» SQUID (только под *nix)

Как я понял, все вопросы по squid-у следует кидать сюда.

noinetg - группа, созданная в тестовых целях, в которую включён лишь один пользователь. По моему замыслу лишь члены этой группы могут быть авторизованы через NTLM на прокси-сервере.
В результате же и вопреки моим ожиданиям все доменные пользователи имеют доступ в интернет через эту проксю.

Система:

Slackware 2.4.31
Squid-2.5-STABLE12 сконфигурирован с поддержкой NTLM, basic и wbinfo_group.
Samba-3.0.20b. Скомпилирована с поддержкой kerberos и LDAP.

Выдержка из squid.conf:

===============================================

auth_param ntlm program /path/to/ntlm_auth --require-membership-of="SID of noinetg" --helper-protocol=squid-2.5-ntlmssp
auth_param ntlm children 7
auth_param ntlm max_challenge_reuses 0
auth_param ntlm max_challenge_lifetime 2 minutes

auth_param basic program /path/to/ntlm_auth --require-membership-of="SID of noinetg" --helper-protocol=squid-2.5-ntlmssp
auth_param basic children 7
auth_param basic realm MYREALM
auth_param basic credentialsttl 2 hours
auth_param basic casesensitivite on

external_acl_type NT %LOGIN /path/to/wbinfo_group.pl

acl dom proxy_auth REQUIRED
acl inet_users external NT noinetg

http_access allow inet_users #пробовал также http_access allow dom inet_users
http_access deny all

===============================================


Буду крайне признателен, если мне укажут в каком направлении искать решение проблемы. Спасибо.

acl dom proxy_auth REQUIRED
http_access allow dom
http_access deny all
если не поможет почитай внимательно доку http://www.asmodeus.com.ua/library/soft/squid/squid_auth.htm

Спасибо за ответ.
Но

>acl dom proxy_auth REQUIRED
>http_access allow dom
>http_access deny all

Но именно так(как если бы был прописаны указанные строки - так я тоже пробовал) у меня всё и работает %-) -- пускает ВСЕХ пользователей домена. В то время как пропускать должно лишь тех пользователей, которые входят в группу noinetg.
Достигнуть этой цели я пытался посредством директивы --require-membership-of="SID of noinetg" к auth_param ntlm program и посредством подключения wbinfo_group для аутентификации по группам. И тот и другой способы не принесли результата.

>почитай внимательно доку

Зачем? Там совсем другой аутентификатор используется и к вознекшей проблеме всё написанное там в общем-то мало относится.
Мыльный архив и FAQ по аутентификации на squid-cache.org тоже курил. Просветления, увы, не наступило...

Возникла проблема, стоит IE 6, работает через squid 2.5, практически всегда с первого раза не хочет открывать https ресурсы, выскакивает ошибка: доступ запрещен, но с указанием http ресурса. когда делаешь рефреш, то иногда заходит, иногда нет. Причем с firefox таких проблем не бывает.

Уважаемые Админы!!!!
Подскажите подробно, плиз, вот какой вопрос.
Можно ли и как скомпилировать или настроить squid, чтобы он поддерживал не только http, но и socks4 или socks5?
Т. е. есть проги, которые не работают через http-прокси, а только через SOCKS. Как squid скомпилить или настроить так, чтобы он поддерживал SOCKS? В Инете все перерыл - точного ответа нету. Есть что то вроде: добавьте при компиляции DBind=...... и -lsocks в строку линков - ничего не получается ....
Помогите пожалуйста!

никак! не поддерживает сквид сокс ! про DBind= -lsocks забудь, нет уже такой опции, а зачем тебе сокс вообще ? все можно разрулить правилами firewall ipchians/iptables.

Мне ... - все просто - сквид авторизует пользователей и все номано - ограничения + логи, но некоторые проги не работают через http, а только через socks. Отдельно городить сокс - не охота, напрямую пущать - тоже не охота ....

ну и зря неохота, а придется ! или ставь сокс рядом со сквид, например на порт 1080 или айпитаблес в руки.

Всем привет!
У кого-нибудь есть опыт работы сквида на двух каналах? Как такое сконфигурить? для начала нужно, например, одну группу пользователей кидать на один канал, другую - другой. Как такое осуществить?

Всем привет. Думал себе ставить сквид, но перечитав тепу что то больше склоняюсь на переход к виндовому винроуту, т.к. он делает все и сразу. и никаких заморочек с запуском программ на клиентских не возникает, если использовать комп с винроутом как шлюз по дефолту.....
Или я ошибаюсь?

