mitnick
Goto Top

Squid Proxy einstellungen

Moin zusammen, ich bin gerade dabei einen Squid unter debian Lenny nach einer Anleitung aus dem Nezu aufzusetzen. Soweit hat jetzt auch alles geklappt, der Proxy ist beim Testclient eingetragen und der User kann sich Authentifizieren. Danach geht es aber leider nicht mehr weiter, die gewünschte Webside wird nicht angezeigt.
Ich würde hier gerne meine config Posten das ihr mal drüber schaut. Wäre echte ne feine Sache wenn ihr mir helfen könntet.
http_port 8080
# Dieser Proxy holt die Daten ueber einen weiteren Proxy.
# Aendern Sie die Daten entsprechend.
cache_peer 123.123.123.123 parent 3128 0 no-query default



#We recommend you to use the following two lines.
acl QUERY urlpath_regex cgi-bin \?
cache deny QUERY

# Apache mod_gzip and mod_deflate known to be broken so don't trust 
# Apache to signal ETag correctly on such responses
acl apache rep_header Server ^Apache
broken_vary_encoding allow apache


logformat squid  %tl.%03tu %6tr %>a %Ss/%03Hs %<st %rm %ru %un %Sh/%<A %mt

access_log /var/log/squid/access.log squid

#Recommended minimum configuration per scheme:
#auth_param negotiate program <uncomment and complete this line to activate>
#auth_param negotiate children 5
#auth_param negotiate keep_alive on
#auth_param ntlm program <uncomment and complete this line to activate>
#auth_param ntlm children 5
#auth_param ntlm keep_alive on
#auth_param digest program <uncomment and complete this line>
#auth_param digest children 5
#auth_param digest realm Squid proxy-caching web server
#auth_param digest nonce_garbage_interval 5 minutes
#auth_param digest nonce_max_duration 30 minutes
#auth_param digest nonce_max_count 50
#auth_param basic program <uncomment and complete this line>
auth_param basic program /usr/lib/squid/ncsa_auth /etc/squid/passwd
#auth_param basic children 5
#auth_param basic realm Squid proxy-caching web server
auth_param basic realm Squid - Proxy Server
auth_param basic credentialsttl 2 hours
auth_param basic casesensitive off

#Suggested default:
refresh_pattern ^ftp:        1440    20%    10080
refresh_pattern ^gopher:    1440    0%    1440
refresh_pattern .        0    20%    4320

#Recommended minimum configuration:
acl all src 0.0.0.0/0.0.0.0
acl manager proto cache_object
acl localhost src 127.0.0.1/255.255.255.255
acl to_localhost dst 127.0.0.0/8
acl SSL_ports port 443        # https
acl SSL_ports port 563        # snews
acl SSL_ports port 873        # rsync
acl Safe_ports port 80        # http
acl Safe_ports port 21        # ftp
acl Safe_ports port 443        # https
acl Safe_ports port 70        # gopher
acl Safe_ports port 210        # wais
acl Safe_ports port 1025-65535    # unregistered ports
acl Safe_ports port 280        # http-mgmt
acl Safe_ports port 488        # gss-http
acl Safe_ports port 591        # filemaker
acl Safe_ports port 777        # multiling http
acl Safe_ports port 631        # cups
acl Safe_ports port 873        # rsync
acl Safe_ports port 901        # SWAT
acl purge method PURGE
acl CONNECT method CONNECT

#
# gesperrte Ausdruecke
#acl gesperrt url_regex -i "/etc/squid/gesperrt"  
# gesperrte Domains
#acl bad_domains dstdom_regex -i "/etc/squid/bad_domains"  
#  zugelassene Domains
#acl good_domains dstdom_regex -i "/etc/squid/good_domains"  
#  Definition der Zugriffe
# Liste mit Computernamen und deren IP-Adresse Anfang
#acl computer001 src 10.10.20.37/255.255.255.255    # Hinweistext
#acl computer001 src 123.123.123.124/255.255.255.255    # Hinweistext
# Liste mit Computernamen und deren IP-Adresse Ende
# Naechste Zeile - Aktivieren der Benutzerauthentifizierung
acl AUTHUSERS proxy_auth REQUIRED

