Ru-Board.club
← Вернуться в раздел «В помощь системному администратору»

» SQUID (только под *nix)

Автор: urasov
Дата сообщения: 24.01.2007 10:41
To All
Помогите решить следующую задачу с разрешением доступа к определенным ресурсам на уровне групп.
_Имеем_: Стандартную аутентификацию пользователей через NTLM. Т.е. если пользователь принадлежить группе "Internet-Access", то сквид пускает его:

auth_param ntlm program /usr/local/samba/bin/ntlm_auth --helper-protocol=squid-2.5-ntlmssp --require-membership-of=S-1-5-21-787762258-882461402-281947949-2472
auth_param ntlm children 10
auth_param ntlm max_challenge_reuses 0
auth_param ntlm max_challenge_lifetime 2 minutes

auth_param basic program /usr/local/samba/bin/ntlm_auth --helper-protocol=squid-2.5-basic
auth_param basic children 10
auth_param basic realm Squid proxy-caching web server
auth_param basic credentialsttl 2 hours

acl myusers proxy_auth REQUIRED
http_access allow myusers

_Задача_: Сделал ещё одну группу, назовем её "Internet-Limit", пользователи этой группы должны иметь доступ только к определенным сайтам, скажем: mail.ru, yandex.ru.
Как мне реализовать это в конфиге squid? Нужно как-то привязать группы к разным acl, но как?
Помогите пожалуйста!
Автор: ITProf
Дата сообщения: 24.01.2007 11:39
Поискал в теме, вроде никто не упоминал:

Может кто-нибудь поделится опытом создания динамического шейпера с использованием связки Squid + ipfw с использованием пайпов.

Очень интересно было бы реализовать данную связку.
Автор: SSV_RA
Дата сообщения: 29.01.2007 09:22
ITProf
Шейпер не относится к SQUID, он действует на более низком уровне.

Добавлено:
DmitriyK
Поставь squidGuard и не мучайся. В нем разрешишь ходить только на нужные тебе сайты.
Автор: pusiyjan
Дата сообщения: 29.01.2007 09:47
SSV_RA
Для небольших задач, встроенных функций SQUID вполне достаточно. Если уже что-то прикручивать то я б посоветовал http://rejik.ru/ вместо
Цитата:
Поставь squidGuard и не мучайся.

Вещь серьезная.
У нас таже в конторе есть разделение на
1 - Ограничен только white list - идет только на разрешенные несколько сотен сайтов
2 - Ограничен black list - можно все кроме порно, мп3 и другой фикни (Вот на них и стои у нас rejik.ru)
3 - "Элита" можно все =)
организовывается это все выгрузкой с базы этих параметров с созданием файлов, которые подгружаются в сквида!
Автор: tankistua
Дата сообщения: 29.01.2007 10:02

Цитата:
Может кто-нибудь поделится опытом создания динамического шейпера с использованием связки Squid + ipfw с использованием пайпов.

в сквиде есть pool-ы, в них можно назначить приоритеты для клиентов.
С помощью ipfw ограницить не получиться, потому что ты можешь ограницить скорость от клиента до прокси-серрвера. А как известно запрос попадая на сквид ставиться в очередь и качается как все - в итоге канал все равно занят запросом от низкоприоритетного пользователя.

Попробуй поставить на машину флешгет какой-нибудь , поставь качаться большой файл и ограничь скорость скачки на 0.1К, через 5 минут переключи на неограниченную скорость закачки. Выводы сделаешь сам :)
Автор: SSV_RA
Дата сообщения: 29.01.2007 10:16
pusiyjan
Быть может, но у squidGuard есть плюс - он хранит базу разрешений и запретов в базе данных, что дает скорость обработки запросов, потому как у меня в некоторых базах до 3000-4000 доменов запрещены.
Автор: pusiyjan
Дата сообщения: 29.01.2007 12:22
2all
сори за глупый вопрос, но я никак не могу найти в кэше когда захожу на менеджер через веб интерфейс, допустим http://192,168,1,1/cgi-bin/cachemgr.cgi
авторизировавшись не могу найти ссылки что показывает кто что откуда тянет ...
потому как какой-то уникум весь день с рапиды что-то сливает и не дает дуда пробится!!!


