Я пытаюсь настроить свой VPS-сервер для работы в качестве простого HTTP-прокси. Я установил Squid 3.3.8 на CentOS 7.1.1503 и настроил базовую аутентификацию с помощью ncsa_auth. Хотя вся схема, кажется, работает, и я успешно подключаюсь к своему прокси с другого ПК, теперь я сталкиваюсь с проблемами загрузки веб-страницы. Например, когда я пытаюсь открытьhttp://mirrors.liquidweb.com/, веб-страница не загружается правильно, Firefox загружает только половину, а затем я вижу сообщение «Передача данных с liquidweb.com» на некоторое время. Затем оно исчезает без какого-либо результата: веб-страница по-прежнему отображается наполовину загруженной. Я провел небольшое исследование этой проблемы, но единственные решения, которые я смог найти, были связаны с проблемами DNS. Похоже, это не проблема, связанная с DNS, и добавление dns_v4_first onпараметра в мою конфигурацию squid не дало никакого результата. Я хочу особо отметить, что это не проблема сайта или браузера, потому что она появлялась во всех браузерах, в которых я пытался открыть сайт, и отключение прокси в настройках браузера немедленно устраняет проблему. Также это, похоже, не проблема, связанная с интернет-провайдером, поскольку я могу загружать файлы через этот прокси со средней скоростью ~50 Мбит/с. Мой squid.confи снимок экрана с неправильно загруженной веб-страницей представлены ниже, заранее спасибо за любые догадки!
auth_param basic program /usr/lib64/squid/basic_ncsa_auth /etc/squid/passwd
auth_param basic childred 5
auth_param basic realm liproxy
auth_param basic credentialsttl 2 hours
#acl localnet src 10.0.0.0/8 # RFC1918 possible internal network
#acl localnet src 172.16.0.0/12 # RFC1918 possible internal network
#acl localnet src 192.168.0.0/16 # RFC1918 possible internal network
#acl localnet src fc00::/7 # RFC 4193 local private network range
#acl localnet src fe80::/10 # RFC 4291 link-local (directly plugged) machines
acl SSL_ports port 443
acl Safe_ports port 80 # http
#acl Safe_ports port 21 # ftp
acl Safe_ports port 443 # https
#acl Safe_ports port 70 # gopher
#acl Safe_ports port 210 # wais
#acl Safe_ports port 1025-65535 # unregistered ports
#acl Safe_ports port 280 # http-mgmt
#acl Safe_ports port 488 # gss-http
#acl Safe_ports port 591 # filemaker
#acl Safe_ports port 777 # multiling http
acl CONNECT method CONNECT
http_access deny !Safe_ports
http_access deny CONNECT !SSL_ports
http_access allow localhost manager
http_access deny manager
#http_access deny to_localhost
acl ncsaauth proxy_auth REQUIRED
http_access allow ncsaauth
dns_v4_first on
http_access deny all
http_port 0.0.0.0:3128
#cache_dir ufs /var/spool/squid 100 16 256
coredump_dir /var/spool/squid
refresh_pattern ^ftp: 1440 20% 10080
refresh_pattern ^gopher: 1440 0% 1440
refresh_pattern -i (/cgi-bin/|\?) 0 0% 0
refresh_pattern . 0 20% 4320
etc/sysconfig/iptables
*filter
# Allows all loopback (lo0) traffic and drop all traffic to 127/8 that doesn't use lo0
-A INPUT -i lo -j ACCEPT
-A INPUT ! -i lo -d 127.0.0.0/8 -j REJECT
# Accepts all established inbound connections
-A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
# Allows all outbound traffic
# You could modify this to only allow certain traffic
-A OUTPUT -j ACCEPT
-A INPUT -p tcp --dport 3128 -j ACCEPT
# Allows SSH connections
# The --dport number is the same as in /etc/ssh/sshd_config
-A INPUT -p tcp -m state --state NEW --dport 22 -j ACCEPT
# Now you should read up on iptables rules and consider whether ssh access
# for everyone is really desired. Most likely you will only allow access from certain IPs.
# Allow ping
# note that blocking other types of icmp packets is considered a bad idea by some
# remove -m icmp --icmp-type 8 from this line to allow all kinds of icmp:
# https://security.stackexchange.com/questions/22711
-A INPUT -p icmp -m icmp --icmp-type 8 -j ACCEPT
# log iptables denied calls (access via 'dmesg' command)
-A INPUT -m limit --limit 5/min -j LOG --log-prefix "iptables denied: " --log-level 7
# Reject all other inbound - default deny unless explicitly allowed policy:
-A INPUT -j REJECT
-A FORWARD -j REJECT
COMMIT
решение1
Вы скопировали свой брандмауэр откуда-то из Интернета, но, по-видимому, не до конца его прочитали и не поняли.
Рассмотрим этот раздел:
# Allow ping
# note that blocking other types of icmp packets is considered a bad idea by some
# remove -m icmp --icmp-type 8 from this line to allow all kinds of icmp:
# https://security.stackexchange.com/questions/22711
-A INPUT -p icmp -m icmp --icmp-type 8 -j ACCEPT
Одна из причин, по которой блокировать все ICMP — «плохая идея», заключается в том, что вы также блокируете такие вещи, как ответы Fragmentation Needed, которые требуются для работы обнаружения Path MTU. А если это не работает, то вы получаете зависающие веб-страницы, зависающие загрузки и т. д.
Чтобы решить проблему, вам следует удалить именно то, что говорится в комментарии.
А еще лучше — полностью удалите этот брандмауэр и вернитесь к firewalldсистеме, которая была включена в CentOS 7. Она настроит правильный брандмауэр без всех этих ловушек для неосторожных.