Ru-Board.club
← Вернуться в раздел «В помощь системному администратору»

» SQUID (только под *nix)

Автор: anahaym
Дата сообщения: 08.12.2011 21:27
vlary да я то знаю. вы на предыдущей странице почитайте:

Цитата:
Вообще-то все работает и прозрачный прокси с авторизацией (за NTLM ручаюсь)

Alukardd простите...
Автор: Alukardd
Дата сообщения: 08.12.2011 23:35
anahaym
Думаю мне всё-таки надо извиниться
Да, я вижу то, что вижу, но судя по всему это обман зрения, в виду того, что браузер мог подсовывать пароль, запомненный раньше, который проксик получая туппо записывал в лог, а авторизацию в общем-то и не проводил. У меня нету других объяснений попавшим в лог именам пользователей.
Автор: anahaym
Дата сообщения: 09.12.2011 10:35

Цитата:
но ни кто не мешает вам изменить logformat.

а можете мне объяснить вот это? я прочитал, но мозга не хватило понять как и что менять.
Автор: Alukardd
Дата сообщения: 09.12.2011 10:47
anahaym
Вот переменные отвечающие за имя пользователя:
Цитата:
        un    User name
        ul    User name from authentication
        ui    User name from ident
        us    User name from SSL
        ue    User name from external acl helper
Вот logformat 2.7 ветке по умолчанию
Цитата:
The default formats available (which do not need re-defining) are:

logformat squid %ts.%03tu %6tr %>a %Ss/%03Hs %<st %rm %ru %un %Sh/%<A %mt
logformat squidmime %ts.%03tu %6tr %>a %Ss/%03Hs %<st %rm %ru %un %Sh/%<A %mt [%>h] [%<h]
logformat common %>a %ui %un [%tl] "%rm %ru HTTP/%rv" %Hs %<st %Ss:%Sh
logformat combined %>a %ui %un [%tl] "%rm %ru HTTP/%rv" %Hs %<st "%{Referer}>h" "%{User-Agent}>h" %Ss:%Sh
Как видите во всех стандартных форматах имя пользователя и так присутствует, так что я хз что вы там менять собрались. А вообще список переменных у вас есть, вот и составляйте из них удобную для Вас строку лога.
Для применения формата указывается строка access_log /path/to/log/file logformat (например, access_log /var/log/squid/access.log squid). Опция access_log заменяет опцию cache_access_log. Можно использовать любую.
Автор: anahaym
Дата сообщения: 09.12.2011 10:56
Alukardd а может есть какие анализаторы, которые могут у себя менять в отчётах это?
Автор: Alukardd
Дата сообщения: 09.12.2011 10:59
anahaym
Что менять? Я кстати там еще абзац добавил в тот пост, про то как применить.
Автор: anahaym
Дата сообщения: 09.12.2011 11:08
Alukardd
ну вот у меня лог:


Цитата:
1323421372.963 304 192.168.10.19 TCP_MISS/304 334 GET http://forum.ru-board.com/forall/ajax/resize.gif - DIRECT/72.233.112.78 -
1323421372.965 46 192.168.10.19 TCP_MISS/302 1043 GET http://www.googleadservices.com/pagead/conversion/987334975/? - DIRECT/209.85.148.157 image/gif
1323421373.035 65 192.168.10.19 TCP_MISS/200 618 GET http://googleads.g.doubleclick.net/pagead/viewthroughconversion/987334975/? - DIRECT/209.85.148.155 image/gif
1323421373.079 298 192.168.10.19 TCP_MISS/304 336 GET http://i.ru-board.com/temp/a-real/3.jpg - DIRECT/72.233.112.78 -
1323421373.086 295 192.168.10.19 TCP_MISS/304 334 GET http://i.ru-board.com/Cheery/projects/vkeyboard/vkeyboard/bug_rep.gif - DIRECT/72.233.112.78 -

так вот мне нужно вместо моего IP 192.168.10.19 подставить туда моё имя.
Я вот подумал, может есть какие анализаторы которые это умеют? сейчас пользуюсь lightsquid
мне это нужно только для отчётностей.
Автор: Alukardd
Дата сообщения: 09.12.2011 11:15
anahaym
Значит оно у вас не опознается по каким-то причинам... Попробуйте использовать формат с другими переменными содержащими имена, кроме un. У вас она пустая, об этом говорит дефис (-) перед словом DIRECT.

Добавлено:
Я пользуюсь Free-SA в качестве анализатора, у него есть опция username_file и в файле прописано соответствие IP или Логина реальному ФИО. Но я этим не пользуюсь, у меня в логах и так имена имеются.
Автор: anahaym
Дата сообщения: 09.12.2011 11:25

Цитата:
у меня в логах и так имена имеются.

