BSDPORTAL.RU

На этом сайте обсуждаются вопросы использования ОС FreeBSD
 Портал  •  Статьи  •  Форум  •  Wiki  •  Поиск  •  FAQ  •  Обои  •   Официальная документация  •  Новые темы 

Часовой пояс: UTC + 4 часа




Начать новую тему Ответить на тему  [ 1 сообщение ] 
Автор Сообщение
 Заголовок сообщения: Прозрачный SQUID - Access denied
СообщениеДобавлено: Сб 24 фев, 2018 3:37 pm 
Не в сети

Зарегистрирован: Вс 09 окт, 2016 3:45 am
Сообщения: 23
Squid настроен как прозрачный прокси. Адрес сервера 10.0.0.2, следуя из конфига, я разрешил доступ подсетям 10.0.0.0/28 и 10.0.2.0/29. Но пытаюсь подключиться с хоста 10.0.0.5, получаю Access Denied, c хоста 10.0.2.4 тоже самое. Без прозрачных проксей все работает
squid.conf
Код:
#
# Recommended minimum configuration:
#
# Example rule allowing access from your local networks.
# Adapt to list your (internal) IP networks from where browsing
# should be allowed
acl hslan src 10.0.0.0/28       # RFC1918 possible internal network
acl openvpn src 10.0.2.0/29     # RFC1918 possible internal network

acl SSL_ports port 443
acl Safe_ports port 80          # http
acl Safe_ports port 21          # ftp
acl Safe_ports port 443         # https
acl Safe_ports port 70          # gopher
acl Safe_ports port 210         # wais
acl Safe_ports port 1025-65535  # unregistered ports
acl Safe_ports port 280         # http-mgmt
acl Safe_ports port 488         # gss-http
acl Safe_ports port 591         # filemaker
acl Safe_ports port 777         # multiling http
acl CONNECT method CONNECT

#
# Recommended minimum Access Permission configuration:
#
# Deny requests to certain unsafe ports
http_access deny !Safe_ports

# Deny CONNECT to other than secure SSL ports
http_access deny CONNECT !SSL_ports

# Only allow cachemgr access from localhost
http_access allow localhost manager
http_access deny manager

#
# INSERT YOUR OWN RULE(S) HERE TO ALLOW ACCESS FROM YOUR CLIENTS
#

# Example rule allowing access from your local networks.
# Adapt localnet in the ACL section to list your (internal) IP networks
# from where browsing should be allowed
http_access allow localhost
http_access allow hslan
http_access allow openvpn
http_access deny all

# Squid normally listens to port 3128
http_port 10.0.0.2:3128 intercept options=NO_SSLv3:NO_SSLv2
https_port 10.0.0.2:3129 intercept ssl-bump options=ALL:NO_SSLv3:NO_SSLv2 connection-auth=off cert=/usr/local/etc/squid/squidCA.pem
http_port 10.0.0.2:3130 options=NO_SSLv3:NO_SSLv2

always_direct allow all
sslproxy_cert_error allow all
sslproxy_flags DONT_VERIFY_PEER

sslcrtd_program /usr/local/libexec/squid/ssl_crtd -s /var/lib/ssl_db -M 4MB

# Uncomment and adjust the following to add a disk cache directory.
cache_dir ufs /var/squid/cache 100 16 256

# Leave coredumps in the first cache dir
coredump_dir /var/squid/cache

reply_header_max_size 200 KB
#
# Add any of your own refresh_pattern entries above these.
#
refresh_pattern ^ftp:           1440    20%     10080
refresh_pattern ^gopher:        1440    0%      1440
refresh_pattern -i (/cgi-bin/|\?) 0     0%      0
refresh_pattern .               0       20%     4320