Добавлено:
да глупо вышло как-то все нашел, что надо =(
Автор: Gabzya
Дата сообщения: 30.01.2007 08:37
подскажите новичку в линухе чем дзыбить(и как настроить) траффик текущий, кто-где и что в SQUIDе
ось- ASP Linux11
или где про это написано... сарг пробовал с опеннета ставить не получилось
Автор: Ruza
Дата сообщения: 30.01.2007 08:43
Gabzya
Текущий смотри sqstat - там скрипты на php.
Автор: Gabzya
Дата сообщения: 30.01.2007 11:01
Ruza
sqstat
bash: sqstat: command not found

Автор: oie71
Дата сообщения: 08.02.2007 09:22
Есть два вышестоящих сквидовых прокси

Как в моём сквиде сделать, чтобы:

1. Трафик на сайты из списка sites1 передавался через прокси1
2. Всё остальное - через прокси2

Автор: ipmanyak
Дата сообщения: 08.02.2007 09:42
oie71 Примерно где-то так:
acl all src 0.0.0.0/0.0.0.0
acl second dstdomain "/usr/local/squid/etc/as.list"
cache_peer второй-squid parent 3129 0 no-query default (описываем вспомогательный squid как старший для нас)
cache_peer_access второй-squid allow second (обращаться к нему только, если сервер находится в AS из списка)
never_direct allow second (не обращаться напрямую к серверам из AS списка)
never_direct deny all

в файле as.list список доменов по одному в строке:
.foo.com
.rambler.ru

Автор: oie71
Дата сообщения: 08.02.2007 12:38
Спасибо.

Пока сделал вот так:

acl second dstdomain .kiev.ua .gov.ua .com.ua .org.ua
cache_peer 10.30.1.1 parent 3128 0 - прокси 2
acl all src 0.0.0.0/0.0.0.0
cache_peer 10.0.1.1 parent 8080 0 no-query default - прокси 1
cache_peer_access 10.0.1.1 allow second
never_direct allow all
Автор: oie71
Дата сообщения: 08.02.2007 18:52
Ещё воросик

Вместо "acl second dstdomain .kiev.ua .gov.ua .com.ua .org.ua" хотел прикрутить

acl second dst "c:\squid\wget\uaix.ip"

Файл uaix.ip - строки типа 123.123.123.0/маска описывает зону UA-IX.
Лежит здесь - http://noc.ix.net.ua/ua-list.txt

После reconfigure ругается, что

2007/02/08 18:20:49| WARNING: '62.64.64.0/255.255.248.0' is a subnetwork of '62.64.64.0/255.255.192.0'
2007/02/08 18:20:49| WARNING: because of this '62.64.64.0/255.255.192.0' is ignored to keep splay tree searching predictable
2007/02/08 18:20:49| WARNING: You should probably remove '62.64.64.0/255.255.248.0' from the ACL named 'uaix'

Вопрос: как проверить, какие сети попали acl second?
Судя по WARNING - только 62.64.64.0/255.255.192.0 - но хочу проверить.

В cachemgr.cgi есть пункт меню "Current Squid Configuration" где описаны все текущие acl (если не ошибаюсь) но не могу туда попасть.

Если в squid.conf не прописывать строчку "cachemgr_passwd MY_PASS all" "Current Squid Configuration" не доступен.

Если в squid.conf прописать "cachemgr_passwd MY_PASS all" , то по паролю MY_PASS открываются все пункты меню кроме "Current Squid Configuration".

Squid Cache.log пишет:

2007/02/08 18:34:52| CACHEMGR: admin@10.30.1.3 requesting 'config'
FATAL: Received Segment Violation...dying.
2007/02/08 18:34:52| storeDirWriteCleanLogs: Starting...
2007/02/08 18:34:52| WARNING: Closing open FD 30
2007/02/08 18:34:52| Finished. Wrote 8644 entries.
2007/02/08 18:34:52| Took 0.0 seconds (278838.7 entries/sec).

Apache Error.log пишет:

[Thu Feb 08 18:40:07 2007] [error] [client 10.30.1.12] malformed header from script. Bad header=</table></PRE>: cachemgr.cgi, referer: http://server3:8080/cgi-bin/cachemgr.cgi

Куда копать?
Автор: sattan
Дата сообщения: 20.02.2007 14:56
подскажите

как в сквиде прописать правило, чтобы пользователя, требуя авторизации, пускало _только_ на домены .gov.ua и _только_ с определённого ip адреса ?
Автор: slayer120
Дата сообщения: 21.02.2007 16:34
Помогите решить проблему.
Есть домен. Выход в инет - связка - Proxy (linux с sduid 2.5 - далее шлюз с натом
тож на линуксе).
Авторизация в сквиде - смешанная нтлм или базик -через внешние модули
Проблема периодически на некоторых машинках Proxy становится недоступен-
проверяю запросом на порт 3128 -хренушки. В логах сквида ни ошибок авторизации ничего. Машинка не очень сильная - целерон, сетевуха обычная 100 -ка
выход в инет радиоканал.
В чем может быть проблема?
Да когда на клиенте запускаешь "repair" на сетевом подключении - соединение со скидом как правило восстанавливается.
Автор: Teo
Дата сообщения: 23.02.2007 14:40
sattan
в смысле, авторизовать только для этих доменов и пускать?
и не пускать других?

