» SQUID (только под *nix)

Jaba_B_Ta3e

Цитата:

А как сделать так, чтобы имя/пароль не спрашивались, а сразу появлялась страница с запретом?

Только редиректом.
komal

Цитата:

Если аутентификация идет виндовых ползователей то там тольк опо группам доступ.

Это я туплю? Или жара так действует на пишущих? С каких пор такое ограничение? Мож кто линку даст либо кусок мана приведёт?

Цитата:

А вообще при таком конфиге у тебя будет скорее всего всегда запрашивать имя и пароль, кроме явных разрешений.

При таком конфиге и правильно настроенном samba пароль как раз не запрашивается т.к. ntlm отрабатывает.
А вот натыкаясь на запрет пароль будет запрашиваться.
Teo

Цитата:

создай группу, включи юзера в эту группу и запрети группе лезть в инет

А толку? Всё одно пароль запросится 3 раза и выкинет ошибку авторизации. Можно создать хоть группу, хоть подгруппу, хоть шайку ... всё равно squid'у пох он не пустил и не обясняет браузеру что юзер не подходит и браузер в тупую предлагает сменить пароль.

необходимо разрешить через прокси(squid 2.5 stable4) разрешить двум человекам ходить на один сайт http://www.privatbank.ua:8085/title.html
Вот что сделал(см ниже)

acl all src 0.0.0.0/0.0.0.0
acl us src 192.168.0.54/255.255.255.255 # user1
acl us src 192.168.0.55/255.255.255.255 # user2


acl privat dstdomain .privatbank.ua
acl odnoklas dstdomain .odnoklassniki.ru
acl vkonte dstdomain .vkontakte.ru

acl SSL_ports port 443
acl Safe_ports port 80        # http
acl Safe_ports port 21        # ftp
acl Safe_ports port 443         # https, snews
acl Safe_ports port 8085     # privat
acl CONNECT method CONNECT

http_access allow clients Safe_ports
http_access allow us privat
http_access deny odnoklas
http_access deny vkonte

http_access deny !Safe_ports
http_access deny CONNECT !SSL_ports
http_access deny all


но на данный сайт не пускает, пробовал различные вариации
acl special_url url_regex ^http://www.privatbank.ua:8085
http_access allow us special_url
http_access deny special_url


Ограничения на одноклассников и вконтекте работают, а вот на это сайт нет. Может подскажете, где ошибся

а если порт убрать? тоже самое?

да, пробовал убирать его, такой же рез-т
На файрволе этот порт тоже открыт

vovanj7 Конфиг приведен не весь ( где аксель clients), потому включай debug в конфиге сквида на уровне 9 и смотри cache.log.
P.S.
Акселем http_access deny all
перед группой правил:
acl special_url url_regex ^http://www.privatbank.ua:8085
http_access allow us special_url
http_access deny special_url

ты все запретил, потому рулить уже нечем !

Попробуй так:

аксель http_access allow clients Safe_ports или убери или разберись сним
safe порты и так уже прописаны и правила для них есть

acl us src 192.168.0.54 192.168.0.55
http_access deny !Safe_ports
http_access deny CONNECT !SSL_ports

acl special_url url_regex ^http://www.privatbank.ua
http_access allow us special_url
http_access deny special_url
http_access deny all

Вообще-то советую дефолтовые правила сквида оставить сверху, а потом уже свои добавлять ниже.

vovanj7
1. acl Safe_ports port 1024-65535
2. Проверить настройки Selinux на предмет блокирования портов.
http://forum.ru-board.com/topic.cgi?forum=8&topic=0372&start=940#19

Цитата:

Акселем http_access deny all
перед группой правил:
acl special_url url_regex ^http://www.privatbank.ua:8085
http_access allow us special_url
http_access deny special_url

ты все запретил, потому рулить уже нечем !

