Kandu.dk - Squid proxy


/ Forside / Teknologi / Operativsystemer / Linux / Nyhedsindlæg

Glemt dit kodeord?

Brugernavn*

Kodeord *

Husk mig

Brugerservice

Kom godt i gang

Bliv medlem

Seneste indlæg

Find en bruger

Stil et spørgsmål

Skriv et tip

Fortæl en ven

Pointsystemet

Kontakt Kandu.dk

Emnevisning

Kategorier

Alfabetisk

Karriere

Interesser

Teknologi

Reklame

Top 10 brugere

Linux

#	Navn	Point
1	o.v.n.	11177
2	peque	7911
3	dk	4814
4	e.c	2359
5	Uranus	1334
6	emesen	1334
7	stone47	1307
8	linuxrules	1214
9	Octon	1100
10	BjarneD	875

Squid proxy
Fra : Martin Kiefer

Dato : 11-06-03 18:36

Hejsa

Jeg har her i dag installeret en Squid Proxy-server på en RH 9.0 med
iptables. Jeg prøver så på at få den til at kigge efter ikke godkendte
domæner via sleezeball. Det virkede fint i eftermiddags da jeg installerede
og testede. Da jeg så slukkede maskinen for at placere den det sted den nu
engang skal stå (for ikke at larme for meget) virker det ikke længere !?

jeg har indsat følgende i min iptables:
-A PREROUTING -i eth0 -p tcp -m tcp --dport 80 -j REDIRECT --to-ports 3128
-A POSTROUTING -d ! 192.168.2.0/255.255.255.0 -j MASQUERADE

og har i squid.conf sat:
redirect_program /usr/lib/squid/sleezeball

Når jeg nu indtaster en adresse i min webbrowser giver den følgende:
"the requested url could not be retrieved" og det uanset hvilken url jeg
indtaster.

Jeg har en idé om at det er i min iptables der er et eller andet galt. for
jeg kan f.eks godt pinge den adresse jeg prøvede at indtaste i webbrowseren
før.

Systemet er en RH 9.0 og hvis der er behov for andre oplysninger, ja så
skriv endelig da dette er ved at give mig en del grå hår da det som sagt
virkede lige indtil jeg slukkede maskinen og tændte den igen...

--
Mvh
Martin Kiefer
www.kiefer.dk

Martin Arendtsen (11-06-2003)

Kommentar
Fra : Martin Arendtsen

Dato : 11-06-03 19:54

In article <3ee7687f$0$48915$edfadb0f@dtext02.news.tele.dk>,
Martin Kiefer wrote:
----klip----

> Systemet er en RH 9.0 og hvis der er behov for andre oplysninger, ja så
> skriv endelig da dette er ved at give mig en del grå hår da det som sagt
> virkede lige indtil jeg slukkede maskinen og tændte den igen...
>

Og du har husket at starte squid?
Og tilføjet den så den starter automatisk?

/Martin
--
Segment fault = It's not my fault!
----------------------------------
Martin Arendtsen
mailto:mga@arendtsen.dk

Martin Kiefer (11-06-2003)

Kommentar
Fra : Martin Kiefer

Dato : 11-06-03 20:23

"Martin Arendtsen" <martin@laptop-martin.arendtsen.dk> wrote in message
news:slrnbeeul2.thf.martin@laptop-martin.arendtsen.dk...
>
> Og du har husket at starte squid?
> Og tilføjet den så den starter automatisk?
>
jo jo, den er skam startet og stoppet og startet igen... op til flere
gange..

--
Mvh
Martin Kiefer
www.kiefer.dk

Esben Laursen (11-06-2003)

Kommentar
Fra : Esben Laursen

Dato : 11-06-03 20:41

"Martin Kiefer" <martin@kiefer.dk> skrev i en meddelelse
news:3ee7687f$0$48915$edfadb0f@dtext02.news.tele.dk...
> Hejsa
>
> Jeg har her i dag installeret en Squid Proxy-server på en RH 9.0 med
> iptables. Jeg prøver så på at få den til at kigge efter ikke godkendte
> domæner via sleezeball. Det virkede fint i eftermiddags da jeg
installerede
> og testede. Da jeg så slukkede maskinen for at placere den det sted den nu
> engang skal stå (for ikke at larme for meget) virker det ikke længere !?
>
> jeg har indsat følgende i min iptables:
> -A PREROUTING -i eth0 -p tcp -m tcp --dport 80 -j REDIRECT --to-ports 3128
> -A POSTROUTING -d ! 192.168.2.0/255.255.255.0 -j MASQUERADE

Jeg mener at have haft held med:

iptables -t nat -A PREROUTING -p tcp --dport www -j DNAT --to-destination
10.0.0.2:3128

Esben

Martin Kiefer (11-06-2003)

Kommentar
Fra : Martin Kiefer

Dato : 11-06-03 20:49

"Esben Laursen" <hyber@NOSPAM-PLEASE.hyber.dk> wrote in message
news:cELFa.16380$Jp3.650070@news010.worldonline.dk...
>
>
> iptables -t nat -A PREROUTING -p tcp --dport www -j DNAT --to-destination
> 10.0.0.2:3128
>

Havde ingen effekt, det virker som om trafikken ikke bliver sendt frem og
tilbage.

