.168.0.2 и 192.168.0.3. Разве так  нельзя писать?

[Skull]

192.168.0.1/3 - какая-то странная у вас  маска сети.

Я просто хотел, чтобы локальная сеть состояла из компов с ip 192.168.0.1, 192.168.0.2 и 192.168.0.3. Разве так  нельзя писать?

Там совсем другой алгоритм. См. http://jodies.de/ipcalc?host=192.168.0.1&mask1=3&mask2=
HostMin:   192.0.0.1
HostMax:   223.255.255.254
Hosts/Net: 536870910

Так что не три хоста, а полмиллиарда :)

[lucefer]

Код: [Выделить]

acl our_networks src 192.168.0.1/3    # моя сеть
http_access allow our_networks
http_access deny all

Код: [Выделить]

192.168.0.0/24или

Код: [Выделить]

192.168.0.0/255,255.255.255.0

[lucefer]

Установка squid.
Запускаем консоль и заходим в режим суперпользователя.

Код: [Выделить]

[user@sever ~]$ su-
Password:
[root@sever ~]#С помощью команды apt-get install устанавливаем необходимый пакет:

Код: [Выделить]

[root@sever ~]# apt-get install squidПосле установки редактируем конфигурационный файл squid.

Код: [Выделить]

[root@sever ~]# vim /etc/squid/squid.confВот необходимый минимум для настройки прокси-сервера:

Код: [Выделить]

#Recommended minimum configuration:
acl all src 0.0.0.0/0.0.0.0
acl manager proto cache_object
acl localhost src 127.0.0.1/255.255.255.255
acl SchoolNet src 192.168.1.0/24
acl to_localhost dst 127.0.0.0/8
acl SSL_ports port 443          # https
acl SSL_ports port 563          # snews
acl Rsync_ports port 873
acl Jabber_ports port 5222 5223
acl Safe_ports port 80          # http
acl Safe_ports port 21          # ftp
acl Safe_ports port 443         # https
acl Safe_ports port 70          # gopher
acl Safe_ports port 210         # wais
acl Safe_ports port 1025-65535  # unregistered ports
acl Safe_ports port 280         # http-mgmt
acl Safe_ports port 488         # gss-http
acl Safe_ports port 563         # snews
acl Safe_ports port 591         # filemaker
acl Safe_ports port 777         # multiling http
acl Safe_ports port 631         # cups
acl Safe_ports port 873         # rsync
acl Safe_ports port 901         # SWAT
acl CONNECT method CONNECT
 
# And finally deny all other access to this proxy
http_access allow localhost<
http_access allow SchoolNet
http_access deny all
# Squid normally listens to port 3128
http_port 192.168.1.1:3128
#Default:
cache_mem 64 MB
# httpd_accel_no_pmtu_disc off
httpd_accel_host virtual
httpd_accel_port 80
httpd_accel_with_proxy on httpd_accel_uses_host_header onСохраняем файл. Для этого нажимаем клавише "Esc", а затем, удерживаю клавишу "Shift" нажимаем два раза клавишу "Z".
Перезапускаем прокси-сервер.

Код: [Выделить]

[root@sever52 ~]# service squid restartПрокси-сервер настроен. Тепрь необходмо настроить только клиенты на Ваш сервер.

[muraig]

После экспериментов с конфигом Squid желательно вернуть конфиг в первоначальный вид и внести свои изменения.
1. При обновлении будет меньше проблем
2. Некоторые программы, например SAMS ,привязываются к тегам в конфиге Squid и при отсуствии оных не будут корректно работать.

Если Squid'ом планируется "рулить" трафик пользователей - желательно и в конфиг iptables добавить строчку, которая ВЕСЬ трафик с порта out 80 заворачивает на 127.0.0.1:3128.

[vanchope]

Код: [Выделить]

acl our_networks src 192.168.0.1/3    # моя сеть
http_access allow our_networks
http_access deny all

Код: [Выделить]

192.168.0.0/24или

Код: [Выделить]

192.168.0.0/255,255.255.255.0

Да, понял, спасибо. Хочется побыстрее к практике перейти, а теорию не знаешь, вот и получается такое... Зато теперь понял, что такое маска сети   :D

После экспериментов с конфигом Squid желательно вернуть конфиг в первоначальный вид и внести свои изменения.