#Recommended minimum configuration:
#
# Only allow cachemgr access from localhost
http_access allow manager localhost
http_access deny manager
# Only allow purge requests from localhost
http_access allow purge localhost
http_access deny purge
# Deny requests to unknown ports
http_access deny !Safe_ports
# Deny CONNECT to other than SSL ports
http_access deny CONNECT !SSL_ports
#
# INSERT YOUR OWN RULE(S) HERE TO ALLOW ACCESS FROM YOUR CLIENTS

http_access allow localhost
#
# Kennungen von oben verwenden
# Naechste Zeile - Liste gesperrter Ausdruecke anwenden
#http_access deny gesperrt
# Naechste Zeile - Liste gesperrter Domains anwenden
#http_access deny bad_domains
# Naechste Zeile - Liste zugelassener Domains anwenden
#http_access allow good_domains
# Naechste Zeilen - Anwendung der Definitionen von oben
http_access allow
#http_access allow computer002
# Naechste Zeile - Zulassen der authentifizierten Benutzer
http_access allow AUTHUSERS

# And finally deny all other access to this proxy
http_access allow all

# Insert your own rules here.
# and finally allow by default
http_reply_access allow all

#Allow ICP queries from everyone
icp_access allow all

# ADMINISTRATIVE PARAMETERS
# cache_mgr webmaster
# E-Mailadresse des Webmasters, die bei Problemen angezeigt
# wird. Darin natuerlich das '-at-' durch '@' ersetzen  
cache_mgr email-at-domainname.de
#  TAG: cache_effective_group
cache_effective_group proxy

#  TAG: never_direct
#Default:
# none
never_direct allow all

#  TAG: coredump_dir
# Leave coredumps in the first cache dir
coredump_dir /var/spool/squid

lg holger

Content-Key: 157695

Url: https://administrator.de/contentid/157695

Printed on: March 2, 2024 at 16:03 o'clock

Member: Pago159
Pago159 Dec 29, 2010 at 09:15:50 (UTC)
Goto Top
Hallo Holger,

einfacher für die Hilfe wäre es,
wenn du uns noch dazu sagen würdest,
was du jetzt explizit geändert hast.

Dann suchen die Kollegen nicht an der Falschen stelle nach fehlern ;)

Hilfreich wäe vll auch der Link zu der anleitung,
nach welcher du vorgehst/vorgegangen bist ;)

könntest du vll mal von deinem Client aus ein Tracert auf www.google.de machen.
wenn du hier ein Negatives ergebnis bekommen solltest, dann teste mal bitte ein Tracert auf folgende IP-Adresse:
"74.125.43.105"

Schön wäre es auch, wenn du die Tracert ergebnisse hier Posten könntest.

Lg Grapper
Member: Dani
Dani Dec 29, 2010 at 09:19:31 (UTC)
Goto Top
Moin holger,
interessant wäre was in den Logdateien steht!


Grüße,
Dani
Mitglied: 32067
32067 Dec 29, 2010 at 09:30:17 (UTC)
Goto Top
Ich würde auch erstmal in die Logdateien gucken, was mir aber beim Überfliegen aber schonmal spanisch vorkommt:

  1. Dieser Proxy holt die Daten ueber einen weiteren Proxy.
  2. Aendern Sie die Daten entsprechend.
cache_peer 123.123.123.123 parent 3128 0 no-query default

Damit kaskadierst du deinen Proxy mit einem anderen Proxy, d.h. dein Proxy wird nicht selber ins Internet gehen, sondern immer nur den anderen mit IP 123.123.123.123 ansprechen wollen. Wenn der nicht reagiert, kommt auch bei dir nix raus ...
Member: mitnick
mitnick Dec 29, 2010 at 09:31:06 (UTC)
Goto Top
Member: mitnick
mitnick Dec 29, 2010 at 09:36:22 (UTC)
Goto Top
Hi, also die Anleitung ist unter
Anleitung
zu finden. Ich habe mich auch an die config Virlage gehalten, nur das ich die ACL mit den gesperrten und freigegebenen Seiten Auskommentiert habe, desweiteren habe ich Auskommentiert das bestimmte Rechner immer zugriff ohne Authentifikation bekommen sollen d.h. jeder User soll sich immer anmelden.

