vlary
Поправил, перезапустил сквид, то же самое.
Из изменений только:
Код: acl SSL_ports port 443 8530 8844 9443
Поправил, перезапустил сквид, то же самое.
Из изменений только:
Код: acl SSL_ports port 443 8530 8844 9443
» SQUID (только под *nix)
mattveiko У меня подозрение, что кроме сквида у тебя на FreeBSD еще и фаервол.
Он как раз и рубит порт 8844, видимо, забыли его прописать.
У меня SQUID прекрасно цепляется к этому сайту (выскакивает окошко с запросом логина и пароля).
Он как раз и рубит порт 8844, видимо, забыли его прописать.
У меня SQUID прекрасно цепляется к этому сайту (выскакивает окошко с запросом логина и пароля).
vlary
Вот жеж... слов нет, кроме матерных.
Совсем забыл про фаерволл, спасибо.
Вот жеж... слов нет, кроме матерных.
Совсем забыл про фаерволл, спасибо.
Подскажите почему itunes может не работать с squid? Авторизация не проходит.
не стартует squid после перезапуска freebsd
вручную пробовал стартавать, пишет starting squid и всё
вручную пробовал стартавать, пишет starting squid и всё
rozghon И что, в syslog нет никаких ошибок?
А если запустить не скриптом, а напрямую?
/path/to/squid -Y
А если запустить не скриптом, а напрямую?
/path/to/squid -Y
vlary
добавьтесь ко мне в скайп
добавьтесь ко мне в скайп
rozghon Я ни к кому не добавляюсь ни в скайп, ни в Асю, ни номер мобильника не даю.
И в ПМ отвечаю только на вопросы личного или конфиденциального характера.
Все остальное - только в тему.
И в ПМ отвечаю только на вопросы личного или конфиденциального характера.
Все остальное - только в тему.
Тогда разобрался, была проблема с логами (забили весь жесткий диск).
и еще сейчас проблема случилась:
mysqld не хочет запускаться ни под каким предлогом...
Добавлено:
root@domain [/usr/home/user]#ls -la /var/db/mysql/
total 948540
drwxr-xr-x 7 mysql mysql 512 Aug 18 12:21 .
drwxr-xr-x 13 root wheel 512 Apr 9 11:08 ..
-rw-rw---- 1 mysql mysql 5242880 Aug 18 12:21 ib_logfile0
-rw-rw---- 1 mysql mysql 5242880 Aug 17 08:01 ib_logfile1
-rw-rw---- 1 mysql mysql 757071872 Aug 18 12:21 ibdata1
drwx------ 2 mysql mysql 2048 Jun 11 2011 mysql
-rw------- 1 mysql mysql 57106432 Aug 17 10:39 mysqld.core
drwx------ 2 mysql mysql 1536 Aug 17 18:57 squidctrl
drwx------ 2 mysql mysql 512 Aug 17 18:58 squidlog
-rw-rw---- 1 mysql mysql 0 Nov 2 2012 srvinet.ltsp.err
-rw-rw---- 1 mysql mysql 5 Jan 5 2012 srvinet.ltsp.pid
-rw-rw---- 1 mysql mysql 6755 Jan 11 2013 srvinet.domain.err
drwx------ 2 mysql mysql 512 Jun 11 2011 test
-rw-rw---- 1 mysql mysql 146026636 Aug 18 12:21 domain.err
-rw-rw---- 1 mysql mysql 1914 Apr 2 2013 domain.err
drwx------ 2 mysql mysql 3072 Jul 15 2013 zabbix
и еще сейчас проблема случилась:
mysqld не хочет запускаться ни под каким предлогом...
Добавлено:
root@domain [/usr/home/user]#ls -la /var/db/mysql/
total 948540
drwxr-xr-x 7 mysql mysql 512 Aug 18 12:21 .
drwxr-xr-x 13 root wheel 512 Apr 9 11:08 ..
