» SQUID (только под *nix)

To All
Помогите решить следующую задачу с разрешением доступа к определенным ресурсам на уровне групп.
_Имеем_: Стандартную аутентификацию пользователей через NTLM. Т.е. если пользователь принадлежить группе "Internet-Access", то сквид пускает его:

auth_param ntlm program /usr/local/samba/bin/ntlm_auth --helper-protocol=squid-2.5-ntlmssp --require-membership-of=S-1-5-21-787762258-882461402-281947949-2472
auth_param ntlm children 10
auth_param ntlm max_challenge_reuses 0
auth_param ntlm max_challenge_lifetime 2 minutes

auth_param basic program /usr/local/samba/bin/ntlm_auth --helper-protocol=squid-2.5-basic
auth_param basic children 10
auth_param basic realm Squid proxy-caching web server
auth_param basic credentialsttl 2 hours

acl myusers proxy_auth REQUIRED
http_access allow myusers

_Задача_: Сделал ещё одну группу, назовем её "Internet-Limit", пользователи этой группы должны иметь доступ только к определенным сайтам, скажем: mail.ru, yandex.ru.
Как мне реализовать это в конфиге squid? Нужно как-то привязать группы к разным acl, но как?
Помогите пожалуйста!

Поискал в теме, вроде никто не упоминал:

Может кто-нибудь поделится опытом создания динамического шейпера с использованием связки Squid + ipfw с использованием пайпов.

Очень интересно было бы реализовать данную связку.

ITProf
Шейпер не относится к SQUID, он действует на более низком уровне.

Добавлено:
DmitriyK
Поставь squidGuard и не мучайся. В нем разрешишь ходить только на нужные тебе сайты.

SSV_RA
Для небольших задач, встроенных функций SQUID вполне достаточно. Если уже что-то прикручивать то я б посоветовал http://rejik.ru/ вместо
Цитата:

Поставь squidGuard и не мучайся.

Вещь серьезная.
У нас таже в конторе есть разделение на
1 - Ограничен только white list - идет только на разрешенные несколько сотен сайтов
2 - Ограничен black list - можно все кроме порно, мп3 и другой фикни (Вот на них и стои у нас rejik.ru)
3 - "Элита" можно все =)
организовывается это все выгрузкой с базы этих параметров с созданием файлов, которые подгружаются в сквида!

Цитата:

Может кто-нибудь поделится опытом создания динамического шейпера с использованием связки Squid + ipfw с использованием пайпов.

в сквиде есть pool-ы, в них можно назначить приоритеты для клиентов.
С помощью ipfw ограницить не получиться, потому что ты можешь ограницить скорость от клиента до прокси-серрвера. А как известно запрос попадая на сквид ставиться в очередь и качается как все - в итоге канал все равно занят запросом от низкоприоритетного пользователя.

Попробуй поставить на машину флешгет какой-нибудь , поставь качаться большой файл и ограничь скорость скачки на 0.1К, через 5 минут переключи на неограниченную скорость закачки. Выводы сделаешь сам :)

pusiyjan
Быть может, но у squidGuard есть плюс - он хранит базу разрешений и запретов в базе данных, что дает скорость обработки запросов, потому как у меня в некоторых базах до 3000-4000 доменов запрещены.

2all
сори за глупый вопрос, но я никак не могу найти в кэше когда захожу на менеджер через веб интерфейс, допустим http://192,168,1,1/cgi-bin/cachemgr.cgi
авторизировавшись не могу найти ссылки что показывает кто что откуда тянет ...
потому как какой-то уникум весь день с рапиды что-то сливает и не дает дуда пробится!!!


Добавлено:
да глупо вышло как-то все нашел, что надо =(

подскажите новичку в линухе чем дзыбить(и как настроить) траффик текущий, кто-где и что в SQUIDе
ось- ASP Linux11
или где про это написано... сарг пробовал с опеннета ставить не получилось

Gabzya
Текущий смотри sqstat - там скрипты на php.