Cramac
ну все зависит от твоих требований к шлюзу. никто не мешает тебе сделать прозрачный прокси и тоже не будет никаких "никаких заморочек с запуском программ"

EndoR есть возможность юзать сквид на двух каналах , один из вариантов с использованием двух сквидов с балансировкой нагрузки - http://www.bog.pp.ru/work/squid.html#balans , но наверно можно обойтись и одним сквидом использется опция tcp_outgoing
Cramac винрут хорош слов нет, но чтобы поиметь все фичи авторизация обязательна
и kwf не умеет ограничивать скорость закачек в отличиие от сквида delay pool , хотя сквид тоже имеет свой недостаток - он чистый http прокси (никакого фаервола)

кто-нибудь делал реал-тайм статистику, используя SNMP?
например, интересует такая штука - кто щас сидит, какой пул, какой траф в данных момент, всё в иерархии
интересует именно реал-тайм, mrtg и иже с ним не подойдут, ну, на крайняк, чтоб я мог перлом вытянуть статистику и сгенерить html
инетересует иерархия OID'ов

спасибо!

Teo
немного отвлекаясь от темы: а что снятие статистики mrtg - это не рил тайм?

ipmanyak
статью я эту читал, но в ней говорится о жестком создании списка AS, а это изначально не катит. второй сквид тоже не хотелось бы.
вопрос по поводу опции tcp_outgoing_address - можно ли указать два внешних IP сервера? что при этом будет, пробовал? в идеале хотелось бы, чтобы при недоступности первого трафик бежал бы на второй, т.е. типа метрик маршрутов.

Felix
нет, на *никсах делается по крону раз в минимум (или максимум несколько минут/секунд, что неприемлемо, ибо коннект к тому времени уже пропадёт)
и к тому же, как ты себе представляешь такое снятие статистики с помощью mrtg, это ж лог получится

Teo
У тебя, в любом случае, есть интервал дискретизации контролируемых значений удобный восприятию. Зачем тебе знать о сессии длинной в несколько миллисекунд, вполне достаточно её регистрации в логах.

Если не нравится присутствие прошлых значений, используй что-нибудь типо snmpwalk и обрабатывай результат перлом. Но даже в этом случае, до полноценного рил тайма, как до китайской границы пешком.

Цитата:

Если не нравится присутствие прошлых значений, используй что-нибудь типо snmpwalk и обрабатывай результат перлом. Но даже в этом случае, до полноценного рил тайма, как до китайской границы пешком.

уффф, с этого я и начал
ну чтоб совсем тебе понятно было, что я хочу, то вот есть такая прога
там есть скрины, посмотришь - поймёшь
и давайте не будем предлагать мне "варианты поумнее", ей богу, детский сад какой-то
конкретный вопрос - конкретный ответ

Цитата:

интересует иерархия OID'ов

Teo
Често говоря, не увидел кординальных отличий программ.

На счёт иерархии - МИБ вьюеров туча, есть РФЦ и т.п.
http://www.mg-soft.si/mgMibExplorer-samples/

Цитата:

Често говоря, не увидел кординальных отличий программ.

отличие в том, что мртг строит графики и делает хтмл, то есть нужен веб-сервер
вышеуказанная прога ток из оида берёт инфу и отображает в своём окне _немедленно_


Цитата:

На счёт иерархии - МИБ вьюеров туча, есть РФЦ и т.п.

да я в курсе, в доках на сабж даже есть их описаноие, но оно довольно обширное и запутанное
а я хотел на готовенькое уже
то есть так - либо я сам сделаю, либо кто-то такое делал и поможет
времени особо нет

Подскажите, как запустить весь FTP-трафик через сквид?
Вроде в описании сказано, что сквид может работать с FTP.
Попытался перенаправить на порт 3128 (сквид) все пакеты идущие на 21 порт (FTP).
Ничего у меня не вышло.
Может быть для этого нужно что-то указать в конфигурационном файле?
Или, может быть, у меня слишком старая версия (2.4)?

Цитата:

вопрос по поводу опции tcp_outgoing_address - можно ли указать два внешних IP сервера? что при этом будет, пробовал? в идеале хотелось бы, чтобы при недоступности первого трафик бежал бы на второй, т.е. типа метрик маршрутов.

я это реализовывал файером, (policy based routing), а всеравно маршрутизацию надо строить в случае падения одного из провов на другой, а тогда никаких перенастроек не надо на сквиде, насколько я понимаю. А вот если балансировка нагрузки тапа одних клиентов пускать с одного ИП других с другой то можно, я пробовал. Но это работает нормально только если пров не режет чужие ипшники идущие из сети.

