Ru-Board.club
← Вернуться в раздел «В помощь системному администратору»

» SQUID (только под *nix)

Автор: Nikolant
Дата сообщения: 16.05.2012 09:25
Всем привет!
Вопрос по связке Squid + SquidGuard
Сквид настроен по дефолту, и добавлен редиректит на SqidGuard, где в свою очередь уже прописаны правила доступа в интернет.
И появилась необходимость ограничит доступ для пользователей на терминальном сервере по Вин2008. Но так как терминальник имеет один ИП, а пользователей много, то хотелось ограничивать по имени пользователя, что позволяет делать SquidGuard при использовании тэга user. Если источник задан ИП адресом(src ip {ip 192.168.0.10}), то все работает нормально. А вот когда добавляю по имени пользователя (src user {user buh}), то тогда происходит непонятное, или инет всем доступен без ограничений, то наоборот блочит все.

Debian
Squid 3.1.6
Автор: vlary
Дата сообщения: 16.05.2012 10:34
Nikolant Чтобы делать авторизацию по юзерам, нужен соответствующий хелпер, который будет юзеров авторизовывать в сквиде. Это либо стандартный, через ntlm либо ldap, либо самописный. Я в свое время делал хелпер, который авторизовал юзеров по файлу, в котором хранились строчки вида username:MD4passwordhash
Автор: Nikolant
Дата сообщения: 17.05.2012 06:54
vlary нашел инфу на www.squidguard.org , про авторизацию. И возникло несколько вопросов.

1. Как я понял для работы по авторизации необходимо добавить 3 строчки?

Код: auth_param basic program /usr/libexec/squid/ncsa_auth /etc/squid/squid.passwd
acl password proxy_auth REQUIRED
http_access allow password
Автор: vlary
Дата сообщения: 17.05.2012 09:53
Nikolant 1. Да
2. В зависимости от того, чего нужно достичь, и как разместить акцесс-листы. Например, можно сначала разрешить избранные айпи без авторизации, а потом - юзерам с авторизацией. Юзеров дополнительно можно разбить на группы с разным уровнем доступа.
3. С помощью соответствующих библиотек с авторизацией на сервере рабочей группы (например - Самба)
Автор: Nikolant
Дата сообщения: 17.05.2012 13:27
vlary
Требуется добиться того, чтоб пользователи ПК авторизировалист по ИП, а пользователи терминальника по имени.
Squid
Добавленные строки выделены жирным

Код: auth_param basic program /usr/libexec/squid/ncsa_auth /etc/squid/passwd
auth_param basic children 5
auth_param basic realm Squid proxy-caching web server
auth_param basic credentialsttl 2 hours



acl manager proto cache_object
acl localhost src 127.0.0.1/32 ::1
acl to_localhost dst 127.0.0.0/8 0.0.0.0/32 ::1
acl localnet src 192.168.0.0/16

acl SSL_ports port 443 563
acl Safe_ports port 80 # http
acl Safe_ports port 21 # ftp
acl Safe_ports port 443 563 # https, snews
acl Safe_ports port 70 # gopher
acl Safe_ports port 210 # wais
acl Safe_ports port 1025-65535 # unregistered ports
acl Safe_ports port 280 # http-mgmt
acl Safe_ports port 488 # gss-http
acl Safe_ports port 591 # filemaker
acl Safe_ports port 777 # multiling http
acl Icq_port port 5190 # icq
acl Irc_port port 6667 # irc
acl MSN_port port 1863 # msn messager
acl CONNECT method CONNECT

acl password proxy_auth REQUIRED


http_access allow manager localhost
http_access deny manager
http_access deny !Safe_ports
http_access deny CONNECT !SSL_ports

http_access allow localhost
http_access allow localnet

http_access allow password

http_access deny all

url_rewrite_program /usr/bin/squidGuard -c /etc/squid/squidGuard.conf

refresh_pattern ^ftp: 1440 20% 10080
refresh_pattern ^gopher: 1440 0% 1440
refresh_pattern . 0 20% 4320
Автор: FUTURiTY
Дата сообщения: 17.05.2012 13:34
Нужно сделать ping до одного сайта через командную строку.
Подскажите, как это сделать если интернет через SQUID?