-rw-rw---- 1 mysql mysql 5242880 Aug 18 12:21 ib_logfile0
-rw-rw---- 1 mysql mysql 5242880 Aug 17 08:01 ib_logfile1
-rw-rw---- 1 mysql mysql 757071872 Aug 18 12:21 ibdata1
drwx------ 2 mysql mysql 2048 Jun 11 2011 mysql
-rw------- 1 mysql mysql 57106432 Aug 17 10:39 mysqld.core
drwx------ 2 mysql mysql 1536 Aug 17 18:57 squidctrl
drwx------ 2 mysql mysql 512 Aug 17 18:58 squidlog
-rw-rw---- 1 mysql mysql 0 Nov 2 2012 srvinet.ltsp.err
-rw-rw---- 1 mysql mysql 5 Jan 5 2012 srvinet.ltsp.pid
-rw-rw---- 1 mysql mysql 6755 Jan 11 2013 srvinet.domain.err
drwx------ 2 mysql mysql 512 Jun 11 2011 test
-rw-rw---- 1 mysql mysql 146026636 Aug 18 12:21 domain.err
-rw-rw---- 1 mysql mysql 1914 Apr 2 2013 domain.err
drwx------ 2 mysql mysql 3072 Jul 15 2013 zabbix
rozghon
Цитата:
Цитата:
mysqld не хочет запускаться ни под каким предлогом...С этим - туда: mysqld - проблема запуска Там и ответил.
Коллеги, вопрос ламерский конечно, но: может ли сквид собирать логи и выводить их в более менее просматриваемый вид (через что нить типа самса), если он настроен как прозрачный? Общий вид сети такой: 2 провайдера-дальше стоит микротик (он раздаёт dhcp ), на нём Nat, простейший блок по сайтам и т.д. хотелось бы дальше пристроить squid+sams, чтобы с помощью них просто формировать логи посещений пользователями инета. Просто не хотелось бы как то затрагивать настройки сети и прописывать что либо у пользователей...
vadiara В шапке топика ссылка - Анализаторы логов для Squid никак не наводит на мысль, что Кальмар логи ведет? Там тебе и ссылка на SAMS, и на популярные анализаторы SARG и Lightsquid.
Формат можно задать другой. На сайте сквида всё есть !!! Прежде чем задавать вопросы прочти, FAQ на сайте сквида
http://wiki.squid-cache.org/SquidFaq или его википедию http://wiki.squid-cache.org/
Про формат лога - Customizable Log Formats http://wiki.squid-cache.org/Features/LogFormat
Но менять смысла нет, все анализаторы юзают стандартный лог сквида. Смысл есть, если будешь писать свой анализатор.
Формат можно задать другой. На сайте сквида всё есть !!! Прежде чем задавать вопросы прочти, FAQ на сайте сквида
http://wiki.squid-cache.org/SquidFaq или его википедию http://wiki.squid-cache.org/
Про формат лога - Customizable Log Formats http://wiki.squid-cache.org/Features/LogFormat
Но менять смысла нет, все анализаторы юзают стандартный лог сквида. Смысл есть, если будешь писать свой анализатор.
ipmanyak
огромное спасибо за ссылки, вы мне просто кивните, можно ли использовать схему, которую я описал? Буду ли я получать отчёт по пользователям в человеческом виде (с помощью анализаторов), если кальмара запустить в прозрачном виде и не настраивать авторизацию у каждого клиента?
огромное спасибо за ссылки, вы мне просто кивните, можно ли использовать схему, которую я описал? Буду ли я получать отчёт по пользователям в человеческом виде (с помощью анализаторов), если кальмара запустить в прозрачном виде и не настраивать авторизацию у каждого клиента?
vadiara Прозрачный SQUID не отменяет лог с айпи адресами.
Дальше твое дело в обработчике логов перевести айпишники в имена юзеров.
Дальше твое дело в обработчике логов перевести айпишники в имена юзеров.
Ребята помогите разобраться с проблемой
http://forum.ru-board.com/topic.cgi?forum=8&topic=51820#3 здесь создал тему
http://forum.ru-board.com/topic.cgi?forum=8&topic=51820#3 здесь создал тему
grad12341234 Я тебя уже спрашивал не смущает ли тебя строка DIRECT/127.0.0.1 text/html. Ты не задумался. Строка означает, что все домены резолвятся в IP локалхоста (loсalhost) 127.0.0.1
жмакни в командной сроке линукса
nslookup ya.ru
если получишь 127.0.0.1 значит резолвинг у тебя не работает как положено, думай почему. Проверь настройки резолвера, в частности файл etc/resolv.conf в нем должен быть прописан нэймсервер, например твоего провайдера.
