Toon posts:

Squid proxy extern niet bereikbaar

Pagina: 1
Acties:

donderdag 22 juli 2010 18:52

Acties:
  • 0 Henk 'm!
  • Tom_G
  • Registratie: Januari 2004
  • Laatst online: 19-09 14:25

Tom_G

Topicstarter
Ik verblijf momenteel op reis (buitenland) en had graag de Squid proxy server op m'n homeserver gebruikt om toegang te krijgen tot content die enkel in eigenland toegankelijk is.

Ik maak gebruik van een behoorlijke default config van Squid 3.7 op een Debian systeem. Voor internet toegang gebruikt het systeem een pppoe verbinding (de LAN verbinding waarover deze PPPOE verbinding loopt wordt ook voor LAN gebruikt). Squid bind zich op poort 3128 (niet op een specifieke hostname of ip adres).

IPtables is geconfigureerd zodat poort 3128 inkomend toegestaan wordt voor tcp verkeer via de pppoe interface. De server zelf heeft qua uitgaand verkeer geen beperkingen.
Toch slaag ik er niet in om een connectie te maken vanaf de internet verbinding in het buitenland (standaard DSL thuis aansluiting) op poort 3128 middels telnet.

Via localhost (op de server zelf) kan ik middels telnet op poort 3128 connectie maken. Ook heb ik een ACL gedefinieerd die het externe ip adres (van de internet verbinding die ik momenteel gebruik) zou moeten toelaten tot de proxy server.

Is er nog een specifieke instelling in Squid zelf die kan verhinderen dat ik er connectie naar maak (bvb via telnet)?

IPtables lijkt me niet het probleem: alle andere poorten (ssh, www,...) naast 3128 worden toegestaan voor inkomend verkeer op de pppoe interface en zijn dus ook extern (vanuit buitenland) toegankelijk.

Alvast bedankt voor de hulp. :)

donderdag 22 juli 2010 19:00

Acties:
  • 0 Henk 'm!
  • Shuriken
  • Registratie: November 1999
  • Laatst online: 06-10 13:26

Shuriken

Life is all about priorities

Ik mis wat essentiele zaken in je topic. Ten eerste je config. Ik draai zelf geen Debian dus geen idee wat voor default config ze draaien.

Maar goed ik vermoed dat de default config alleen verkeer van binnen naar buiten toe staat. Dat zou veiligheids technisch gezien wel het best zijn.

Jij wil extern verkeer forwarden naar een externe website. Dan zal je je config toch wat aan moeten passen. Dan moet je toch even met google zoeken wat daar de beste methode voor is.

I rather have a bottle in front of me, then a frontal lobotomie

donderdag 22 juli 2010 19:02

Acties:
  • 0 Henk 'm!
  • raymonvdm
  • Registratie: December 2001
  • Laatst online: 30-06 16:35

raymonvdm

Is het niet zo dat de provider waar je nu zit gewoon verkeerd blokeerd met destination 8080 en 3128 ? Probeer squid eens te draaien op poort 80 om te zien wat hij dan doet.

En natuurlijk spitten in de logging om te zien wat er gebeurd

[ Voor 15% gewijzigd door raymonvdm op 22-07-2010 19:03 ]

donderdag 22 juli 2010 19:04

Acties:
  • 0 Henk 'm!
  • Zwelgje
  • Registratie: November 2000
  • Laatst online: 09:35

Zwelgje

zou me niet verbazen als die proxy gewoon geen connecties van buiten toestaat (vrij logisch ook, wie houdt er van open proxy's immers :? ) gebeurde 'vroeger' maar al te vaak dat die dingen van buitenaf openstonden en dat er vreemden via je eigen proxy zaten te surfen :z

A wise man's life is based around fuck you

donderdag 22 juli 2010 19:53

Acties:
  • 0 Henk 'm!
  • lordgandalf
  • Registratie: Februari 2002
  • Nu online

lordgandalf

wat zegt netstat en wat is je squid config ??
Volgens mij staat squid standaard op ip 127.0.0.1