Ruza
sqstat
bash: sqstat: command not found

Есть два вышестоящих сквидовых прокси

Как в моём сквиде сделать, чтобы:

1. Трафик на сайты из списка sites1 передавался через прокси1
2. Всё остальное - через прокси2

oie71 Примерно где-то так:
acl all src 0.0.0.0/0.0.0.0
acl second dstdomain "/usr/local/squid/etc/as.list"
cache_peer второй-squid parent 3129 0 no-query default (описываем вспомогательный squid как старший для нас)
cache_peer_access второй-squid allow second (обращаться к нему только, если сервер находится в AS из списка)
never_direct allow second (не обращаться напрямую к серверам из AS списка)
never_direct deny all

в файле as.list список доменов по одному в строке:
.foo.com
.rambler.ru

Спасибо.

Пока сделал вот так:

acl second dstdomain .kiev.ua .gov.ua .com.ua .org.ua
cache_peer 10.30.1.1 parent 3128 0 - прокси 2
acl all src 0.0.0.0/0.0.0.0
cache_peer 10.0.1.1 parent 8080 0 no-query default - прокси 1
cache_peer_access 10.0.1.1 allow second
never_direct allow all

Ещё воросик

Вместо "acl second dstdomain .kiev.ua .gov.ua .com.ua .org.ua" хотел прикрутить

acl second dst "c:\squid\wget\uaix.ip"

Файл uaix.ip - строки типа 123.123.123.0/маска описывает зону UA-IX.
Лежит здесь - http://noc.ix.net.ua/ua-list.txt

После reconfigure ругается, что

2007/02/08 18:20:49| WARNING: '62.64.64.0/255.255.248.0' is a subnetwork of '62.64.64.0/255.255.192.0'
2007/02/08 18:20:49| WARNING: because of this '62.64.64.0/255.255.192.0' is ignored to keep splay tree searching predictable
2007/02/08 18:20:49| WARNING: You should probably remove '62.64.64.0/255.255.248.0' from the ACL named 'uaix'

Вопрос: как проверить, какие сети попали acl second?
Судя по WARNING - только 62.64.64.0/255.255.192.0 - но хочу проверить.

В cachemgr.cgi есть пункт меню "Current Squid Configuration" где описаны все текущие acl (если не ошибаюсь) но не могу туда попасть.

Если в squid.conf не прописывать строчку "cachemgr_passwd MY_PASS all" "Current Squid Configuration" не доступен.

Если в squid.conf прописать "cachemgr_passwd MY_PASS all" , то по паролю MY_PASS открываются все пункты меню кроме "Current Squid Configuration".

Squid Cache.log пишет:

2007/02/08 18:34:52| CACHEMGR: admin@10.30.1.3 requesting 'config'
FATAL: Received Segment Violation...dying.
2007/02/08 18:34:52| storeDirWriteCleanLogs: Starting...
2007/02/08 18:34:52| WARNING: Closing open FD 30
2007/02/08 18:34:52| Finished. Wrote 8644 entries.
2007/02/08 18:34:52| Took 0.0 seconds (278838.7 entries/sec).

Apache Error.log пишет:

[Thu Feb 08 18:40:07 2007] [error] [client 10.30.1.12] malformed header from script. Bad header=</table></PRE>: cachemgr.cgi, referer: http://server3:8080/cgi-bin/cachemgr.cgi

Куда копать?

подскажите

как в сквиде прописать правило, чтобы пользователя, требуя авторизации, пускало _только_ на домены .gov.ua и _только_ с определённого ip адреса ?