Wenn ich einen Tracert laufen lasse auf google.de leuft er eigentlich ohne Probleme durch
der Tracert sieht dann so aus:

1 <1 ms <1 ms <1 ms 10.10.20.254

2 48 ms 51 ms 48 ms 217.5.98.186

3 50 ms 49 ms 49 ms 217.5.100.218

4 51 ms 52 ms 71 ms b-ea6-i.B.DE.NET.DTAG.DE [62.154.47.69]

5 53 ms 53 ms 59 ms 194.25.211.30

6 203 ms * 52 ms 209.85.249.184

7 59 ms 58 ms 80 ms 209.85.242.186

8 68 ms 69 ms 77 ms 209.85.242.185

9 67 ms 90 ms 67 ms 209.85.254.118

10 74 ms 69 ms 74 ms 209.85.254.126

11 67 ms 67 ms 68 ms fx-in-f105.1e100.net [74.125.39.105]

Ich habe die Vermuntung das da etwas mit der ACL für dem HTML access nicht stimmt.....

Das mit dem Abzufragenden Proxy hatte ich auch schön geändert...das brachte aber leider keine Veräbderung

lg
Member: mitnick
mitnick Dec 29, 2010 at 09:44:59 (UTC)
Goto Top
Hiho ich noch mal, hab jetzt vesucht direkt auf google.de zu pingen und der ping geht auch durch. Kann es sein das ich hier ein Problem mit der DNS auflösung habe?

lg
Member: Pago159
Pago159 Dec 29, 2010 at 10:28:35 (UTC)
Goto Top
Also wenn dein Ping auf google.de und die IP-Adresse durchgeht, dann arbeitet dein DNS schonmal, du könntest aber mal versuchen google.de über die IP auf zu rufen,
dann würde ich behaupten dein DNS-Cache sollte mal gelöscht werden.

Lg Grapper
Member: mitnick
mitnick Dec 29, 2010 at 10:33:58 (UTC)
Goto Top
Wenn ich die Ip Adresse o. URL eingebe, bekomm ich auch immer die Meldung Suchseite konnte nicht gefunden werden...
Member: Pago159
Pago159 Dec 29, 2010 at 10:37:57 (UTC)
Goto Top
Hi,

hast du den reload gemacht?

"/etc/init.d/squid reload"

was natürlich auch mal eine idee wäre,
Nutz mal bitte das original Script,
wenn dieses läuft, kann man im nachhinein seine änderungen nach und nach machen,
aber bitte nach jeder änderung nochmal testen, dann kann man sicher sein,
dass auch nachher alles läuft ;)

Wenn ich das richtig sehe, dann hast du bei dir den Port von "3128" auf "8080" geändert.
hast du deinem IE oder Firefox...... auch gesagt, dass er seine Daten jetzt über den
Proxy abrufen soll?

Lg Grapper
Member: mitnick
mitnick Dec 29, 2010 at 10:51:40 (UTC)
Goto Top
hi,
den reload hab ich nach jeder änderung gemacht.
Mit dem original Scipt kommt leider auch kein Seitenaufbau zustande.

lg
Member: Pago159
Pago159 Dec 29, 2010 at 10:58:36 (UTC)
Goto Top
Wie schaut es mit den "IE" einstellungen aus?

"Extras" -- "Internetoptionen" -- "Verbindungen" -- "Lan Einstellungen" -- "Proxyserver"

Hast du dort deinen Proxy eingetragen?
Member: mitnick
mitnick Dec 29, 2010 at 11:03:28 (UTC)
Goto Top
Ja, da habe ich die einstellungen gemacht. Sobald da die einstellungen gesetzt sind, muss sich der Nutzer auch Authentifizieren. Nach dem Authentifizieren kommt dann nur leider kein Seitenaufbau mehr
Member: Pago159
Pago159 Dec 29, 2010 at 11:09:00 (UTC)
Goto Top
Kannst du dann mal bitte die Log Dateien von squid veröffentlichen,
damit man mal schauen kann, was dort gemeldet wird?

