Ru-Board.club
← Вернуться в раздел «В помощь системному администратору»

» SQUID (только под *nix)

Автор: BONDBIG
Дата сообщения: 03.11.2009 14:22

Цитата:
Можно ли как-нибудь без этого?

ээээ, вы хотите чтобы без default gateway у вас пакеты в интернет ходили? И имена сами резолвились, усилием мысли пользователей?
"Прозрачность" прокси настраивается на default gateway, как раз пробросом порта, это могут быть и разные машины. DNS-сервер тоже может быть отдельным. Но совсем без них не получится
Автор: dzh2000
Дата сообщения: 03.11.2009 14:31
BONDBIG

Цитата:
ээээ, вы хотите чтобы без default gateway у вас пакеты в интернет ходили? И имена сами резолвились, усилием мысли пользователей?

Я клоню к тому, что для выхода в инет используется dsl роутер, и подготовленный юзер может при желании поменять адрес шлюза.
Автор: BONDBIG
Дата сообщения: 03.11.2009 14:35

Цитата:
Я клоню к тому, что для выхода в инет используется dsl роутер, и подготовленный юзер может при желании поменять адрес шлюза.

Ну, клонить не стоит, нужно четко выражать мысль.
Кто мешает на роутере повесить акцесс-лист запрещающий доступ всем, кроме прокси? У меня дома валяется дешевый роутер за 1000р, он такое умеет, думаю и ваш умеет.
Автор: dzh2000
Дата сообщения: 03.11.2009 14:42
BONDBIG
Спасибо Вам за подробный ответ. Буду искать логин и пароль для доступа к настройкам роутера.

Возвращаясь к первому вопросу. Можно взглянуть на ту часть Вашего squid.conf, которая имеет отношение к кэшу?
Автор: SAV83
Дата сообщения: 05.11.2009 01:10
Помогите что знает, нигде не могу найти информацию.
Для чего служит параметр "Enable forward/via database", что дает?

Автор: Ruza
Дата сообщения: 05.11.2009 11:46
SAV83

Цитата:
Для чего служит параметр "Enable forward/via database", что дает?

--enable-forw-via-db (включить поддержку БД Forw/Via для оптимизации выбора сервера или соседа)
Автор: ohlos
Дата сообщения: 19.11.2009 16:36
Возможно ли настроить журналирование так, чтоб игнорировались (не писались в логи) некоторые IP пользователей?
Автор: Ruza
Дата сообщения: 19.11.2009 16:42
ohlos
Можно, но надо понять что есть "некоторые"


log_access должен помочь.
Автор: ohlos
Дата сообщения: 20.11.2009 10:41
Ruza
"Некоторые" - это несколько ip (из разных групп, но в принципе можно будет загнать и в одну и диапазон ip сделать непрерывным), информация по серфингу с которых мне в access.log не нужна, чтоб не сказать вообще не желательна.
Файл access.log передается в другое подразделение и там обрабатывается в IAM
Руками "подчищать" перед передачей не комильфо
Автор: Ruza
Дата сообщения: 20.11.2009 10:45
ohlos
ну знать тогда log_access - панацея...
acl HZ src "/path/to/file"
log_access deny HZ
Автор: ohlos
Дата сообщения: 11.12.2009 09:14
Ruza
Прописал в конец файла

Цитата:

acl NoLog src 192.168.0.12
log_access deny NoLog
log_access allow all


но все равно пишет в лог. Может положение правил имеет значение? Может их нужно впихивать в раздел "LOGFILE PATHNAMES AND CACHE DIRECTORIES" или местоположение роли не играет?
Автор: Ruza
Дата сообщения: 11.12.2009 18:51

Цитата:
log_access allow all

Это не надо...
Автор: ohlos
Дата сообщения: 12.12.2009 02:58
Ruza
Переместил в раздел "LOGFILE PATHNAMES AND CACHE DIRECTORIES" расположив между acl и log_access параметр access_log и запись в лог по выбранной IP перестала идти.
Автор: mouser
Дата сообщения: 26.01.2010 14:05
есть прокси к которому нет доступа ...
нужно - кинуть почтовый клиент кинуть через этот прокси (открыт один порт)

вопрос: если поставить usergate, настроить почтовый клиент на UserGate, а UserGate натравить на прокси

почтовый клиент работать будет ???
Автор: BONDBIG
Дата сообщения: 26.01.2010 14:31

Цитата:
почтовый клиент работать будет ???

