TriggerFm
23.01.11, 18:30
Hallo liebe Forumschreiber,
ich versuche seit mehr als 2 Wochen einen Squid3 Proxy aufzusetzen, der mir den Zugriff auf meine Webseiten auf dem Server selbst gestattet.
1. Bisher funktioniert der Zugriff vom Lan auf das Internet, und die lokalen Seiten auf dem Server vom Lan aus.
2. Der https Zugriff läuft nicht so reibungslos. Mittlerweile bekomme ich den Zugriff auf die Adresse, allerdings dann ein forbidden im Browser.
Da fehlt wahrscheinlich ein cache Zugriff. Alle versuchten Einstellungen brachten mich nicht weiter.
Ich bekomme 2 Dinge nicht hin:
1. transparent Mode: wie bekomme ich die https Seiten durchgeschleust ?
2. reverse Mode: Ich bekomme keinen Zugriff von außerhalb auf den Squid, sprich keinen Zugriff auf meine lokalen Seiten. (vweder per http noch https)
Außerdem stellt sich die Frage, wie erreiche ich die unterschiedlichen Seiten im Lokalen Netz (x vhosts auf 10.1.1.1:80 durch apache )
Der 2. Punkt ist mir jetzt ersteinmal wichtiger!
Ziel:
Zugriff auf interne vhost Seiten über https
also in etwa so:
Client <----> https:Squid:80 <----> 80:vhost 1
Client <----> 443:10.2.2.1:80 <----> 80:10.1.1.1
gleichzeitig (wenn möglich) Lan Verkehr über den Squid nach außen leiten (transparent Mode)
Notfalls über eine 2. Squid Instanz, oder geht es (hoffentlich) auch anders ?
----------------------------------
Aufbau des Netzes:
---------------------------------
:
externe IP
Router: (Port Forwading 80 / 443 auf 10.2.2.1:80)
10.2.2.100
:
:
10.2.2.1 (eth0)
Server
10.1.1.1 (eth1) (zum Lan )
:
:
10.1.1.2
Lan Rechner
---------------------------------
Server, interner Aufbau:
- Squid auf externer IP 10.2.2.1 (eth0)
- Apache auf interner IP 10.1.1.1 (eth1)
--------- 10.1.1.1:80 -> mehrere vhosts
--------- 10.1.1.100:443 -> https: vhost
--------- 10.1.1.101:443 -> https: vhost
---------------------------------
> ifconfig
eth0 inet Adresse:10.2.2.1 Bcast:10.2.2.255 Maske:255.255.255.0
eth1 inet Adresse:10.1.1.1 Bcast:10.1.1.255 Maske:255.255.255.0
eth1:0 inet Adresse:10.1.1.100 Bcast:10.1.1.255 Maske:255.255.255.0
eth1:1 inet Adresse:10.1.1.101 Bcast:10.1.1.255 Maske:255.255.255.0
lo
---------------------------------
Squid.conf (reverse Mode)
https_port 10.2.2.1:443 cert=/etc/ssl/private/dyndns.host.net-cert.pem key=/etc/ssl/private/dyndns.host.net-key.pem options=NO_SSLv2 defaultsite=wiki.dyndns.host.net vhost
cache_peer 10.1.1.1 parent 80 0 no-query originserver no-digest Login=PASS name=vhost1
acl main_srv dstdomain dyndns.host.net
acl main_srv_ip dst 10.1.1.1
acl main_srv_port port 80 443
cache_peer_access vhost1 allow main_srv
http_access allow main_srv_ip main_srv_port
forwarded_for on
acl apache rep_header Server ^Apache
acl manager proto cache_object
acl localhost src 127.0.0.1/32 ::1
acl to_localhost dst 127.0.0.0/8 0.0.0.0/32 ::1
acl local_lan src 10.1.1.0/24
acl to_local_lan dst 10.1.1.0/24
acl extern src 10.2.2.0/24
acl to_webserver dst 10.1.1.1
acl SSL_ports port 443
acl port80 port 80
acl Safe_ports port 21 # ftp
acl Safe_ports port 80 # http
acl Safe_ports port 443 # https
acl Safe_ports port 1025-65535 # unregistered ports
acl purge method PURFGE
acl CONNECT method CONNECT
cache allow all
http_access allow localhost
http_access allow local_lan
http_access allow extern
http_access allow manager all
http_access allow manager
http_access allow CONNECT SSL_ports
http_access deny !Safe_ports
http_access deny all
cache_access_log /var/log/squid/access.log
cache_log /var/log/squid/cache.log
cache_store_log /var/log/squid/store.log
emulate_httpd_log on
cache_dir ufs /var/cache/squid 1024 16 256
cache_mem 128 MB
coredump_dir /usr/local/squid/var/cache
pid_filename /var/run/squid.pid
debug_options ALL,1
refresh_pattern ^ftp: 1440 20% 10080
refresh_pattern ^gopher: 1440 0% 1440
refresh_pattern -i (/cgi-bin/|\?) 0 0% 0
refresh_pattern . 0 20% 4320
icp_port 0
hierarchy_stoplist cgi-bin ?
acl domains.deny dstdomain regex -i "/etc/squid/domains.deny"
http_access deny domains.deny
visible_hostname dyndns.host.net
------------------------------------
ich versuche seit mehr als 2 Wochen einen Squid3 Proxy aufzusetzen, der mir den Zugriff auf meine Webseiten auf dem Server selbst gestattet.
