プロキシ配下の CentOS に yum でSquidをインストールしようとした時に yum.conf にプロキシを書く必要があった件

プロキシ経由でないとインターネットに接続できない環境で yum を使って Squidをインストールしたのでここに記録しておきます。

サイトによっては、環境変数にプロキシを設定しておけばOKと書かれているものもありましたが、私が使ったCentOS 8 では /etc/yum.conf に直接記述しないとうまくいきませんでした。

環境変数でプロキシを指定した場合

以下の通りパッケージのダウンロードに失敗しました。

$ env | grep proxy
proxy=http://10.XX.XX.2:3128/
https_proxy=http://10.XX.XX.2:3128/
http_proxy=http://10.XX.XX.2:3128/
$ sudo yum install squid
・・・
エラー: パッケージのダウンロード中にエラーが発生しました:
  Cannot download Packages/perl-DBI-1.641-3.module_el8.3.0+413+9be2aeb5.x86_64.rpm: All mirrors were tried

yum.conf にプロキシを記述した場合

以下の通り /etc/yum.conf にプロキシを記載したところ、正常に Squid をインストールすることができました。

$ sudo cat /etc/yum.conf
[main]
・・・
proxy=http://10.XX.XX.2:3128/
・・・
$ sudo yum install squid
CentOS-8 - AppStream                            8.2 kB/s | 4.3 kB     00:00    
・・・」
Installed products updated.

インストール済み:
  libecap-1.0.1-2.module_el8.4.0+544+e8367ddf.x86_64                            
  perl-DBI-1.641-3.module_el8.3.0+413+9be2aeb5.x86_64                           
  perl-Digest-SHA-1:6.02-1.el8.x86_64                                           
  perl-Math-BigInt-1:1.9998.11-7.el8.noarch                                     
  perl-Math-Complex-1.59-420.el8.noarch                                         
  squid-7:4.15-1.module_el8.5.0+860+303ccf92.x86_64                             

完了しました!

補足:squid.confの場所

ちなみにCentOSにSquidをインストールした場合、設定ファイルは以下の場所にあるようです。

/etc/squid/squid.conf

Mac OSの時は /usr/local/etc/squid.conf だったので、OSによって場所が違うみたいですね。

参考サイト:

yum,wgetのproxy設定(centOS 7)(Qiita)
https://qiita.com/katsuta/items/17eee8e78543871b5f27

Squid 経由で 8443ポートの https サイトにアクセスした際にユーザ認証が通らなかった件

先日、Mac にSquidをインストールしプロキシを構築しました。

https://k2-ornata.com/mac_squid_install/

その後、通常の https 443ポートへの通信はSquid経由で問題なくアクセスできていたのですが、8443 ポートのWebサイトでユーザ認証を行おうとすると、いくらやっても認証が通りませんでした。

443以外のSSLポートは追記が必要

しばらくなぜだろうと考えていたのですが、あるサイトを見て Squid はデフォルトでは SSLポートとして 443しか認識してくれないことがわかりました。

そこで以下の通り、acl SSL_ports port の行に 8443を追加して Squidを再起動してみたところ、ユーザ認証が通るようになりました。

#
# Recommended minimum configuration:
#

# Example rule allowing access from your local networks.
# Adapt to list your (internal) IP networks from where browsing
# should be allowed
# acl localnet src 0.0.0.1-0.255.255.255        # RFC 1122 "this" network (LAN)
acl localnet src 10.0.0.0/8             # RFC 1918 local private network (LAN)

・・・

acl SSL_ports port 443 8443
acl Safe_ports port 80          # http
acl Safe_ports port 21          # ftp
acl Safe_ports port 443         # https
acl Safe_ports port 70          # gopher
acl Safe_ports port 210         # wais
acl Safe_ports port 1025-65535  # unregistered ports
acl Safe_ports port 280         # http-mgmt
acl Safe_ports port 488         # gss-http
acl Safe_ports port 591         # filemaker
acl Safe_ports port 777         # multiling http

#
# Recommended minimum Access Permission configuration:
#
# Deny requests to certain unsafe ports
http_access deny !Safe_ports
・・・

しかし、ユーザ認証が通らなかった時にもログイン画面までは表示されていたのが不思議です。もしかしたらあればキャッシュデータだったのだろうか?