Возможно как-то проксировать cmd.exe ?

Спасибо.

Добавлено:
Через PuTTY это можно как-то сделать?
В нем есть настройки для прокси.
Автор: Nikolant
Дата сообщения: 18.05.2012 05:37

cmd командная строка там выполняется не только команда ping, и проксировать его не к чему.

SQUID проксирует http протокол, а ping - icmp протокол. Вам необходимо посмотреть IPtables.

PuTTY это telnet и SSH-клиен
Автор: melomos
Дата сообщения: 31.05.2012 09:38
Доброго дня! очень нужна помощь, уже готов с разбега головой об стену биться! Настроил squid, все работает, все замечательно, но вот проблема, страницы на одном сайте отображаются не полностью, в логах ничего подозрительного найти не смог. При чем до этого squid стоял на другой системе, была точно такая же беда

Добавлено:
вопрос снимается, пустил напрямую на этот сайт, и прописал его в исключениях браузера
Автор: Alukardd
Дата сообщения: 31.05.2012 16:44
melomos
А можно адресочек проблемного сайта? Что там у Вас за мистика такая?
Автор: mischael
Дата сообщения: 01.07.2012 06:56
Доброго здоровья, друзья!
Уже третий день парюсь с кальмаром.

Помогите пожалуйста.

Задача - установить и настроить squid на локальном компе.

Дано: комп с одним сетевым интерфейсом на который уже приходит инет из DSL-модема к которому доступа нет. Linux Sialia (Версия 10.4 lucid) ядро Linux 2.6.32-27-generic-pae. Уже установил squid и SAMS.

ip 10.22.102.132
mask 255.255.255.224
gate 10.22.102.129

Задача: запустить сетевой фильтр, чтобы школьники не лазили на порнуху и т.п.

Вот такая система в нашей сельской школе.

Я наковырял что попало, видимо, в конфигах и при включении прокси в браузере он ругается, мол, Firefox настроен на использование прокси-сервера, который отказывает в соединении.

Скажите как сконфигурировать squid, если и шлюз и пользовательская машина - один и тот же комп.


Добавлено:
Какой адрес писать в качестве прокси в браузере?
Какие адреса прописывать пользователям в SAMS?
Автор: Ruza
Дата сообщения: 01.07.2012 07:19
mischael
Все что ты написал, этого крайне мало для внятного ответа... А советовать обратится в google как то приелось.
Автор: mischael
Дата сообщения: 01.07.2012 07:23
Ruza
Какая ещё нужна информация?


Добавлено:
Ставил squid и SAMS по этому мануалу.

Добавлено:
Почти разобрался со сквидом.

Теперь такая проблема: На некоторых сайтах происходит бесконечный редирект и firefox пишет

Цитата:
Неверное перенаправление на странице
Firefox определил, что сервер перенаправляет запрос на этот адрес таким образом, что он никогда не завершится.
* Эта проблема может возникать при отключении или запрещении принятия кук.

в частности такая надпись вылетает при попытке зайти на яндекс. При заходе на рамблер - всё в норме.

[more=squid.conf]
hierarchy_stoplist cgi-bin ?
acl QUERY urlpath_regex cgi-bin \?
no_cache deny QUERY

hosts_file /etc/hosts

acl all src 0.0.0.0/0.0.0.0
acl manager proto cache_object
acl localhost src 127.0.0.1/255.255.255.255
# ip-адрес вашей сетевой карты:
acl localhost src 10.22.102.132/255.255.255.255
acl to_localhost dst 127.0.0.0/8
acl SSL_ports port 443
acl Safe_ports port 80
acl purge method PURGE
acl CONNECT method CONNECT
http_access allow manager localhost
http_access deny manager
http_access allow purge localhost
http_access deny purge
http_access deny !Safe_ports
http_access deny CONNECT !SSL_ports
http_access deny to_localhost
http_access allow localhost
http_access deny all

http_reply_access allow all

# Опции прозрачного перенаправления:
always_direct allow all
http_port 0.0.0.0:3128 transparent

# Эффективные пользователь/группа
cache_effective_user proxy
cache_effective_group proxy

access_log /var/log/squid/access.log squid

icp_access allow all
#cache_mgr mail@linuxforchildren.com

forwarded_for off
coredump_dir /var/spool/squid
redirector_bypass on
redirect_program /usr/bin/squidGuard
redirect_children 1[/more]

