จากกระทู้ http://www.opentle.org/th/node/4237
ผมลองแล้ครับผมใช้ sis 555 แต่มีปัญหาก็ คือ ไฟล์ squid.conf ที่เขียนไว้ในกระทู้ กับของ sis 555 หลายๆๆบรรทัด ไม่ตรงกันอาจจะเป็นเพราะ squid คนละรุ่นกันหรือ ป่าว ก็ไม่รู้เหมือนกัน
จึงขอรบกวนสอบถามเกี่ยวกับ การ login ก่อนให้อินเตอร์เน็ต โดยใช้ sis 555 ตรงแก้ไฟล์ squid.conf ตรงไหน บ้างครับ
ขอบพระคุณ อย่างสูง
จากกระทู้ http://www.opentle.org/th/node/4237
ผม ได้ทำตามคำแนะนำ ในกระทู้ สามารถ login ตอนเข้าเน็ตได้ จิงแต่ต้องไปตั้งที่ ค่า proxy ของเครื่องลูก จึงจะให้ login ก่อน เข้าเน็ต
ขอคำแนะนำด้วยคับ ที่ไม่ต้องไปตั้งที่ proxy
ขอบคุณ
# Squid.conf preconfig for LinuxSIS 5.5
#WebA means such lines will be edited by WebAdmin in order to advance proxy configuration.
# SIS 5.5 Config WebA
http_port 8080 transparent
hierarchy_stoplist cgi-bin ?
acl QUERY urlpath_regex cgi-bin \?
no_cache deny QUERY
# SIS 5.5 Config WebA
cache_dir ufs /var/spool/squid 512 16 256
# SIS 5.5 Config WebA
redirect_program /usr/bin/squidGuard -c /etc/squid/squidguard-blacklists.conf
# SIS 5.5 Config WebA
redirect_children 5
auth_param basic children 5
auth_param basic realm Squid proxy-caching web server
# SIS 5.5 Config WebA
# Dont forget to edit network here
acl SIS5_Network src 192.168.0.0/16
http_access allow SIS5_Network
#-----
# SIS 5.5 Config WebA LDAP auth Mod
auth_param basic credentialsttl 2 hours
auth_param basic credentialsttl 30 seconds
auth_param basic casesensitive off
#------
# SIS 5.5 Config WebA LDAP auth chk
auth_param basic program /usr/lib/squid/squid_ldap_auth -b "ou=People,dc=sis,dc=com" localhost
#auth_param basic program /usr/lib/squid/squid_ldap_auth -b "ou=People,dc=sis,dc=com" -f "(&(uid=%s)(l=web))" localhost
auth_param basic children 5
auth_param basic credentialsttl 30 seconds
acl SIS55_ldpass proxy_auth REQUIRED
http_access allow SIS55_ldpass
#--------
# SIS 5.5 BW_Control WebA Mod for Gaysorn
#acl SIS55_Big src 192.168.10.7/32
#acl all_network src 192.168.0.0/16
#delay_pools 2
#delay_class 1 2
#delay_parameters 1 64000/64000 32000/32000
#delay_access 1 deny SIS55_Big
#delay_access 1 allow !SIS55_Big #all_network
#delay_class 2 2
#delay_parameters 2 64000/64000 64000/64000
#delay_access 2 allow SIS55_Big
#SIS 5.5 WebA authen by mac address
