» SQUID (только под *nix)

А можно плс в 2х словах, как сделать простейшую авторизацию по ИП?
собсно нужно разрешить доступ в и-нет только на 2х машинах, остальное запретить ? :-]]]]

слабо почитать документацию ?

da ;;
poetomu i proshu prostejshij sposob, v 2 strochki ;;

гуру, я за линухом недавно и у меня такая задача:

1. сделать фильтр по адресам, перечисленным в файлах тхт
2. разрешить доступ в инет только тем машинам, ип которых перечислено в office.txt
3. остальным запретить
4. разрешить випам ( файл vip.txt) работать без фильтров


я вот накарябал немного,.. пробовать боюсь, проверьте правильность написания и подскажите как дописать к моему текущему тех самых випов, чтоб ходили в инет обходя правила фильтрации адресов

____________________________________________________

acl inetyes src "/etc/squid/office.txt"
http_access allow inetyes

acl denylist url_regex -i "/etc/squid/denylist"
acl allowlist url_regex -i "/etc/squid/allowlist"
acl bannerlist url_regex -i "/etc/squid/banner.txt"
acl hostlist url_regex -i "/etc/squid/hosts.txt"
acl adultlist url_regex -i "/etc/squid/adult.txt"

http_access allow allowlist
http_access deny bannerlist
http_access deny adultlist
http_access deny hostlist
http_access deny denylist !allowlist

http_access deny all

Цитата:

2. разрешить доступ в инет только тем машинам, ип которых перечислено в office.txt
3. остальным запретить
acl inetyes src "/etc/squid/office.txt"
http_access allow inetyes

этого достаточно, но у меня типа

acl all src 192.168.17.0/255.255.255.0
acl sgt17 src "/usr/local/squid/sgt17"
http_access allow sgt17

и работает.
А насчет ограничений ссылок и вип списков - разберись в squidguard или rejik, они как раз под это заточены. В сквиде делать как-то нецелесобразно.

iDeally
acl two src 192.168.0.2 192.168.0.6
http_access allow two
http_access deny all



Добавлено:
shaman91
acl inetyes src "/etc/squid/office.txt"
acl vipyes src "/etc/squid/vip.txt
#
acl denylist url_regex -i "/etc/squid/denylist"
acl allowlist url_regex -i "/etc/squid/allowlist"
acl bannerlist url_regex -i "/etc/squid/banner.txt"
acl hostlist url_regex -i "/etc/squid/hosts.txt"
acl adultlist url_regex -i "/etc/squid/adult.txt"

# разрешаем vip клиентам всё! то есть и порно
http_access allow vipyes

# баним что надо для всех остальных, хотя нижний аксель дает доступ только на список
# сайтов и потому это лишнее! если и випам нужно брить порно, то
# http_access deny adultlist поставь перед http_access allow vipyes

http_access deny bannerlist
http_access deny adultlist
http_access deny hostlist

# разрешаем офису ходить на разрешенные сайты
http_access allow inetyes allowlist
#
http_access deny all

ipmanyak

из вот этого куска

acl denylist url_regex -i "/etc/squid/denylist" - список запрещённых сайтов оставшийся от предыдущего админа
acl allowlist url_regex -i "/etc/squid/allowlist" - список исключений для denylist`а

# это добавил я
acl bannerlist url_regex -i "/etc/squid/banner.txt"
acl hostlist url_regex -i "/etc/squid/hosts.txt" - список запрещённых сайтов не баннеро-порно содержания, но всё равно режущихся от юсеров.
acl adultlist url_regex -i "/etc/squid/adult.txt"

итого:

для випов вообще не существует никаких правил, пусто ходят хоть куда

для акселя офиса должны работать правила регексов

если юсер открыл сайт не попадающий ни под одно правило, он должен открыться.

Плиз внеси корректировки в мой конфиг...

З.Ы. ну и, соответсвенно, юсеры не описанные в оффисе или випе вообще никуда не ходят

Цитата:

da ;;
poetomu i proshu prostejshij sposob, v 2 strochki ;;

Цитата:

Плиз внеси корректировки в мой конфиг...

Цитата:

З.Ы. ну и, соответсвенно, юсеры не описанные в оффисе или випе вообще никуда не ходят

Больше ipmanyak'у делать нечего?