参考サイト

(Squid)Proxy経由だとHTTPSが403になる(情弱エンジニアだいありー)
https://www.lab.ocean-cloud.org/2021/12/22/squidproxy%E7%B5%8C%E7%94%B1%E3%81%A0%E3%81%A8https%E3%81%8C403%E3%81%AB%E3%81%AA%E3%82%8B/

CentOS の firewalld にて特定の送信先のみにアウトバウンド通信を制限してみた

インターネットにアクセスする際に特定のプロキシサーバ経由でないとアクセスできないことを想定し、CentOS の firewalld にてアウトバウンド宛の通信を特定のアドレス(Proxyサーバ)のみに制限してみました。

なお、アウトバウンドの通信を制限するには、ダイレクトルールというものを利用しなければならないようです。

1.特定のIPアドレス宛のアウトバウンド通信を許可する

10.XX.XX.XX宛の通信を優先度1で許可します。この時、制御するNICのインターフェイスを “-o”オプションで指定しています。 

$ sudo firewall-cmd --permanent --direct  --add-rule
ipv4 filter OUTPUT 1 -d 10.XX.XX.XX/32 -o enp0s5 -j ACCEPT

ちなみにACCEPTはすべて大文字にする必要がありそうです。
小文字にしていると、リロードするときにエラーが発生します。

2.それ以外の宛先のアウトバウンド通信をブロックする

それ以外の通信をどう表現するのか少し悩みましたが、”0.0.0.0/0″で良さそうでしたので、優先度2として下記のとおり設定しています。

$ sudo firewall-cmd --permanent --direct --add-rule ipv4 filter OUTPUT 2 -d 0.0.0.0/0 -o enp0s5 -j DROP

3.設定を確認する

1.2.の設定は “/etc/firewalld/direct.xml”に書かれるので確認してみます。

$ sudo  vi /etc/firewalld/direct.xml

ちなみに直接このファイルを編集してみましたが、うまくいかなかったことがあるので、1.2.のようにコマンドで設定するのがようさそうです。

4.設定を有効化(リロード)する

3.で確認した設定を”–reload”オプションで有効化します。

$ sudo firewall-cmd --reload
success

5.有効化された設定を確認する

“–get-all-rules”で有効化されているルールを確認することが可能です。

$ sudo firewall-cmd --direct --get-all-rules
ipv4 filter OUTPUT 1 -d 10.XX.XX.XX/32 -o enp0s5 -j ACCEPT
ipv4 filter OUTPUT 2 -d 0.0.0.0/0 -o enp0s5 -j DROP

Macに Squidを導入してゲストOSから経由させようとしたときにHTTP 403エラーが発生した件

先日、MacにSquidをインストールしました。

https://k2-ornata.com/mac_squid_install/

その時は、Parallels Desktop上に構築したゲストOSからもその Squidを経由してインターネットにアクセスできていたはずなのですが、再度、Squidを起動してゲストOSからアクセスしたところ、以下のエラーが発生してインターネットに接続できませんでした。

$ curl https://www.google.co.jp/ http://(SquidのIPアドレス):3128
curl: (56) Received HTTP code 403 from proxy after CONNECT

そこでいろいろ調べてみたところ、squid.conf の localnet まわりの設定を変更しないといけないことがわかりましたので、その方法を記載しておきます。

squid.conf を修正

上で記載したとおり、localnet まわりの設定を修正します。

まずは、squid.conf の先頭付近にある「acl localnet src」を修正します。
ここでは、Squidにアクセスする端末(今回はゲストOS)があるネットワークのセグメントをlocalnetとして設定しておきます。

# Example rule allowing access from your local networks.
# Adapt to list your (internal) IP networks from where browsing
# should be allowed

acl localnet src 10.0.0.0/8             # RFC 1918 local private network (LAN)

その後、同じsquid.confの65行目付近にある「http_access allow localnet」のコメントアウト(#)を外しておきます。

# For example, to allow access from your local networks, you may uncomment the
# following rule (and/or add rules that match your definition of "local"):
http_access allow localnet

これで、10.0.0.0/8 のネットワークにある端末からSquidにアクセスできるようになっているはずです。

再度、Squid経由でアクセス

以下の通り、今度は目的のサイトからデータを取ることができました。

$ curl https://www.google.co.jp/  http://(SquidのIPアドレス):3128
<!doctype html>
・・・
<title>Google</title>
・・・

Squidをインストールした日は特に squid.conf を修正しなくてもインターネットにアクセスできた気がしていて解せないなのですが、うまくアクセスできるようになったので良しとしておきます。

頭皮の加齢臭、毎日のケアにはコーセープレディアのファンゴシャンプーがとてもいい!

k2-ornataのkuroです。

前回、コーセープレディアのファンゴヘッドクレンズSPAが頭皮の加齢臭やヘナ後の臭い対策に効果があったことを書きましたが、昨年の夏から使い始めたこのヘッドクレンズ、あまりにもよかったので、すぐに同じシリーズのシャンプーも期待を込めて使い始めました。

前回の記事はこちら↓

https://k2-ornata.com/kuro-kose-predia-fango-head-aging-odor-henna

シャンプーもすごく良かった!

