» SQUID (только под *nix)

подскажите

при попытке прохода через сквид выдаётся следующее:

Цитата:

While trying to retrieve the URL: http://ya.ru/
The following error was encountered:

Access Denied.
Access control configuration prevents your request from being allowed at this time. Please contact your service provider if you feel this is incorrect.

имеются слеюдующие записи в squid.conf:

acl cn_users proxy_auth user_name
...
http_access allow cn_users


в чём проблема ?

Добавлено:
теперь вот пишет

Цитата:

The following error was encountered:

Cache Access Denied.

и отказывается брать пароль

проблема решена

sattan
в чем проблема то была в доступе к кешу ?
может остальным пригодится

Loafer
проблема не решена до конца до сих пор. времени нет пока.
есть следующее

FreeBSD + heimdall + samba + виндовый домен на 2000-2003 Винде
всё настроено - всё видится - всё работает.

проблема в следующем - в сквиде настроено чтобы бралась авторизация юзеров из домена винды. соответственно - в домене есть группа Интернет - где два пользователя

прикол в том, что если я пропишу просто в ACL ещё одного - НЕ В ГРУППЕ инет - его пустит. мне это не нравится.

sattan
а последнее правило - "общий запрет" на месте?
и не умеет с группами работать сам squid вообще

Loafer

Цитата:

и не умеет с группами работать сам squid вообще

как не умеет ? получается - всю эту хрень с самбой, керберосом и авторизацией в домене винды только для того чтобы он просто брал оттуда юзеров ??

Цитата:

и не умеет с группами работать сам squid вообще

бред полный
во-первых, никто не мешает самостоятельно сделать ацл на группу
во-вторых, никто не мешает использовать хелперы

Помогите с такой проблемой.
Есть шлюз в интернет для небольшой сети, на нем стоит сквид.
В сквиде прописал
forwarded_for off

header_access X-Forwarded-For deny all
header_access Forwarded-For deny all
header_access Cache-Control deny all
header_access VIA deny all
header_access User-Agent deny all

header_replace User-Agent My_user_agent_string

После рестарта проверяю перловым скриптом. Исчезает адрес локального компа, запись о версии прокси сервера, меняется строка user agent-а, но в HTTP_X_FORWARDED_FOR остается внешний адрес прокси. А также адрес остается в REMOTE_ADDR.
Захожу на showmyip.com такая же байда, все сведения о внешнем адресе о провайдере и месте нахождения как на ладони.

Подскажите, как сделать полностью анонимным прокси сервер, чтобы не определялся внешний ip адрес шлюза.

Цитата:

Подскажите, как сделать полностью анонимным прокси сервер, чтобы не определялся внешний ip адрес шлюза.

это внешний ип шлюза
всё.
точка.
с этим бороться нельзя.

если ацл
Цитата:

header_access X-Forwarded-For deny all

не срабатывает, значит, что-то не так сделал

Если невозможно скрыть внешний ip, то тогда все работает правильно.
Спасибо.

Мужики помогите неразумному, разжуйте проблему.

Есть FreeBSD 5.5, есть squid 2.5, напишите мне подробно, как его настроить под мою конфигурацию:две сетевых, одна смотрит в инет, вторая на локалку, нужно защититься со всех сторон. Хотелось бы еще, ограничивать по времени и скорости. Да и мул для одних прикрутить, а для других нет. Вот сообственно и все.

MFA
иди на http://www.opennet.ru/
и поищи по слову squid, настройка squid
там всё _ОЧЕНЬ_ подробно

Да я уже там обчитался, там все не договаривают, если бы был профом, или я бы давно работал над фрихой, то мне бы те материалы подошли. А так мне нужно разжевать тему.

MFA Для защиты сквид тебе не поможет, это прокся а не firewall ! Для защиты читай правила ipfw , чтобы поднять сквид прочитай в нем файлик QUICKSTART , этих данных тебе хватит , более тонкой настройкой сквида потом займешься.

Ок, сэнкс - полистаю. Хотя на счет защиты мне как раз про него оч много рассказывали, что именно им закрываются от нежелательных проникновений в сеть.