а у меня прозрачный прокси... у меня нет имён. есть только IP.
А есть норм дока на FREE-SA? а то я искал, но нормальной не нашёл.
Автор: Alukardd
Дата сообщения: 09.12.2011 12:00
anahaym
Конфиг free-sa неплохо от комментирован. Так же много полезной инфы есть... конечно в мане! man free-sa.conf. Вот старенькая веб версия man'а.
Автор: anahaym
Дата сообщения: 09.12.2011 13:47
Alukardd да я пока на установке застрял. это конечно печально. но после make install - дальше что? захожу по адресу сервера - там обзор папок...
нашёл, что нужно сделать скрипт. сделал:


Цитата:
cat free-sa_day
#!/bin/bash
# оПХКНФЕМХЕ ЯНГДЮМХЪ НРВЕРНБ ОН ФСПМЮКЮЛ SQUID
#set -x
umask 0022
#бЮФМШИ ЛНЛЕМР ДКЪ ЙНДХПНБЙХ
#с ЛЕМЪ ОН ЙПНМС ОНКСВЮКЯЪ юМЦКХИЯЙХИ НРВ&#9574;Р
#ю ОПХ ПСВМНЛ ГЮОСЯЙЕ пСЯЯЙХИ
export LANG=ru_RU.UTF-8
export LC_ALL=
free_sa=/usr/bin/free-sa
date1=`date +%x`

получаю -

Цитата:
root@bl:/etc/free-sa# ./free-sa_day
./free-sa_day: line 12: /usr/bin/free-sa: No such file or directory

делаю


Цитата:
root@bl:/etc/free-sa# whereis free-sa
free-sa: /etc/free-sa /usr/share/free-sa /usr/share/man/man1/free-sa.1

или


Цитата:
root@bl:/etc/free-sa# find / -name "free-sa"
/var/cache/free-sa
/var/www/free-sa
/etc/free-sa
/usr/share/free-sa
/root/free-sa



решил я с lightsquid с именами. http://www.lissyara.su/articles/freebsd/programms/lightsquid/
Автор: anahaym
Дата сообщения: 09.12.2011 19:13
вообщем я не знаю, баг ли это или нет, но в х64 не у одного меня free-sa установился не корректно. Пришлось на виртуалке устанавливать х32 дебиан, и скопировать с него файл. всё работает.
Автор: Alukardd
Дата сообщения: 09.12.2011 23:22
anahaym
Ну вполне возможно... У меня просто все системы x86, я пока не вижу какие приложения переписаны под AMD64 и получат выигрыш от 64-х разрядной системы.
Автор: tankistua
Дата сообщения: 10.12.2011 23:34
я тоже раньше не видел смысла - пока не портировали на фрю zfs
Автор: SAV83
Дата сообщения: 10.12.2011 23:54
Приветствую.

Использую Rejik довольно давно, squid + rejik крутятся на FreeBSD.
Все устраивало, но недавно на предприятие пришла бумажка, согласно которой предстоит ужесточить правила блокирования сайтов.
В итоге шеф задал задачу сделать контент-фильтр, который будет отсеивать сайты с определенным содержимым.
К примеру, нужно отсеивать все сайты где встречается слово "вконтакте", и плевать даже если это реклама или просто ссылка, если на сайте есть это слово то сайт должен быть забанен.
Знаю что такое может сделать Dansguardian, но он не подходит мне по ряду причин.

Можете мне посоветовать какие нибудь скрипты или программы поддерживающие этот функционал??????

Если что, готов потратить время на написание такого скрипта или программы.
Загвоздка лишь в том, что я понятия не имею как перехватить данные, которые вытягивает squid, для проверки на "вшивость", перед тем, как они будут переданы пользователю.
Автор: Nigelist
Дата сообщения: 11.12.2011 16:00
Есть статья на английском. Есть ли корректный перевод этой статьи? Может аналогичная статья на русском есть? А может ли кто-нибудь сделать корректный перевод?

Все это я пытаюсь сделать на Debian 6.0.3.
Автор: anahaym
Дата сообщения: 13.12.2011 12:51
Nigelist у меня была, но для NTLM... временно не доступна...
Автор: Nigelist
Дата сообщения: 13.12.2011 13:13

Цитата:
Nigelist у меня была, но для NTLM... временно не доступна...

Не понял? При чем NTLM?
Автор: anahaym
Дата сообщения: 13.12.2011 13:18
ваша статья - Kerberos/LDAP Authentication, а у меня есть когда авторизация NTLM
только без Cyfin Reporter...

а что у вас не получается по этой статье?
Автор: Nigelist
Дата сообщения: 13.12.2011 13:24

Цитата:
ваша статья - Kerberos/LDAP Authentication, а у меня есть когда авторизация NTLM
только без Cyfin Reporter...

а что у вас не получается по этой статье?

