BSDPORTAL.RU

На этом сайте обсуждаются вопросы использования ОС FreeBSD
 Портал  •  Статьи  •  Форум  •  Wiki  •  Поиск  •  FAQ  •  Обои  •   Официальная документация  •  Новые темы 

Часовой пояс: UTC + 4 часа




Начать новую тему Ответить на тему  [ 1 сообщение ] 
Автор Сообщение
 Заголовок сообщения: Прозрачный SQUID - Access denied
СообщениеДобавлено: Сб 24 фев, 2018 3:37 pm 
Не в сети

Зарегистрирован: Вс 09 окт, 2016 3:45 am
Сообщения: 23
Squid настроен как прозрачный прокси. Адрес сервера 10.0.0.2, следуя из конфига, я разрешил доступ подсетям 10.0.0.0/28 и 10.0.2.0/29. Но пытаюсь подключиться с хоста 10.0.0.5, получаю Access Denied, c хоста 10.0.2.4 тоже самое. Без прозрачных проксей все работает
squid.conf
Код:
#
# Recommended minimum configuration:
#
# Example rule allowing access from your local networks.
# Adapt to list your (internal) IP networks from where browsing
# should be allowed
acl hslan src 10.0.0.0/28       # RFC1918 possible internal network
acl openvpn src 10.0.2.0/29     # RFC1918 possible internal network

acl SSL_ports port 443
acl Safe_ports port 80          # http
acl Safe_ports port 21          # ftp
acl Safe_ports port 443         # https
acl Safe_ports port 70          # gopher
acl Safe_ports port 210         # wais
acl Safe_ports port 1025-65535  # unregistered ports
acl Safe_ports port 280         # http-mgmt
acl Safe_ports port 488         # gss-http
acl Safe_ports port 591         # filemaker
acl Safe_ports port 777         # multiling http
acl CONNECT method CONNECT

#
# Recommended minimum Access Permission configuration:
#
# Deny requests to certain unsafe ports
http_access deny !Safe_ports

# Deny CONNECT to other than secure SSL ports
http_access deny CONNECT !SSL_ports

# Only allow cachemgr access from localhost
http_access allow localhost manager
http_access deny manager

#
# INSERT YOUR OWN RULE(S) HERE TO ALLOW ACCESS FROM YOUR CLIENTS
#

# Example rule allowing access from your local networks.
# Adapt localnet in the ACL section to list your (internal) IP networks
# from where browsing should be allowed
http_access allow localhost
http_access allow hslan
http_access allow openvpn
http_access deny all

# Squid normally listens to port 3128
http_port 10.0.0.2:3128 intercept options=NO_SSLv3:NO_SSLv2
https_port 10.0.0.2:3129 intercept ssl-bump options=ALL:NO_SSLv3:NO_SSLv2 connection-auth=off cert=/usr/local/etc/squid/squidCA.pem
http_port 10.0.0.2:3130 options=NO_SSLv3:NO_SSLv2

always_direct allow all
sslproxy_cert_error allow all
sslproxy_flags DONT_VERIFY_PEER

sslcrtd_program /usr/local/libexec/squid/ssl_crtd -s /var/lib/ssl_db -M 4MB

# Uncomment and adjust the following to add a disk cache directory.
cache_dir ufs /var/squid/cache 100 16 256

# Leave coredumps in the first cache dir
coredump_dir /var/squid/cache

reply_header_max_size 200 KB
#
# Add any of your own refresh_pattern entries above these.
#
refresh_pattern ^ftp:           1440    20%     10080
refresh_pattern ^gopher:        1440    0%      1440
refresh_pattern -i (/cgi-bin/|\?) 0     0%      0
refresh_pattern .               0       20%     4320