コーセー プレディア ファンゴ シャンプー

ノンシリコーンですがよく泡立ちます。泡切れもよく、洗いあがりはさっぱりです。乾かすと、頭皮すっきり、髪はさらっと、扱いやすく自然にまとまります。

毎日このファンゴシャンプーで洗い、1~2週間に一度のファンゴヘッドクレンズSPAをすること7か月、あれほど悩んでいた頭のにおいから完全に解放されました。念のため家族にも嗅いでもらいましたが、臭わないとのお墨付きをもらいました。

軽い頭皮臭であれば、ヘッドクレンズを併用しなくてもこのシャンプーだけでにおい対策ができるのではないかと思いました。

これまで私が試してきた頭皮ケアを目的にしたシャンプーの多くは頭皮がさっぱりしても髪がパサつくことが多く、継続して使うことができませんでした。ですが、こちらのシャンプーは毎日使い続けてもパサつくことがなく、コンディショナーも使用していないのに、むしろ前よりも髪の状態がよくなってきています。

臭い対策、使用感、香り、コスパ、すべてにおいて今のところマイベストです。髪質や好みなどあると思いますが、私のように頭のにおいに悩んでいる方にはぜひ一度試していただきたいシャンプーです。

昨年は楽天さんで1回分のトライアルパウチが販売されていましたが、今は売っていないようです。現品は600ml入りのポンプで、私の場合は毎日使用して半年もちました。ご参考まで。

CentOS にWiresharkをインストールしてみた

CentOS にインストールしたアプリからのパケットの流れを確認したくて、Wireshark をインストールしてみました。

インストール

インストールは非常に簡単です。以下のコマンドを実行するだけです。

$ sudo yum -y install wireshark
・・・
完了しました!

インストールが完了したら、以下のコマンドでバージョンを確認してみましょう。バージョンが確認できたら、インスール は成功していると思われます。

$ tshark -v
TShark (Wireshark) 2.6.2 (v2.6.2)

キャプチャ対象インターフェイスの確認

そしてキャプチャ対象インターフェイスの確認です。以下のコマンドを実行します。

$ sudo tshark -D
Running as user "root" and group "root". This could be dangerous.
1. enp0s5
2. lo (Loopback)
3. any
4. virbr0
5. bluetooth-monitor
6. nflog
7. nfqueue
8. usbmon0
9. usbmon1
10. usbmon2
11. usbmon3
12. usbmon4
13. virbr0-nic
14. ciscodump (Cisco remote capture)
15. sshdump (SSH remote capture)
16. udpdump (UDP Listener remote capture)

このときに、sudo を実施しないと、すべてのインターフェイスが表示されないことがありますので注意してください。

キャプチャの開始

そして以下のコマンドで指定したインターフェイスのキャプチャを開始します。

$ sudo tshark -i enp0s5
Running as user "root" and group "root". This could be dangerous.
Capturing on 'enp0s5'
    1 0.000000000 fe80::c097:faee:3e33:5960 → fe80::21c:42ff:fe00:18 DNS 100 Standard query 0xd31d A adservice.google.com
    2 0.000033477 fe80::c097:faee:3e33:5960 → fe80::21c:42ff:fe00:18 DNS 100 Standard query 0x8f21 AAAA adservice.google.com
    3 1.595906174  10.211.55.8 → 13.225.165.40 TLSv1.2 93 Application Data
・・・

sudo で実行すると dangerous と言われますが、sudo をつけないと enp0s5 をキャプチャできないのでやむなしです。

Mac にプロキシ(Squid)をインストールしてみた

Parallels DesktopのゲストOS(CentOS)からプロキシ経由でのインターネットへのアクセスを確認をする為に、Macに Squidをインストールしてみました。

インストール

Macへの Squidのインストールは簡単です。
以下のとおりHomebrewを利用してインストールするだけです。

% brew install squid
Updating Homebrew...
・・・
Pruned 1 symbolic links and 7 directories from /usr/local
==> Caveats
==> squid
To restart squid after an upgrade:
  brew services restart squid
Or, if you don't want/need a background service you can just run:
  /usr/local/opt/squid/sbin/squid -N -d 1

Squidの起動

Squidの起動も簡単です。以下のコマンドを実行するだけです。
(インストール直後のメッセージに再起動の方法などが書かれていましたね。)