[more=Скрипт для iptables]
#! /bin/sh
#
case "$1" in
start)
iptables --flush
# доступ пользователя "proxy" через Squid - uid "proxy" - 13
# если в вашем случае другой, то поменяйте его
iptables -t nat -A OUTPUT -m owner --uid-owner 13 -j ACCEPT
iptables -t nat -A OUTPUT -p tcp --dport 80 -j REDIRECT --to-port 3128
# Не Отбрасываем HTTPS-трафик
iptables -t filter -A OUTPUT -m owner --uid-owner 13 -j ACCEPT
iptables -t filter -A OUTPUT -p tcp --dport 443 -j ACCEPT
echo "старт прозрачного проксирования"
;;
stop)
iptables --flush
iptables --table nat --flush
echo "отмена прозрачного проксирования"
;;
*)
echo "скрипт используйте так: iptables_proxy.script {start|stop}"
exit 1
;;
[/more]

Помогите разобраться, пожалуйста.
Автор: mischael
Дата сообщения: 04.07.2012 05:25
GET www.yandex.ru 301 Moved Permanently yandex.ru 189 B 87.250.250.203:80 260ms

ЗаголовкиОтветHTML

Заголовки ответа показать исходный код
Connection    close
Content-Encoding    gzip
Content-Type    text/html; charset=iso-8859-1
Date    Wed, 04 Jul 2012 02:18:29 GMT
Location    http://www.yandex.ru/
Vary    Accept-Encoding
Via    1.0 proxy2.edu54.ru (squid/3.1.7), 1.0 teacher:3128 (squid/2.7.STABLE7)
X-Cache    MISS from proxy2.edu54.ru, MISS from teacher
X-Cache-Lookup    MISS from proxy2.edu54.ru:3128, MISS from teacher:3128

Заголовки запроса показать исходный код
Accept    text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8
Accept-Encoding    gzip, deflate
Accept-Language    en-us,en;q=0.5
Connection    keep-alive
Cookie    yandexuid=9299412031341367043; yp=2147483647.ygo.59%3A11249; yandex_gid=11249; yabs-frequency=/4/0G000Aoayqy00000/ogq55qmEJWXVtW1C3a5C9mD6J0vdgza2HamETU0e0pvC3cC0/; t=p; ys=gsync.1341367043; aw=1_UeJxi5GAAgf8AAAAA//8DAAFHAQkA#A#; fuid01=4ff3a303376dc6d3.tVbFUT9CnomXPx6zG--_uAOs5AyiCQ-5V73TqtKps7ZVm9C0j-WpUltS6Dy86xH3EMMSMz3d4T3p2-zbW6xYK_hVMq0sDB7lRJVk6X9fJvohYUmqV5b7zODP7D4k7X3Q
Host    www.yandex.ru
User-Agent    Mozilla/5.0 (X11; Ubuntu; Linux i686; rv:13.0) Gecko/20100101 Firefox/13.0.1

И вот таких запросов двадцать штук. После двадцатого фокс выдаёт, что
"The page isn't redirecting properly
Firefox has detected that the server is redirecting the request for this address in a way that will never complete."

ЧТЯДНТ???
Автор: Ruza
Дата сообщения: 04.07.2012 07:42
mischael
Версия squid?
Кусок access.log на момент редиректа...
Автор: maux
Дата сообщения: 12.07.2012 13:15
Доброго времени суток,

proxy с авторизацией, те написано :

acl all src 0/0
acl password proxy_auth REQUIRED
acl mynet src 192.168.0.0/16
acl WHITELIST url_regex <урлы_куда_нужно_пускать_без_пароля>
acl ADMIN src 192.168.0.1

# http_access allow WHITELIST # не работает
# http_access allow ADMIN # не работает
http_access allow mynet password
http_access deny all

Можно ли как-то организовать НЕ авторизованный доступ для отдельной категории acl (SRC или URL ).
если вписать WHITELIST или ADMIN где сейчас - пароль не спрашивает и сразу пишет "Access denied".