Помогите решить проблему.
Есть домен. Выход в инет - связка - Proxy (linux с sduid 2.5 - далее шлюз с натом
тож на линуксе).
Авторизация в сквиде - смешанная нтлм или базик -через внешние модули
Проблема периодически на некоторых машинках Proxy становится недоступен-
проверяю запросом на порт 3128 -хренушки. В логах сквида ни ошибок авторизации ничего. Машинка не очень сильная - целерон, сетевуха обычная 100 -ка
выход в инет радиоканал.
В чем может быть проблема?
Да когда на клиенте запускаешь "repair" на сетевом подключении - соединение со скидом как правило восстанавливается.

sattan
в смысле, авторизовать только для этих доменов и пускать?
и не пускать других?

acl all src 0.0.0.0/0.0.0.0
acl password proxy_auth REQUIRED
acl restricted_domain dst_domain .gov.ua
acl restricted_client x.x.x.x

http_access allow password restricted_domain restricted_client
http_access deny all


slayer120
дебаг включаешь и смотришь
для wbinfo_group параметр -d
для кальмара -d LEVEL [0-9] -X
но учти - вывода будет немеряно
DHCP есть?

Хелп!
Админы, хелп! срочный!
заинстолил еще 2 железяки для диалупа. нагрузка в сети возросла.
Раннее стоял Oops, так с такой нагрузкой он просто сдыхает...
ПОставил сквидяру, 3 сетки зарулил на сквидяру. И с ужасом обнаружил что он тоже загибаться стал! Страницы или стоят на месте, или недогружаютсья картинки и тд.
если пробовать телнетом на порт сквида, он даже телнетом долго коннектит
каналу хватает, он даже на 50% еле загружен....

вот мой конфг и как компилял:

#sbin/squid -v
Squid Cache: Version 2.6.STABLE9
configure options: '--prefix=/usr/local/squid_8282' '--enable-heap-replacement' '--disable-ident-lookups' '--enable-cache-digests' '--enable-poll' '--enable-delay-pools'

---
http_port 0.0.0.0:8383 transparent protocol=http
icp_port 3133
udp_incoming_address 0.0.0.0
udp_outgoing_address 255.255.255.255
icp_query_timeout 0
maximum_icp_query_timeout 2000
mcast_icp_query_timeout 2000
dead_peer_timeout 10 seconds
hierarchy_stoplist cgi-bin
hierarchy_stoplist ?
cache Deny QUERY
cache_vary on
broken_vary_encoding Allow apache
cache_mem 8388608 bytes
cache_swap_low 90
cache_swap_high 95
maximum_object_size 4194304 bytes
minimum_object_size 0 bytes
maximum_object_size_in_memory 8192 bytes
ipcache_size 1024
ipcache_low 90
ipcache_high 95
fqdncache_size 1024
cache_replacement_policy heap GDSF
memory_replacement_policy heap GDSF
cache_dir ufs /cache/squid_8383 2048 16 256
logformat squid %ts.%03tu %6tr %>a %>p %Ss/%03Hs %
---

я так понимаю очень много запросов прёт от юзеров, сквид начинает загибаться...
юзеров на диалупе в часы пик 270 челов с лишним.
260 - качальщики... каждый качает или флешгетом или донлодмастером по куче файлов...

что надо еще покрутить, какие фичи выставить чтоб он справлялся с бешенной нагрузкой?

конфиг сервака:
озу 512

#cat /proc/cpuinfo
processor : 0
vendor_id : GenuineIntel
cpu family : 15
model : 2
model name : Intel(R) Pentium(R) 4 CPU 2.00GHz
stepping : 9
cpu MHz : 1997.517
cache size : 512 KB

Teo
dhcp нет. В сквиде авторизация внешними модулями (на php, из мускула берется связка ИП логин (для обычной авторизации), либо из AD для ntlm авторизации.
В логах нет собщений об ошибках авторизации. Из-за чего порт сквида может становится недоступным? Да используются delay pool, если нужен конфиг сквида могу кинуть.