[ Voor 36% gewijzigd door lordgandalf op 22-07-2010 19:54 ]

Steam: Profile / Socialclub: Profile / Uplay: minedwarf / Origin: lordgandalf3

donderdag 22 juli 2010 20:13

Acties:
  • 0 Henk 'm!
  • Wolfboy
  • Registratie: Januari 2001
  • Niet online

Wolfboy

ubi dubium ibi libertas

Een makkelijke manier om firewalls te omzeilen is je proxy verkeer via ssh laten lopen. Je kan het simpelweg tunnelen met "ssh -L 3128:localhost:3128" zodat je vanaf je computer gewoon met localhost:3128 verbind als proxy server.

Wil je nog zekerder zijn dat het werkt, laat je ssh server dan ook op de https poort draaien, in de meeste gevallen staat die poort namelijk open en het gebeurt niet vaak dat er deep packet inspection gedaan wordt dus grote kans dat ze niet controleren dat je ssh verkeer via de https poort laat lopen.

Blog [Stackoverflow] [LinkedIn]

donderdag 22 juli 2010 20:39

Acties:
  • 0 Henk 'm!
  • lamko
  • Registratie: December 2001
  • Laatst online: 20-10-2024

lamko

Wolfsboy waar vermeld je dan het externe adres? Dit komt mij beter over : http://www.revsys.com/writings/quicktips/ssh-tunnel.html Niet gekeken of het echt wel klopt maar leek mij logischer!

And this !! Is to go even further beyond!!!

donderdag 22 juli 2010 22:25

Acties:
  • 0 Henk 'm!
  • Tom_G
  • Registratie: Januari 2004
  • Laatst online: 19-09 14:25

Tom_G

Topicstarter
Bedankt voor de reacties.

In feite is het inderdaad een open proxy die ik wens te gebruiken (evt. gelimiteerd op source ip adressen via iptables of eventueel squid zelf): proxy extern benaderen om van daaruit terug naar buiten te gaan.

Via netstat kan ik vreemd genoeg niet terug vinden naar de services die luisteren (Apache, MySQL, Webmin,... er zijn er nochtans genoeg actief).
In de Squid config staat dat enkel geluisterd wordt op poort 3128 zonder dat er een hostname of ip adres gespecifieerd werd.
Ik vermoed dat die dan op eender welk ip en interface luistert naar inkomende connecties?

Echter, via SSH kan ik inderdaad het verkeer tunnelen en dit werkt dan ook meteen perfect! Toch ben ik benieuwd wat de reden is dat de proxy geen externe connecties toelaat.

Mijn config file (alle commentaar eruit gehaald):

acl all src all
acl manager proto cache_object
acl localhost src 127.0.0.1/32
acl to_localhost dst 127.0.0.0/8
acl localnet src 192.168.24.0/24
acl localnet src 188.61.82.215/32

acl SSL_ports port 443 # https
acl SSL_ports port 563 # snews
acl SSL_ports port 873 # rsync
acl Safe_ports port 80 # http
acl Safe_ports port 21 # ftp
acl Safe_ports port 443 # https
acl Safe_ports port 70 # gopher
acl Safe_ports port 210 # wais
acl Safe_ports port 1025-65535 # unregistered ports
acl Safe_ports port 280 # http-mgmt
acl Safe_ports port 488 # gss-http
acl Safe_ports port 591 # filemaker
acl Safe_ports port 777 # multiling http
acl Safe_ports port 631 # cups
acl Safe_ports port 873 # rsync
acl Safe_ports port 901 # SWAT

acl purge method PURGE
acl CONNECT method CONNECT

http_access allow manager localhost
http_access deny manager
http_access allow purge localhost
http_access deny purge
http_access deny !Safe_ports
http_access deny CONNECT !SSL_ports
http_access allow localhost
http_access allow localnet
http_access deny all
icp_access allow localnet
icp_access deny all

