Re: Proxy server errata corrige [RISOLTO]
> >Ho installato squid con le seguenti direttive: > >acl localnet src MIARETE/24 >http_access allow localnet >http_access deny all >http_port 3128 >cache_peer proxy.AZIENDALE.it parent 8080 0 default > >Con delle chiamate http il doppio salto funziona senza > problemi. >Il problema è con https. > >Il client (nella prova wget) rimane appeso per un po' >> dicendomi >solo: >Connecting to IP_PROXY:3128... connected > >Dopo di che la connessione si chiuse e sul log di squid vedo: > >TCP_MISS/503 0 CONNECT DESTINAZIONE:443 - HIER_NONE/- - > Guardando il traffico tra client e il mio squid, vedo la seguente > >> risposta: HTTP/1.1 503 Service Unavailable Server: squid/3.3.8 Mime-Version: 1.0 Date: Thu, 03 Dec 2015 16:50:28 GMT Content-Type: text/html Content-Length: 3168 X-Squid-Error: ERR_CONNECT_FAIL 110 Vary: Accept-Language Content-Language: en >>> che se ben interpreto dice che squid non sta ascoltando sulla porta >>> https questo secondo me conferma la mia opinione della mail precedente >>> >>> -- >> >> >> >> Aspetta, penso tu stia facendo confusione. >> Non voglio connettermi a squid in https ma voglio >> che squid mi proxy sul proxy aziendale una chiamata https. >> Ossia: >> client (->http) mio_squid (->http) proxy_aziendale (->https) -> > >> server_remoto >> Le chiamate tra client->mio_squid e mio_squid->proxy_aziendale >> saranno delle CONNECT, tra proxy_aziendale e server remoto >> delle GET/POST su https >> > >> > > Guardando il traffico, quello che succede, è che squid invece > di ribaltare la CONNECT sul proxy aziendale, cerca lui stesso > > di connettersi al server, ovviamente non riuscendoci. > In pratica la direttiva "cache_peer", viene ignorata nel caso > di CONNECT. > > Risolto: è bastato aggiungere la direttiva: never_direct allow all Walter
Re: Proxy server errata corrige
Il 04/12/2015 10:18, Walter Valenti ha scritto: > > > Aspetta, penso tu stia facendo confusione. no, ho proprio capito roma per toma e' diverso :( -- Mario Vittorio Guenzi E-mail jcl...@tiscali.it Si vis pacem, para bellum ++ | Linux User #286828 | ++ signature.asc Description: OpenPGP digital signature
Re: Proxy server errata corrige
-- Per favore non inviatemi allegati in formato MS Office. Utilizza alternativamente documenti in formato OpenDocument. - Messaggio originale - > Da: Mario Vittorio Guenzi <jcl...@tiscali.it> > A: debian-italian@lists.debian.org > Inviato: Venerdì 4 Dicembre 2015 7:40 > Oggetto: Re: Proxy server errata corrige > > > > > Il 03/12/2015 17:59, Walter Valenti ha scritto: >> >> >>>> >>> >>> >>> Ho installato squid con le seguenti direttive: >>> >>> acl localnet src MIARETE/24 >>> http_access allow localnet >>> http_access deny all >>> http_port 3128 >>> cache_peer proxy.AZIENDALE.it parent 8080 0 default >>> >>> Con delle chiamate http il doppio salto funziona senza problemi. >>> Il problema è con https. >>> >>> Il client (nella prova wget) rimane appeso per un po' dicendomi >>> solo: >>> Connecting to IP_PROXY:3128... connected >>> >>> Dopo di che la connessione si chiuse e sul log di squid vedo: >>> >>> TCP_MISS/503 0 CONNECT DESTINAZIONE:443 - HIER_NONE/- - >>> >> >> >> >> Guardando il traffico tra client e il mio squid, vedo la seguente risposta: >> >> HTTP/1.1 503 Service Unavailable >> Server: squid/3.3.8 >> Mime-Version: 1.0 >> Date: Thu, 03 Dec 2015 16:50:28 GMT >> Content-Type: text/html >> Content-Length: 3168 >> X-Squid-Error: ERR_CONNECT_FAIL 110 >> Vary: Accept-Language >> Content-Language: en >> >> > che se ben interpreto dice che squid non sta ascoltando sulla porta > https questo secondo me conferma la mia opinione della mail precedente > > -- Aspetta, penso tu stia facendo confusione. Non voglio connettermi a squid in https ma voglio che squid mi proxy sul proxy aziendale una chiamata https. Ossia: client (->http) mio_squid (->http) proxy_aziendale (->https) -> server_remoto Le chiamate tra client->mio_squid e mio_squid->proxy_aziendale saranno delle CONNECT, tra proxy_aziendale e server remoto delle GET/POST su https Walter
Re: Proxy server errata corrige
Ho installato squid con le seguenti direttive: acl localnet src MIARETE/24 http_access allow localnet http_access deny all http_port 3128 cache_peer proxy.AZIENDALE.it parent 8080 0 default Con delle chiamate http il doppio salto funziona senza problemi. Il problema è con https. Il client (nella prova wget) rimane appeso per un po' > dicendomi solo: Connecting to IP_PROXY:3128... connected Dopo di che la connessione si chiuse e sul log di squid vedo: TCP_MISS/503 0 CONNECT DESTINAZIONE:443 - HIER_NONE/- - >>> >>> >>> >>> Guardando il traffico tra client e il mio squid, vedo la seguente > risposta: >>> >>> HTTP/1.1 503 Service Unavailable >>> Server: squid/3.3.8 >>> Mime-Version: 1.0 >>> Date: Thu, 03 Dec 2015 16:50:28 GMT >>> Content-Type: text/html >>> Content-Length: 3168 >>> X-Squid-Error: ERR_CONNECT_FAIL 110 >>> Vary: Accept-Language >>> Content-Language: en >>> >>> >> che se ben interpreto dice che squid non sta ascoltando sulla porta >> https questo secondo me conferma la mia opinione della mail precedente >> >> -- > > > > Aspetta, penso tu stia facendo confusione. > Non voglio connettermi a squid in https ma voglio > che squid mi proxy sul proxy aziendale una chiamata https. > Ossia: > client (->http) mio_squid (->http) proxy_aziendale (->https) -> > server_remoto > Le chiamate tra client->mio_squid e mio_squid->proxy_aziendale > saranno delle CONNECT, tra proxy_aziendale e server remoto > delle GET/POST su https > > Guardando il traffico, quello che succede, è che squid invece di ribaltare la CONNECT sul proxy aziendale, cerca lui stesso di connettersi al server, ovviamente non riuscendoci. In pratica la direttiva "cache_peer", viene ignorata nel caso di CONNECT. Walter
Re: Proxy server errata corrige
Il 03/12/2015 17:59, Walter Valenti ha scritto: > > >>> >> >> >> Ho installato squid con le seguenti direttive: >> >> acl localnet src MIARETE/24 >> http_access allow localnet >> http_access deny all >> http_port 3128 >> cache_peer proxy.AZIENDALE.it parent 8080 0 default >> >> Con delle chiamate http il doppio salto funziona senza problemi. >> Il problema è con https. >> >> Il client (nella prova wget) rimane appeso per un po' dicendomi >> solo: >> Connecting to IP_PROXY:3128... connected >> >> Dopo di che la connessione si chiuse e sul log di squid vedo: >> >> TCP_MISS/503 0 CONNECT DESTINAZIONE:443 - HIER_NONE/- - >> > > > > Guardando il traffico tra client e il mio squid, vedo la seguente risposta: > > HTTP/1.1 503 Service Unavailable > Server: squid/3.3.8 > Mime-Version: 1.0 > Date: Thu, 03 Dec 2015 16:50:28 GMT > Content-Type: text/html > Content-Length: 3168 > X-Squid-Error: ERR_CONNECT_FAIL 110 > Vary: Accept-Language > Content-Language: en > > che se ben interpreto dice che squid non sta ascoltando sulla porta https questo secondo me conferma la mia opinione della mail precedente -- Mario Vittorio Guenzi E-mail jcl...@tiscali.it Si vis pacem, para bellum ++ | Linux User #286828 | ++ signature.asc Description: OpenPGP digital signature