Читал много, но так и не понял можно так или нельзя.
Автор: vlary
Дата сообщения: 12.07.2012 15:04
maux
Цитата:
Можно ли как-то организовать НЕ авторизованный доступ для отдельной категории acl (SRC или URL )
Можно. SQUID выполняет правила акцесс-листов последовательно.
Если поставишь правила в таком порядке
http_access allow WHITELIST
http_access allow mynet password
то на WHITELIST будет пускать всех.
Но учти, что на сайтах из WHITELIST могут быть картинки,
еще что-то, не попадающие в WHITELIST.
Автор: FUTURiTY
Дата сообщения: 13.07.2012 14:10
Подскажите, будет ли работать сетевой диск от box.com по протоколу WebDAV на компьютере со SQUID'ом?

Что нужно сделать в ОС для этого?
Дополнительное ПО не желательно, нужно что-бы монтировался как обычный сетевой диск по url: https://www.box.net/dav

Спасибо.
Автор: Alukardd
Дата сообщения: 13.07.2012 15:12
FUTURiTY
Что значит "на компьютере со squid'ом"? Машина выходит в инете через squid или он там для других целей висит (тогда он тут вообще не при делах)?..
Цитата:
Что нужно сделать в ОС для этого?
А что за ОСь-то? И какая версия кальмара?
Для работы с WebDav есть пакеты fusedav и davfs2.
Автор: FUTURiTY
Дата сообщения: 13.07.2012 15:31
Alukardd

Цитата:
Что значит "на компьютере со squid'ом"?

Извиняюсь не совсем точно выразился.

Данный компьютер выходит в интернет через squid,
т.е. на нём прописан только адрес http-прокси в web-обозревателе(ях).


Цитата:
А что за ОСь-то? И какая версия кальмара?

WinXP SP3, Squid 2.5 stable 4.


Цитата:
Для работы с WebDav есть пакеты fusedav и davfs2.

таки их устанавливать что-ли нужно на Squid сервере?
Автор: Alukardd
Дата сообщения: 13.07.2012 15:53
FUTURiTY
Цитата:
WinXP SP3

Цитата:
таки их устанавливать что-ли нужно на Squid сервере?
Так и не задавайте вопросы про клиента тем более Windows в теме по Squid еще и ограниченной только *nix'ами!
Касательно виндовых клиентов ищите по форуму дальше. Вот тут речь о webdrive - вроде то, что Вам нужно.
Касательно кальмара учимся читать оф. доки.

p.s. Данная тема именно по настройке squid и ни чего более.
Автор: murlavik
Дата сообщения: 24.07.2012 09:18
проблема следующая: настроил через acl dstdomain чтоб user ходили только на сайт vk.com, работает но сайт отображается без картинок, сбивается разбивка страницы и не пускает больше с этого сайта никуда в этом же домене, в чем причина поясните..
Автор: ipmanyak
Дата сообщения: 24.07.2012 10:10
murlavik Нужно смотреть все правила, поскольку они могут влиять друг на друга. Приведите сюда конфиг сквида с тэгом more, только без камментов плыз. Камменты убираются следующим образом:
grep -v "^#" squid.conf | uniq > squid.conf.txt

Автор: Grey Nickolas
Дата сообщения: 24.07.2012 10:13
Возможно этот вопрос уже поднимался в теме, но я спрошу еще раз: не подскажете где можно найти периодически обновляемый список рунетовских порносайтов и всяких онлайн-кинотеатров? Чтоб в блок-лист вписать.
Автор: Alukardd
Дата сообщения: 24.07.2012 10:31
murlavik
Перед этим разрешением как запреты устроены?
+ много всего размещено на userapi.com.
Автор: murlavik
Дата сообщения: 24.07.2012 11:09
Конфиг
#
acl user1 src 172.16.0.2/255.255.255.255
acl user2 src 172.16.0.3/255.255.255.255
acl user3 src 172.16.0.4/255.255.255.255
#
acl all src all
acl manager proto cache_object
acl localhost src 127.0.0.1/32
acl to_localhost dst 127.0.0.0/8 0.0.0.0/32
acl adult dstdom_regex vk
acl regexdomain dstdom_regex \.com$ \.net$ \.ru$
#
acl localnet src 10.0.0.0/8    # RFC1918 possible internal network
acl localnet src 172.16.0.0/12    # RFC1918 possible internal network
acl localnet src 192.168.0.0/16    # RFC1918 possible internal network
#