жмакни в командной сроке линукса
nslookup ya.ru
если получишь 127.0.0.1 значит резолвинг у тебя не работает как положено, думай почему. Проверь настройки резолвера, в частности файл etc/resolv.conf в нем должен быть прописан нэймсервер, например твоего провайдера.
Цитата:
grad12341234 Я тебя уже спрашивал не смущает ли тебя строка DIRECT/127.0.0.1 text/html. Ты не задумался. Строка означает, что все домены резолвятся в IP локалхоста (loсalhost) 127.0.0.1
жмакни в командной сроке линукса
nslookup ya.ru
если получишь 127.0.0.1 значит резолвинг у тебя не работает как положено, думай почему. Проверь настройки резолвера, в частности файл etc/resolv.conf в нем должен быть прописан нэймсервер, например твоего провайдера.
На твой вопрос ответил в том посте, напрягает, но не понятно по чему.
И дело ни в resolv.conf и с моими dns серверами все нормально, из этой команды
Код: /usr/bin/ntlm_auth --domain=ga --password=123456 --username=test1
NT_STATUS_OK: Success (0x0)
при этом хочу связать squid с sams
sams доменные учетки и группы видит
аутентификация на сквиде не проходит, возможно он по этому и заворачивал на lo
Если кто настраивал такую связку, сталкивался с этим, ткните в нужное направление!
Добавлено:
Проверка аутентификации в домене работает
Код: wbinfo -a test1%123456
plaintext password authentication succeeded
challenge/response password authentication succeeded
sams доменные учетки и группы видит
аутентификация на сквиде не проходит, возможно он по этому и заворачивал на lo
Если кто настраивал такую связку, сталкивался с этим, ткните в нужное направление!
Добавлено:
Проверка аутентификации в домене работает
Код: wbinfo -a test1%123456
plaintext password authentication succeeded
challenge/response password authentication succeeded
переделал сервак
конфиг такой
[more]auth_param ntlm program /usr/bin/ntlm_auth --helper-protocol=squid-2.5-ntlmssp
auth_param ntlm children 15
auth_param ntlm keep_alive on
auth_param basic program /usr/bin/ntlm_auth --helper-protocol=squid-2.5-basic
auth_param basic children 15
auth_param basic realm Proxy Server
auth_param basic credentialsttl 2 hours
auth_param basic casesensitive off
acl manager proto cache_object
acl localhost src 127.0.0.1/32
acl to_localhost dst 127.0.0.0/8 0.0.0.0/32
acl localnet src 192.168.100.0/24 # RFC1918 possible internal network
acl SSL_ports port 443
acl Safe_ports port 80 # http
acl Safe_ports port 21 # ftp
acl Safe_ports port 443 # https
acl Safe_ports port 70 # gopher
acl Safe_ports port 210 # wais
acl Safe_ports port 1025-65535 # unregistered ports
acl Safe_ports port 280 # http-mgmt
acl Safe_ports port 488 # gss-http
acl Safe_ports port 591 # filemaker
acl Safe_ports port 777 # multiling http
acl CONNECT method CONNECT
http_access allow manager localhost
http_access deny manager
http_access deny !Safe_ports
http_access deny CONNECT !SSL_ports
http_access allow localnet
visible_hostname proxy.ga.local
http_port 3128
hierarchy_stoplist cgi-bin ?
cache_mem 12 MB
cache_dir ufs /var/spool/squid 100 16 256
coredump_dir /var/spool/squid
refresh_pattern ^ftp: 1440 20% 10080
refresh_pattern ^gopher: 1440 0% 1440
refresh_pattern -i (/cgi-bin/|\?) 0 0% 0
refresh_pattern . 0 20% 4320[/more]
при добавлении
Код: acl ntlm proxy_auth REQUIRED
http_access allow localnet ntlm
http_access deny all
конфиг такой
[more]auth_param ntlm program /usr/bin/ntlm_auth --helper-protocol=squid-2.5-ntlmssp
auth_param ntlm children 15
auth_param ntlm keep_alive on
auth_param basic program /usr/bin/ntlm_auth --helper-protocol=squid-2.5-basic
auth_param basic children 15
auth_param basic realm Proxy Server
auth_param basic credentialsttl 2 hours
auth_param basic casesensitive off
acl manager proto cache_object
acl localhost src 127.0.0.1/32
acl to_localhost dst 127.0.0.0/8 0.0.0.0/32
acl localnet src 192.168.100.0/24 # RFC1918 possible internal network
acl SSL_ports port 443
acl Safe_ports port 80 # http
acl Safe_ports port 21 # ftp
acl Safe_ports port 443 # https
acl Safe_ports port 70 # gopher
acl Safe_ports port 210 # wais
acl Safe_ports port 1025-65535 # unregistered ports
acl Safe_ports port 280 # http-mgmt
acl Safe_ports port 488 # gss-http
acl Safe_ports port 591 # filemaker
acl Safe_ports port 777 # multiling http
acl CONNECT method CONNECT
http_access allow manager localhost
http_access deny manager
http_access deny !Safe_ports
http_access deny CONNECT !SSL_ports
http_access allow localnet
visible_hostname proxy.ga.local
http_port 3128
hierarchy_stoplist cgi-bin ?