--
Mvh
Martin Kiefer
www.kiefer.dk

Martin Kiefer (11-06-2003)

Kommentar
Fra : Martin Kiefer

Dato : 11-06-03 21:13

Hej igen.

Jeg har lige sakset min iptables konfiguration ind i det nedenstående, måske
er der en der kan give mig et hint til hvor det går helt galt, jeg synes jeg
sidder og stirrer mig blind på det her. Og har gjort det snart længe...

Skal lige bemærkes at alt efter *filter er autogeneret af RH da jeg
installerede RH 9.0 og det er som sådan kun linien med prerouting og
postrouting jeg selv har pillet ved.

# Generated by iptables-save v1.2.7a on Wed Jun 11 18:09:00 2003
*nat
:PREROUTING ACCEPT
:POSTROUTING ACCEPT
:OUTPUT ACCEPT
-A PREROUTING -i eth0 -p tcp -m tcp --dport 80 -j REDIRECT --to-ports 3128
-A POSTROUTING -d ! 192.168.2.0/255.255.255.0 -j MASQUERADE
COMMIT
# Completed on Wed Jun 11 18:09:00 2003
# Generated by iptables-save v1.2.7a on Wed Jun 11 18:09:00 2003
*filter
:INPUT ACCEPT
:FORWARD ACCEPT
:OUTPUT ACCEPT
:RH-Lokkit-0-50-INPUT -
-A INPUT -j RH-Lokkit-0-50-INPUT
-A FORWARD -j RH-Lokkit-0-50-INPUT

-A RH-Lokkit-0-50-INPUT -p tcp -m tcp --dport 110 --tcp-flags SYN,RST,ACK
SYN -j ACCEPT
-A RH-Lokkit-0-50-INPUT -p tcp -m tcp --dport 25 --tcp-flags SYN,RST,ACK
SYN -j ACCEPT
-A RH-Lokkit-0-50-INPUT -p tcp -m tcp --dport 80 --tcp-flags SYN,RST,ACK
SYN -j ACCEPT
-A RH-Lokkit-0-50-INPUT -p tcp -m tcp --dport 21 --tcp-flags SYN,RST,ACK
SYN -j ACCEPT
-A RH-Lokkit-0-50-INPUT -p tcp -m tcp --dport 22 --tcp-flags SYN,RST,ACK
SYN -j ACCEPT
-A RH-Lokkit-0-50-INPUT -i eth0 -p udp -m udp --sport 67:68 --dport 67:68 -j
ACCEPT
-A RH-Lokkit-0-50-INPUT -i eth1 -p udp -m udp --sport 67:68 --dport 67:68 -j
ACCEPT
-A RH-Lokkit-0-50-INPUT -i lo -j ACCEPT
-A RH-Lokkit-0-50-INPUT -i eth0 -j ACCEPT
-A RH-Lokkit-0-50-INPUT -i eth1 -j ACCEPT
-A RH-Lokkit-0-50-INPUT -p tcp -m tcp --dport 0:1023 --tcp-flags SYN,RST,ACK
SYN -j REJECT --reject-with icmp-port-unreachable
-A RH-Lokkit-0-50-INPUT -p tcp -m tcp --dport 2049 --tcp-flags SYN,RST,ACK
SYN -j REJECT --reject-with icmp-port-unreachable

-A RH-Lokkit-0-50-INPUT -p udp -m udp --dport 0:1023 -j REJECT --reject-with
icmp-port-unreachable

-A RH-Lokkit-0-50-INPUT -p udp -m udp --dport 2049 -j REJECT --reject-with
icmp-port-unreachable

-A RH-Lokkit-0-50-INPUT -p tcp -m tcp --dport 6000:6009 --tcp-flags
SYN,RST,ACK SYN -j REJECT --reject-with icmp-port-unreachable

-A RH-Lokkit-0-50-INPUT -p tcp -m tcp --dport 7100 --tcp-flags SYN,RST,ACK
SYN -j REJECT --reject-with icmp-port-unreachable
COMMIT
# Completed on Wed Jun 11 18:09:00 2003