Грустно мля такие просьбы читать... Ведь разжёвано всё...

Извините

подскажите знатоки =)

пытаюсь сделать так что сквид смотрит какой у тебя ip если он есть в списке то смотрит на mac, если и mac есть то дает инет, если ip и mac не проходит то надо ввести login + password (login_pass). Подскажите на примере моего конфига как это реализовать, можно ли как то в одном правиле http_access сделать проверку на ip и mac одновременно?

http_access allow ip
http_access allow macadr
http_access allow login_pass
http_access deny all

http_access allow ip macadr
http_access allow login_pass
http_access deny all

Ruza
заработало! спасибо

а где можно взять готовый список плохив сайтов, чтоб его в blacklist воткнуть?

splinterello
Rejik
http://squid.opennet.ru/redirect.shtml

splinterello
Тут их есть http://urlblacklist.com/?sec=download на любой вкус, но аккуратнее т.к. есть ложные срабатывания.

Не подскажите такой вопрос

Если у меня трафик от 200 пользователей разбрасывается на 2 части
80 порт уходит на squid
все остальное на NAT

и получаются тормоза у некторых пользователей
есть мнение что squid выбирает весь трафик

так ли это ???

Если это так то поможет к примеру ограничение пользователей по скорости
через sqiud ???
Сам вижу это так создание нескольких файлов по числу тарифов
и привязки acl правил к этим правилам ...

Если можно киньте кусок кода Так как сам слаб в этом ))

2all

Нет ли случайно энтузиастов кторые сделали конфиг, чтобы SQUID кэшировал и блокировал контент как HandyCache.

SAVage22

Цитата:

Нет ли случайно энтузиастов кторые сделали конфиг, чтобы SQUID кэшировал и блокировал контент как HandyCache.

Гы... А я прости не знаю как кэширует и блокирует HandyCache...


Это по типу как приходишь в компанию МС и говоришь, а есть ли энтузиасты "пропатчить" KDE под windows 7.

Добавлено:
DShtorm

Цитата:

есть мнение что squid выбирает весь трафик

Есть мнение, и не только моё, что мониторинг трафика никто не отменял...


Цитата:

так ли это ???

ХЗ... Телепата надо...


Цитата:

Если это так то поможет к примеру ограничение пользователей по скорости
через sqiud ???

Фик знает инфы маловато...


Цитата:

Сам вижу это так создание нескольких файлов по числу тарифов
и привязки acl правил к этим правилам ...

Ты о чём?


Цитата:

Если можно киньте кусок кода Так как сам слаб в этом ))

Тебе кусок нескомпилённого сквида приложить...

Проблема со связкой FreeBSD+SQUID+SAMBA3+ авторизация пользователей из домена.

На стадии тестирования груп доступа блокировались половина учетных записей домена.

В чем может быть проблема и как избежать таких случаев ?

YuroN

Цитата:

На стадии тестирования груп доступа

Цитата:

FreeBSD+SQUID+SAMBA3+ авторизация пользователей из домена.

Конфиг показывай...

Цитата:

На стадии тестирования груп доступа блокировались половина учетных записей домена.

Это как? Только писать не принцип блокирования учётной записи AD а именно про тестирование групп...

SAVage22
Кстати - ради прикола посмотрел HandyCache так написать идентичный конфиг не проблема.

Проблема решена, связка: FreeBSD+SQUID+SAMBA3+ авторизация пользователей из домена. не причем

Виновником был один компьютер зараженный вирусом

Подскажите, в чем косяк. Устанолены FreeBSD 6.1 & SQUID 2.5. Не могу добиться исключения пропуска юзера не привязанного в squid.orig.conf в acl к конкретному МАС-адресу. На free5.4 все работает правильно.
acl users proxy_auth REQUIRED установлена и сама процедура проверки юзера происходит.
Может баг?

VictorMay

Цитата:

squid.orig.conf

В скрипте запуска точно такое имя файла?
Если да то покажи конфиг....