cache_mem 12 MB
cache_dir ufs /var/spool/squid 100 16 256
coredump_dir /var/spool/squid
refresh_pattern ^ftp: 1440 20% 10080
refresh_pattern ^gopher: 1440 0% 1440
refresh_pattern -i (/cgi-bin/|\?) 0 0% 0
refresh_pattern . 0 20% 4320[/more]
при добавлении
Код: acl ntlm proxy_auth REQUIRED
http_access allow localnet ntlm
http_access deny all
Squid не контролирует Https подскажите что делать? 
пользователи все сидят на ютубе по Https...
пользователи все сидят на ютубе по Https...
OOD
Цитата:
Забань ютуб в акцесс-листах, и будет тебе щастье.
Если же используешь "прозрачный" сквид и Https идет мимо него, тогда бань айпишники ютуба фаерволом.
Цитата:
Squid не контролирует Https подскажите что делать?Все он контролирует, ты его просто не умеешь готовить!
Забань ютуб в акцесс-листах, и будет тебе щастье.
Если же используешь "прозрачный" сквид и Https идет мимо него, тогда бань айпишники ютуба фаерволом.
vlaryВ access-листах забанить по IP?
Тогда для всех, кто на squid будет забанен youtube?
Добавлено:
Можно ли сделать так?
добавив acl dl_internet04 external nt_group dl-internet04 для блокировки пользователей, которым вообще не нужен доступ к Интернет.
Код:
acl dl_internet01 external nt_group dl-internet01
acl dl_internet02 external nt_group dl-internet02
acl dl_internet03 external nt_group dl-internet03
acl dl_internet04 external nt_group dl-internet04
http_access deny dl-internet04
delay_pool 4
delay_class 1 1
delay_class 2 1
delay_class 3 1
delay_class 4 1
delay_parameters 1 512000/512000
delay_parameters 2 128000/128000
delay_parameters 3 64000/64000
delay_parameters 4 0/0
delay_access 1 allow dl-internet 01
delay_access 1 deny all
delay_access 2 allow dl-internet 02
delay_access 2 deny all
delay_access 3 allow dl-internet 03
delay_access 3 deny all
delay_access 4 allow dl-internet 04
delay_access 4 deny all
Тогда для всех, кто на squid будет забанен youtube?
Добавлено:
Можно ли сделать так?
добавив acl dl_internet04 external nt_group dl-internet04 для блокировки пользователей, которым вообще не нужен доступ к Интернет.
Код:
acl dl_internet01 external nt_group dl-internet01
acl dl_internet02 external nt_group dl-internet02
acl dl_internet03 external nt_group dl-internet03
acl dl_internet04 external nt_group dl-internet04
http_access deny dl-internet04
delay_pool 4
delay_class 1 1
delay_class 2 1
delay_class 3 1
delay_class 4 1
delay_parameters 1 512000/512000
delay_parameters 2 128000/128000
delay_parameters 3 64000/64000
delay_parameters 4 0/0
delay_access 1 allow dl-internet 01
delay_access 1 deny all
delay_access 2 allow dl-internet 02
delay_access 2 deny all
delay_access 3 allow dl-internet 03
delay_access 3 deny all
delay_access 4 allow dl-internet 04
delay_access 4 deny all
OOD
Цитата:
Можешь забанить для всех, а можешь создать акцесс-лист с теми, кому нужно забанить,
или наоборот, разрешить.