Есть следующая задача, надо ее решить с помощью SQUID и еще чего-нить если надо.
Есть 2 канала в инет, 1й - 2х мегабитный 2й 512кб/с в анлиме... все это заведено на 2 разных компа назовем их proxy1 и proxy2 соответственно, на каждом поднят сквид. Так вот хочется настроить интет так чтобы ходить по сайтам всегда по 2х мегабитному, а тянуть что-нить уже по 512кб/с без переключения между прокси, чтоб они это сами далали...
Попытаюсь объяснить! Например в экплорере стоит всегда proxy1 (2Мб) но при открытии страницы с файлами объем которых >2мегабайт сквид proxy1 использовал сквид proxy2 автоматически получив ОЖИДАЕМЫЙ размер файла подлежаещего отдачи пользователю...Кто знаешь как это сделать и чем? одним сквидом вроде это никак не реализуешь?!

pusiyjan не уверен, что сквид вообще так может делать. Но можно на клиентском месте извратиться - странички смотреть браузером, настроенным на прокси1, а файлы качать программой-качалкой, настроенной на прокси2

pusiyjan

Цитата:

но при открытии страницы с файлами объем которых >2мегабайт

Ты сам то понял что сказал???
Даже если и кто то заставит squid проверять размеры всех файлов по линкам на странице
то представь себе сколько левого трафика ты получиш...

Ruza
можно, можно получать размер принимаемого файла !!!! это я уверен на 100%, так что с этим проблем нету!
остается только придумать как это реализовать!....
и я не понял про какой ты левый трафик говоришь?
Jadeite
можно и так, но хочется все реализовать на ответной часть =)))

Как правильно настроить squid, чтобы он пускал только на некоторые разрешенные сайты?
В squid.conf прописываю:

Цитата:

acl good_url url_regex -i "/usr/local/squid/etc/good_url.txt"
http_access deny !good_url

В /usr/local/squid/etc/good_url.txt прописываю разрешенные сайты, например:

Цитата:

ya.ru
rambler.ru

Т.е. в данном примере squid должен пускать только на сайты ya.ru и rambler.ru
Но если умный юзер в строке браузера наберет что-то типа _http://mail.ru/?ya.ru, то squid увидев в строке запроса разрешенный ya.ru пропустит этот адрес и пользователю откроется неразрешенный mail.ru. Как правильно настроить squid, чтобы нельзя было воспользоваться описанной дыркой?

Цитата:

Есть следующая задача, надо ее решить с помощью SQUID и еще чего-нить если надо.
Есть 2 канала в инет, 1й - 2х мегабитный 2й 512кб/с в анлиме... все это заведено на 2 разных компа назовем их proxy1 и proxy2 соответственно, на каждом поднят сквид. Так вот хочется настроить интет так чтобы ходить по сайтам всегда по 2х мегабитному, а тянуть что-нить уже по 512кб/с без переключения между прокси, чтоб они это сами далали...
Попытаюсь объяснить! Например в экплорере стоит всегда proxy1 (2Мб) но при открытии страницы с файлами объем которых >2мегабайт сквид proxy1 использовал сквид proxy2 автоматически получив ОЖИДАЕМЫЙ размер файла подлежаещего отдачи пользователю...Кто знаешь как это сделать и чем? одним сквидом вроде это никак не реализуешь?!

ищи опции tcp_outgoing она поможет тебе разделить запросы на два и более канала, а что уже через какой канал качать можно просто сделать через acl, например создать acl с расширениями *.exe *.rar ...etc и заставить их ходить через канал №2 а все остальное через канал №1

Zl0

Цитата:

ищи опции tcp_outgoing она поможет тебе разделить запросы на два и более канала, а что уже через какой канал качать можно просто сделать через acl, например создать acl с расширениями *.exe *.rar ...etc и заставить их ходить через канал №2 а все остальное через канал №1

Интересная идея, буду пробовать, но это не полный выход из положения, так как я хочу еще и по объему проверять файлы!!!

DmitriyK

Цитата:

если умный юзер в строке браузера наберет что-то типа _http://mail.ru/?ya.ru,

c чего ты решил, что браузер откроет эту страницу ? Браузер скажет что url не действителен.