Lg
Member: mitnick
mitnick Dec 29, 2010 at 12:16:46 (UTC)
Goto Top
hi, du meinst doch bestimmt die access.log oder? in der stehen gar keine Fehlermeldungen drin. Da wird immer nur die eine Seite aufgeführt die ich nach der Passwordabfrage versucht habe zu erreichen.

lg
Member: Pago159
Pago159 Dec 29, 2010 at 12:23:31 (UTC)
Goto Top
Das wäre eine, aber da gibt es noch mehr!

/var/log/squid/cache.log

und

/var/log/squid/store.log

Poste bitte diese Logs und auch die access.log,

dann schauen wir nochmal drüber.

Lg Grapper
Member: mitnick
mitnick Dec 29, 2010 at 12:33:46 (UTC)
Goto Top
cache.log:

2010/12/29 13:20:16| Beginning Validation Procedure
2010/12/29 13:20:16| Completed Validation Procedure
2010/12/29 13:20:16| Validated 0 Entries
2010/12/29 13:20:16| store_swap_size = 0k
2010/12/29 13:20:17| storeLateRelease: released 0 objects
2010/12/29 13:22:09| Failed to select source for 'http://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome'
2010/12/29 13:22:09| always_direct = 0
2010/12/29 13:22:09| never_direct = 1
2010/12/29 13:22:09| timedout = 0
2010/12/29 13:22:30| Failed to select source for 'http://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome'
2010/12/29 13:22:30| always_direct = 0
2010/12/29 13:22:30| never_direct = 1
2010/12/29 13:22:30| timedout = 0
2010/12/29 13:24:14| Failed to select source for 'http://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome'
2010/12/29 13:24:14| always_direct = 0
2010/12/29 13:24:14| never_direct = 1
2010/12/29 13:24:14| timedout = 0
2010/12/29 13:24:20| Failed to select source for 'http://www.google.de/'
2010/12/29 13:24:20| always_direct = 0
2010/12/29 13:24:20| never_direct = 1
2010/12/29 13:24:20| timedout = 0
2010/12/29 13:24:20| Failed to select source for 'http://auto.search.msn.com/response.asp?MT=www.google.de&srch=3&prov=&utf8'
2010/12/29 13:24:20| always_direct = 0
2010/12/29 13:24:20| never_direct = 1
2010/12/29 13:24:20| timedout = 0
2010/12/29 13:24:20| Failed to select source for 'http://www.www.google.de.com/'
2010/12/29 13:24:20| always_direct = 0
2010/12/29 13:24:20| never_direct = 1
2010/12/29 13:24:20| timedout = 0
2010/12/29 13:24:20| Failed to select source for 'http://www.www.google.de.org/'
2010/12/29 13:24:20| always_direct = 0
2010/12/29 13:24:20| never_direct = 1
2010/12/29 13:24:20| timedout = 0
2010/12/29 13:24:20| Failed to select source for 'http://www.www.google.de.net/'
2010/12/29 13:24:20| always_direct = 0
2010/12/29 13:24:20| never_direct = 1
2010/12/29 13:24:20| timedout = 0
2010/12/29 13:24:20| Failed to select source for 'http://www.www.google.de.edu/'
2010/12/29 13:24:20| always_direct = 0
2010/12/29 13:24:20| never_direct = 1
2010/12/29 13:24:20| timedout = 0
2010/12/29 13:24:20| Failed to select source for 'http://auto.search.msn.com/response.asp?MT=www.google.de&srch=3&prov=&utf8'
2010/12/29 13:24:20| always_direct = 0
2010/12/29 13:24:20| never_direct = 1
2010/12/29 13:24:20| timedout = 0

store.log:

