Linux Server mit Squid

maluc 23 · 27.04.2005

Hallo,

kann jemand eine squid.conf posten die läuft? Wo ich nur noch ip oder Domain eintragen brauch. Kriege es selber nicht hin.

ERROR

The requested URL could not be retrieved

Soll ganz normal laufen.

Linux SuSE, Squid 2.5 S9

MfG
...

Stefan · 28.04.2005

Bist du überhaupt online?
Hast du dein Modem/ISDN-Karte/DSL-Modem/... konfiguriert?

maluc 23 · 28.04.2005

Ist ein Root.
Und alles andere was ich so drauf habe geht.
Bloss das will nicht.

TCM- · 29.04.2005

soll der proxy fuer programme auf dem server laufen oder fuer externe user? in letzterem fall solltest du schon etwas ahnung haben und vernuenftige acls einrichten, weil sonst jeder deinen proxy nutzen kann und du in nullkommanichts auf zig blacklists stehst.

maluc 23 · 29.04.2005

Wollt den Proxy über MultiProxy nutzen.

TCM- · 29.04.2005

versteh ich nicht ganz. soll der server teil einer oeffentlichen proxy-liste werden? diese listen bestehen meist aus servern, die nicht freiwillig fuer jeden nutzbar sind, sondern fahrlaessig administriert werden.

falls du anonym surfen willst, waere es nicht gerade clever, den eigenen server mit in der liste zu haben.

oder willst du nur deinen eigenen proxy benutzen? wozu dann multiproxy? was ist denn das ziel generell?

ps: und falls du multiproxy.org meinst, was zur hoelle willst du mit einem programm von 2001 und einer zuletzt 2003 upgedateten proxy-liste?

maluc 23 · 30.04.2005

Nein, soll in keiner ö. Liste. Nur für mich.
Mit MultiProxy komm ich halt klar. Wenn man per WebInterface oder so das Squid nutzen kann waer auch schon gut. Aber ich kriege immer nur Invalid URL. Und auf anfragen von MultiProxy antwortet es zwar mit nen Pong aber es steht da, das es nicht funktioniert.

Darf ich dich mal per ICQ oder so kontaktieren?

MfG
...

TCM- · 30.04.2005

poste doch mal die config, wie sie jetzt ist, dann haben alle was von.

maluc 23 · 30.04.2005

http_port 8080
http_port domain.org:3128
http_port 192.168.10.4:8088
acl http_access allow all
acl http_reply_access allow all
cache_mgr [email protected]
visible_hostname domain.org
ftp_user Squid@
connect_timeout 120
cache_mem 8 MB
cache_dir ufs /usr/local/squid/var/cache 100 16 256

Das ist der letzte Config stand. Die andern Versuche habe ich schon gelöscht.

Zombie79 · 30.04.2005

Unter anderem sehen deine ACLs sehr übel aus. Quick & Dirty würde ich es erstmal so machen:

Code:

http_port 192.168.10.4:8088

cache_mem 8 MB
cache_dir ufs /usr/local/squid/var/cache 100 16 256

acl all src 0.0.0.0/0.0.0.0
acl manager proto cache_object
acl my_network src 192.168.10.0/24

http_access allow manager localhost
http_access deny manager
http_access allow my_network
http_access deny all
icp_access allow my_network
icp_access deny all
miss_access allow my_network
miss_access deny all

# der Rest deiner Konfiguration
cache_mgr [email protected]
visible_hostname domain.org
ftp_user Squid@
connect_timeout 120

Damit ist der Proxy auf Port 8088 erreichbar und er erlaubt nur Zugriffe aus deinem Subnetz (192.168.10.0/24).

TCM- · 30.04.2005

maluc 23 schrieb:
acl http_access allow all

sowas hatte ich schon irgendwie befuerchtet. dir ist schon klar, dass damit nicht nur jeder deinen proxy fuer http benutzen kann, sondern beliebige verbindungen darueber fahren kann (smtp, irc, etc.)? falls du fuer traffic zahlen musst, ist das eine schoene kostenfalle, von der tatsache mal abgesehen, dass du spammern und aehlichem gesocks hilfst.

woher kommt eigtl das 192.168.10.0 auf einem root-server? ich gehe mal davon aus, dass du den proxy von zu hause von einer moeglicherweise dynamischen adresse nutzen willst[1]? dann wirst du nicht daran vorbeikommen, zugriffe per passwort statt per sourceadresse zu regeln.

ich wuerde dringend vorschlagen, dass du dich besser mit der materie vertraut machst, bevor du ein system ins netz haengst, besonders an einer dicken leitung.

edit: [1] vielleicht waere es besser, mal das "grosse ziel" zu verraten. was willst du mit dem proxy erreichen? dass zugriffe schneller werden? werbung filtern? falls der proxy tatsaechlich auf nem root-server laeuft und du ihn von zu hause nutzt, zahlst du abhaengig vom tarif den traffic gleich dreimal statt nur einmal.