Цитата:
Код: acl locals src 192.168.1.0/24
acl banned src 192.168.1.100 192.168.1.102 192.168.1.100 192.168.1.104
acl noyutube src 192.168.1.110 192.168.1.120 192.168.1.100 192.168.1.130
acl yutube dstdomain .yutube.com
http_access deny banned
http_access deny yutube noyutube
http_access allow locals
Цитата:
Тогда для всех, кто на squid будет забанен youtube?А это как ты сам решишь.
Можешь забанить для всех, а можешь создать акцесс-лист с теми, кому нужно забанить,
или наоборот, разрешить.
Цитата:
Можно ли сделать так?Зачем? Достаточно создать акцесс-лист, запрещающий доступ.
Код: acl locals src 192.168.1.0/24
acl banned src 192.168.1.100 192.168.1.102 192.168.1.100 192.168.1.104
acl noyutube src 192.168.1.110 192.168.1.120 192.168.1.100 192.168.1.130
acl yutube dstdomain .yutube.com
http_access deny banned
http_access deny yutube noyutube
http_access allow locals
vlary
Тут есть неудобняк, у меня DHCP, поэтому у пользователя меняются IP.
Таким образом могу я сделать:
acl dl_internet04 external nt_group dl-internet04 (группу пользователей , которым запрещено все)
http_access deny dl_internet04
и назначить в AD политику dl-internet04 на пользователей, которым все должно быть запрещено?
Тут есть неудобняк, у меня DHCP, поэтому у пользователя меняются IP.
Таким образом могу я сделать:
acl dl_internet04 external nt_group dl-internet04 (группу пользователей , которым запрещено все)
http_access deny dl_internet04
и назначить в AD политику dl-internet04 на пользователей, которым все должно быть запрещено?
OOD
Цитата:
Ну а собственно если у тебя настроена авторизация на сквиде,
то можешь заменить в акцесс-листах src на proxy_auth
Цитата:
Тут есть неудобняк, у меня DHCPА что. про привязку айпи по МАК адресам никогда не слышал?
Ну а собственно если у тебя настроена авторизация на сквиде,
то можешь заменить в акцесс-листах src на proxy_auth
vlary
Цитата:
Ну да, буду я сейчас 400 адресов привязывать по МАС-у, потом крышой тронусь.
Цитата:
не могли бы Вы подсказать пример?
Цитата:
МАК адресам никогда не слышал?
Ну да, буду я сейчас 400 адресов привязывать по МАС-у, потом крышой тронусь.
Цитата:
то можешь заменить в акцесс-листах src на proxy_auth
не могли бы Вы подсказать пример?
Всем привет. Пытаюсь настроить Squid 3.3 в связке с DansGuardian на FreeBSD 10.
Сам DG уже работает и даже блокирует сайты по url.
Но проблема в том, что при этом сквид не пускает на другие сайты. Я так понял он не хочет пускать трафик с 127.0.0.1
Настройки сквида не менял, вот они:
[more]http_port 3128
http_port 3129 intercept
visible_hostname bsd.proxy
connect_timeout 20 second
dns_v4_first on
shutdown_lifetime 1 seconds
cache deny all
acl mail src 192.168.160.127
acl mail_dmn dstdomain .mail.ru
acl localhost src 127.0.0.1/255.255.255.255
acl localnet src 192.168.160.0/255.255.255.0
acl userlist src "/usr/local/etc/squid/res/userlist.txt"
acl banlist dstdomain "/usr/local/etc/squid/res/banlist.txt"
acl bannerregex url_regex "/usr/local/etc/squid/res/bannerregex.txt"
acl stopvk url_regex "/usr/local/etc/squid/res/stopvk.txt"