2010/12/29 13:20:16| Beginning Validation Procedure
2010/12/29 13:20:16| Completed Validation Procedure
2010/12/29 13:20:16| Validated 0 Entries
2010/12/29 13:20:16| store_swap_size = 0k
2010/12/29 13:20:17| storeLateRelease: released 0 objects
2010/12/29 13:22:09| Failed to select source for 'http://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome'
2010/12/29 13:22:09| always_direct = 0
2010/12/29 13:22:09| never_direct = 1
2010/12/29 13:22:09| timedout = 0
2010/12/29 13:22:30| Failed to select source for 'http://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome'
2010/12/29 13:22:30| always_direct = 0
2010/12/29 13:22:30| never_direct = 1
2010/12/29 13:22:30| timedout = 0
2010/12/29 13:24:14| Failed to select source for 'http://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome'
2010/12/29 13:24:14| always_direct = 0
2010/12/29 13:24:14| never_direct = 1
2010/12/29 13:24:14| timedout = 0
2010/12/29 13:24:20| Failed to select source for 'http://www.google.de/'
2010/12/29 13:24:20| always_direct = 0
2010/12/29 13:24:20| never_direct = 1
2010/12/29 13:24:20| timedout = 0
2010/12/29 13:24:20| Failed to select source for 'http://auto.search.msn.com/response.asp?MT=www.google.de&srch=3&prov=&utf8'
2010/12/29 13:24:20| always_direct = 0
2010/12/29 13:24:20| never_direct = 1
2010/12/29 13:24:20| timedout = 0
2010/12/29 13:24:20| Failed to select source for 'http://www.www.google.de.com/'
2010/12/29 13:24:20| always_direct = 0
2010/12/29 13:24:20| never_direct = 1
2010/12/29 13:24:20| timedout = 0
2010/12/29 13:24:20| Failed to select source for 'http://www.www.google.de.org/'
2010/12/29 13:24:20| always_direct = 0
2010/12/29 13:24:20| never_direct = 1
2010/12/29 13:24:20| timedout = 0
2010/12/29 13:24:20| Failed to select source for 'http://www.www.google.de.net/'
2010/12/29 13:24:20| always_direct = 0
2010/12/29 13:24:20| never_direct = 1
2010/12/29 13:24:20| timedout = 0
2010/12/29 13:24:20| Failed to select source for 'http://www.www.google.de.edu/'
2010/12/29 13:24:20| always_direct = 0
2010/12/29 13:24:20| never_direct = 1
2010/12/29 13:24:20| timedout = 0
2010/12/29 13:24:20| Failed to select source for 'http://auto.search.msn.com/response.asp?MT=www.google.de&srch=3&prov=&utf8'
2010/12/29 13:24:20| always_direct = 0
2010/12/29 13:24:20| never_direct = 1
2010/12/29 13:24:20| timedout = 0

access.og:

079&wmpv=9&res=16 - NONE/- text/html
29/Dec/2010:13:22:06 +0100.274 0 10.10.20.37 TCP_DENIED/407 1840 GET http://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnho ... - NONE/- text/html
29/Dec/2010:13:22:09 +0100.583 1 10.10.20.37 TCP_MISS/504 1697 GET http://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnho ... holger NONE/- text/html
29/Dec/2010:13:22:09 +0100.896 0 10.10.20.37 TCP_DENIED/407 1960 GET http://1.101.channel.facebook.com/x/45271737/970006973/false/p_10000174 ... - NONE/- text/html
29/Dec/2010:13:22:27 +0100.674 0 10.10.20.37 TCP_DENIED/407 1840 GET http://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnho ... - NONE/- text/html
29/Dec/2010:13:22:30 +0100.764 0 10.10.20.37 TCP_MISS/504 1697 GET http://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnho ... holger NONE/- text/html
29/Dec/2010:13:23:56 +0100.729 0 10.10.20.37 TCP_DENIED/407 1840 GET http://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnho ... - NONE/- text/html
29/Dec/2010:13:24:11 +0100.600 0 10.10.20.37 TCP_DENIED/407 1840 GET http://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnho ... - NONE/- text/html
29/Dec/2010:13:24:14 +0100.975 0 10.10.20.37 TCP_MISS/504 1697 GET http://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnho ... holger NONE/- text/html
29/Dec/2010:13:24:20 +0100.117 0 10.10.20.37 TCP_MISS/504 1657 GET http://www.google.de/ holger NONE/- text/html
29/Dec/2010:13:24:20 +0100.127 0 10.10.20.37 TCP_MISS/504 1695 GET http://auto.search.msn.com/response.asp?MT=www.google.de&srch=3& ... holger NONE/- text/html
29/Dec/2010:13:24:20 +0100.134 0 10.10.20.37 TCP_MISS/504 1673 GET http://www.www.google.de.com/ holger NONE/- text/html
29/Dec/2010:13:24:20 +0100.141 0 10.10.20.37 TCP_MISS/504 1673 GET http://www.www.google.de.org/ holger NONE/- text/html
29/Dec/2010:13:24:20 +0100.146 0 10.10.20.37 TCP_MISS/504 1673 GET http://www.www.google.de.net/ holger NONE/- text/html
29/Dec/2010:13:24:20 +0100.155 0 10.10.20.37 TCP_MISS/504 1673 GET http://www.www.google.de.edu/ holger NONE/- text/html
29/Dec/2010:13:24:20 +0100.159 0 10.10.20.37 TCP_MISS/504 1695 GET http://auto.search.msn.com/response.asp?MT=www.google.de&srch=3& ... holger NONE/- text/html
29/Dec/2010:13:30:04 +0100.930 7 10.10.20.37 TCP_DENIED/407 1792 GET http://www.facebook.com/?sk=games_mynews&ap=1 - NONE/- text/html
29/Dec/2010:13:30:05 +0100.427 111 10.10.20.37 TCP_DENIED/407 1843 GET http://www.google-analytics.com/__utm.gif?utmwv=4.8.6&utmn=18339469 ... - NONE/- text/html
29/Dec/2010:13:30:05 +0100.430 1 10.10.20.37 TCP_DENIED/407 1834 GET http://www.asrock.com/images/b980-5.gif - NONE/- text/html
29/Dec/2010:13:30:05 +0100.529 0 10.10.20.37 TCP_DENIED/407 1939 GET http://metrics.amd.com/b/ss/amdvsupport,amdvglobal/1/H.21/s016162093270 ... - NONE/- text/html
29/Dec/2010:13:30:08 +0100.072 2 10.10.20.37 TCP_DENIED/407 1888 GET http://support.amd.com/Style%20Library/Images/favicon.ico - NONE/- text/html
29/Dec/2010:13:30:10 +0100.519 0 10.10.20.37 TCP_DENIED/407 1840 GET http://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnho ... - NONE/- text/html
Member: Pago159
Pago159 Dec 29, 2010 at 12:47:15 (UTC)
Goto Top
So, also in dem access.log sieht man ganz klar fehler!

einmal #red|TCP_MISS/504 1673 #

und einmal #red| 10.10.20.37 TCP_DENIED/407 1840#

das erste schaut erst mal nach einem Firewall Problem aus,
ist dein Port 8080 in deiner Firewall (Software/Hardware) frei geschaltet?

Das zweite kann ich dir noch nicht sagen.

Lg Grapper
Member: mitnick
mitnick Dec 29, 2010 at 13:20:33 (UTC)
Goto Top
Das ganze leuft eigentlich in meiner DMZ, sollte also keine Firewall dazwischen sein. Debian Lenny hat ja standartmäßig keine Firewall an oder?

lg
Member: mitnick
mitnick Dec 29, 2010 at 15:29:06 (UTC)
Goto Top
hiho ich habs endlich hinbekommen, ES LEUFT *freu*

Ich hab debian noch nal neu installiert und dann die Original config genommen und diese dann angepasst. Jetzt klappt das alles wunderbar, der Nutzer muss sich Authentifizieren und dann erlangt er zugriff aufs Internet.

Vielen dank an alle die mir Heute den Tag über geholfen haben und mich so vor dem sicheren Durchdrehn bewahrt haben!!
Member: Pago159
Pago159 Dec 30, 2010 at 05:10:14 (UTC)
Goto Top
Guten morgen Holger,

könntest du bitte deinen Beitrag auf gelöst setzen?
Dann kann man die suche besser nutzen ;)

Lg Grapper