acl SSL_ports port 443 563
acl Safe_ports port 80        # http
acl Safe_ports port 21        # ftp
acl Safe_ports port 443    563    # https
acl Safe_ports port 70        # gopher
acl Safe_ports port 210        # wais
acl Safe_ports port 1025-65535    # unregistered ports
acl Safe_ports port 280        # http-mgmt
acl Safe_ports port 488        # gss-http
acl Safe_ports port 591        # filemaker
acl Safe_ports port 777        # multiling http
acl CONNECT method CONNECT
#

http_access deny CONNECT !user1
http_access allow user1 adult regexdomain
http_access deny user1
http_access allow user2
http_access allow user3
http_access allow localnet
http_access deny !Safe_ports
#
http_access deny all
#
icp_access allow localnet
icp_access deny all
#
http_port 3128
#
#icp_port 0
#htcp_port 0

#cache_mem 20 MB

hierarchy_stoplist cgi-bin ?
#
#
#ftp_user anon@anon.com
cache_replacement_policy lru
#
cache_dir ufs c:/squid/var/cache 100 16 256
#cache_dir awin32 d:/cache 100 16 256
#
max_open_disk_fds 0
#
minimum_object_size 0 KB
#
maximum_object_size 1024 KB
#
cache_swap_low 90
cache_swap_high 95
#
update_headers on
#
#
access_log c:/squid/var/logs/access.log common
#
logfile_daemon c:/squid/libexec/logfile-daemon.exe
#
cache_log c:/squid/var/logs/cache.log
#
cache_store_log c:/squid/var/logs/store.log
#
logfile_rotate 100
#
emulate_httpd_log off
#
log_ip_on_direct on
#
mime_table c:/squid/etc/mime.conf
#
log_mime_hdrs off
#
pid_filename c:/squid/var/logs/squid.pid
#
log_fqdn off
#
strip_query_terms on
#
buffered_logs off
#
refresh_pattern ^ftp:        1440    20%    10080
refresh_pattern ^gopher:    1440    0%    1440
refresh_pattern -i (/cgi-bin/|\?) 0    0%    0
refresh_pattern .        0    20%    4320
#
acl shoutcast rep_header X-HTTP09-First-Line ^ICY.[0-9]
upgrade_http0.9 deny shoutcast
#
acl apache rep_header Server ^Apache
broken_vary_encoding allow apache
#
#
delay_pools 3 # Всего 3 пула
delay_class 1 1 # 1й пул первого класса
delay_class 2 1 # 2й пул первого класса
delay_class 3 1 # 3й пул первого класса
#
delay_access 1 allow user1
delay_access 1 allow localhost
delay_access 1 deny all
delay_access 2 allow user2
delay_access 2 deny all
delay_access 3 allow user3
delay_access 3 deny all
delay_parameters 1 128000/128000 # 1m для admin
delay_parameters 2 64000/64000 # 512K для users
delay_parameters 3 32000/32000 # 256K для bad_users
#
Автор: Alukardd
Дата сообщения: 24.07.2012 11:27
murlavik
1 - простыню в тэг more!!!
2 - см. мой ответ выше.
Автор: murlavik
Дата сообщения: 24.07.2012 12:01
у меня squid под виндой...
Автор: Alukardd
Дата сообщения: 24.07.2012 12:36
murlavik
Цитата:
у меня squid под виндой...
какое это отношение имеет к моему ответу или к его настройке в данном конкретном случае?
Раз уж пошла такая пьянка, то тема это для *nix'ов, так же есть отдельная тема — Проблема с squidNT. В данном случае предлагаю уже здесь закончить беседу, а не бегать по родственным темам.
Автор: Nomolos
Дата сообщения: 25.07.2012 10:59
нашел такую штуку предлагаю обсудить)
http://sams.perm.ru/
Можно поднять в шапку
[more]Возможности SAMS:
Администрирование системы через web интерфейс
Система имеет удобный web интерфейс.

Практически все настройки SAMS задаются через web интерфейс и хранятся в базе данных. WEB интерфейс позволяет делать сохранение всех настроек SAMS и записей о трафике пользователей.
Для хранения данных используется СУБД MySQL.