1. Bisher funktioniert der Zugriff vom Lan auf das Internet, und die lokalen Seiten auf dem Server vom Lan aus.
2. Der https Zugriff läuft nicht so reibungslos. Mittlerweile bekomme ich den Zugriff auf die Adresse, allerdings dann ein forbidden im Browser.
Da fehlt wahrscheinlich ein cache Zugriff. Alle versuchten Einstellungen brachten mich nicht weiter.
Ich bekomme 2 Dinge nicht hin:
1. transparent Mode: wie bekomme ich die https Seiten durchgeschleust ?
2. reverse Mode: Ich bekomme keinen Zugriff von außerhalb auf den Squid, sprich keinen Zugriff auf meine lokalen Seiten. (vweder per http noch https)
Außerdem stellt sich die Frage, wie erreiche ich die unterschiedlichen Seiten im Lokalen Netz (x vhosts auf 10.1.1.1:80 durch apache )
Der 2. Punkt ist mir jetzt ersteinmal wichtiger!
Ziel:
Zugriff auf interne vhost Seiten über https
also in etwa so:
Client <----> https:Squid:80 <----> 80:vhost 1
Client <----> 443:10.2.2.1:80 <----> 80:10.1.1.1
gleichzeitig (wenn möglich) Lan Verkehr über den Squid nach außen leiten (transparent Mode)
Notfalls über eine 2. Squid Instanz, oder geht es (hoffentlich) auch anders ?
----------------------------------
Aufbau des Netzes:
---------------------------------
:
externe IP
Router: (Port Forwading 80 / 443 auf 10.2.2.1:80)
10.2.2.100
:
:
10.2.2.1 (eth0)
Server
10.1.1.1 (eth1) (zum Lan )
:
:
10.1.1.2
Lan Rechner
---------------------------------
Server, interner Aufbau:
- Squid auf externer IP 10.2.2.1 (eth0)
- Apache auf interner IP 10.1.1.1 (eth1)
--------- 10.1.1.1:80 -> mehrere vhosts
--------- 10.1.1.100:443 -> https: vhost
--------- 10.1.1.101:443 -> https: vhost
---------------------------------
> ifconfig
eth0 inet Adresse:10.2.2.1 Bcast:10.2.2.255 Maske:255.255.255.0
eth1 inet Adresse:10.1.1.1 Bcast:10.1.1.255 Maske:255.255.255.0
eth1:0 inet Adresse:10.1.1.100 Bcast:10.1.1.255 Maske:255.255.255.0
eth1:1 inet Adresse:10.1.1.101 Bcast:10.1.1.255 Maske:255.255.255.0
lo
---------------------------------
Squid.conf (reverse Mode)
https_port 10.2.2.1:443 cert=/etc/ssl/private/dyndns.host.net-cert.pem key=/etc/ssl/private/dyndns.host.net-key.pem options=NO_SSLv2 defaultsite=wiki.dyndns.host.net vhost
cache_peer 10.1.1.1 parent 80 0 no-query originserver no-digest Login=PASS name=vhost1
acl main_srv dstdomain dyndns.host.net
acl main_srv_ip dst 10.1.1.1
acl main_srv_port port 80 443
cache_peer_access vhost1 allow main_srv
http_access allow main_srv_ip main_srv_port
forwarded_for on
acl apache rep_header Server ^Apache
acl manager proto cache_object
acl localhost src 127.0.0.1/32 ::1
acl to_localhost dst 127.0.0.0/8 0.0.0.0/32 ::1
acl local_lan src 10.1.1.0/24
acl to_local_lan dst 10.1.1.0/24
acl extern src 10.2.2.0/24
acl to_webserver dst 10.1.1.1
acl SSL_ports port 443
acl port80 port 80
acl Safe_ports port 21 # ftp
acl Safe_ports port 80 # http
acl Safe_ports port 443 # https
acl Safe_ports port 1025-65535 # unregistered ports
acl purge method PURFGE
acl CONNECT method CONNECT
cache allow all
http_access allow localhost
http_access allow local_lan
http_access allow extern
http_access allow manager all
http_access allow manager
http_access allow CONNECT SSL_ports
http_access deny !Safe_ports
http_access deny all
cache_access_log /var/log/squid/access.log
cache_log /var/log/squid/cache.log
cache_store_log /var/log/squid/store.log
emulate_httpd_log on
cache_dir ufs /var/cache/squid 1024 16 256
cache_mem 128 MB
coredump_dir /usr/local/squid/var/cache
pid_filename /var/run/squid.pid
debug_options ALL,1
refresh_pattern ^ftp: 1440 20% 10080
refresh_pattern ^gopher: 1440 0% 1440
refresh_pattern -i (/cgi-bin/|\?) 0 0% 0
refresh_pattern . 0 20% 4320
icp_port 0
hierarchy_stoplist cgi-bin ?
acl domains.deny dstdomain regex -i "/etc/squid/domains.deny"
http_access deny domains.deny
visible_hostname dyndns.host.net
------------------------------------