"Martin Kiefer" <martin@kiefer.dk> wrote in message
news:3ee7687f$0$48915$edfadb0f@dtext02.news.tele.dk...
> Hejsa
>
> Jeg har her i dag installeret en Squid Proxy-server på en RH 9.0 med
> iptables. Jeg prøver så på at få den til at kigge efter ikke godkendte
> domæner via sleezeball. Det virkede fint i eftermiddags da jeg
installerede
> og testede. Da jeg så slukkede maskinen for at placere den det sted den nu
> engang skal stå (for ikke at larme for meget) virker det ikke længere !?
>
> jeg har indsat følgende i min iptables:
> -A PREROUTING -i eth0 -p tcp -m tcp --dport 80 -j REDIRECT --to-ports 3128
> -A POSTROUTING -d ! 192.168.2.0/255.255.255.0 -j MASQUERADE
>
> og har i squid.conf sat:
> redirect_program /usr/lib/squid/sleezeball
>
> Når jeg nu indtaster en adresse i min webbrowser giver den følgende:
> "the requested url could not be retrieved" og det uanset hvilken url jeg
> indtaster.
>
> Jeg har en idé om at det er i min iptables der er et eller andet galt. for
> jeg kan f.eks godt pinge den adresse jeg prøvede at indtaste i
webbrowseren
> før.
>
> Systemet er en RH 9.0 og hvis der er behov for andre oplysninger, ja så
> skriv endelig da dette er ved at give mig en del grå hår da det som sagt
> virkede lige indtil jeg slukkede maskinen og tændte den igen...
>
> --
> Mvh
> Martin Kiefer
> www.kiefer.dk
>
>

Esben Laursen (11-06-2003)

Kommentar
Fra : Esben Laursen

Dato : 11-06-03 21:38

"Martin Kiefer" <martin@kiefer.dk> skrev i en meddelelse
news:3ee78d67$0$48897$edfadb0f@dtext02.news.tele.dk...
> Hej igen.
>
> Jeg har lige sakset min iptables konfiguration ind i det nedenstående,
måske
> er der en der kan give mig et hint til hvor det går helt galt, jeg synes
jeg
> sidder og stirrer mig blind på det her. Og har gjort det snart længe...
>
> Skal lige bemærkes at alt efter *filter er autogeneret af RH da jeg
> installerede RH 9.0 og det er som sådan kun linien med prerouting og
> postrouting jeg selv har pillet ved.

Hvis du kører uden proxy virker det så?

> # Generated by iptables-save v1.2.7a on Wed Jun 11 18:09:00 2003
> *nat
> :PREROUTING ACCEPT
> :POSTROUTING ACCEPT
> :OUTPUT ACCEPT
> -A PREROUTING -i eth0 -p tcp -m tcp --dport 80 -j REDIRECT --to-ports 3128
> -A POSTROUTING -d ! 192.168.2.0/255.255.255.0 -j MASQUERADE
> COMMIT

Jeg tror jeg ville bruge en

iptables -t nat -A POSTROUTING -s 192.168.2.0/24 -d "!" 192.168.2.0/24 -j
SNAT --to $EXTIP

I stedet for MASQUERADE, men der er nok andre der er uenig med mig =)

Esben

Martin Kiefer (11-06-2003)

Kommentar
Fra : Martin Kiefer

Dato : 11-06-03 22:21

"Esben Laursen" <hyber@NOSPAM-PLEASE.hyber.dk> wrote in message
news:huMFa.16399$Jp3.655885@news010.worldonline.dk...
>
>
> Hvis du kører uden proxy virker det så?
>

Ja, så virker det fint.
>
> Jeg tror jeg ville bruge en
>
> iptables -t nat -A POSTROUTING -s 192.168.2.0/24 -d "!" 192.168.2.0/24 -j
> SNAT --to $EXTIP
>
> I stedet for MASQUERADE, men der er nok andre der er uenig med mig =)
>

Men om jeg bruger det ene eller det andet her, vil vel ikke gøre den store
forskel?

--
Mvh
Martin Kiefer
www.kiefer.dk

Mikkel Bundgaard (11-06-2003)

Kommentar
Fra : Mikkel Bundgaard

Dato : 11-06-03 22:22

Prøv at indtaste proxyen manuelt i din browser virker den så?

Prøv evt. at fra shellen at telnette proxyen på dens adresse
127.0.0.1:3128 eller 8080 eller hvad den nu er sat til. Derefter prøv at
telnette på port 127.0.0.1:80 og se hvad der svarer?

Det burde være proxyen. Hvad siger dine squid logfiler?