#acl SIS55_MacAdd arp 11:12:13:14:15:16
#http allow SIS55_MacAdd
#http deny !SIS55_MacAdd
#Default value from org squid
refresh_pattern ^ftp: 1440 20% 10080
refresh_pattern ^gopher: 1440 0% 1440
refresh_pattern . 0 20% 4320
acl all src 0.0.0.0/0.0.0.0
acl manager proto cache_object
acl localhost src 127.0.0.1/255.255.255.255
acl to_localhost dst 127.0.0.0/8
acl SSL_ports port 443 563
acl Safe_ports port 80 # http
acl Safe_ports port 21 # ftp
acl Safe_ports port 443 563 # https, snews
acl Safe_ports port 70 # gopher
acl Safe_ports port 210 # wais
acl Safe_ports port 1025-65535 # unregistered ports
acl Safe_ports port 280 # http-mgmt
acl Safe_ports port 488 # gss-http
acl Safe_ports port 591 # filemaker
acl Safe_ports port 777 # multiling http
acl CONNECT method CONNECT
http_access allow manager localhost
http_access deny manager
http_access deny !Safe_ports
http_access deny CONNECT !SSL_ports
http_access allow localhost
http_access deny all
http_reply_access allow all
icp_access allow all
# SIS 5.5 Config
visible_hostname LinuxSIS_55
# SIS 5.0 Config_Trans WebA in 55 is change to one line in the same line with port
#httpd_accel_host virtual
#httpd_accel_port 80
#httpd_accel_with_proxy on
#httpd_accel_uses_host_header on
coredump_dir /var/spool/squid
access_log /var/log/squid/access.log squid
cache_log /var/log/squid/cache.log squid
นี้คือ code ใน ไฟล์ squid.conf ที่ server ผมนะครับ
ซึ่วมัน จะถาม user pass ก็ ต่อ เมื่อ ต้อง ตั้ง proxy ที่ ie ก่อน
รบกวนด้วนครับ อาจารย์ ว่ามันจะต้องแก้ไข ยังไง ถึงไม่ต้องตั้ง proxy ที่ ie ครับ
ขอบคุณ มากครับ
ดูแล้วอาการเหมือนเป็นที่ iptables นะครับคุณ somdej
อาจไม่ได้ forward port 80 ไปยัง squid และ/หรืออาจไม่ได้เปิด dhcp หรือ config dhcp service ไม่ถูกต้อง เพราะถ้าถูกต้องทั้งหมดแล้ว Client จะไม่ต้องไปตั้งค่า proxy เลย เนื่องจากทุก Request จะถูก Redirect ไปยัง Proxy ทั้งหมด
อีกประการคือ แน่ใจหรือยังว่า ไม่มี DHCP ของ Gateway (Router) ตัวอื่นมาแย่งบริการ?
ผมเคยเจอปัญหาว่า ถ้าเป็นตัวเดียวกัน มันทะลุไปเลยหนะครับ ถ้าเปิดเป็น trans proxy
ถ้าเป็นคนละตัว ก็ไม่เป็นไร เพราะมันจะทราบได้จาก ip หนะครับ
เอ หรือมีวิธีที่จะทำให้ sharenet + proxy อยู่ด้วยกัน (trans) แล้ว authen แบบ user ได้บ้างไม้ครับ เอ หรือต้องไปปรับแต่งอะไรที่ firewall ... แต่ผมก็ยังไม่ทราบเหมือนกันครับว่าจะทำอย่างไร เลยต้องแก้ด้วยการแยกคนละเครื่อง