Re: Proxy server errata corrige
Il 03/12/2015 16:47, Walter Valenti ha scritto: > >> >> + proxy satellite. >> Ovvero: >> devo fare una chiamata https: il mio client fa la richiesta di CONNECT, >> ma ffproxy anziché parlare in http col proxy aziendale, gli parla in https, >> ricevendo ovviamente un bel "picche". Nella sua configurazione il proxy >> remoto >> è voluto come host e porta separati, non c'è modo di forzarlo come url. >> >> Come posso provo squid. >> > > > Ho installato squid con le seguenti direttive: > > acl localnet src MIARETE/24 > http_access allow localnet > http_access deny all > http_port 3128 > cache_peer proxy.AZIENDALE.it parent 8080 0 default > > Con delle chiamate http il doppio salto funziona senza problemi. > Il problema è con https. > > Il client (nella prova wget) rimane appeso per un po' dicendomi > solo: > Connecting to IP_PROXY:3128... connected > > Dopo di che la connessione si chiuse e sul log di squid vedo: > > TCP_MISS/503 0 CONNECT DESTINAZIONE:443 - HIER_NONE/- - > > > Idee? > Purtroppo non ho alcuna esperienza su squid. > > Premesso che non uso proxy per https mi pare che la porta sia la 443 non la 3128 E secondo me devi abilitare il tag https_port $IP_DEL_PROXY:443 Nello squid.conf dovrebbe a memoria essere il tag dopo http_port e sempre a memoria ci sono i modi come settare la cosa. -- Mario Vittorio Guenzi E-mail jcl...@tiscali.it Si vis pacem, para bellum ++ | Linux User #286828 | ++ signature.asc Description: OpenPGP digital signature
Re: Proxy server errata corrige
>> > > > Ho installato squid con le seguenti direttive: > > acl localnet src MIARETE/24 > http_access allow localnet > http_access deny all > http_port 3128 > cache_peer proxy.AZIENDALE.it parent 8080 0 default > > Con delle chiamate http il doppio salto funziona senza problemi. > Il problema è con https. > > Il client (nella prova wget) rimane appeso per un po' dicendomi > solo: > Connecting to IP_PROXY:3128... connected > > Dopo di che la connessione si chiuse e sul log di squid vedo: > > TCP_MISS/503 0 CONNECT DESTINAZIONE:443 - HIER_NONE/- - > Guardando il traffico tra client e il mio squid, vedo la seguente risposta: HTTP/1.1 503 Service Unavailable Server: squid/3.3.8 Mime-Version: 1.0 Date: Thu, 03 Dec 2015 16:50:28 GMT Content-Type: text/html Content-Length: 3168 X-Squid-Error: ERR_CONNECT_FAIL 110 Vary: Accept-Language Content-Language: en
Re: Proxy server errata corrige
> >+ proxy satellite. >Ovvero: >devo fare una chiamata https: il mio client fa la richiesta di CONNECT, >ma ffproxy anziché parlare in http col proxy aziendale, gli parla in https, >ricevendo ovviamente un bel "picche". Nella sua configurazione il proxy remoto >è voluto come host e porta separati, non c'è modo di forzarlo come url. > >Come posso provo squid. > Ho installato squid con le seguenti direttive: acl localnet src MIARETE/24 http_access allow localnet http_access deny all http_port 3128 cache_peer proxy.AZIENDALE.it parent 8080 0 default Con delle chiamate http il doppio salto funziona senza problemi. Il problema è con https. Il client (nella prova wget) rimane appeso per un po' dicendomi solo: Connecting to IP_PROXY:3128... connected Dopo di che la connessione si chiuse e sul log di squid vedo: TCP_MISS/503 0 CONNECT DESTINAZIONE:443 - HIER_NONE/- - Idee? Purtroppo non ho alcuna esperienza su squid.