 % brew services run squid
==> Tapping homebrew/services
Cloning into '/usr/local/Homebrew/Library/Taps/homebrew/homebrew-services'...
remote: Enumerating objects: 2414, done.
remote: Counting objects: 100% (2414/2414), done.
remote: Compressing objects: 100% (1128/1128), done.
remote: Total 2414 (delta 1120), reused 2339 (delta 1098), pack-reused 0
Receiving objects: 100% (2414/2414), 658.87 KiB | 1.51 MiB/s, done.
Resolving deltas: 100% (1120/1120), done.
Tapped 1 command (45 files, 826.6KB).
==> Successfully ran `squid` (label: homebrew.mxcl.squid)

Squidの動作確認

Squidはデフォルトで 3128ポートで待ち受けするようですので、curl コマンドで試しにプロキシ経由で Googleに接続してみました。

% curl https://google.co.jp/ http://localhost:3128
<HTML><HEAD><meta http-equiv="content-type" content="text/html;charset=utf-8">
<TITLE>301 Moved</TITLE></HEAD><BODY>
<H1>301 Moved</H1>
・・・

Squidの設定変更

もしポート番号などを変えたければ以下の設定ファイルを修正すればよさそうです。

/usr/local/etc/squid.conf

コーセープレディアのファンゴヘッドクレンズSPAが頭皮の加齢臭とヘナ臭に効果がありました

k2-ornataのkuroです。

数年前から、自分の頭から加齢臭が漂ってくるようになりました。
頭皮臭や加齢臭に効果のありそうなシャンプーやヘアケアをいろいろ試してみましたが、どれも納得がいかず。困り果てていた昨年の夏、ついに見つけました!

泥が効いた
コーセー プレディア ファンゴヘッドクレンズSPA

コーセー プレディア ファンゴヘッドクレンズSPA (30g入り)

なかなか地味なパッケージですが、使用してみるとパンチのある使用感とその効果にびっくりしました。
中身は緑色の濃厚でクリーミーな普通の泥ですが、たっぷりと頭にのせてマッサージをしてみると、結構強めなメントールに、結構強めな香り。
そして2,3分おいてから洗い流し、ドライヤーで乾かしました。すると・・・

髪の根元に風が通ってるような、ものすごい爽快感。
頭皮のにおいや汚れを泥が全部包み込んで持っていってくれたようです。
とにかく頭が軽く爽やかで、髪がさらっさらでいい香りになりました。
そして一番効果が気になる加齢臭も消えました。
夏の暑い時期でしたがその後もしばらく漂うことはありませんでした。

ヘナ臭にも効果あり

加齢臭に効くのならヘナ後の臭いにもいけるのではと思い使用してみたところ、ヘナ臭にもかなり効果がありました。
私の場合、ヘナ当日よりも翌日か翌々日に使用するのが効果的でした。
ただ、ヘナ臭対策に使用される場合は髪質や使用するヘナやシャンプーなどによって効果が違ってくると思いますので、あくまで私の場合として、ご参考まで。

現物は250g入りのチューブで販売されていますが、私はAmazonさんで見つけた1回分30g入りが使いやすくて気に入ってます。

大山阿夫利神社で春限定!桜色の御朱印をいただいてきました

k2-ornataのkuroです。

先日、神奈川県の大山阿夫利神社へ行ってきました。
そこでとっても可愛い春山の御朱印を見つけました!

大山阿夫利神社 春山の御朱印

ピンク色の手すき和紙がとっても素敵です。
自宅に帰りさっそく御朱印帳に貼ったところ、他の神社でいただいた渋~い御朱印の中でこの桜色がとっても目立っていました。
かわいいです。

甘い香りと淡いグリーンの花、クレマチス・ピクシーが満開です!

k2-ornataのkuroです。

ベランダで育てているクレマチス・ピクシー、いま満開です!

クレマチス・ピクシー

5~6年前、静岡県にあるクレマチスの丘に遊びに行った際、この淡いグリーンの花の愛らしさに一目惚れして買ってきました。それから毎年この時期になると植木鉢いっぱいに咲き誇り、甘くて優しい香りが漂います。

今年も元気に咲いてくれたクレマチス・ピクシーですが、昨年まではこの写真よりもっと大きな株でした。
昨年の夏、なんだか最近元気がないなあと思い、よく見てみたところ、なんと!!カイガラムシが茎にびっしり!!
それから毎日カイガラムシと戦い続けましたが、相手もなかなか手ごわく、どんどん茎や葉が枯れ落ちていきました。
小さな株になってしまい、今年はもう咲かないのではないかと半分諦めていたので、蕾を発見したときは本当にうれしかったです。
今年も咲いてくれてありがとう。