нет. Используйте WEB-почту.
Автор: ohlos
Дата сообщения: 26.01.2010 15:24
mouser
Тебе не прокси нужно мучать, а фаервол (открывать 110 и 25 порты). Ну и маскарадинг включить, если еще не сделал
Автор: mouser
Дата сообщения: 27.01.2010 07:06
ohlos
причем тут фаер и что такое маскарадинг?
Автор: BONDBIG
Дата сообщения: 27.01.2010 08:16

Цитата:
причем тут фаер и что такое маскарадинг?

RTFM.

P.S.: Этого не кормить.
Автор: mouser
Дата сообщения: 27.01.2010 09:10
у меня нет доступа к серверу прокси !
Автор: Ruza
Дата сообщения: 27.01.2010 09:20
mouser

Цитата:
у меня нет доступа к серверу прокси !

Так что ты хочешь от окружающих?
Автор: BONDBIG
Дата сообщения: 27.01.2010 09:20
mouser

Цитата:
у меня нет доступа к серверу прокси !

Протоколы POP3, IMAP, SMTP НЕ ПРОКСИРУЮТСЯ СРЕДСТВАМИ HTTP.
Так что
Цитата:
Используйте WEB-почту.


Автор: ohlos
Дата сообщения: 27.01.2010 13:28
mouser
Если у тебя нет доступа к серверу, то что мешает справиться у админа об открытости почтовых портов? Или просто самому попробовать настроить свой почтовый клиент?
Заведи себе ящик на mail.ru, пропиши в почтовом клиенте:
отправка почты - smtp.mail.ru 25 порт (возможно 2525)
получение - pop3.mail.ru 110 порт
И попробуй отправить/получить почту, читай сообщения клиента.
В случае неудачи брать пиво и на просветительную беседу к админу.
Автор: karamban
Дата сообщения: 29.01.2010 14:24
Уважаемые гуру!
Сервер Squid 2.27.7,
есть вышестоящий прокси Squid, определен как
cache_peer 10.0.0.7 parent 3128 3130
есть два пользователя, определены как
acl usr_vip src 10.10.1.20/255.255.255.0    
acl usr_all src 10.10.1.30/255.255.255.0
Вот собственно вопрос:
возможно ли пользователя usr_vip выпустить в интернет минуя вышестоящий прокси сервер, а пользователя usr_all направить только через parent proxy?
Автор: tankistua
Дата сообщения: 29.01.2010 15:22
always_direct


Цитата:
acl usr_vip src 10.10.1.20/255.255.255.0
acl usr_all src 10.10.1.30/255.255.255.0

acl usr_vip src 10.10.1.20/255.255.255.255
acl usr_all src 10.10.1.30/255.255.255.255

ибо то что вы прописали одно и то же самое правило.
Автор: NewClass
Дата сообщения: 12.02.2010 14:37
Подскажите пож. как можно дать доступ пользователю по логину через прокси только к одному сайту! Пароль и логин берётся из АД WS2003
Автор: Ruza
Дата сообщения: 12.02.2010 15:24
NewClass

squid+winbind и потом:

acl site url_regex ^http://www.site.name
acl user proxy_auth username
......
......
http_access deny user !site
.....
.....
http_access deny all
Автор: NewClass
Дата сообщения: 12.02.2010 15:35
Ruza

http_access deny user !site я так понимаю что доступ к интернету для user закрыт а !site это исключение?
Автор: Ruza
Дата сообщения: 12.02.2010 15:37
NewClass
Да.
запретить всё кроме сайт
Автор: vlary
Дата сообщения: 12.02.2010 15:39

Цитата:
Подскажите пож. как можно дать доступ пользователю по логину через прокси только к одному сайту!
Ну, ребята, вы жестокие! Оставьте людям хоть пару сайтов.
Да и править каждый раз конфиг сквида не айс.
Я бы записал в файл /usr/local/squid/acl/good.txt все полезные ссылки, куда можно
нерадивым юзверям. И прописал акцесс-лист

Код: acl all src 0/0
acl knownusers proxy_auth REQUIRED
acl badguys proxy_auth lisa vasya misha
acl usefull dstdomain "/usr/local/squid/acl/good.txt"

http_access deny badguys !usefull
http_access allow knownusers
http_access deny all

Автор: NewClass
Дата сообщения: 12.02.2010 15:57
Ruza

Огромное спасибо! Всё работает!

Страницы: 123456789101112131415161718192021222324252627282930313233343536373839404142434445464748495051525354555657585960616263646566676869707172737475767778798081828384858687

Предыдущая тема: Неполадки в работе DHCP сервера


Форум Ru-Board.club — поднят 15-09-2016 числа. Цель - сохранить наследие старого Ru-Board, истории становления российского интернета. Сделано для людей.