http_port 3128

hierarchy_stoplist cgi-bin ?
access_log /var/log/squid/access.log squid

refresh_pattern ^ftp: 1440 20% 10080
refresh_pattern ^gopher: 1440 0% 1440
refresh_pattern -i (/cgi-bin/|\?) 0 0% 0
refresh_pattern (Release|Package(.gz)*)$ 0 20% 2880
refresh_pattern . 0 20% 4320

acl shoutcast rep_header X-HTTP09-First-Line ^ICY\s[0-9]
upgrade_http0.9 deny shoutcast
acl apache rep_header Server ^Apache
broken_vary_encoding allow apache
extension_methods REPORT MERGE MKACTIVITY CHECKOUT
hosts_file /etc/hosts
coredump_dir /var/spool/squid


Dat laatste ip adres is het WAN adres waarmee ik online ga in het buitenland.

[ Voor 51% gewijzigd door Tom_G op 22-07-2010 22:41 ]

donderdag 22 juli 2010 23:03

Acties:
  • 0 Henk 'm!
  • Wolfboy
  • Registratie: Januari 2001
  • Niet online

Wolfboy

ubi dubium ibi libertas

lamko schreef op donderdag 22 juli 2010 @ 20:39:
Wolfsboy waar vermeld je dan het externe adres? Dit komt mij beter over : http://www.revsys.com/writings/quicktips/ssh-tunnel.html Niet gekeken of het echt wel klopt maar leek mij logischer!
Dat is alleen het begin van het commando. Daarachter plak je nog host of user@host

Blog [Stackoverflow] [LinkedIn]

vrijdag 23 juli 2010 00:00

Acties:
  • 0 Henk 'm!
  • d1ng
  • Registratie: Augustus 2009
  • Laatst online: 06-05-2024

d1ng

Tom_G schreef op donderdag 22 juli 2010 @ 22:25:
Dat laatste ip adres is het WAN adres waarmee ik online ga in het buitenland.
Mis je dan niet alsnog de acl om je buitenlands ip toe te laten op je squid ? Zoals je eigenlijk in je eerste post al aangeeft maar er dan toch niet staat. Of mis ikzelf iets ?
Dus zoiets zeg maar:

acl buitenland src <buitenlands_ip_adres>
http_access allow buitenland

vrijdag 23 juli 2010 00:14

Acties:
  • 0 Henk 'm!
  • DiedX
  • Registratie: December 2000
  • Laatst online: 06-10 08:53

DiedX

d1ng schreef op vrijdag 23 juli 2010 @ 00:00:
[...]

Mis je dan niet alsnog de acl om je buitenlands ip toe te laten op je squid ? Zoals je eigenlijk in je eerste post al aangeeft maar er dan toch niet staat. Of mis ikzelf iets ?
Dus zoiets zeg maar:

acl buitenland src <buitenlands_ip_adres>
http_access allow buitenland
Als dat niet zou werken krijg je een "access denied".

Korte vraag aan TS: welk IP draait squid op? (desnoods PB). Dan kunnen we hier kijken of 3128 gefiltert is. Als hij gefiltert is: OpenVPN?

DiedX supports the Roland™, Sound Blaster™ and Ad Lib™ sound cards

vrijdag 23 juli 2010 00:20

Acties:
  • 0 Henk 'm!
  • Nvidiot
  • Registratie: Mei 2003
  • Laatst online: 03-06 16:38

Nvidiot

notepad!

Waarom niet gewoon SSH gebruiken als een SOCKS proxy? Dat kan heel eenvoudig zo: http://www.virtualroadsid...-socks-proxy-using-putty/

What a caterpillar calls the end, the rest of the world calls a butterfly. (Lao-Tze)

Pagina: 1
Reageer

Apple iPhone 17 LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2025 Hosting door TrueFullstaq