я же написал, что пробовал различные вариации, т.е. эти правила стояли до
http_access deny all


Цитата:

где аксель clients

ой, это опечатка, читать как

Цитата:

http_access allow us Safe_ports

Добавлено:
ipmanyak
попробую завтра сделать, как советовали. о результатах сообщу

ipmanyak
ХЗ. уже попробовал сделать, как советовали - не работает...(((

Ушел читать гугл...))) RTFM - великая сила....

Здравствуйте!
Помогите пожалуйста, ни как не могу врубить.
Поставил на fedora squid, и не могу понять как же правильно прописать настройки.
Используется сервер прокси с адресом 10.100.1.2 и порт 3128.
А я хочу сделать на своём компе доступ для других компов через главный прокси.
адрес моего компа 10.100.1.8 и порт хотелось бы назначить 4020.
Подскажите пожалуйста где и что надо прописать!

Drotyc Читать TAG: cache_peer
Попробуй так:
http_port 10.100.1.8 4020 # ip и порт твоего прокси
cache_peer 10.100.1.2 parent 3128 0 no-query default # родительский прокси
always_direct deny all
never_direct allow all

Спасибо большое!
Впринципе помогло!
Но порт он мне не даёт ставить 4020,
Когда я его ставлю, то squid при запуске пишет сбой,
А вот если прописываю стандартный 3128, то всё нормально,
Как быть,где искать ошибку?
Зараннее спасибо!

Цитата:

Как быть,где искать ошибку?

В cache.log

Доброго времени суток.

Такой вопрос. Нужно отключить определенные сайты (типа одноклассников и сайтов знакомств) для определенных юзеров.

Полазили по форумам и воспользовались таким конфигом (squid.conf)

acl deny_ip_users src "/etc/squid/rules/deny_ip_users.txt"
acl deny_sites url_regex "/etc/squid/rules/deny_sites.txt"
http_access deny deny_sites deny_ip_users


В deny_ip_users.txt указаны ip-адреса машин, которім запрещен доступ к сайту (например, 192.168.0.16
)

В deny_sites указаны блокируемые сайты (в моем случае
odnoklassniki.ru
odnoklasniki.ru
)

И все это дело не работает. Может кто-то подскажет в чем проблема?

Guardian2007 Включаем debug на уровень 9 в конфиге сквида и смотрим cache.log
Вероятнее всегов выше стоят другие правила, после которых эти уже не проверяются.

столкнулся с такой проблемой
при обращении к фтп ресурсу, на котором должно отображаться окошко с приглашением ввести логи и пароль
прокси выдаёт следующее
ERROR
The requested URL could not be retrieved
An FTP authentication failure occurred while trying to retrieve the URL: ftp://ftp.atlantis888.ru/
Squid sent the following FTP command:
PASS <yourpassword>
and then received this reply
Login incorrect.
Generated Fri, 12 Sep 2008 12:57:13 GMT by proxy.local (squid/2.6.STABLE13)

Используйте формат ftp://ЛОГИН:ПАРОЛЬ@ftp.atlantis888.ru

[b]ipmanyak и все заинтересованные! [/b]

Сделал дебаг

Оказалось что доступ дает "password"

acl password proxy_auth REQUIRED
http_access allow password

а ниже мои строки

acl deny_ip_users src "/etc/squid/rules/deny_ip_users.txt"
acl deny_sites url_regex "/etc/squid/rules/deny_sites.txt"
http_access deny deny_sites deny_ip_users

Пробовал менять местами (не помогает)

Как сделать так, чтобы аутентификация пользователей проходила, но при этом доступ к
одноклассникам оставался закрытым?

задача:
есть 1 внешний ip 1.2.3.4
есть несколько web серверов внутри сети с адресами 192.168.0.0/24
нужно чтобы:
обращаясь к ip http://1.2.3.4/mail, сквид редиректил на комп внутри сети mail.domain.ru
обращаясь к ip http://1.2.3.4/site1, сквид редиректил на комп внутри сети site1.domain.ru
и т.д.
подскажите где прочитать про решение? и подходит ли для этих задач squid.
спасибо!