Zombie79 · 30.04.2005

TCM- schrieb:
[...] edit: [1] vielleicht waere es besser, mal das "grosse ziel" zu verraten. was willst du mit dem proxy erreichen? [...]

Ja, das wäre wirklich mal sinnvoll.

Das es sich um einen Root-Server handelt, habe ich glatt übersehen. Vielleicht baut er ja aber auch einen VPN-Tunnel zu dem Server auf, das würde dann das Subnetz erklären.

maluc 23 · 30.04.2005

TCM- schrieb:
sowas hatte ich schon irgendwie befuerchtet. dir ist schon klar, dass damit nicht nur jeder deinen proxy fuer http benutzen kann, sondern beliebige verbindungen darueber fahren kann (smtp, irc, etc.)? falls du fuer traffic zahlen musst, ist das eine schoene kostenfalle, von der tatsache mal abgesehen, dass du spammern und aehlichem gesocks hilfst.

woher kommt eigtl das 192.168.10.0 auf einem root-server? ich gehe mal davon aus, dass du den proxy von zu hause von einer moeglicherweise dynamischen adresse nutzen willst[1]? dann wirst du nicht daran vorbeikommen, zugriffe per passwort statt per sourceadresse zu regeln.

ich wuerde dringend vorschlagen, dass du dich besser mit der materie vertraut machst, bevor du ein system ins netz haengst, besonders an einer dicken leitung.

edit: [1] vielleicht waere es besser, mal das "grosse ziel" zu verraten. was willst du mit dem proxy erreichen? dass zugriffe schneller werden? werbung filtern? falls der proxy tatsaechlich auf nem root-server laeuft und du ihn von zu hause nutzt, zahlst du abhaengig vom tarif den traffic gleich dreimal statt nur einmal.

Ich will damit erreichen das die Kinder nicht jede Seite an surfen können.
Um es besser zu verstehen bin ich ja hier. Das mit dem allow all ist nur weil ich getestet habe.

Zombie79 · 30.04.2005

Wenn du nur das erreichen möchtest, wäre es viel besser, einen transparenten Proxy auf einem PC bei dir Zuhause einzurichten, über den der gesamte Internet-Traffic geroutet wird.

http://www.tldp.org/HOWTO/TransparentProxy.html

maluc 23 · 15.05.2005

Ich habe ihn nun zum laufen gekriegt, aber ich glaube ist nicht sehr sicher. Fahre ihn deshalb immer runter. Kann jemand Tip geben wie ich ihn sicherer mache?

Hier die Config.

http_port 3128
#httpd_accel_host (meine root server ip steht sonst hier)
httpd_accel_host domain.de
httpd_accel_port 80
httpd_accel_single_host on
httpd_accel_with_proxy on
#httpd_accel_uses_host_header on
#icp_port 3130
emulate_httpd_log on
redirect_rewrites_host_header off
#dns_nameservers 127.0.0.1

forwarded_for off

cache_mem 8 MB
cache_dir ufs /usr/local/squid/var/cache 100 16 256
maximum_object_size 4096 KB

acl all src 0.0.0.0/0.0.0.0
acl manager proto cache_object
acl localhost src 127.0.0.1/255.255.255.255
acl SSL_ports port 443 563
acl Safe_ports port 80 22 443 563 70 210 1025-65535
acl CONNECT method CONNECT
acl SPERRE_DOMAINS dstdomain -i "/usr/local/squid/etc/deny_domains"
acl SPERRE_URLPARTS urlpath_regex -i "/usr/local/squid/etc/deny_urlparts"

http_access deny !Safe_ports
http_access deny CONNECT !SSL_ports
http_access deny SPERRE_DOMAINS
http_access deny SPERRE_URLPARTS

# http_access never_direct allow all
http_access allow all
icp_access deny all
#miss_access allow all

cache_mgr [email protected]
#cache_effective_user nobody
#cache_effective_group nogroup
visible_hostname domain.de
#ftp_user nobody@
#connect_timeout 120.000000