ที่เคย set (จำไม่ได้ นานแล้วเหมือนกัน) ก็คือ ให้ sis เป็น proxy แล้วใช้ adsl router เป็น gateway (คือ sis ไม่ share net - ใช้ lan card ใบเดียว) ใครแจก ip ก็ได้ (ตัวเดียว ห้ามแจกทั้งสองตัว เดี๋ยวตีกัน) ถ้าจะให้ง่าย ก็ให้ sis เป็นตัวแจก โดยตั้งทุกอย่างชี้ไปที่ sis แล้วแก้ไข firewall ที่ router ว่า ห้ามทุกคนออก ยกเว้นเครื่อง sis
ลองดูนะครับ :)
ทำ Transparent แล้วทะลุไปนั่นเกิดจาก การเขียน iptables หลวมครับ โดยทั่วไปแล้วหากค้นหาดูใน Internet จะพบตัวอย่าง iptables หลวมๆ ทั้งหมดครับ คือ Forward 80 ไปยัง Proxy (Squid) แล้วที่เหลือก็ Forward จาก "eth ใน" ส่งต่อออกไป "eth นอก" ตรงๆ ห้วนๆ ทุกๆ Port ไปเลย ผลก็คือทะลุสิครับ ทะลุข้าม Subnet เลยด้วย เพราะจะมองเห็นเท่าตัว Server เองเลยทีเดียว
การจะทำให้ไม่ทะลุ ต้องทำอย่างไร? ต้องไม่ Forward ตรงระหว่าง "eth ใน" และ "eth นอก" เลยไงครับ แต่นั่นย่อมหมายถึง เราต้องเขียน Rule ใส่ใน iptables เองละเอียดยิบเลย ดูแลทุกๆ Port เลยนั่นเองครับ
ทีนี้ พอจะนึกภาพออกหรือยังครับ ว่าเกิดอะไรขึ้น ถึงได้ทะลุ และจะไม่ให้ทะลุ ต้องทำอย่างไร ตัวอย่างบน Internet ผมไม่เคยเจอแบบละเอียดๆ เลย มีแต่แบบ Capture 80 ไป Proxy แล้วส่วนที่เหลืออื่นๆ ปล่อยผ่านได้หมด
อ้อ เล่าอะไรนิดหนึ่ง ใน FC9 นี่นะ อย่างโหดเลยครับ Default มาจะมี iptables อนู่ใน /etc/sysconfig มาให้ด้วย โดย Drop หมดเลยครับ แถม eth ก็ไม่ทำงานตั้งแต่แรกด้วย เพราะ Network service ตั้งมาให้ Default เป็น off
หลักการก็ไม่เลว เริ่มต้นแบบปกติปิด Normal close แล้วทยอยเปิดตามที่ต้องการ ถ้าเริ่มจากแบบนี้ "ไม่ทะลุ" แน่ๆ แต่อาจเจอปัญหาว่า "Forward แล้วทำไมไม่ออก" แทน เพราะอย่างที่ทราบครับ iptables rule นี่ก็ไม่ง่ายเลยสำหรับผู้ใช้ทั่วไปจะทำความเข้าใจ
"อ้อ เล่าอะไรนิดหนึ่ง ใน FC9 นี่นะ อย่างโหดเลยครับ Default มาจะมี iptables อนู่ใน /etc/sysconfig มาให้ด้วย โดย Drop หมดเลยครับ แถม eth ก็ไม่ทำงานตั้งแต่แรกด้วย เพราะ Network service ตั้งมาให้ Default เป็น off
หลักการก็ไม่เลว เริ่มต้นแบบปกติปิด Normal close แล้วทยอยเปิดตามที่ต้องการ ถ้าเริ่มจากแบบนี้ "ไม่ทะลุ" แน่ๆ แต่อาจเจอปัญหาว่า "Forward แล้วทำไมไม่ออก" แทน เพราะอย่างที่ทราบครับ iptables rule นี่ก็ไม่ง่ายเลยสำหรับผู้ใช้ทั่วไปจะทำความเข้าใจ"
แบบนี้เคยทดลองทำแล้วเหมือนกัน ปรากฏว่า ติดอย่างที่คุณจักรนันท์บอกนั่นแหละครับ แล้วก็จัดการยากด้วย คงต้องหาวิธีใหม่ดูเหมือนกัน
ที่คุณ oyes ถามไว้ที่ http://www.opentle.org/th/node/8943
-- dhcp ควรจะอยู่ที่ไหน proxy หรือ gateway