Guardian2007

Цитата:

Оказалось что доступ дает "password"

Хм... Глубокое наблюдение

конфиг покажи а именно acl'и

Цитата:

acl password proxy_auth REQUIRED
http_access allow password
а ниже мои строки
acl deny_ip_users src "/etc/squid/rules/deny_ip_users.txt"
acl deny_sites url_regex "/etc/squid/rules/deny_sites.txt"
http_access deny deny_sites deny_ip_users

Я бы к примеру так написал:
acl password proxy_auth REQUIRED
acl deny_ip_users src "/etc/squid/rules/deny_ip_users.txt"
acl deny_sites url_regex "/etc/squid/rules/deny_sites.txt"
http_access deny deny_ip_users deny_sites
http_access allow password
http_access deny all
Очерёдность строк ИГРАЕТ ВАЖНУЮ РОЛЬ!
klimusu
http://rejik.ru в помощь... На русском, подробно описано, думаю проблем не будет.

Народ, подскажите решение следующей проблемы.
На сервере есть два IP: IP1 и IP2.
Необходимо, чтобы запросы, пришедшие на IP1 squid обрабатывал от имени IP1, запросы на IP2 - от имени IP2.
Сейчас независимость от указания клиентом прокси-адреса (IP1 или IP2) squid везде оставляет только IP1 (смотрю по логам www-сервера, на который захожу).

Цитата:

http_port 3128
hierarchy_stoplist cgi-bin ?
acl QUERY urlpath_regex cgi-bin \?
no_cache deny QUERY

acl apache rep_header Server ^Apache
broken_vary_encoding allow apache
maximum_object_size 4096 KB
access_log /var/log/squid/access.log squid

hosts_file /etc/hosts
auth_param basic program /usr/lib/squid/ncsa_auth /etc/squid/internet_users
auth_param basic children 5
auth_param basic realm Squid proxy-caching web server
auth_param basic credentialsttl 2 hours
auth_param basic casesensitive off
refresh_pattern ^ftp: 1440 20% 10080
refresh_pattern ^gopher: 1440 0% 1440
refresh_pattern . 0 20% 4320
acl all src 0.0.0.0/0.0.0.0
acl manager proto cache_object
acl localhost src 127.0.0.1/255.255.255.255
acl to_localhost dst 127.0.0.0/8
acl SSL_ports port 443 563
acl Safe_ports port 80 # http
acl Safe_ports port 21 # ftp
acl Safe_ports port 443 563 # https, snews
acl Safe_ports port 70 # gopher
acl Safe_ports port 210 # wais
acl Safe_ports port 1025-65535 # unregistered ports
acl Safe_ports port 280 # http-mgmt
acl Safe_ports port 488 # gss-http
acl Safe_ports port 591 # filemaker
acl Safe_ports port 777 # multiling http
acl CONNECT method CONNECT

http_access allow manager localhost
http_access deny manager
http_access deny !Safe_ports
http_access deny CONNECT !SSL_ports

acl users proxy_auth REQUIRED
http_access allow users
http_access deny all

#http_access allow localhost
#http_access allow localnet
#http_access deny all
#http_reply_access allow all
icp_access allow all
coredump_dir /var/spool/squid

valhalla
# TAG: tcp_outgoing_address
# Allows you to map requests to different outgoing IP addresses
# based on the username or sourceaddress of the user making
# the request.
#
# tcp_outgoing_address ipaddr [[!]aclname] ...
#
# Example where requests from 10.0.0.0/24 will be forwareded
# with source address 10.1.0.1, 10.0.2.0/24 forwarded with
# source address 10.1.0.2 and the rest will be forwarded with
# source address 10.1.0.3.
#
# acl normal_service_net src 10.0.0.0/255.255.255.0
# acl good_service_net src 10.0.1.0/255.255.255.0
# tcp_outgoing_address 10.0.0.1 normal_service_net
# tcp_outgoing_address 10.0.0.2 good_service_net
# tcp_outgoing_address 10.0.0.3
#
# Processing proceeds in the order specified, and stops at first fully
# matching line.
#
#Default:
# none