ipfw
Код:
00100     0       0 check-state :default
00200 15384  569184 allow ip from any to any via lo0
00300     0       0 deny ip from any to 127.0.0.0/8
00400     0       0 deny ip from 127.0.0.0/8 to any
00500     0       0 deny ip from any to 172.16.0.0/12 in via re0
00600     0       0 deny ip from any to 192.168.0.0/16 in via re0
00700     0       0 deny ip from any to 0.0.0.0/8 in via re0
00800     0       0 deny ip from any to 169.254.0.0/16 in via re0
00900  4098  739396 deny ip from any to 240.0.0.0/4 in via re0
01000     0       0 deny icmp from any to any frag
01100     0       0 deny log logamount 5 icmp from any to 255.255.255.255 in via re0
01200     0       0 deny log logamount 5 icmp from any to 255.255.255.255 out via re0
01300     0       0 deny ip from 172.16.0.0/12 to any out via re0
01400     0       0 deny ip from 192.168.0.0/16 to any out via re0
01500     0       0 deny ip from 0.0.0.0/8 to any out via re0
01600     0       0 deny ip from 169.254.0.0/16 to any out via re0
01700     0       0 deny ip from 224.0.0.0/4 to any out via re0
01800     0       0 deny ip from 240.0.0.0/4 to any out via re0
01900  5759 1281599 allow tcp from any to any established
02000 36818 3989522 allow ip from 10.0.0.2 to any out xmit re0
02100     0       0 allow tcp from me to any out via re0 uid squid keep-state :default
02200     0       0 fwd 10.0.0.2,3128 tcp from 10.0.2.0/29 to any dst-port 80-83,8080-8088 out via re0 keep-state :default
02300     0       0 fwd 10.0.0.2,3128 tcp from 10.0.0.0/28 to any dst-port 80-83,8080-8088 out via re0 keep-state :default
02400 22495 8700768 allow udp from any 53 to any via re0
02500     0       0 allow tcp from any 3128 to any via re0
02600     0       0 allow tcp from any 3129 to any via re0
02700     0       0 allow tcp from any 3130 to any via re0
02800 11508  773177 allow udp from 10.0.0.0/28 to any dst-port 53 via re0
02900     0       0 allow udp from 10.0.2.0/29 to any dst-port 53 via re0
03000     5     280 allow icmp from any to any icmptypes 0,8,11
03100     3     192 allow tcp from 10.0.0.0/28 to 10.0.0.2 dst-port 2001 via re0
03200     0       0 allow tcp from 10.0.2.0/29 to 10.0.0.2 dst-port 2001 via re0
03300     5     320 allow tcp from 10.0.0.0/28 to 10.0.0.2 dst-port 3128 via re0
03400     0       0 allow tcp from 10.0.2.0/29 to 10.0.0.2 dst-port 3128 via re0
03500     0       0 allow tcp from 10.0.0.0/28 to 10.0.0.2 dst-port 3129 via re0
03600     0       0 allow tcp from 10.0.2.0/29 to 10.0.0.2 dst-port 3129 via re0
03700     0       0 allow tcp from 10.0.0.0/28 to 10.0.0.2 dst-port 3130 via re0
03800     0       0 allow tcp from 10.0.2.0/29 to 10.0.0.2 dst-port 3130 via re0
03900     0       0 allow udp from 10.0.0.0/28 to 10.0.0.2 dst-port 161 via re0
04000     1      64 allow tcp from 10.0.0.0/28 to 10.0.0.2 dst-port 161 via re0
04100  1433  108908 allow udp from 10.0.0.0/28 to 10.0.0.2 dst-port 123 via re0
04200     0       0 allow udp from 10.0.2.0/29 to 10.0.0.2 dst-port 123 via re0
04300  9171  747339 deny log logamount 5 ip from any to any
65535     0       0 deny ip from any to any


Вернуться к началу
 Профиль  
 
Показать сообщения за:  Поле сортировки  
Начать новую тему Ответить на тему  [ 1 сообщение ] 

Часовой пояс: UTC + 4 часа


Кто сейчас на конференции

Зарегистрированные пользователи: Google [Bot]


Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете добавлять вложения

Найти:
Создано на основе phpBB® Forum Software © phpBB Group
Русская поддержка phpBB
Яндекс.Метрика