Не подскажите такой момент Настроил Squid так чтобы метил пакеты
исходящие из кеша + ставил ограничения по скорости на 4 группы каждая со своей скоростью ( 64 128 256 512 Кб ) и внутри группы может быть X человек ( у каждого из них скорость группы ... )

1)Что смущает метки не работают ( не разобрался это Squid либо iptables не работает )
на тестовой машине все прекрасно работало

2)Почему-то у одних кеш работает нормально , другие не могут зайти в нет ( тормозит ),
либо появляется сообщения , про какое-то ограничение , типа обратитесь к администратору . Пока отключил все это дело ...

Гляньте в конфиг плз , может где накосячил ...

[more=Конфиг]
acl client64 src "/etc/stargazer/squid_users/64"
acl client128 src "/etc/stargazer/squid_users/128"
acl client256 src "/etc/stargazer/squid_users/256"
acl client512 src "/etc/stargazer/squid_users/512"

http_port 3128 transparent

tcp_outgoing_tos 0x30 client64
tcp_outgoing_tos 0x30 client128
tcp_outgoing_tos 0x30 client256
tcp_outgoing_tos 0x30 client512

delay_pools 4
delay_class 1 2 #64
delay_class 2 2 #128
delay_class 3 2 #256
delay_class 4 2 #512
delay_access 1 allow client64
delay_access 1 deny all
delay_access 2 allow client128
delay_access 2 deny all
delay_access 3 allow client256
delay_access 3 deny all
delay_access 4 allow client512
delay_access 4 deny all
delay_parameters 1 -1/-1 8000/128000
delay_parameters 2 -1/-1 16000/128000
delay_parameters 3 -1/-1 32000/128000
delay_parameters 4 -1/-1 64000/128000

http_access allow client64
http_access allow client128
http_access allow client256
http_access allow client512[/more]

DShtorm

Цитата:

Что смущает метки не работают ( не разобрался это Squid либо iptables не работает )
на тестовой машине все прекрасно работало

Так они же у тебя одинаковые...

Цитата:

tcp_outgoing_tos 0x30 client64
tcp_outgoing_tos 0x30 client128
tcp_outgoing_tos 0x30 client256
tcp_outgoing_tos 0x30 client512

Цитата:

на тестовой машине все прекрасно работало

iptables показывай
Да, и как клиенты делятся по группам?

Цитата:

Что смущает метки не работают ( не разобрался это Squid либо iptables не работает )
на тестовой машине все прекрасно работало

Так они же у тебя одинаковые...

tcp_outgoing_tos 0x30 client64
tcp_outgoing_tos 0x30 client128
tcp_outgoing_tos 0x30 client256
tcp_outgoing_tos 0x30 client512

Ну так это одно и тоже метится - пакеты из кеша , завтра поропбую tcpdump посмотреть


Цитата:

Цитата:на тестовой машине все прекрасно работало

iptables показывай
Да, и как клиенты делятся по группам?

1)Клиенты делятся очень просто
Client64 - группа по 64 кбита ( соответсвенно в файле "64" IP тех , кому надо дать по 64

2) IPtables очень простой

-A POSTROUTING -s 192.168.5.30 -o eth0 -j MASQUERADE
-A FORWARD -s 192.168.5.30 -i eth1 -j ACCEPT
-t nat -A PREROUTING -s 192.168.5.30 -i eth1 -p tcp -m tcp --dport 80 -j REDIRECT --to-port 3128

3)Кусок шейпера

# создаем корневую дисциплину для download
$TC qdisc add dev $eLAN root handle 1: htb
$TC class add dev $eLAN parent 1: classid 1:1 htb rate 100mbit ceil 100mbit
# создаем корневую дисциплину для upload
$TC qdisc add dev $eIFB root handle 2: htb
$TC class add dev $eIFB parent 2: classid 2:1 htb rate 100mbit ceil 100mbit
#squid local
$TC class add dev $eLAN parent 1:1 classid 1:2 htb rate 50Mbit
$TC filter add dev $eLAN parent 1: protocol ip prio 3 handle 800::2 u32 match ip tos 0*30 0*ff flowid 1:2

Цитата:

пакеты из кеша

А ты уверен сто это именно из кеша?

Цитата:

# TAG: tcp_outgoing_tos
# Allows you to select a TOS/Diffserv value to mark outgoing
# connections with, based on the username or source address
# making the request.