Это я тоже уже понял. Вернул конфиг, а потом уже редактировал в альтераторе. Во вкладке прокси-сервер поставил галочку включить сервис прокси сервера и добавил разрешённую сеть 192.168.0.1/24. Перезапустил Squid и всё заработало.  :) 

Вот необходимый минимум для настройки прокси-сервера:

Код: [Выделить]

#Recommended minimum configuration:
acl all src 0.0.0.0/0.0.0.0
acl manager proto cache_object
acl localhost src 127.0.0.1/255.255.255.255
acl SchoolNet src 192.168.1.0/24
acl to_localhost dst 127.0.0.0/8
acl SSL_ports port 443          # https
acl SSL_ports port 563          # snews
acl Rsync_ports port 873
acl Jabber_ports port 5222 5223
acl Safe_ports port 80          # http
acl Safe_ports port 21          # ftp
acl Safe_ports port 443         # https
acl Safe_ports port 70          # gopher
acl Safe_ports port 210         # wais
acl Safe_ports port 1025-65535  # unregistered ports
acl Safe_ports port 280         # http-mgmt
acl Safe_ports port 488         # gss-http
acl Safe_ports port 563         # snews
acl Safe_ports port 591         # filemaker
acl Safe_ports port 777         # multiling http
acl Safe_ports port 631         # cups
acl Safe_ports port 873         # rsync
acl Safe_ports port 901         # SWAT
acl CONNECT method CONNECT
 
# And finally deny all other access to this proxy
http_access allow localhost<
http_access allow SchoolNet
http_access deny all
# Squid normally listens to port 3128
http_port 192.168.1.1:3128
#Default:
cache_mem 64 MB
# httpd_accel_no_pmtu_disc off
httpd_accel_host virtual
httpd_accel_port 80
httpd_accel_with_proxy on httpd_accel_uses_host_header onСохраняем файл. Для этого нажимаем клавише "Esc", а затем, удерживаю клавишу "Shift" нажимаем два раза клавишу "Z".
Перезапускаем прокси-сервер.

Код: [Выделить]

[root@sever52 ~]# service squid restartПрокси-сервер настроен. Тепрь необходмо настроить только клиенты на Ваш сервер.

Спасибо, очень полезная информация. Осталось дело за малым - разобраться со всеми остальными настройками.  :)
Меня в первую очередь интересует, как сделать доступ к сквиду по имени и паролю, чтобы в лог записывалось, какой пользователь куда и когда ходил. Это, конечно, отдельная тема, но если кто кинет ссылочку, где можно почитать об этом, буду очень благодарен.

Всем спасибо за помощь! 

[lucefer]

http://www.lissyara.su/articles/freebsd/programms/sarg/ - это устроит?

[muraig]

Synaptic -> "Искать" -> sarg

Код: [Выделить]

Squid report generator per user/ip/name
Sarg (was Sqmgrlog) generate reports per user/ip/name from SQUID log file.
 The reports will be generated in HTML or email.
он только собирает логи
неплохой проект для управления Squid - SAMS(Squis Access Management Servis) как то так расшифровывается :)
по сути это Web-игтерфейс для управления Squid демоном
вот ссылка с гугли поисковая

http://www.google.com/search?hl=ru&lr=lang_ru&client=opera&rls=ru&tbs=lr%3Alang_1ru&q=sams+squid+%D0%BD%D0%B0%D1%81%D1%82%D1%80%D0%BE%D0%B9%D0%BA%D0%B0&aq=1&aqi=g10&aql=&oq=sams+squid&gs_rfai=


По IP и логин-пароль работает, есть настройки для работы с AD но я их не юзал.
После настройки работал пару лет без вмешательства :)
..правда на фряхе ;) но главное - что проект развивается и функционален.

[vanchope]

Круто!!! Пока прочитал только описание Sarg, очень похоже, что это то, что надо!  Буду разбираться. Спасибо!  :)

[alex270375]

После установки редактируем конфигурационный файл squid.

Код: [Выделить]

[root@sever ~]# vim /etc/squid/squid.confВот необходимый минимум для настройки прокси-сервера:

Код: [Выделить]

#Recommended minimum configuration:
acl all src 0.0.0.0/0.0.0.0
acl manager proto cache_object
acl localhost src 127.0.0.1/255.255.255.255
acl SchoolNet src 192.168.1.0/24
acl to_localhost dst 127.0.0.0/8
acl SSL_ports port 443          # https
acl SSL_ports port 563          # snews
acl Rsync_ports port 873
acl Jabber_ports port 5222 5223
acl Safe_ports port 80          # http
acl Safe_ports port 21          # ftp
acl Safe_ports port 443         # https
acl Safe_ports port 70          # gopher
acl Safe_ports port 210         # wais
acl Safe_ports port 1025-65535  # unregistered ports
acl Safe_ports port 280         # http-mgmt
acl Safe_ports port 488         # gss-http
acl Safe_ports port 563         # snews
acl Safe_ports port 591         # filemaker
acl Safe_ports port 777         # multiling http
acl Safe_ports port 631         # cups
acl Safe_ports port 873         # rsync
acl Safe_ports port 901         # SWAT
acl CONNECT method CONNECT
 