Добавлено:
wolf315
если не ошибаюсь прозрачно проксируется только хттп траффик, для фтп надо явно указать адрес прокси в клиенте

wchik
Прозрачное проксирование ftp сделать можно,но вроде силами не только сквида. Я например к сквиду прикручивал frox

Frox я тоже прикручивал.
Меня он не устроил тем, что он так сказать "не совсем прозрачен"
Все пакеты, идущие на 21 порт перенаправляем на порт 2121, а обратно получаем с другого порта, причем заранее неизвестно с какого (все время с разных). Мало того, все пакеты возвращаются не с того адреса куда их отправили, а с адреса того компьютера на котором стоит Frox.
Если кто-нибудь знает другой прозрачный FTP-прокси сервер, то подскажите.

У меня NAT+Squid+Frox - отлично работают.
И кешируется хорошо.

Помогите, сквид не стартует даже=(
Ставил из squid-2.5.STABLE12.tar.gz, ось FreeBSD 6.0
testbsd# /usr/local/squid/bin/RunAccel &
[6] 10199
testbsd# Running: squid -a 80 -s >> /usr/local/squid/var/squid.out 2>&1
Abort trap (core dumped)
Содержимое squid.out....
Стандартный конфиг без изменений....


Код:
Squid Cache (Version 2.5.STABLE12): Terminated abnormally.
CPU Usage: 0.032 seconds = 0.000 user + 0.032 sys
Maximum Resident Size: 1508 KB
Page faults with physical i/o: 0

Цитата:

FATAL: Bungled squid.conf line 13: cache_dir /usr/local/squid/cache 256 16 256

каталог есть?
места достаточно?
права для пользователя кальмара выставлены?

Код: # ls -la /var/cache/squid
итого 542
drwxr-xr-x 18 squid squid 19 Янв 1 10:12 ./
drwxr-xr-x 6 root root 7 Авг 13 12:46 ../
drwxr-x--- 258 squid squid 258 Июл 17 18:07 00/
drwxr-x--- 258 squid squid 258 Июл 17 18:07 01/
drwxr-x--- 258 squid squid 258 Июл 17 18:07 02/
drwxr-x--- 258 squid squid 258 Июл 17 18:07 03/
drwxr-x--- 258 squid squid 258 Июл 17 18:07 04/
drwxr-x--- 258 squid squid 258 Июл 17 18:07 05/
drwxr-x--- 258 squid squid 258 Июл 17 18:07 06/
drwxr-x--- 258 squid squid 258 Июл 17 18:07 07/
drwxr-x--- 258 squid squid 258 Июл 17 18:07 08/
drwxr-x--- 258 squid squid 258 Июл 17 18:07 09/
drwxr-x--- 258 squid squid 258 Июл 17 18:07 0A/
drwxr-x--- 258 squid squid 258 Июл 17 18:07 0B/
drwxr-x--- 258 squid squid 258 Июл 17 18:07 0C/
drwxr-x--- 258 squid squid 258 Июл 17 18:07 0D/
drwxr-x--- 258 squid squid 258 Июл 17 18:07 0E/
drwxr-x--- 258 squid squid 258 Июл 17 18:07 0F/
-rw-r----- 1 squid squid 337968 Янв 1 13:41 swap.state

Всё сквид запустил.
Только пришлось закоментировать строчки
acl SSL_ports port 443
http_access deny CONNECT !SSL_ports
tcp_incoming_address мой апи
tcp_outgoing_address 192.168.0.129
Так как заставить работать его через 443?

как как! сам зарубил 443 порт и еще что-то хочешь ! нужно было оставить все по дефолту ! добавить только свое нужное !
acl SSL_ports port 443 563 6669 6667 5190
acl Safe_ports port 80 # http
acl Safe_ports port 81 # http
acl Safe_ports port 8108 # http
acl Safe_ports port 8080 # http
acl Safe_ports port 8801 # http
acl Safe_ports port 8081 # http
acl Safe_ports port 8101 # http
acl CONNECT method CONNECT
http_access deny !Safe_ports
http_access deny CONNECT !SSL_ports

С этим разобрался, работает на ура. Только вот один нюанс...
У меня чёто с такой строкой
cache_peer "апи прокси моего прова" parent 3128 0 no-query default no-digest
никак не хочет работать с этим прокси=(
кто с этим сталкивался?
Сужу об этом о регистрации моего апи, а не прововского прокси скажем при ответе на форуме...