acl all src 0.0.0.0/0.0.0.0
acl password proxy_auth REQUIRED
acl restricted_domain dst_domain .gov.ua
acl restricted_client x.x.x.x

http_access allow password restricted_domain restricted_client
http_access deny all


slayer120
дебаг включаешь и смотришь
для wbinfo_group параметр -d
для кальмара -d LEVEL [0-9] -X
но учти - вывода будет немеряно
DHCP есть?
Автор: hda0
Дата сообщения: 25.02.2007 00:31
Хелп!
Админы, хелп! срочный!
заинстолил еще 2 железяки для диалупа. нагрузка в сети возросла.
Раннее стоял Oops, так с такой нагрузкой он просто сдыхает...
ПОставил сквидяру, 3 сетки зарулил на сквидяру. И с ужасом обнаружил что он тоже загибаться стал! Страницы или стоят на месте, или недогружаютсья картинки и тд.
если пробовать телнетом на порт сквида, он даже телнетом долго коннектит
каналу хватает, он даже на 50% еле загружен....

вот мой конфг и как компилял:

#sbin/squid -v
Squid Cache: Version 2.6.STABLE9
configure options: '--prefix=/usr/local/squid_8282' '--enable-heap-replacement' '--disable-ident-lookups' '--enable-cache-digests' '--enable-poll' '--enable-delay-pools'

---
http_port 0.0.0.0:8383 transparent protocol=http
icp_port 3133
udp_incoming_address 0.0.0.0
udp_outgoing_address 255.255.255.255
icp_query_timeout 0
maximum_icp_query_timeout 2000
mcast_icp_query_timeout 2000
dead_peer_timeout 10 seconds
hierarchy_stoplist cgi-bin
hierarchy_stoplist ?
cache Deny QUERY
cache_vary on
broken_vary_encoding Allow apache
cache_mem 8388608 bytes
cache_swap_low 90
cache_swap_high 95
maximum_object_size 4194304 bytes
minimum_object_size 0 bytes
maximum_object_size_in_memory 8192 bytes
ipcache_size 1024
ipcache_low 90
ipcache_high 95
fqdncache_size 1024
cache_replacement_policy heap GDSF
memory_replacement_policy heap GDSF
cache_dir ufs /cache/squid_8383 2048 16 256
logformat squid %ts.%03tu %6tr %>a %>p %Ss/%03Hs %
---

я так понимаю очень много запросов прёт от юзеров, сквид начинает загибаться...
юзеров на диалупе в часы пик 270 челов с лишним.
260 - качальщики... каждый качает или флешгетом или донлодмастером по куче файлов...

что надо еще покрутить, какие фичи выставить чтоб он справлялся с бешенной нагрузкой?

конфиг сервака:
озу 512

#cat /proc/cpuinfo
processor : 0
vendor_id : GenuineIntel
cpu family : 15
model : 2
model name : Intel(R) Pentium(R) 4 CPU 2.00GHz
stepping : 9
cpu MHz : 1997.517
cache size : 512 KB
Автор: slayer120
Дата сообщения: 26.02.2007 09:23
Teo
dhcp нет. В сквиде авторизация внешними модулями (на php, из мускула берется связка ИП логин (для обычной авторизации), либо из AD для ntlm авторизации.
В логах нет собщений об ошибках авторизации. Из-за чего порт сквида может становится недоступным? Да используются delay pool, если нужен конфиг сквида могу кинуть.
Автор: ElCoyote
Дата сообщения: 26.02.2007 21:34
Привет.
Есть Fedora Core 5 + squid-2.5.STABLE14-3.FC5.x86_64 поставленный из rpm
Нужно сделать аутентификцию пользователей по логину/паролю.
в squid.conf написал:
forwarded_for off
auth_param basic program /usr/lib64/squid/ncsa_auth /etc/squid/allow_user
acl password proxy_auth REQUIRED
http_access allow password
http_access deny all

есть файл /etc/squid/allow_user созданный с помощью htpasswd, в файле записан тестовый логин/пароль.

НО! при использовании прокси-сервера в IE логин/пароль не запрашивается, а пропускает просто так!

Где грабли? подскажите пожалуйста! перерыл кучу инфы пока запустил squid и еще кучу инфы по этой аутентификации, но пока ничего не получается...