# And finally deny all other access to this proxy
http_access allow localhost<
http_access allow SchoolNet
http_access deny all
# Squid normally listens to port 3128
http_port 192.168.1.1:3128
#Default:
cache_mem 64 MB
# httpd_accel_no_pmtu_disc off
httpd_accel_host virtual
httpd_accel_port 80
httpd_accel_with_proxy on httpd_accel_uses_host_header onСохраняем файл. Для этого нажимаем клавише "Esc", а затем, удерживаю клавишу "Shift" нажимаем два раза клавишу "Z".
Перезапускаем прокси-сервер.

Код: [Выделить]

[root@sever52 ~]# service squid restartПрокси-сервер настроен. Тепрь необходмо настроить только клиенты на Ваш сервер.

Вопрос: В чем заключается редактирование конфигурационного файла squid? Просто в конце файла вставить "необходимый минимум для настройки прокси-сервера". Если это так, то я именно так и сделал, в конце файла squid.conf вставил этот необходимый минимум (как есть, хотя предполагаю, что мне нужно где-то прописать свои данные). Затем перезапустил "service squid restart", но вовремя перезапуска у меня появилось вот что:
[root@SERVER squid]# service squid restart
Stopping squid service:                                                                                                                                                                 [ DONE ]
Starting squid service: 2010/11/10 14:05:31| WARNING: '0.0.0.0/0.0.0.0' is a subnetwork of '0.0.0.0/0.0.0.0'
2010/11/10 14:05:31| WARNING: because of this '0.0.0.0/0.0.0.0' is ignored to keep splay tree searching predictable
2010/11/10 14:05:31| WARNING: You should probably remove '0.0.0.0/0.0.0.0' from the ACL named 'all'
2010/11/10 14:05:31| WARNING: '127.0.0.1' is a subnetwork of '127.0.0.1'
2010/11/10 14:05:31| WARNING: because of this '127.0.0.1' is ignored to keep splay tree searching predictable
2010/11/10 14:05:31| WARNING: You should probably remove '127.0.0.1' from the ACL named 'localhost'
2010/11/10 14:05:31| WARNING: '127.0.0.0/255.0.0.0' is a subnetwork of '127.0.0.0/255.0.0.0'
2010/11/10 14:05:31| WARNING: because of this '127.0.0.0/255.0.0.0' is ignored to keep splay tree searching predictable
2010/11/10 14:05:31| WARNING: You should probably remove '127.0.0.0/255.0.0.0' from the ACL named 'to_localhost'
2010/11/10 14:05:31| aclParseAccessLine: ACL name 'localhost<' not found.
FATAL: Bungled squid.conf line 4756: http_access allow localhost<
Squid Cache (Version 3.0.STABLE19): Terminated abnormally.
CPU Usage: 0.024 seconds = 0.012 user + 0.012 sys
Maximum Resident Size: 0 KB
Page faults with physical i/o: 0
                                                                                                                                                                                        [FAILED]
[root@SERVER squid]#
 
После этого мой браузер вообще отказался идти в интернет, выходит сообщение:
"Прокси-сервер отказывается принимать соединения"
"Firefox настроен на использование прокси-сервера, который отказывает в соединении."
"Проверьте настройки прокси-сервера и убедитесь, что они верны.
 Свяжитесь с вашим системным администратором и убедитесь, что прокси-сервер работает."
Подскажите, что не так???

[ovk]

Подскажите, что не так???

1. Разобраться, как сотавляются правила для конфига сквид (лишний символ <)
2. Если нет желания, настраивать прокси с помощью Альтератора.

[alex270375]

А как можно настроить прокси с помощью альтератора???
У меня в альтераторе в разделе "Настройки прокси" можно указать только:
1. Прокси-сервер.
2. Порт.
3. Учетная запись.
4. Пароль.

Но как я понимаю этого ведь мало???

[ovk]

По Альтератору ничего подсказать не могу - нет у меня его, но, судя по Вашему сообщению, Вы пытались настроить доступ к сети клиентских приложений  через прокси-сервер, а не сам прокси-сервер.
Читайте на 5 сообщений выше:

После экспериментов с конфигом Squid желательно вернуть конфиг в первоначальный вид и внести свои изменения.

Это я тоже уже понял. Вернул конфиг, а потом уже редактировал в альтераторе. Во вкладке прокси-сервер поставил галочку включить сервис прокси сервера и добавил разрешённую сеть 192.168.0.1/24. Перезапустил Squid и всё заработало.  :)