はじめに
フォワードプロキシのあるテスト環境を簡単に作りたかったので、コンテナイメージsameersbn/squid
を利用して、DockerコンテナでSquidを立ててみた。
ただ、設定ファイルsquid.conf
の編集が必要になり、sameersbn/squid
をベースに独自のコンテナイメージを作成することで対処したので、そのメモを残しておく。
方針としては、ホスト側への依存を排除したかったので、設定ファイルsquid.conf
をホスト側に持たせないようにした。
環境
$ cat /etc/os-release | grep PRETTY_NAME
PRETTY_NAME="Ubuntu 20.04 LTS"
$ docker --version
Docker version 19.03.11, build 42e35e61f3
結論から
コンテナイメージsameersbn/squid
に入っているデフォルトのsquid.conf
は、ローカルホストからしかアクセスを受け付けない状態になっている。
そのため、以下のDockerfileを作成して、編集したsquid.conf
をコンテナイメージに配置することにした。
FROM sameersbn/squid:3.5.27-2
RUN perl -pi.bak -e 's/#(acl localnet|http_access allow localnet)/$1/' /etc/squid/squid.conf
squid.conf
の編集内容については、後ほど説明する。
このDockerfileをビルドして、redj/squid:3.5.27-2
というタグをつける。
バージョン番号はsameersbn/squid
に合わせた。
$ docker build --tag redj/squid:3.5.27-2 build
動作確認のために、docker run
する。
$ docker run --name squid --publish 3128:3128 redj/squid:3.5.27-2
以下のようにcurl
を実行して、コンテンツが表示されればOK。
$ export https_proxy=http://localhost:3128
$ curl https://www.example.com
(コンテンツが表示される)
コンテナイメージsameersbn/squid
の挙動
DockerHubのsameersbn/squid
のQuick Startを参考に、以下のようにコンテナを立ち上げたが、
$ docker run --name squid --publish 3128:3128 sameersbn/squid
以下のように、プロキシを利用したcurl
の実行がエラーになった。
$ export https_proxy=http://localhost:3128
$ curl https://www.example.com
curl: (56) Received HTTP code 403 from proxy after CONNECT
Squidを経由してHTTPエラー403が出る場合は、Squidの設定ファイルに記載したACL (Access Controll List)に問題があるらしい。
squid.conf
の見直し
コンテナイメージsameersbn/squid
に含まれている、オリジナルのsquid.conf
を以下に抜粋する。
(前略)
# Example rule allowing access from your local networks.
# Adapt to list your (internal) IP networks from where browsing
# should be allowed
#acl localnet src 10.0.0.0/8 # RFC1918 possible internal network
#acl localnet src 172.16.0.0/12 # RFC1918 possible internal network
#acl localnet src 192.168.0.0/16 # RFC1918 possible internal network
#acl localnet src fc00::/7 # RFC 4193 local private network range
#acl localnet src fe80::/10 # RFC 4291 link-local (directly plugged) machines
(中略)
# Example rule allowing access from your local networks.
# Adapt localnet in the ACL section to list your (internal) IP networks
# from where browsing should be allowed
#http_access allow localnet
http_access allow localhost
(後略)
上記だと、許可されている(http_access allow
)のはlocalhost
というデフォルトのACLだけ。
以下のようにローカルネットワークのACLについてのコメントアウトを外すことで、うまく許可することができた。
(前略)
# Example rule allowing access from your local networks.
# Adapt to list your (internal) IP networks from where browsing
# should be allowed
acl localnet src 10.0.0.0/8 # RFC1918 possible internal network
acl localnet src 172.16.0.0/12 # RFC1918 possible internal network
acl localnet src 192.168.0.0/16 # RFC1918 possible internal network
acl localnet src fc00::/7 # RFC 4193 local private network range
acl localnet src fe80::/10 # RFC 4291 link-local (directly plugged) machines
(中略)
# Example rule allowing access from your local networks.
# Adapt localnet in the ACL section to list your (internal) IP networks
# from where browsing should be allowed
http_access allow localnet
http_access allow localhost
(後略)
ただし、これだと許可し過ぎなので、本来はACLをもう少し絞るべきだと思われる。
ワンライナーでsquid.conf
のコメントを外す
Dockerfile内でsquid.conf
のコメントを外すために、ワンライナーを組み立てておく。
sed
でもよいが、個人的にはPerlの正規表現ほうが可読性が高く、メンテが楽に感じる。
$ perl -pi.bak -e 's/#(acl localnet|http_access allow localnet)/$1/' /etc/squid/squid.conf
オプションi.bak
で、squid.conf
を上書きしつつバックアップsquid.conf.bak
もとっておく。
以下は、ワンライナーの動作確認として、コンテナの中に入ってdiffをとった結果。
# diff /etc/squid/squid.conf.bak /etc/squid/squid.conf
975,979c975,979
< #acl localnet src 10.0.0.0/8 # RFC1918 possible internal network
< #acl localnet src 172.16.0.0/12 # RFC1918 possible internal network
< #acl localnet src 192.168.0.0/16 # RFC1918 possible internal network
< #acl localnet src fc00::/7 # RFC 4193 local private network range
< #acl localnet src fe80::/10 # RFC 4291 link-local (directly plugged) machines
---
> acl localnet src 10.0.0.0/8 # RFC1918 possible internal network
> acl localnet src 172.16.0.0/12 # RFC1918 possible internal network
> acl localnet src 192.168.0.0/16 # RFC1918 possible internal network
> acl localnet src fc00::/7 # RFC 4193 local private network range
> acl localnet src fe80::/10 # RFC 4291 link-local (directly plugged) machines
1190c1190
< #http_access allow localnet
---
> http_access allow localnet
[別案] Dockerfileを利用しない方法
以下のように、コンテナの中の/etc/squid/squid.conf
を直接編集する同様のことができるが、長い目で見ればコンテナイメージを作成して管理したほうが楽だと思う。
$ docker create --name squid --publish 3128:3128 sameersbn/squid
$ docker cp squid:/etc/squid/squid.conf squid.conf
$ perl -pi.bak -e 's/#(acl localnet|http_access allow localnet)/$1/' squid.conf
$ docker cp squid.conf squid:/etc/squid/squid.conf
$ docker start squid
参考