Вроде для работы с кешом есть такое:

Цитата:

# TAG: zph_tos_local
# Note: This option is only available if Squid is rebuilt with the
# --enable-zph-qos option
#
# Allows you to select a TOS/Diffserv value to mark local hits. Read above
# (tcp_outgoing_tos) for details/requirements about TOS.
# Default: 0 (disabled).
#
#Default:
# zph_tos_local 0

1)Да черт попутал реально метит пакет только тот Squid
где есть директива zph , в моем случае поставил версию 2,7 ( так как работает без патчей ядра )

zph_mode tos
zph_local 0x30

Смотрел в tcpdump метки пакетов да появляется метка пакета 0*30

2) Скорости прирезал по группам клиентов так

acl client64 src "/etc/stargazer/squid_users/64"
acl client128 src "/etc/stargazer/squid_users/128"
acl client256 src "/etc/stargazer/squid_users/256"
acl client512 src "/etc/stargazer/squid_users/512"

delay_pools 4
delay_class 1 2 #64
delay_class 2 2 #128
delay_class 3 2 #256
delay_class 4 2 #512
delay_access 1 allow client64
delay_access 2 allow client128
delay_access 3 allow client256
delay_access 4 allow client512
delay_parameters 1 -1/-1 8000/256000
delay_parameters 2 -1/-1 16000/256000
delay_parameters 3 -1/-1 32000/192000
delay_parameters 4 -1/-1 64000/192000

3)Какой заметил глюк

Вот качаю к примеру файл dmaster.exe
Зная что он заведомо закеширован , скачиваю его повторно
Он качается со скоростью 5-6Мб/с

Качаю данный файл через какое-то время , качается как обычно ,
поначалу небольшое ускорение , потом снижает скорость до заявленных
в delay_parameters настройках , никто не в курсе как это преодолеть ?


Добавлено:
Вот привожу выборку из лога по этому файлу , сначала он берется из кеша , а потом
перестает браться

+ еще вопрос а кто как архивирует логи squid ??? ( я их пока lightsquid обрабатываю для статистики )