Re: Proxy server
Il giorno lun, 30/11/2015 alle 18.31 +0100, Pol Hallen ha scritto: > domanda: ora che le connessioni sono quasi tutte https, come lo gestite? > Perchè se viene configurato per gestire anche quelle il risultato può > essere un "man in middle" rilevato dai vari browser, oppure escludete > l'intero https? Di suo squid usa CONNECT per https (che non è un uomo nel mezzo). Questo permette per esempio di mantenere i filtri sui siti indesiderati, pur senza interrompere la connessione end-to-end. Ovviamente niente cache Se voi farti del male, puoi davvero proxare anche https, ma poi chi si trova il conto in banca svuotato viene a cercare il povero sistemista... -- Vincenzo Villa http://www.vincenzov.net -- Vincenzo Villa http://www.vincenzov.net
Re: Proxy server
Cosa mi suggerite di usare come proxy server, piccolo e leggero, da configurare senza patemi d'animo? squid è complesso? domanda: ora che le connessioni sono quasi tutte https, come lo gestite? Perchè se viene configurato per gestire anche quelle il risultato può essere un "man in middle" rilevato dai vari browser, oppure escludete l'intero https? Pol
Re: Proxy server
Il 27/11/2015 11:44, Walter Valenti ha scritto: > Cosa mi suggerite di usare come proxy server, piccolo e leggero, > da configurare senza patemi d'animo? > squid è complesso? > > L'unico "vincolo" è che deve fare da "satellite", nel senso che punterà > verso un altro proxy (aziendale) > > Walter > Buongiorno Walter Squid e' spaziale a dire poco, non fa ancora il caffe' ma sono fiducioso per le prossime release :) Puoi configurare di tutto e di piu' e una configurazione simple richiede queste informazioni: acl mynetwork (o come ti piace di piu') src 192.168.2.0/24 o quella che e' la tua lan http_access allow mynetwork http_port IP_DEL_PROXY:3128 cache_mem 256 MB qui devi vedere tu quanto dargli memory_replacement_policy lru cache_replacement_policy lru cache_dir aufs /path_della_cache 22000 16 256 con qeste righe hai un proxy cache funzionante e che ti scordi di avere attivo. Nel tuo caso visto che devi puntare a un altro proxy dovrai usare anche la direttiva cache_peer Il file squid.conf e' commentato benissimo e pieno di esempi, quindi non farai fatica a trovare quel che ti serve, inoltre in rete c'e' di tutto davvero come documentazione tra cui l'ottimo squid oltre le FAQ che e' un po la bibbia di squid. Spero di esserti stato utile -- Mario Vittorio Guenzi E-mail jcl...@tiscali.it Si vis pacem, para bellum ++ | Linux User #286828 | ++ signature.asc Description: OpenPGP digital signature
Re: Proxy server errata corrige
>> Walter >> > >cache_dir aufs /path_della_cache 22000 16 256 > ^^ >questo parametro dipende da quanto spazio gli assegni in fretta ho >copiato il mio io do una partizione assegnata a cache normalmente non e' >cosi' e quindi si usa il default. > > Ti ringrazio, ma alla fine ho usato ffproxy. E' un proxy che andrà usato giusto ogni tanto per delle demo. Walter
Re: Proxy server errata corrige
Il 27/11/2015 11:44, Walter Valenti ha scritto: > Cosa mi suggerite di usare come proxy server, piccolo e leggero, > da configurare senza patemi d'animo? > squid è complesso? > > L'unico "vincolo" è che deve fare da "satellite", nel senso che punterà > verso un altro proxy (aziendale) > > Walter > cache_dir aufs /path_della_cache 22000 16 256 ^^ questo parametro dipende da quanto spazio gli assegni in fretta ho copiato il mio io do una partizione assegnata a cache normalmente non e' cosi' e quindi si usa il default. -- Mario Vittorio Guenzi E-mail jcl...@tiscali.it Si vis pacem, para bellum ++ | Linux User #286828 | ++ signature.asc Description: OpenPGP digital signature
Proxy server