Вот:

Цитата:
By default the squid account will not be able to query the "memberOf" attribute in AD. Select the top level of your active directory domain in Active Directory Users and Computers, Right click on it and choose properties, Security Tab, Add the squid user and give it read permissions (should happen by default) and allow it to read "This Object and all child objects" by going into Advanced options.


Я примерно понимаю о чем идет речь, но никак не могу найти в оснастке "Active Directory - пользователи и компьютеры", вкладку "Безопасность" в свойствах корневой директории домена.

Добавлено:

Еще один неясный (непонятный) абзац.

Цитата:
That client browsers are using Integrated Windows Authentication
That you have added all users to the relevant Internet Users security groups in AD
That all client browsers are set to use automatically detect proxy settings for internet access. Using group policy is a sensible option here or perhaps restrict outbound HTTP access on your firewall to weed out users without auto-detection configured.

Test access with Internet Explorer by Ticking "Use automatic configuration script" and insert http://squidproxy.example.local/wpad.dat (change the proxy FQDN to yours of course) in the address field and then access any websites. Good luck, I hope it works! Stop here and troubleshoot if it is not working or else you will end up with a lot of angry users!

Add a CNAME record in DNS to point wpad.example.local to squidproxy.example.local


Добавлено:
В итоге, не могу на контроллере домена выйти в интернет через IE8
Автор: anahaym
Дата сообщения: 13.12.2011 13:42

Цитата:
Я примерно понимаю о чем идет речь, но никак не могу найти в оснастке "Active Directory - пользователи и компьютеры", вкладку "Безопасность" в свойствах корневой директории домена.

для этого нужно включить в АД - View - Advanced Optoins.

Цитата:
Test access with Internet Explorer by Ticking "Use automatic configuration script"
В итоге, не могу на контроллере домена выйти в интернет через IE8

попробуйте это не использовать.
Автор: Nigelist
Дата сообщения: 13.12.2011 14:34
anahaym не помогает. Могу предоставить доступ к связке через TeamViewer.
Автор: anahaym
Дата сообщения: 13.12.2011 14:42
ну если только ночью...
что в логах /var/log/squid3/access.log ?
Автор: Nigelist
Дата сообщения: 13.12.2011 14:46

Цитата:
ну если только ночью...
что в логах /var/log/squid3/access.log ?

Логи не создавались.
Автор: anahaym
Дата сообщения: 13.12.2011 15:27
Nigelist вам обязательно Kerberos?
Автор: Nigelist
Дата сообщения: 13.12.2011 16:02
anahaym очень уж хочется. Классно ведь, доступ к интернету, через доменную авторизацию... Посадил юзвера на другую машину, он авторизовался и усе - доки его на месте, интернет кому положено есть. Никаких лишних телодвижений...
Автор: anahaym
Дата сообщения: 13.12.2011 16:50

Цитата:
Классно ведь, доступ к интернету, через доменную авторизацию

она бывает разной. NTLM - это тоже авторизация, которая используется в домене. и будет - никаких лишних телодвижений.
Поищите доки с NTLM, моя пока не доступна...
Автор: Nigelist
Дата сообщения: 13.12.2011 16:55

Цитата:
она бывает разной. NTLM - это тоже авторизация, которая используется в домене. и будет - никаких лишних телодвижений.
Поищите доки с NTLM, моя пока не доступна...


Цитата:
NTLM/NTLMv2. Используется для аутентификации в рабочих группах. Samba совместима с NTLMv2. При аутентификации используются легко подбираемые хэши паролей.

Kerberos. В настоящее время, Kerberos является самой защищенной системой, используется криптография с секретным ключом. Применяется в доменах Active Directory (AD). Samba, начиная с версии 3 полноценно поддерживает данный протокол в виде клиента.
Автор: anahaym
Дата сообщения: 13.12.2011 17:05

Цитата:
NTLM/NTLMv2. Используется для аутентификации в рабочих группах.

это вы где такое нашли?
http://technet.microsoft.com/ru-ru/library/cc755284%28WS.10%29.aspx
оно конечно используется, но не только в рабочих группах.


Цитата:
При аутентификации используются легко подбираемые хэши паролей.

а при Basic аутентификации реквизиты вообще в открытом тексте передаются.
Автор: Nigelist
Дата сообщения: 13.12.2011 17:21
anahaym не буду спорить. Ибо не совсем компетентен в этом вопросе. Но все равно, хочу авторизацию LDAP/Kerberos.

Страницы: 123456789101112131415161718192021222324252627282930313233343536373839404142434445464748495051525354555657585960616263646566676869707172737475767778798081828384858687

Предыдущая тема: Неполадки в работе DHCP сервера


Форум Ru-Board.club — поднят 15-09-2016 числа. Цель - сохранить наследие старого Ru-Board, истории становления российского интернета. Сделано для людей.