Ruza

Действительно, проблема была в последовательности строк. Ресурс обязательно гляну

Уважаемые.....как должен выглядеть acl чтоб у пользователя допустим с IP 192,168,0,9 закрыть протоколы POP3 и SMTP.....http рубанул....а вот убрать почту чтоб не пользовался почтовыми программами чтот не пойму как сделать.....либо для этого IP закрыть порты тогда тоже подскажите как должен выглядеть acl. Заранее спасибо за ответ.

Цитата:

.как должен выглядеть acl чтоб у пользователя допустим с IP 192,168,0,9 закрыть протоколы POP3 и SMTP.

не зря нас америкосы бояться:
не зная даже минимально мат.части и как оно работает лезть настраивать работающий сервер - эту нацию невозможно победить.

Stritch
лабораторная работа на дом и на по-думать: для чего используются http, smtp и pop3 протоколы ?

Stritch

Цитата:

подскажите как должен выглядеть acl

Ну на счёт почтовых прог не знаю... Как они умудряются работать при стандартной настройке... Типа:

Цитата:

acl SSL_ports port 443
acl Safe_ports port 80 # http
acl Safe_ports port 21 # ftp
acl Safe_ports port 443 # https
acl Safe_ports port 70 # gopher
acl Safe_ports port 210 # wais
acl Safe_ports port 1025-65535 # unregistered ports
acl Safe_ports port 280 # http-mgmt
acl Safe_ports port 488 # gss-http
acl Safe_ports port 591 # filemaker
acl Safe_ports port 777 # multiling http
....
http_access deny !Safe_ports
.....
http_access allow users...

Так что тут либо NAT гдето бродит, либо прога для обхода прокси.

Добавлено:
tankistua

Цитата:

не зная даже минимально мат.части и как оно работает лезть настраивать работающий сервер - эту нацию невозможно победить.

Ну так... "Есть ещё похеры в похеровницах."

Тока недавно приешл сю работать.....вот в этом стандартном списке прописаны порты....для почты...если удалить их то получаеться проги не будут работать-но это для всех...а мне нуно окнкретно одному пользователю...

Добавлено:
tankistua
та знаю.....только дир. поставил задачу одному пользователю отрубить почт.программы...а раньше так с таким и не сталкивался.....вот и интересуюсь-возможно ли такое вообще в сквиде


Добавлено:
домена нет...все сетка настроена на рабочих групах

Stritch
Хз что за почтовые проги...
Ну тогда так:
acl USER src IPADDR
acl MAIL port 25,110
http_acces deny USER MAIL

спасибо...

Stritch
Блин что то я туплю... Мож пятница влияет...
Ты точно уверен что это в SQUID делается?
Гложут меня смутные сомнения по этому поводу... А какие проги если не секрет?

Ruza
да ты не понял - там видать еще хуже админ до этого работал, если он в сквиде не задумываясь прописал 25-ый порт :)

У этого хоть сомнения возникли.

Stritch
чувак - это бред. Учи матчасть - я тебя умоляю.

http://protocols.ru/modules.php?name=Content&pa=list_pages_categories&cid=7
смотри сколько всего интересного - и на русском.

Добавлено:
м-да - почистили сайт - не пойму кому мешало.

Вобщем - если есть желание, напиши в мыло ( оно в профиле прописано) - я тебе сброшу книжку по основам организации сетей - ну или что-то по построению сервера с нуля.

Добавлено:
если есть желание учиться - учись.

в таком случае надо переделиться что за операционка там стоит и какой установлен фиерволл