Привет.
Есть Fedora Core 5 + squid-2.5.STABLE14-3.FC5.x86_64 поставленный из rpm
Нужно сделать аутентификцию пользователей по логину/паролю.
в squid.conf написал:
forwarded_for off
auth_param basic program /usr/lib64/squid/ncsa_auth /etc/squid/allow_user
acl password proxy_auth REQUIRED
http_access allow password
http_access deny all

есть файл /etc/squid/allow_user созданный с помощью htpasswd, в файле записан тестовый логин/пароль.

НО! при использовании прокси-сервера в IE логин/пароль не запрашивается, а пропускает просто так!

Где грабли? подскажите пожалуйста! перерыл кучу инфы пока запустил squid и еще кучу инфы по этой аутентификации, но пока ничего не получается...

Добавлено:
УРРРАААА!!!! ЗАРАБОТАЛО!!!!
просто вверху у меня стояло http_access allow all

hda0, посмотри в момент пиковых нагрузок загрузку самого сервера - особенно использование ЦП, памяти и диска.
попробуй cachemem побольше выставить, раз памяти 512.

Привет.
Поставил squid/2.5.STABLE14 на Fedora 5, настроил на аутентификацию по логину/паролю, запустил - работает!
Но через какое-то время (пару дней), когда пытаюсь через него куда-то попасть пишет:
While trying to retrieve the URL: http://www.ukr.net/

The following error was encountered:

Unable to determine IP address from host name for www.ukr.net
The dnsserver returned:

Timeout
This means that:

The cache was not able to resolve the hostname presented in the URL.
Check if the address is correct.

После рестарта нормально работает...
Что это такое? как лечится?

ElCoyote
это означает, что сквид недождался ответа от днс сервера
если днс локальный, то имеет смысл посмотреть, что там с ним такое
если нет - увеличить таймаут на сквиде и уменьшить negative dns ttl

Проблемка!
При попытке зайти например на сайт ftp://ftp.squid.org/ через браузер, вылазит такая ошибка.

ZERGE_VIOLATOR
проверь настройки фтп в конфиге
чтоб емэйл был там

ZERGE_VIOLATOR в настройках браузера IE убери птицу - Разрешить представления папок для FTP


Добавлено:
если после этого вообще не сможет зайти, то там же в браузере птица -пассивный режим FTP или включи или наоборот убери

есть такой глюк:
есть ася, АДСЛ модем, сквид
после обрыва соединения модемом, коннекты на сквиде изнутри не рвутся, соответственно клиенты продолжают думать, что коннект к серверу есть
насчёт сквида не знаю, это по теории TIME_WAIT state
для клиента всё обстоит так:
он всё ещё в состоянии онлайн, пытается отправить мессагу, мессага не доходит по таймауту

надеюсь, понятно выразился

есть ли решение для такой ситуации

появился вопрос. Пробую постафить squid-2.6.STABLE11. При попытке выполнить
./configure --prefix=/usr/local/squid --enable-delay-pools --enable-cache-digests --enable-removal-policies=heap
он ругается, что мол не установлен Perl
.....
.....
USE_CACHE_DIGESTS enabled
Auth scheme modules built: basic
unlinkd enabled
checking for egrep... grep -E
checking how to run the C preprocessor... gcc -E
checking for a BSD-compatible install... /usr/bin/install -c
checking for ranlib... ranlib
checking whether ln -s works... yes
checking for sh... /bin/sh
checking for false... /usr/bin/false
checking for true... /usr/bin/true
checking for rm... /bin/rm
checking for mv... /bin/mv
checking for mkdir... /bin/mkdir
checking for ln... /bin/ln
checking for perl... none
checking for ar... /usr/bin/ar
Perl is required to compile Squid
Please install Perl and then re-run configure
bsd#



попробовал дополнительно ему поставить perl-5.8.8- не помогло.Действительно ли требует squid Perl? Может я ему не ту версию Perl поставил?

P.S. Система FreeBSD 6.1 Release

vovanj7 Perl точно нужен ! Из фака:
What else do I need to compile Squid?
You will need Perl installed on your system.

ipmanyak
Ясно, будем пробовать. Как попробую-отпишусь