acl notrust dstdomain "/usr/local/etc/squid/res/notrust.txt"
acl type urlpath_regex "/usr/local/etc/squid/res/type.txt"
acl urltoip url_regex -i ^http://[0-9]{1,3}\.[0-9]{1,3}\.[0-9]{1,3}\.[0-9]{1,3}/.*
acl swf rep_mime_type -i ^application/x-shockwave-flash$
acl stop_video urlpath_regex -i \.flv?$ \.flv$ \.wmv$ \.flv* \.mpg$ \.avi$ \.m4v$ \.mov$ \.mp4$ \.video$ \.video?$
acl lowsp src 192.168.160.100
acl highsp src 192.168.160.109
acl SSL_ports port 443
acl Safe_ports port 80 # http
acl Safe_ports port 21 # ftp
acl Safe_ports port 443 # https
acl Safe_ports port 70 # gopher
acl Safe_ports port 210 # wais
#acl Safe_ports port 1025-65535 # unregistered ports
acl Safe_ports port 280 # http-mgmt
acl Safe_ports port 488 # gss-http
acl Safe_ports port 591 # filemaker
acl Safe_ports port 777 # multiling http
acl CONNECT method CONNECT
acl torrent_mime rep_mime_type -i ^application/x-bittorrent$
acl torrent_mime rep_mime_type -i application/x-bittorrent
http_access deny !Safe_ports
http_access allow CONNECT !SSL_ports
http_reply_access deny torrent_mime
http_access deny mail !mail_dmn
http_access allow notrust
http_access deny banlist
http_access deny urltoip
http_access deny stopvk
http_access deny type
#http_access deny bannerregex !userlist
#http_reply_access deny swf
http_access deny stop_video
http_access allow localhost
http_access allow localnet
http_access deny all
forwarded_for off
header_access From deny all
header_access Server deny all
header_access User-Agent deny all
header_access WWW-Authenticate deny all
header_access Link deny all
header_access X-Forwarded-For deny all
header_access Via deny all
header_access Cache-Control deny all
header_access Referer deny all
delay_pools 2
delay_class 1 2
delay_class 2 4
delay_access 1 allow lowsp
delay_access 1 deny all
delay_access 2 allow highsp
delay_access 2 deny all
delay_parameters 1 50000/50000 50000/50000
delay_parameters 2 -1/-1 -1/-1 -1/-1 32000/32000
[/more]
Кусок лога сквида:
[more]1411555158.148 4 127.0.0.1 TCP_MISS/403 4480 GET http://its.1c.ru/favicon.ico - HIER_NONE/- text/html
1411555158.150 10 127.0.0.1 TCP_MISS/403 4582 GET http://its.1c.ru/favicon.ico - HIER_DIRECT/127.0.0.1 text/html
[/more]
Настройки ipfw:
[more]
00100 allow ip from any to any via lo0
00110 allow tcp from me to any out via tun0 uid squid keep-state
тестовый комп идет в dansguardian
00115 fwd 127.0.0.1,8080 tcp from 192.168.160.200 to any dst-port 80-83,8080-8088 out via tun0
рабочая подсеть идет в сквид
00120 fwd 127.0.0.1,3129 tcp from 192.168.160.0/24 to any dst-port 80-83,8080-8088 out via tun0
00200 deny ip from any to 127.0.0.0/8
00300 deny ip from 127.0.0.0/8 to any
00400 deny ip from any to ::1
00500 deny ip from ::1 to any
00600 allow ipv6-icmp from :: to ff02::/16
00700 allow ipv6-icmp from fe80::/10 to fe80::/10
00800 allow ipv6-icmp from fe80::/10 to ff02::/16
00900 allow ipv6-icmp from any to any ip6 icmp6types 1
01000 allow ipv6-icmp from any to any ip6 icmp6types 2,135,136
65000 allow ip from any to any
65535 deny ip from any to any
[/more]
Сам DG уже работает и даже блокирует сайты по url.