использование SQL базы данных позволяет формировать подробные отчеты о трафике пользователей за любой отрезок времени (с точночтью до дня), кроме того, получить подробный отчет о посещенных пользователями ресурсах интернет
Ограничение объема трафика пользователей.

Трафик ограничивается на период:
Месяц
Неделя
Любое количество дней

период ограничения трафика задается для каждого шаблона.
Автоматическое отключение пользователей, превысивших лимит

При превышении трафика пользователей происходит блокирование доступа пользователей к SQUID. Также возможно отправление сообщения об этом администратору. В SAMS на данный момент входят скрипты отправки сообщений через WinPopUp или e-mail. Возможно использование любых ваших скриптов
Ведение списков запрещенных для доступа пользователей ресурсов интернет

Вы можете создать списки запрещенных для доступа пользователей ресурсов интернет. В списки возможно занесение как адресов доменов, так и адресов, написанных по правилам PCRE
Ведение списков перенаправления доступа

Вы можете создать списки перенаправления доступа. Списки служат для замены баннеров или счетчиков на определенный вами графический файл
Настройка доступа пользователей через механизм шаблонов. Шаблоны позволяют:
назначить списки запрещенных сайтов для пользователей данного шаблона
определить объем трафика пользователя шаблона по умолчанию
назначить период ограничения объема трафика для пользователей этого шаблона
назначить способ авторизации (ip, ntlm, ncsa) для пользователей этого шаблона
скорость доступа к интернет для пользователей шаблона (delay_pools)
ограничение доступа пользователей по времени и дням недели

Использование различных шаблонов позволяет по-разному разграничить доступ к интернет для различных пользователей. Например, пользователям одного шаблона можно разрешить доступ везде с максимальной скоростью, пользователям другого шаблона запретить доступ ко всем сайтам из списков запрета доступа и ограничить скорость до 1 кб/с.
Разбиение пользователей на группы для удобства администрирования системы

Пользователи разбиваются на группы для удобства администрирования. В группе можно выделить пользователя, и дать ему право доступа к статистике всех пользователей, входящих в группу. Например, это может быть руководитель подразделения.
Формирование отчетов по трафику пользователей за любой отрезок времени (с точночтью до дня):
Полученный пользователями трафик
Посещенные пользователями сайты
Полученные пользователями файлы

отчеты формируются как для отдельных пользователей, групп пользователей, так и для всех пользователей системы
Поддержка видов авторизации SQUID
NTLM авторизация в домене Windows. WEB интерфейс позволяет импортировать пользователей из домена Windows
NCSA авторизация. WEB интерфейс позволяет импортировать пользователей из файла, созданного htpasswd
доступ по ip адресу
Поддержка использования редиректоров SQUID:
Rejik
SquidGuard

Кроме того, SAMS содержит собственный редиректор.
При использовании этих редиректоров, при запрете доступа пользователь получает сообщение почему ему запрещен доступ (пользователь отключен или этот сайт входит в список запрещенных URL)
Категории пользователей SAMS:

SAMS включает в себя несколько категорий пользователей:
пользователи с правами администрирования SAMS. Имеют право на настройку и админситрирование пользователей SAMS
пользователь Аудитор. Имеет право контроля трафика всех пользователей, без возможности администрирования системы
пользователи сети с расширенными правами, получают расширенный доступ к web интерфейсу, для контроля трафика пользователей своей группы
пользователи сети: получают доступ к web интерфейсу для контроля своего трафика
Посылку сообщений администратору при отключении пользователей при превышении трафика[/more]
Автор: Alukardd
Дата сообщения: 25.07.2012 11:36
Nomolos
А чего её обсуждать-то?
SAMS старая штука, а не что-то новое. Вопросы по ней поднимались, просто отдельной темы с шапкой она не заслужила.

Страницы: 123456789101112131415161718192021222324252627282930313233343536373839404142434445464748495051525354555657585960616263646566676869707172737475767778798081828384858687

Предыдущая тема: Неполадки в работе DHCP сервера


Форум Ru-Board.club — поднят 15-09-2016 числа. Цель - сохранить наследие старого Ru-Board, истории становления российского интернета. Сделано для людей.