PDA

Archiv verlassen und diese Seite im Standarddesign anzeigen : Squid Konfiguration



memphis1
16.07.10, 09:56
Hallo zusammen,

habe folgendes Problem, bzw Frage. Ich möchte gerne über meinen Squid https und ftp Frei geben, nur ich weiß nicht so genau, wo und wie ich das in der Squid Konfig einschalte...
Hier ist mal meine Konfig:

# WELCOME TO SQUID 2.6.STABLE20
# ----------------------------
#

http_port 3128
#****** Squid lauscht am Port 3128 ********************************
#************************************************* *****************

icp_port 0
#**** Die Konstellation erlaubt keine icp-Anfragen, deshalb
#**** Port 0 setzen, also deaktivieren

cache_mem 60 MB
#****** Der Prozess benötigt etwa das drei-fache an RAM Speicher **
#****** ist dieser nicht vorhanden, wird squid langsam ************


cache_dir ufs /var/cache/squid 100 16 256
#******* 100 MB Platz in 16*256 Unterverzeichnissen **************
#************************************************* *****************


ipcache_size 2000
#****** Cachegröße fuer ip-Nummern **********************************


access_log /var/log/squid/access.log squid
cache_log /var/log/squid/cache.log
cache_store_log /var/log/squid/store.log

emulate_httpd_log on
mime_table /etc/squid/mime.conf
#***** Log-Files ************************************************** *

acl all src 0.0.0.0/0.0.0.0

acl SSL_ports port 443 563
acl Safe_ports port 80 443 563 70 210 1025-65535
acl CONNECT method CONNECT

#**************** Zugriff für das LAN src = Source ******************
acl LAN1 src 172.16.0.0/255.255.0.0

#***** Bestimmte Seiten sperren *************************************
acl gesperrteSeiten url_regex -i "etc/squid/gesperrt.txt"
http_access deny gesperrteSeiten

#***** Bestimmte Ports freischalten *********************************
acl ports port 21
http_access allow ports
ftp_telnet_protocol on

#***** Beschränkungen bez. PortNummern *******************************
http_access deny !Safe_ports
http_access deny CONNECT !SSL_ports


#***** Beschränkungen bez. aufrufenden IPs **************************
http_access allow LAN1
http_access deny all


#**************** ADMINISTRATIVE PARAMETERS *************************
# E-Mail Adresse des Administrator's
cache_mgr ...

error_directory /usr/share/squid/errors/German



Ich hoffe, Ihr könnt mir helfen, bin nämlich am verzweifeln,:)

Gruß

Thorashh
16.07.10, 10:45
Moin

Am einfachsten ist es meistens, wenn man mal eine Blick in die Doku (http://www.squid-cache.org/Versions/v2/2.6/cfgman/acl.html) wirft und die dann auch so übernimmt. :rolleyes:



#Recommended minimum configuration:
acl all src 0.0.0.0/0.0.0.0
acl manager proto cache_object
acl localhost src 127.0.0.1/255.255.255.255
acl to_localhost dst 127.0.0.0/8
acl SSL_ports port 443
acl Safe_ports port 80 # http
acl Safe_ports port 21 # ftp
acl Safe_ports port 443 # https
acl Safe_ports port 70 # gopher
acl Safe_ports port 210 # wais
acl Safe_ports port 1025-65535 # unregistered ports
acl Safe_ports port 280 # http-mgmt
acl Safe_ports port 488 # gss-http
acl Safe_ports port 591 # filemaker
acl Safe_ports port 777 # multiling http
acl CONNECT method CONNECT


Der Rest sieht ganz gut aus.

Da fehlen jetzt natürlich noch die Freigaben für Dein LAN1.
Das müsstest Du dann aber selber hinbekommen. ;)

Bis die sache läuft, würde ich noch die acl gesperrte_seiten auskommentieren. Das kannst Du anschließend einfügen und testen.

memphis1
16.07.10, 11:03
Hallo, und danke für die Antwort.
Aber leider geht das immer noch nicht. Wenn ich irgendeine https Seite aufrufe, versucht der Client zwar eine Verbindung aufzubauen, aber nach einiger Zeit bricht er ab mit folgender Fehlermeldung: "Verbindung fehlgeschlagen"
Meine Konfig sieht jetzt so aus:


# WELCOME TO SQUID 2.6.STABLE20
# ----------------------------
#

#Recommended minimum configuration:
acl all src 0.0.0.0/0.0.0.0
acl manager proto cache_object
acl localhost src 127.0.0.1/255.255.255.255
acl to_localhost dst 127.0.0.0/8
acl SSL_ports port 443
acl Safe_ports port 80 # http
acl Safe_ports port 21 # ftp
acl Safe_ports port 443 # https
acl Safe_ports port 70 # gopher
acl Safe_ports port 210 # wais
acl Safe_ports port 1025-65535 # unregistered ports
acl Safe_ports port 280 # http-mgmt
acl Safe_ports port 488 # gss-http
acl Safe_ports port 591 # filemaker
acl Safe_ports port 777 # multiling http
acl CONNECT method CONNECT


http_port 3128
#****** Squid lauscht am Port 3128 ********************************
#************************************************* *****************

icp_port 0
#**** Die Konstellation erlaubt keine icp-Anfragen, deshalb
#**** Port 0 setzen, also deaktivieren

cache_mem 60 MB
#****** Der Prozess benötigt etwa das drei-fache an RAM Speicher **
#****** ist dieser nicht vorhanden, wird squid langsam ************


cache_dir ufs /var/cache/squid 100 16 256
#******* 100 MB Platz in 16*256 Unterverzeichnissen **************
#************************************************* *****************


ipcache_size 2000
#****** Cachegröße fuer ip-Nummern **********************************


access_log /var/log/squid/access.log squid
cache_log /var/log/squid/cache.log
cache_store_log /var/log/squid/store.log

emulate_httpd_log on
mime_table /etc/squid/mime.conf
#***** Log-Files ************************************************** *


#logfile_rotate 5
#**** Durch den Befehl squid -k rotate werden neue Logfiles angelegt
#**** und die alten in cache.log.n bze access.log.n abgelegt *******
#**** n = 0...5 ************************************************** **


#**************** Zugriff für das LAN src = Source ******************
acl LAN1 src 172.16.0.0/255.255.0.0

#***** Bestimmte Seiten sperren *************************************
#acl gesperrteSeiten url_regex -i "etc/squid/gesperrt.txt"
#http_access deny gesperrteSeiten

#***** Bestimmte Ports freischalten *********************************
acl ports port 21
http_access allow ports
ftp_telnet_protocol on

#***** Beschränkungen bez. PortNummern *******************************
http_access deny !Safe_ports
http_access deny CONNECT !SSL_ports


#***** Beschränkungen bez. aufrufenden IPs **************************
http_access allow LAN1
http_access deny all


#**************** ADMINISTRATIVE PARAMETERS *************************
# E-Mail Adresse des Administrator's
cache_mgr …

error_directory /usr/share/squid/errors/German







Gruß

honkstar
16.07.10, 12:06
Was sagen denn die Logdateien dazu?

memphis1
16.07.10, 13:11
Welche ist denn dafür entscheident? Die cache.log oder welche?
Was mir noch auf fällt, ist das einige Seiten (z.b Xing) sich total langsam aufbauen, sobald ich den proxy im Explorer eintrage. Lass sich den Proxy auf weg, baut die Verbindung direkt auf...

Kann das sein, das doch irgendwas mit meinem Konfig-File nicht OK ist?

honkstar
16.07.10, 13:22
Cache.log und access.log sind die, die auf den ersten Blick am erfolgversprechensten sind...

memphis1
16.07.10, 13:24
Ich habe hier mal ein Auszug von der Access.log:
TCP_MISS/503 0 CONNECT xing.ivwbox.de:443 - DIRECT/91.215.101.66 -
1279279090.402 60390 172.16.0.46 TCP_MISS/503 0 CONNECT www.xing.com:443 - DIRECT/62.96.140.140 -
1279279090.402 60389 172.16.0.46 TCP_MISS/503 0 CONNECT www.xing.com:443 - DIRECT/62.96.140.140 -
1279279090.402 60388 172.16.0.46 TCP_MISS/503 0 CONNECT www.xing.com:443 - DIRECT/62.96.140.140 -
1279279090.402 60386 172.16.0.46 TCP_MISS/503 0 CONNECT www.xing.com:443 - DIRECT/62.96.140.140 -

Das ist mit aufgefallen. Aber wenn ich mal die ganze posten soll, ist auch nicht groß, mache ich das gerne.
Kann das eventuell an dem Eintrag "Cache_mem" liegen, das das alles so langsam ist?