/mikkel

Martin Kiefer wrote:
> Hejsa
>
> Jeg har her i dag installeret en Squid Proxy-server på en RH 9.0 med
> iptables. Jeg prøver så på at få den til at kigge efter ikke godkendte
> domæner via sleezeball. Det virkede fint i eftermiddags da jeg installerede
> og testede. Da jeg så slukkede maskinen for at placere den det sted den nu
> engang skal stå (for ikke at larme for meget) virker det ikke længere !?
>
> jeg har indsat følgende i min iptables:
> -A PREROUTING -i eth0 -p tcp -m tcp --dport 80 -j REDIRECT --to-ports 3128
> -A POSTROUTING -d ! 192.168.2.0/255.255.255.0 -j MASQUERADE
>
> og har i squid.conf sat:
> redirect_program /usr/lib/squid/sleezeball
>
> Når jeg nu indtaster en adresse i min webbrowser giver den følgende:
> "the requested url could not be retrieved" og det uanset hvilken url jeg
> indtaster.
>
> Jeg har en idé om at det er i min iptables der er et eller andet galt. for
> jeg kan f.eks godt pinge den adresse jeg prøvede at indtaste i webbrowseren
> før.
>
> Systemet er en RH 9.0 og hvis der er behov for andre oplysninger, ja så
> skriv endelig da dette er ved at give mig en del grå hår da det som sagt
> virkede lige indtil jeg slukkede maskinen og tændte den igen...
>

Martin Kiefer (11-06-2003)

Kommentar
Fra : Martin Kiefer

Dato : 11-06-03 23:02

"Mikkel Bundgaard" <invalid@invalid> wrote in message
news:3ee79d78$0$13154$edfadb0f@dread15.news.tele.dk...
> Prøv at indtaste proxyen manuelt i din browser virker den så?
>

Hvis jeg taster den ind manuelt virker det ok.

> Prøv evt. at fra shellen at telnette proxyen på dens adresse
> 127.0.0.1:3128 eller 8080 eller hvad den nu er sat til. Derefter prøv at
> telnette på port 127.0.0.1:80 og se hvad der svarer?
>

[root@proxy squid]# telnet 127.0.0.1:3128
telnet: 127.0.0.1:3128: Name or service not known
127.0.0.1:3128: Unknown host

[root@proxy squid]# telnet 127.0.0.1:80
telnet: 127.0.0.1:80: Name or service not known
127.0.0.1:80: Unknown host

> Det burde være proxyen. Hvad siger dine squid logfiler?

Jeg kan ikke rigtig finde noget? ... hvad skal jeg kigge efter?

--
Mvh
Martin Kiefer
www.kiefer.dk

Adam Sjøgren (11-06-2003)

Kommentar
Fra : Adam Sjøgren

Dato : 11-06-03 23:10

On Thu, 12 Jun 2003 00:01:40 +0200, Martin Kiefer wrote:

> [root@proxy squid]# telnet 127.0.0.1:3128 telnet: 127.0.0.1:3128:
> Name or service not known 127.0.0.1:3128: Unknown host

telnet tager argumentet [host [port]] - du skal altså skrive:

$ telnet 127.0.0.1 3128

- ikke noget med kolon, det er ikke en url.

Se evt. telnet(1).

Mvh.

--
"Äter ni middag?" Adam Sjøgren
asjo@koldfront.dk

Martin Kiefer (12-06-2003)

Kommentar
Fra : Martin Kiefer

Dato : 12-06-03 06:33

"Adam Sjøgren" <spamtrap@koldfront.dk> wrote in message
news:87isrcb6zx.fsf@virgil.koldfront.dk...
>
> $ telnet 127.0.0.1 3128
>

Doh, det vidste jeg jo godt...

Outputtet ser nu således ud:

Trying 192.168.2.1...
Connected to 192.168.2.1.
Escape character is '^]'.
Connection closed by foreign host.
[root@proxy squid]# telnet 192.168.2.1 80
Trying 192.168.2.1...
telnet: connect to address 192.168.2.1: Connection refused
[root@proxy squid]#

Martin Kiefer (12-06-2003)

Kommentar
Fra : Martin Kiefer

Dato : 12-06-03 16:06

"Martin Kiefer" <martin@kiefer.dk> wrote in message
news:3ee7687f$0$48915$edfadb0f@dtext02.news.tele.dk...
> Hejsa
>
> Jeg har her i dag installeret en Squid Proxy-server på en RH 9.0 med

Hejsa

Så fik jeg løst problemet. Der manglede følgende i squid.conf:
httpd_accel_host virtual
httpd_accel_uses_host_header on
httpd_accel_with_proxy on
Fundet på
http://www.squid-cache.org/mail-archive/squid-users/200104/0490.html

--
Mvh
Martin Kiefer
www.kiefer.dk

Søg

Reklame

Statistik

Spørgsmål :	177505
Tips :	31968
Nyheder :	719565
Indlæg :	6408554
Brugere :	218887

Månedens bedste

Årets bedste

Sidste års bedste