-- ถ้าใช้ sis เป็น proxy แล้ว เร้าเตอร์ เป็น gateway ได้ป่าว
"คำแนะนำของผม" ถ้าแยกกันแล้วอยากใช้เครื่องเดียวร่วมกัน Router นะครับ เอาง่ายๆ ก็ต้อง.... ให้ SIS บริการทั้งหมครับ ส่วน Router นั้นให้อยู่คนละ Class ไปเลย และตั้ง Subnet ให้เป็น 255.255.255.252 เพื่อไม่ให้เครื่องอื่นมาใช้ได้เลยนอกจาก SIS และปิด DHCP ใน Router ไปเลย
เอางี้ อธิบายอย่างนี้แล้วกัน
Router มี IP=10.0.0.1/255.255.255.252 ปิด DHCP แต่เปิด NAT ถ้าเป็นรุ่นที่สามารถกำหนดให้ไม่รับเป็นบาง IP ได้ก็ไม่ให้รับ 10.0.0.3 ก็จะทำให้ Router ให้บริการแค่ 10.0.0.2 เท่านั้น
SIS ที่ eth ที่ต่อกับ Router ให้ IP=10.0.0.2/255.255.255.0 ให้ Gateway เป็น 10.0.0.1 ติดต่อ Router ไปเลยคนเดียว
SIS ที่ eth ที่ต่อกับ Intranet ให้ IP=192.168.0.1/255.0.0.0 ไม่ต้องใส่ค่า Gateway เพราะรอบริการ Client เขา
DHCP ใน SIS ให้แจก IP ใน 192.168.x.x เท่านั้น แจก Gateway เป็น 192.168.0.1 แจก DNS ตามใจคุณ จะเอาจาก Router ก็ได้ หรือจาก DNS ที่ไหนก็ตามใจ (ส่วนตัวผม ผมจะให้ DNS1 เป็นของ ISP ส่วน DNS2 เล่น 4.2.2.1 เอา Top level มาเลย)
SIS อย่าลืมเปิด Transparent ด้วย
เครื่อง Client ก็จะมาผ่าน SIS หมดครับ เพราะ Router จะไม่ยอมคุยกับเครื่องอื่นอีกเลยนอกจาก Server ส่วนเรื่อง "ทะลุ" เวลาเปิด Transparent นั้น เป็นอีกเรื่องครับ (ผมได้กล่าวไปแล้ว)
อ้อ... แล้วอย่าให้ User รู้ล่ะ ว่า Router IP อะไร
สำหรับคุณ hin ขอให้ประสบการณ์เพิ่มอีกนิดนะครับ
เมื่อปล้ำ iptables เองแล้ว บ่อยครั้งที่ลูกน้องผมมักตกม้าตายคือ DNS นะครับ เขียน Rule เสียดิบดี สุดท้ายคิดว่า Forward ไม่ออก ไอ้นู่นใช้ไม่ได้ ไอ้นี่ใช้ไม่ได้ พอผมไปดูกลายเป็นว่าลืมไป Port หนึ่งใน iptables ที่ไม่ได้ดูแล คือ 53 ครับ แล้วทีนี้ Client จะ Solve name ทั้งหลายได้อย่างไร? ใช่ไหมครับ? เพราะ http port 80 นั่นถูก Forward ไป Squid อยู่แล้ว Squid ที่ Server ทำการ Solve เองแล้วส่งกลับไปให้ Client ก็จะไม่มีปัญหาใช่ไหมครับ แต่ Port อื่นๆ Client จะต้อง Solve name เองหมดใช่ไหมครับ? ก็ต้องจัดการ 53 ด้วย จริงไหมครับ? ไม่ว่าจะ Forward ออกไปหรือจะให้ Server เป็น Domain caching ก็ตามที.....
อั่นแน่... นึกได้แล้วสิครับ ว่าที่เคยทำหลงลืมอะไรไป :)
จัดทำและดูแลโดย โครงการพัฒนาและส่งเสริมการใช้ซอฟต์แวร์โอเพนซอร์ส ศูนย์เทคโนโลยีอิเล็กทรอนิกส์และคอมพิวเตอร์แห่งชาติ สำนักงานพัฒนาวิทยาศาสตร์และเทคโนโลยีแห่งชาติ
Powered by Drupal, an open source content management platform | Debian, a free operating system
Posts: 84
Joined: 20-11-2007