TCM- · 15.05.2005

maluc 23 schrieb:
#httpd_accel_host (meine root server ip steht sonst hier)
httpd_accel_host domain.de
httpd_accel_port 80
httpd_accel_single_host on
httpd_accel_with_proxy on
#httpd_accel_uses_host_header on

httpd_accel_* optionen sind nur fuer transparente proxies oder fuer proxies vor web-servern. kannst du komplett rausnehmen.

redirect_rewrites_host_header off

kann raus

acl all src 0.0.0.0/0.0.0.0
acl manager proto cache_object
acl localhost src 127.0.0.1/255.255.255.255
acl SSL_ports port 443 563
acl Safe_ports port 80 22 443 563 70 210 1025-65535
acl CONNECT method CONNECT
acl SPERRE_DOMAINS dstdomain -i "/usr/local/squid/etc/deny_domains"
acl SPERRE_URLPARTS urlpath_regex -i "/usr/local/squid/etc/deny_urlparts"

http_access deny !Safe_ports
http_access deny CONNECT !SSL_ports
http_access deny SPERRE_DOMAINS
http_access deny SPERRE_URLPARTS

# http_access never_direct allow all
http_access allow all
icp_access deny all
#miss_access allow all

hier fehlt ein deny auf den cache-manager von woanders als localhost. (edit: natuerlich nicht hinten dran, es gilt first hit wins)

Code:

http_access deny manager !localhost

wozu die ports fuer ssh und gopher und wais etc. (22, 70, 210, 563)? am ende machst du den proxy dann fuer alle auf. ganz schlechte idee. mach am besten eine acl, welche ein passwort abfragt und erlaube nur zugriff davon. http://squid.visolve.com/squid/squid24s1/access_controls.htm#acl und dann "proxy_auth".

edit: mal ueberarbeitet und uebersichtlicher:

Code:

# sollte gesetzt werden, u.u. muss der user erst eingerichtet werden. nobody/nogroup ist dann auch nicht erste wahl. separater user squid/squid ist besser. user reicht, die primaere group nimmt er automatisch
#cache_effective_user squid

# explizit das interface angeben, auf dem der proxy laufen soll
http_port <ip-adresse>:3128

# unbenutzen kram aus
icp_port 0
snmp_port 0

# auch besser explizit setzen oder weglassen, dann nimmt er localhost
#dns_nameservers 127.0.0.1

# cache
cache_mem 8 MB
cache_dir ufs /usr/local/squid/var/cache 100 16 256
maximum_object_size 4096 KB

# kosmetik
visible_hostname domain.de
cache_mgr [email protected]

# nach bedarf
emulate_httpd_log on
forwarded_for off

# acls
acl all src 0.0.0.0/0
acl manager proto cache_object
acl localhost src 127.0.0.1/32
# wenn news ueber ssl wirklich noetig ist, port 563 wieder rein
acl SSL_ports port 443
acl Safe_ports port 21 80 443 1024-65535
acl CONNECT method CONNECT
acl SPERRE_DOMAINS dstdomain -i "/usr/local/squid/etc/deny_domains"
acl SPERRE_URLPARTS urlpath_regex -i "/usr/local/squid/etc/deny_urlparts"
acl proxy_auth ...[1]

# access
http_access deny manager !localhost
http_access deny !Safe_ports
http_access deny CONNECT !SSL_ports
http_access deny SPERRE_DOMAINS
http_access deny SPERRE_URLPARTS

http_access allow ...[1]
http_access deny all
icp_access deny all

[1] hier wie gesagt eine methode mit passwortabfrage einbauen. muesste ich selber erst lesen.

maluc 23 · 15.05.2005

Danke, hast gut gemacht. :goil:

Fuer Passwort hatt ich schonmal was gefunden. Aber da sollte man noch was installieren. Ich werd noch weiter suchen/lesen.

Aber das hilft mir auch schon, um das alles besser zu verstehen.

Stefan · 15.05.2005

Zum Passwortschutz steht ein wenig im Linuxbu.ch

http://www.linuxbu.ch/pdf4/kapitel13.pdf

Ich verwende für meinen (lokalen) Proxy ncsa_auth, das prüft gegen eine Passwort-Datei und ist bei SuSE gleich mit dabei.

Linux Server mit Squid

maluc 23

Stefan

maluc 23

TCM-

maluc 23

TCM-

maluc 23

TCM-

maluc 23

Zombie79

TCM-

Zombie79

maluc 23

Zombie79

maluc 23

TCM-

maluc 23

Stefan

Linux Server mit Squid

ANGEBOTE & SPONSOREN

Neueste Beiträge

Statistik des Forums