1232482259.463 176776 192.168.5.30 TCP_MISS/200 5044657 GET http://download.downloadmaster.ru/dm/dmaster.exe - DIRECT/80.93.57.212 application/octet-stream
1232482266.125 3305 192.168.5.30 TCP_HIT/200 5044666 GET http://download.downloadmaster.ru/dm/dmaster.exe - NONE/- application/octet-stream
1232487500.172 15175 192.168.5.30 TCP_HIT/200 5044667 GET http://download.downloadmaster.ru/dm/dmaster.exe - NONE/- application/octet-stream
1232518148.329 7318 192.168.5.20 TCP_HIT/200 5044668 GET http://download.downloadmaster.ru/dm/dmaster.exe - NONE/- application/octet-stream
1232523692.444 41561 192.168.5.20 TCP_MISS/200 372152 GET http://download.downloadmaster.ru/dm/dmaster.exe - DIRECT/80.93.57.212 application/octet-stream
1232523758.028 15594 192.168.5.20 TCP_MISS/200 135206 GET http://download.downloadmaster.ru/dm/dmaster.exe - DIRECT/80.93.57.212 application/octet-stream
1232525852.319 324828 192.168.5.20 TCP_MISS/200 5044657 GET http://download.downloadmaster.ru/dm/dmaster.exe - DIRECT/80.93.57.212 application/octet-stream
1232526451.340 15311 192.168.5.30 TCP_HIT/200 5044666 GET http://download.downloadmaster.ru/dm/dmaster.exe - NONE/- application/octet-stream
1232527087.100 20394 192.168.5.20 TCP_HIT/200 5044667 GET http://download.downloadmaster.ru/dm/dmaster.exe - NONE/- application/octet-stream
1232528060.994 53136 192.168.5.20 TCP_HIT/200 5044667 GET http://download.downloadmaster.ru/dm/dmaster.exe - NONE/- application/octet-stream
1232528126.918 27630 192.168.5.20 TCP_HIT/200 5044667 GET http://download.downloadmaster.ru/dm/dmaster.exe - NONE/- application/octet-stream
1232532700.943 9283 192.168.5.30 TCP_HIT/200 5044667 GET http://download.downloadmaster.ru/dm/dmaster.exe - NONE/- application/octet-stream
1232534529.863 11128 192.168.5.30 TCP_HIT/200 5044667 GET http://download.downloadmaster.ru/dm/dmaster.exe - NONE/- application/octet-stream
1232538669.043 1122 192.168.5.234 TCP_CLIENT_REFRESH_MISS/503 446 GET http://download.downloadmaster.ru/dm/dmaster.exe - DIRECT/80.93.57.212 text/html
1232538681.047 524 192.168.5.234 TCP_CLIENT_REFRESH_MISS/503 446 GET http://download.downloadmaster.ru/dm/dmaster.exe - DIRECT/80.93.57.212 text/html
1232538693.054 502 192.168.5.234 TCP_CLIENT_REFRESH_MISS/503 446 GET http://download.downloadmaster.ru/dm/dmaster.exe - DIRECT/80.93.57.212 text/html
1232538704.060 504 192.168.5.234 TCP_CLIENT_REFRESH_MISS/503 446 GET http://download.downloadmaster.ru/dm/dmaster.exe - DIRECT/80.93.57.212 text/html
1232538715.066 505 192.168.5.234 TCP_CLIENT_REFRESH_MISS/503 446 GET http://download.downloadmaster.ru/dm/dmaster.exe - DIRECT/80.93.57.212 text/html
1232538730.086 3505 192.168.5.234 TCP_CLIENT_REFRESH_MISS/503 446 GET http://download.downloadmaster.ru/dm/dmaster.exe - DIRECT/80.93.57.212 text/html
1232538745.091 3502 192.168.5.234 TCP_CLIENT_REFRESH_MISS/503 446 GET http://download.downloadmaster.ru/dm/dmaster.exe - DIRECT/80.93.57.212 text/html
1232538757.095 497 192.168.5.234 TCP_CLIENT_REFRESH_MISS/503 446 GET http://download.downloadmaster.ru/dm/dmaster.exe - DIRECT/80.93.57.212 text/html
1232538768.107 501 192.168.5.234 TCP_CLIENT_REFRESH_MISS/503 446 GET http://download.downloadmaster.ru/dm/dmaster.exe - DIRECT/80.93.57.212 text/html
1232538779.116 508 192.168.5.234 TCP_CLIENT_REFRESH_MISS/503 446 GET http://download.downloadmaster.ru/dm/dmaster.exe - DIRECT/80.93.57.212 text/html
1232538793.134 3501 192.168.5.234 TCP_CLIENT_REFRESH_MISS/503 446 GET http://download.downloadmaster.ru/dm/dmaster.exe - DIRECT/80.93.57.212 text/html
1232538805.142 1518 192.168.5.234 TCP_CLIENT_REFRESH_MISS/503 446 GET http://download.downloadmaster.ru/dm/dmaster.exe - DIRECT/80.93.57.212 text/html
1232538816.151 487 192.168.5.234 TCP_CLIENT_REFRESH_MISS/503 446 GET http://download.downloadmaster.ru/dm/dmaster.exe - DIRECT/80.93.57.212 text/html
1232538830.154 3438 192.168.5.234 TCP_CLIENT_REFRESH_MISS/503 446 GET http://download.downloadmaster.ru/dm/dmaster.exe - DIRECT/80.93.57.212 text/html
1232538842.158 1126 192.168.5.234 TCP_CLIENT_REFRESH_MISS/503 446 GET http://download.downloadmaster.ru/dm/dmaster.exe - DIRECT/80.93.57.212 text/html
1232539016.275 350511 192.168.5.234 TCP_CLIENT_REFRESH_MISS/206 1253501 GET http://download.downloadmaster.ru/dm/dmaster.exe - DIRECT/80.93.57.212 applicatio
n/octet-stream
1232539016.275 354555 192.168.5.234 TCP_CLIENT_REFRESH_MISS/206 1268461 GET http://download.downloadmaster.ru/dm/dmaster.exe - DIRECT/80.93.57.212 applicatio
n/octet-stream
1232539020.278 360248 192.168.5.234 TCP_CLIENT_REFRESH_MISS/200 1276859 GET http://download.downloadmaster.ru/dm/dmaster.exe - DIRECT/80.93.57.212 applicatio
n/octet-stream
1232539025.285 360746 192.168.5.234 TCP_CLIENT_REFRESH_MISS/206 1256507 GET http://download.downloadmaster.ru/dm/dmaster.exe - DIRECT/80.93.57.212 applicatio
n/octet-stream
1232554088.761 24778 192.168.5.30 TCP_MISS/200 466036 GET http://download.downloadmaster.ru/dm/dmaster.exe - DIRECT/80.93.57.212 application/octet-stream
1232567594.444 30389 192.168.5.30 TCP_MISS/200 403176 GET http://download.downloadmaster.ru/dm/dmaster.exe - DIRECT/80.93.57.212 application/octet-stream
1232567626.581 19477 192.168.5.30 TCP_MISS/200 388162 GET http://downloadmaster.ru/dm/download/dmaster.exe - DIRECT/80.93.62.69 application/octet-stream
1232569466.842 14519 192.168.5.30 TCP_MISS/200 298952 GET http://download.downloadmaster.ru/dm/dmaster.exe - DIRECT/80.93.57.212 application/octet-stream
1232570060.043 11985 192.168.5.30 TCP_MISS/200 169704 GET http://download.downloadmaster.ru/dm/dmaster.exe - DIRECT/80.93.57.212 application/octet-stream