Добавлено:
pusiyjan вряд ли есть такая возможность в сквиде в зависимости от размера файла переключаться на другой канал ! Думаю и другие прокси такого не умеют. Более правильное решение юзать оба канала с мал-мальской балансировкой нагрузки по юзерам, а скорость закачек больших файлов просто задавить с помощью delay pool на маленкие скорости не более типа 2 кб/сек. Если юзеров немного, то вообще не вижу смысла держать 2 мегабитный канал, на равзе что как резерв.

ipmanyak

Цитата:

c чего ты решил, что браузер откроет эту страницу ? Браузер скажет что url не действителен

Потому что я иду на комп пользователя и сам проверяю эту ситуацию и страница ОТКРЫВАЕТСЯ, видимо потому что согласно правилу squid видит, что в строке запроса присутствует разрешенный сайт и он пускает...

DmitriyK тогда скажи мне почему у меня ни мозилла ни ie не открывает?

ipmanyak

Цитата:

тогда скажи мне почему у меня ни мозилла ни ie не открывает?

вот это и странно, т.к. если посмотреть на правила:

Цитата:

acl good_url url_regex -i "/usr/local/squid/etc/good_url.txt"
http_access deny !good_url

и если в /usr/local/squid/etc/good_url.txt прописано:

Цитата:

ya.ru
rambler.ru

то как отрабатывают правила? Как я понимаю, squid смотрит, что прописано в good_url.txt и потом смотрит есть ли данная подстрока в запрашиваемом адресе, и в случае, если я запрашиваю

Цитата:

_http://mail.ru/?ya.ru

то squid видит, что в моем запрашиваем адресе содержится разрешенная строка ya.ru и соответственно разрешает ее. Или я неправильно понимаю?
Может в good_url.txt надо как-то по-другому прописать разрешенные сайты (используя регулярные выражения), а не просто указать:

Цитата:

ya.ru
rambler.ru

С такими правилами и таким good_url.txt у меня IE открывает сайты, не указанные в good_url.txt, если открывать их, например так:

Цитата:

_http://mail.ru/?ya.ru

DmitriyK При наборе _http://mail.ru/?ya.ru дело до прокси не доходит ! Браузер мозилла сам выдает это сообщение об ошибке что урла неправильная (типа синтаксис не тот), причем моментально, а IE в w2k3 лезет на сайт http://search.msn.com/results.aspx?srch=105&FORM=AS5&q=_http%3a%2f%2fmail.ru%2f%3fya.ru
и там уже сообщает: We did not find any results for _http://mail.ru/?ya.ru. Почему у тебя так - хз, а правила и имена в файле написаны у тебя правильно.

ipmanyak

Цитата:

При наборе _http://mail.ru/?ya.ru дело до прокси не доходит !

Может конечно глупый вопрос, ты знак подчеркивания убираешь?
У меня и IE и Opera без проблем открывают такие адреса, т.к. то что после знака "?" они воспринимают как передачу переменной "ya.ru" сайту "mail.ru". А самому mail.ru "до лампочки" эта переменная и поэтому открывается основная страница mail.ru.

Цитата:

правила и имена в файле написаны у тебя правильно

На мой взгляд не совсем правильно (сами то правила наверное правильно, а вот список good_url.txt думается не совсем правильно), т.к. в строке запроса _http://mail.ru/?ya.ru есть разрешенный сайт? Есть. И поэтому squid его пропускает. А вот как правильно прописать?

DmitriyK ааа блин! я думал тебе именно с подчеркиванем нужно!
попробуй сделать такое правило:
acl all src 0/0
acl users src 192.168.2.0/255.255.255.0 #короче твоя локаль
acl good_url url_regex -i "/usr/local/squid/etc/good_url.txt"
http_access allow users good_url
http_access deny all

ipmanyak
Попробовать смогу только на выходных. Но не вижу принципиальной разницы от моих правил. Согласно твоим приведенным правилам, squid опять же посмотрит на строку _http://mail.ru/?ya.ru и найдет в ней разрешенную подстроку ya.ru из good_url.txt и опять же разрешит отобразить страницу.
Вот если бы регулярными выражениями выделить подстроку от начала до третьего символа "/" (первые два будут после http: ) и среди этой подстроки уже искать разрешенные подстроки, то думается было бы как раз то что надо...