Cosa mi suggerite di usare come proxy server, piccolo e leggero,da configurare senza patemi d'animo?squid è complesso? L'unico "vincolo" è che deve fare da "satellite", nel senso che punterà verso un altro proxy (aziendale) Walter
Proxy server idee + chiare consigli
Title: Proxy server idee + chiare consigli Mi devo scusare, ma avevole idee un po' confuse datemi un consiglio: 1. Il proxy squid non gestisce la posta ma solo il traffico http 2. con due sche di rete devo fare, sulla stessa macchina: - proxy - NAT - firewall tramite NAT accedo ai DNS (porta 53), alla posta ecc... Nella porta del proxy disabilito l'accesso alle porte 25, 110 995, gestite comunque dal nat e firewaal per il controllo. 3. con una scheda posso ffare solo il proxy server: indirizzo tutto iltraffico http sul proxy ho un firewall che consente il traffico tcp solo al proxy il fw. gestisce i permessi sulla posta ed altro il proxy gestisce solo il traffico http. Giusto? in squid basta che configuro http_port 3128 se ho un sola scheda giusto? Grazie
Re: Proxy server idee + chiare consigli
Alle 14:02, venerdì 16 giugno 2006, [EMAIL PROTECTED] ha scritto: IN PRIVATO, NON IN LISTA !SE VUOI RISPONDERE FALLO IN PRIVATO! Allora: 1)A naso direi che non hai ancora capito granché su cosa sono i protocolli di rete, in internet trovi tutto ed anche di più 2) cosa è il protocollo tcp/ip e cosa sono le porte tcp, vedi sopra (ma non occorre davvero 3) cosa può_fare/fa un firewall e quanto tempo vuoi dedicarci alla sua configurazione. A naso: Hai una macchina su cui vuoi centralizzare il traffico tcp/ip verso l'esterno (in pratica tutto il traffico internet) Sulla rete interna hai intenzione di abilitare solo il traffico con protocollo tcp/ip (lo do per scontato perché adesso gli altri protocolli proprietari non li usa più nessuno (neppure apple e novell) Vuoi collegare la rete interna alla scheda ethernet 0 Vuoi collegare la scheda ethernet1 ad internet tramite, in alternativa: a) un router con firewall incorporato b) un firewall dedicato (non credo, ma tutto è possibile) c) un modem o un router senza fw Vuoi far girare sulla stessa macchina su cui gira squid anche un fw con funzioni di controllo che blocchi tutte le porte tcp diverse da quelle che usa squid verso l'interno e che permetta a squid il traffico che gli vuoi permettere verso l'esterno. Non ti serve nattare nulla. Beh, il tutto è sicuramente possibile, sono convinto che ti ci divertirai parecchio ed imparerai parecchio. Mi devo scusare, ma avevole idee un po' confuse datemi un consiglio: 1. Il proxy squid non gestisce la posta ma solo il traffico http non proprio, gestisce un sacco di altre robe, vedi a: http://www.squid-cache.org/ 2. con due sche di rete devo fare, sulla stessa macchina: - proxy - NAT - firewall tramite NAT accedo ai DNS (porta 53), alla posta ecc... perché natti le query dns? lo fa anche squid e in proxydns lo puoi fare con una marea di altri programmini Nella porta del proxy disabilito l'accesso alle porte 25, 110 995, cos intendi per porta del proxy? Dal contesto mi sembra tu intenda scheda o porta ethernet le porte del proxy sono quelle che vuoi indicargli tu. gestite comunque dal nat e firewaal per il controllo. ?? 3. con una scheda posso ffare solo il proxy server: indirizzo tutto iltraffico http sul proxy. Bene, e gli altri protocolli, tipo (tipo ftp) li blocchi tutti? ho un firewall che consente il traffico tcp solo al proxy dentro traffico tcp c'è (quasi) tutta internet e le 62000 e rotti porte tcp... alla faccia del solo. Comunque vabbuò lasci fuori l'udp... il fw. gestisce i permessi sulla posta ed altro no. Ammenocché tu intenda il blocco dei vari protocolli smtp, imap, i vari pop, oppure il blocco delle porte pop e smtp canoniche 25 e 110. il proxy gestisce solo il traffico http. Giusto? No. E buona fortuna :) A.