ipfw
Код:
00100     0       0 check-state :default
00200 15384  569184 allow ip from any to any via lo0
00300     0       0 deny ip from any to 127.0.0.0/8
00400     0       0 deny ip from 127.0.0.0/8 to any
00500     0       0 deny ip from any to 172.16.0.0/12 in via re0
00600     0       0 deny ip from any to 192.168.0.0/16 in via re0
00700     0       0 deny ip from any to 0.0.0.0/8 in via re0
00800     0       0 deny ip from any to 169.254.0.0/16 in via re0
00900  4098  739396 deny ip from any to 240.0.0.0/4 in via re0
01000     0       0 deny icmp from any to any frag
01100     0       0 deny log logamount 5 icmp from any to 255.255.255.255 in via re0
01200     0       0 deny log logamount 5 icmp from any to 255.255.255.255 out via re0
01300     0       0 deny ip from 172.16.0.0/12 to any out via re0
01400     0       0 deny ip from 192.168.0.0/16 to any out via re0
01500     0       0 deny ip from 0.0.0.0/8 to any out via re0
01600     0       0 deny ip from 169.254.0.0/16 to any out via re0
01700     0       0 deny ip from 224.0.0.0/4 to any out via re0
01800     0       0 deny ip from 240.0.0.0/4 to any out via re0
01900  5759 1281599 allow tcp from any to any established
02000 36818 3989522 allow ip from 10.0.0.2 to any out xmit re0
02100     0       0 allow tcp from me to any out via re0 uid squid keep-state :default
02200     0       0 fwd 10.0.0.2,3128 tcp from 10.0.2.0/29 to any dst-port 80-83,8080-8088 out via re0 keep-state :default
02300     0       0 fwd 10.0.0.2,3128 tcp from 10.0.0.0/28 to any dst-port 80-83,8080-8088 out via re0 keep-state :default
02400 22495 8700768 allow udp from any 53 to any via re0
02500     0       0 allow tcp from any 3128 to any via re0
02600     0       0 allow tcp from any 3129 to any via re0
02700     0       0 allow tcp from any 3130 to any via re0
02800 11508  773177 allow udp from 10.0.0.0/28 to any dst-port 53 via re0
02900     0       0 allow udp from 10.0.2.0/29 to any dst-port 53 via re0
03000     5     280 allow icmp from any to any icmptypes 0,8,11
03100     3     192 allow tcp from 10.0.0.0/28 to 10.0.0.2 dst-port 2001 via re0
03200     0       0 allow tcp from 10.0.2.0/29 to 10.0.0.2 dst-port 2001 via re0
03300     5     320 allow tcp from 10.0.0.0/28 to 10.0.0.2 dst-port 3128 via re0
03400     0       0 allow tcp from 10.0.2.0/29 to 10.0.0.2 dst-port 3128 via re0
03500     0       0 allow tcp from 10.0.0.0/28 to 10.0.0.2 dst-port 3129 via re0
03600     0       0 allow tcp from 10.0.2.0/29 to 10.0.0.2 dst-port 3129 via re0
03700     0       0 allow tcp from 10.0.0.0/28 to 10.0.0.2 dst-port 3130 via re0
03800     0       0 allow tcp from 10.0.2.0/29 to 10.0.0.2 dst-port 3130 via re0
03900     0       0 allow udp from 10.0.0.0/28 to 10.0.0.2 dst-port 161 via re0
04000     1      64 allow tcp from 10.0.0.0/28 to 10.0.0.2 dst-port 161 via re0
04100  1433  108908 allow udp from 10.0.0.0/28 to 10.0.0.2 dst-port 123 via re0
04200     0       0 allow udp from 10.0.2.0/29 to 10.0.0.2 dst-port 123 via re0
04300  9171  747339 deny log logamount 5 ip from any to any
65535     0       0 deny ip from any to any


Вернуться к началу
 Профиль  
 
Показать сообщения за:  Поле сортировки  
Начать новую тему Ответить на тему  [ 1 сообщение ] 

Часовой пояс: UTC + 4 часа


Кто сейчас на конференции

Зарегистрированные пользователи: Bing [Bot], Google [Bot], Google Feedfetcher


Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете добавлять вложения

Найти:
Создано на основе phpBB® Forum Software © phpBB Group
Русская поддержка phpBB
Яндекс.Метрика