Но проблема в том, что при этом сквид не пускает на другие сайты. Я так понял он не хочет пускать трафик с 127.0.0.1
Настройки сквида не менял, вот они:
[more]http_port 3128
http_port 3129 intercept
visible_hostname bsd.proxy
connect_timeout 20 second
dns_v4_first on
shutdown_lifetime 1 seconds
cache deny all
acl mail src 192.168.160.127
acl mail_dmn dstdomain .mail.ru
acl localhost src 127.0.0.1/255.255.255.255
acl localnet src 192.168.160.0/255.255.255.0
acl userlist src "/usr/local/etc/squid/res/userlist.txt"
acl banlist dstdomain "/usr/local/etc/squid/res/banlist.txt"
acl bannerregex url_regex "/usr/local/etc/squid/res/bannerregex.txt"
acl stopvk url_regex "/usr/local/etc/squid/res/stopvk.txt"
acl notrust dstdomain "/usr/local/etc/squid/res/notrust.txt"
acl type urlpath_regex "/usr/local/etc/squid/res/type.txt"
acl urltoip url_regex -i ^http://[0-9]{1,3}\.[0-9]{1,3}\.[0-9]{1,3}\.[0-9]{1,3}/.*
acl swf rep_mime_type -i ^application/x-shockwave-flash$
acl stop_video urlpath_regex -i \.flv?$ \.flv$ \.wmv$ \.flv* \.mpg$ \.avi$ \.m4v$ \.mov$ \.mp4$ \.video$ \.video?$
acl lowsp src 192.168.160.100
acl highsp src 192.168.160.109
acl SSL_ports port 443
acl Safe_ports port 80 # http
acl Safe_ports port 21 # ftp
acl Safe_ports port 443 # https
acl Safe_ports port 70 # gopher
acl Safe_ports port 210 # wais
#acl Safe_ports port 1025-65535 # unregistered ports
acl Safe_ports port 280 # http-mgmt
acl Safe_ports port 488 # gss-http
acl Safe_ports port 591 # filemaker
acl Safe_ports port 777 # multiling http
acl CONNECT method CONNECT
acl torrent_mime rep_mime_type -i ^application/x-bittorrent$
acl torrent_mime rep_mime_type -i application/x-bittorrent
http_access deny !Safe_ports
http_access allow CONNECT !SSL_ports
http_reply_access deny torrent_mime
http_access deny mail !mail_dmn
http_access allow notrust
http_access deny banlist
http_access deny urltoip
http_access deny stopvk
http_access deny type
#http_access deny bannerregex !userlist
#http_reply_access deny swf
http_access deny stop_video
http_access allow localhost
http_access allow localnet
http_access deny all
forwarded_for off
header_access From deny all
header_access Server deny all
header_access User-Agent deny all
header_access WWW-Authenticate deny all
header_access Link deny all
header_access X-Forwarded-For deny all
header_access Via deny all
header_access Cache-Control deny all
header_access Referer deny all
delay_pools 2
delay_class 1 2
delay_class 2 4
delay_access 1 allow lowsp
delay_access 1 deny all
delay_access 2 allow highsp
delay_access 2 deny all
delay_parameters 1 50000/50000 50000/50000
delay_parameters 2 -1/-1 -1/-1 -1/-1 32000/32000
[/more]
Кусок лога сквида:
[more]1411555158.148 4 127.0.0.1 TCP_MISS/403 4480 GET http://its.1c.ru/favicon.ico - HIER_NONE/- text/html
1411555158.150 10 127.0.0.1 TCP_MISS/403 4582 GET http://its.1c.ru/favicon.ico - HIER_DIRECT/127.0.0.1 text/html
[/more]
Настройки ipfw:
[more]
00100 allow ip from any to any via lo0
00110 allow tcp from me to any out via tun0 uid squid keep-state
тестовый комп идет в dansguardian
00115 fwd 127.0.0.1,8080 tcp from 192.168.160.200 to any dst-port 80-83,8080-8088 out via tun0
рабочая подсеть идет в сквид
00120 fwd 127.0.0.1,3129 tcp from 192.168.160.0/24 to any dst-port 80-83,8080-8088 out via tun0
00200 deny ip from any to 127.0.0.0/8
00300 deny ip from 127.0.0.0/8 to any
00400 deny ip from any to ::1
00500 deny ip from ::1 to any
00600 allow ipv6-icmp from :: to ff02::/16
00700 allow ipv6-icmp from fe80::/10 to fe80::/10
00800 allow ipv6-icmp from fe80::/10 to ff02::/16
00900 allow ipv6-icmp from any to any ip6 icmp6types 1
01000 allow ipv6-icmp from any to any ip6 icmp6types 2,135,136
65000 allow ip from any to any
65535 deny ip from any to any
[/more]
Ichigo2
Цитата:
Цитата:
Я так понял он не хочет пускать трафик с 127.0.0.1Ну так добавь 127.0.0.1 в localnet, всего то делов...
vlary
Я просто создал отдельный acl localhost
Я просто создал отдельный acl localhost
Страницы: 123456789101112131415161718192021222324252627282930313233343536373839404142434445464748495051525354555657585960616263646566676869707172737475767778798081828384858687
Предыдущая тема: Неполадки в работе DHCP сервера
Форум Ru-Board.club — поднят 15-09-2016 числа. Цель - сохранить наследие старого Ru-Board, истории становления российского интернета. Сделано для людей.