Re: Proxy server idee + chiare consigli
On Fri, 2006-06-16 at 14:02 +0200, [EMAIL PROTECTED] wrote: Mi devo scusare, ma avevole idee un po' confuse datemi un consiglio: 1. Il proxy squid non gestisce la posta ma solo il traffico http Uhm... sembra che nessuno dei piu' esperti risponda! Io ho utilizzato squid per il traffico http 2. con due sche di rete devo fare, sulla stessa macchina: - proxy - NAT - firewall NAT e firewall li utilizzo perche' faccio un ip-masquerading tramite NAT accedo ai DNS (porta 53), alla posta ecc... Nella porta del proxy disabilito l'accesso alle porte 25, 110 995, gestite comunque dal nat e firewaal per il controllo. 3. con una scheda posso ffare solo il proxy server: indirizzo tutto iltraffico http sul proxy ho un firewall che consente il traffico tcp solo al proxy il fw. gestisce i permessi sulla posta ed altro il proxy gestisce solo il traffico http. Giusto? in squid basta che configuro http_port 3128 se ho un sola scheda giusto? Perche' una sola scheda? Credo che squid se ne 'freghi' della interfaccia (eth0, eth1 ecc ...). Almeno io non ho visto nel mio squid.conf nessun accenno alla interfaccia. Grazie Essendo un po' troppo digiuno di questi problemi (avendo solo una rete casalinga) non sono riuscito a capire bene che cosa vuoi fare. Purtroppo non so darti indicazioni. Ciao Stefano -- Per REVOCARE l'iscrizione alla lista, inviare un email a [EMAIL PROTECTED] con oggetto unsubscribe. Per problemi inviare un email in INGLESE a [EMAIL PROTECTED] To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
Inserire indirizzo Proxy Server Globale
Dove si indica l'indirizzo di un proxy server da utilizzare per TUTTE le connessioni uscenti da un certo client (Debian Sarge Kernel 2.6.8). In un Browser Internet esiste il posto, ed infatti funziona. Ma con altri programmi (ad esempio apt-get) continua ad usare la linea diretta (NAT). Invece io vorrei fare passare TUTTO dal proxy locale. Dove posso indicare l'IP del proxy da usare?? Grazie. Andrea. -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
Re: squid proxy server
Stefano Simonucci wrote: Salve. Ho provato a configurare squid per utilizzarlo dalla rete domestica, ma non riesco a farlo funzionare a dovere. In pratica ho un PC che fa da interfaccia con internet e una mini rete domestica. Io credevo che bastasse http_port 3128 acl our_networks src 192.168.0.0/24 http_access allow our_networks http_access allow localhost per permettere ai PC della minirete domestica di collegarsi utilizzando come proxy server 192.168.0.1 port 3128 Invece tutti gli accessi sono negati ma non riesco a trovare traccia di questi tentativi di accesso nei file di log in /var/log/* Grazie Ciao Stefano Devi verificare che in http_access al posto di deny all ci sia una regola diversa di accettazione. Se poi non ti interessa avere strane restrizioni è sufficente che al posto di http_access deny all metti http_access allow all Le regole di accesso le trovi dopo la dichiarazione delle acl Ciao -- Aste83 ;-) mail: [EMAIL PROTECTED] web: intranet.dynalias.net