Gruß

memphis1
16.07.10, 16:24
Ich leider noch mal,:(
Habe jetzt mal aus Verzweifelung den LSquid neu installiert und aus der originalen "squid.conf" die meisten Einstellungen übernommen. Leider gehen bei mir immer noch nicht die https und die ftp Seiten. Es kommt zwar keine direkte Fehlermeldung vom Squid, aber nach einer gewissen Zeit halt die Meldung vom Browser.
Ich weiß ech tnicht mehr, woran das liegt. Habe sogar schon die beiden Ports extra mal mit einer eigenen ACL bestückt und speziell erlaubt. Leider ohne Erfolg. Hier ist meine aktuelle neue "squid.conf".

# WELCOME TO SQUID 2.6.STABLE20
# ----------------------------
#

#Recommended minimum configuration:
acl all src 0.0.0.0/0.0.0.0
acl manager proto cache_object
acl localhost src 127.0.0.1/255.255.255.255
acl to_localhost dst 127.0.0.0/8
acl SSL_ports port 443
acl Safe_ports port 80 # http
acl Safe_ports port 21 # ftp
acl Safe_ports port 443 # https
acl Safe_ports port 70 # gopher
acl Safe_ports port 210 # wais
acl Safe_ports port 1025-65535 # unregistered ports
acl Safe_ports port 280 # http-mgmt
acl Safe_ports port 488 # gss-http
acl Safe_ports port 591 # filemaker
acl Safe_ports port 777 # multiling http
acl CONNECT method CONNECT


http_port 3128


icp_port 0


cache_mem 10000 MB


cache_dir ufs /var/cache/squid 10000 16 256

ipcache_size 2000


#***** Log-Files *********************************
access_log /var/log/squid/access.log squid
cache_log /var/log/squid/cache.log
cache_store_log /var/log/squid/store.log

emulate_httpd_log on
mime_table /etc/squid/mime.conf


#**************** Zugriff für das LAN ****************
acl LAN1 src 172.16.0.0/255.255.0.0

#***** Bestimmte Seiten sperren ***********************
acl gesperrteSeiten url_regex -i "etc/squid/gesperrt.txt"
http_access deny gesperrteSeiten


#***** Beschränkungen ****************************
acl SSL port 443
acl FTP port 21

http_access deny !Safe_ports
http_access deny CONNECT !SSL_ports


http_access allow all !SSL
http_access allow all !FTP

http_access allow LAN1
http_access deny all


# E-Mail Adresse des Administrator's
cache_mgr …

error_directory /usr/share/squid/errors/German

maximum_object_size 100 MB



Wäre nett, wenn jemand mal drüber schauen könnte, irgendwas muss da ja falsch sein...
Danke schonmal und ein schönes Wochenende...

Gruß

Thorashh
16.07.10, 16:45
Moin


... TCP_MISS/503 ...
Dein Squid kann die Seite nicht laden. Das ist entweder ein Problem mit deiner Firewall oder dem Server.

Deine Squid-Konfiguration sollte korrekt sein.

Auch FTP funktioniert mit der Beispielkonfiguration normalerweise ohne weitere Einstellungen.

memphis1
16.07.10, 16:48
Hallo,

ah, gut zu wissen, danke. Werde das gleich mal ausprobieren.
Das habe ich ja selber erstellt, ist das überflüssig??


acl SSL port 443
acl FTP port 21
http_access allow all !SSL
http_access allow all !FTP

Thorashh
16.07.10, 17:33
Das habe ich ja selber erstellt, ist das überflüssig??


acl SSL port 443
acl FTP port 21
http_access allow all !SSL
http_access allow all !FTP

Ja, völlig.

Außerdem macht die Regel sowieso nicht das, was Du willst. Du willst ja SSL und FTP nutzen. Das "!" gehört da also nicht hin.

Die nächste Zeile (http_access allow LAN1 ) erlaubt das dann sowieso.

memphis1
19.07.10, 11:43
Hallo,

danke für die Antwort. Es lag an der Firewall. Habe heute morgen es getestet, funktioniert alles.
Also danke noch mal an alle, die geholfen haben...

Aber eine Frage habe ich noch, bevor ich den produktiv einsetze. Wenn ich eine "gesperrteListe" verwende (mit gesperrten InternetSeiten), wie kann ich das dann einstellen, falls eine Seite darunter fällt, die erlaubt sein muss, aber das Word in der gesperrten Liste ist.
Ist das so Ok?

#***** Bestimmte Seiten freischalten ********************************
acl erlaubteSeiten url_regex -i "etc/squid/erlaubteSeiten.txt"
http_access allow erlaubteSeiten


Hoffe, Ihr wisst was ich meine,:)

gruß