Приветствую!
Ситуация: (инет) - (squid1) - (squid2).
Всё работало, на squid1 была обычная привязка по ip. Сейчас на squid1 сделал аутентификацию по login/password без привязки к ip, соответственно, нужно переконфигурировать squid2 для аутентификации на squid1.
Подскажите где что крутить, а то я сходу что-то не нашел в документации.
Заранее спасибо

DShtorm

Цитата:

Вот привожу выборку из лога по этому файлу , сначала он берется из кеша , а потом
перестает браться

Проверь директивы
minimum_object_size
maximum_object_size

slut

Цитата:

сделал аутентификацию по login/password без привязки к ip, соответственно, нужно переконфигурировать squid2 для аутентификации на squid1

Цитата:

а то я сходу что-то не нашел в документации.

Всё там есть...

Цитата:

# use 'login=PASS' if users must authenticate against
# the upstream proxy or in the case of a reverse proxy
# configuration, the origin web server. This will pass
# the users credentials as they are to the peer.
# This only works for the Basic HTTP authentication scheme.
# Note: To combine this with proxy_auth both proxies must
# share the same user database as HTTP only allows for
# a single login (one for proxy, one for origin server).
# Also be warned this will expose your users proxy
# password to the peer. USE WITH CAUTION
#
# use 'login=*:password' to pass the username to the
# upstream cache, but with a fixed password. This is meant
# to be used when the peer is in another administrative
# domain, but it is still needed to identify each user.
# The star can optionally be followed by some extra
# information which is added to the username. This can
# be used to identify this proxy to the peer, similar to
# the login=username:password option above.

Цитата:

Проверь директивы
minimum_object_size
maximum_object_size

C этим все в порядке ,директивы нормальныс стоят, файл отдавался нормально первоначально ,
правда после перезагрузки сервера стало нормально работать , буду изредка проверять

Появилась правда новая проблема ... в логи каждую минуту пишет такую штуку

Jan 21 22:50:59 main kernel: possible SYN flooding on port 3128. Sending cookies.
Jan 21 22:51:59 main kernel: possible SYN flooding on port 3128. Sending cookies.
Jan 21 22:52:59 main kernel: possible SYN flooding on port 3128. Sending cookies.
Jan 21 22:53:59 main kernel: possible SYN flooding on port 3128. Sending cookies.
Jan 21 22:55:02 main kernel: possible SYN flooding on port 3128. Sending cookies.
Jan 21 22:56:27 main kernel: possible SYN flooding on port 3128. Sending cookies.
Jan 21 22:57:27 main kernel: possible SYN flooding on port 3128. Sending cookies.
Jan 21 22:58:28 main kernel: possible SYN flooding on port 3128. Sending cookies.
Jan 21 22:59:28 main kernel: possible SYN flooding on port 3128. Sending cookies.
Jan 21 23:01:38 main kernel: possible SYN flooding on port 3128. Sending cookies.