Добавлено:
УРРРАААА!!!! ЗАРАБОТАЛО!!!!
просто вверху у меня стояло http_access allow all
Автор: Jadeite
Дата сообщения: 28.02.2007 09:25
hda0, посмотри в момент пиковых нагрузок загрузку самого сервера - особенно использование ЦП, памяти и диска.
попробуй cachemem побольше выставить, раз памяти 512.
Автор: ElCoyote
Дата сообщения: 16.03.2007 14:15
Привет.
Поставил squid/2.5.STABLE14 на Fedora 5, настроил на аутентификацию по логину/паролю, запустил - работает!
Но через какое-то время (пару дней), когда пытаюсь через него куда-то попасть пишет:
While trying to retrieve the URL: http://www.ukr.net/

The following error was encountered:

Unable to determine IP address from host name for www.ukr.net
The dnsserver returned:

Timeout
This means that:

The cache was not able to resolve the hostname presented in the URL.
Check if the address is correct.

После рестарта нормально работает...
Что это такое? как лечится?
Автор: Teo
Дата сообщения: 18.03.2007 17:09
ElCoyote
это означает, что сквид недождался ответа от днс сервера
если днс локальный, то имеет смысл посмотреть, что там с ним такое
если нет - увеличить таймаут на сквиде и уменьшить negative dns ttl
Автор: ZERGE_VIOLATOR
Дата сообщения: 21.03.2007 12:28
Проблемка!
При попытке зайти например на сайт ftp://ftp.squid.org/ через браузер, вылазит такая ошибка.
Автор: Teo
Дата сообщения: 21.03.2007 17:47
ZERGE_VIOLATOR
проверь настройки фтп в конфиге
чтоб емэйл был там
Автор: ipmanyak
Дата сообщения: 22.03.2007 06:24
ZERGE_VIOLATOR в настройках браузера IE убери птицу - Разрешить представления папок для FTP


Добавлено:
если после этого вообще не сможет зайти, то там же в браузере птица -пассивный режим FTP или включи или наоборот убери
Автор: Teo
Дата сообщения: 05.04.2007 13:02
есть такой глюк:
есть ася, АДСЛ модем, сквид
после обрыва соединения модемом, коннекты на сквиде изнутри не рвутся, соответственно клиенты продолжают думать, что коннект к серверу есть
насчёт сквида не знаю, это по теории TIME_WAIT state
для клиента всё обстоит так:
он всё ещё в состоянии онлайн, пытается отправить мессагу, мессага не доходит по таймауту

надеюсь, понятно выразился

есть ли решение для такой ситуации
Автор: vovanj7
Дата сообщения: 12.04.2007 17:38
появился вопрос. Пробую постафить squid-2.6.STABLE11. При попытке выполнить
./configure --prefix=/usr/local/squid --enable-delay-pools --enable-cache-digests --enable-removal-policies=heap
он ругается, что мол не установлен Perl
.....
.....
USE_CACHE_DIGESTS enabled
Auth scheme modules built: basic
unlinkd enabled
checking for egrep... grep -E
checking how to run the C preprocessor... gcc -E
checking for a BSD-compatible install... /usr/bin/install -c
checking for ranlib... ranlib
checking whether ln -s works... yes
checking for sh... /bin/sh
checking for false... /usr/bin/false
checking for true... /usr/bin/true
checking for rm... /bin/rm
checking for mv... /bin/mv
checking for mkdir... /bin/mkdir
checking for ln... /bin/ln
checking for perl... none
checking for ar... /usr/bin/ar
Perl is required to compile Squid
Please install Perl and then re-run configure
bsd#



попробовал дополнительно ему поставить perl-5.8.8- не помогло.Действительно ли требует squid Perl? Может я ему не ту версию Perl поставил?

P.S. Система FreeBSD 6.1 Release
Автор: ipmanyak
Дата сообщения: 13.04.2007 08:37
vovanj7 Perl точно нужен ! Из фака:
What else do I need to compile Squid?
You will need Perl installed on your system.



Автор: vovanj7
Дата сообщения: 13.04.2007 14:17
ipmanyak
Ясно, будем пробовать. Как попробую-отпишусь

Страницы: 123456789101112131415161718192021222324252627282930313233343536373839404142434445464748495051525354555657585960616263646566676869707172737475767778798081828384858687

Предыдущая тема: Неполадки в работе DHCP сервера


Форум Ru-Board.club — поднят 15-09-2016 числа. Цель - сохранить наследие старого Ru-Board, истории становления российского интернета. Сделано для людей.