» SQUID (только под *nix)

genultrovich Чистые FTP клиенты через сквид не работают, об этом во всех FAQ написано! Таких клиентов нужно выпускать мимо сквида ака NAT/маскарад. FTP у сквида OVER HTTP и этим всё сказано.

Ограничения на максимальный размер файлов задаются тэгами:
# TAG: request_body_max_size (KB)
# TAG: reply_body_max_size bytes allow|deny acl acl...

Параметр maximum_object_size к этому отношения не имеет никакого, он отвечает за максимальный размер объектов, которые будут сохраняться в кэше на диске, оставь его по дефолту, ну или немного увеличь, например, maximum_object_size 2048 или 4096 KB.

ipmanyak спасибо за помощь, процес закачки пошёл!
Что на данный момент для меня очень было важно!
А со всем остальным буду разбираться!

Помогите с проблемой, плиз.

Хочу использовать SquidNT как локальный прокси. Инет имеется от нескольких "провайдеров", но везде у них стоят свои прокси и каждый из них требует NTLM авторизации.
Как можно SquidNT научить работать с родительскит пирами требующит только NTLM авторизацию? Дописывание в cache_peer-ы параметров login=ЮЗЕР:Пароль не помогает, все похоже на то, что сквид не умеет авторизироватся по NTLM схеме с пирами, можно ли это как-то побороть.

Squid Cache (Version 2.6.STABLE18)

Аналогичный вопрос я запостил в тему по SquidNT. Не пинайте за дубль, плиз, лучше - помогите.

помогите плз
нужно ограничить скорость одному юзеру-

delay_pools 1
delay_class 1 1
delay_parameters 1 7500/7500
delay_access 1 allow ProFF
delay_access 1 deny all

что не так?как поправить чтобы работало?

передвинь delay_parameters:
delay_pools 1
delay_class 1 1
delay_access 1 allow ProFF
delay_access 1 deny all
delay_parameters 1 7500/7500

или попробуй так:

acl src ProFF 192.168.0.3 # ip юзера
delay_pools 1
delay_class 1 2
delay_access 1 allow ProFF
delay_access 1 deny all
delay_parameters 1 7500/7500 7500/7500

Еще раз прошу помочь с проблеммой, описанной выше
"Debian + SQUID авторизация по ntlm. Все работает норм, но после перезагрузки слетают права на winbindd_privileged, по дефолту стоит группа winbindd_priv, меня на proxy - все ОК, стоит только перезагрузится опять та же группа. Пробовал юзера proxy добавить в группу winbindd_priv, не помогло "

makapoff
Из рекомендации по настройке ntlm

cache_effective_user squid - тут оставить можеш своё имя
cache_effective_group winbindd_priv - а группу придётся ставить такую

И будет счастье...

блин, видать кривой днс у моего провайдера.второй день не могу достучаться. Ктонить может сказать homepage работает сейчас?
Если да скиньте айпишник плиз.

dredd00
Судя по всему нет...
Сам второй день не могу достучатся.

www.squid-cache.org ip адрес 12.160.37.9

Необходимо открыть доступ к сайту Х, но на его страницах присутствуют элементы с других ресурсов и при настройке:

Цитата:

acl X_access dstdomain .X
http_access allow sample_users_acl X_access

они не отображаются. Подскажите как их "отобразить", не открывая прямого доступа на другие ресурсы?
Пробовал так:

Цитата:

acl X_access_ref referer_regex -i ^.*X/.*$
http_access allow sample_users_acl X_access_ref

- всё "сторонние" элементы загружаются, но появилась возможность доступа к ресурсам, на которых они расположены. Есть ли другой способ? Спасибо!

на предприятиии стоит SQUID на FreeBSD... Работает авторизация
Появилась необходимость что бы машина с определенного IP адреса во внутренней сети могла напрямую(без авторизации) выходить в инет. (шлюз прописан в настройках соединения)

Fantang1986 Или правилами фаервол (включив NAT) выпускай эту машину без прокси ( у клиента убрать в браузере прокси) , а если хочешь через сквид выпускать без авторизации, то создай правила для этого ip и поставь их выше правил авторизации.

доброго времени суток. имеется сеть, которая ходит через прозрачній сквид
написано в сквиде такое
http_port 3128 transparent
иптаблес туда сетку заворачивает, всё работает. но если написать
http_port 127.0.0.1:3128 transparent
то всё работать перестаёт

сквид соответственно 2.6.14

и ещё вопрос. основная цель установки сквида - кеширование. однако в логе в основном TCP_MISS, даже когда просто перегружаю страницу которую только что загрузил. изредка попадается TCP_MEM_HIT. конфиг у сквида в основном дефолтный. в чём трала?

ipmanyak
Заранее извиняюсь за такой вопрос! NAT включил! а как будет примерно это правило выглядеть, например, для IP 192.168.0.90/ я так понимаю там форвардинг будет.. но не могу собразить как!

rain87


Цитата:

http_port 127.0.0.1:3128 transparent
то всё работать перестаёт

Плакаль!!!
127.0.0.1 это локальный адрес и до его достучаться ой как трудно.

так что что то подобное
http_port 192.168.0.1:3128 transparent - должно работать

Fantang1986 Читай доки ipwf или что там у тебя стоит.

Ruza
очень смешно. а куда iptables -j REDIRECT перенаправляет трафик? я вот чёто всё время думал, что на локалхост

rain87
Тогда смотри политики доступа к локалхосту а так же разрешения доступа к сквиду от локалхост

да смотреть то особо нечего. если на локалхосте явно указать прокси сквида, то всё работает с локалхоста

но попробую ещё
Цитата:

http_port 192.168.0.1:3128 transparent

в принципе локалхост непринципиален, главное не светить сквид наружу. в сетку не страшно

ребяты, поначитался я докух всяких, но толи читал диагонально, то ли таки в них не было.. вобщем не нашёл
подскажите, как группировать зверей и запреты в группы

т.е. (грубый пример):

192.168.1.3 и 192.168.1.15 / группа1
192.168.1.7 и 192.168.1.32 / группа2

группа1 - запрет1
группа2 - запрет1 и запрет2

Eric Lazzy
acl aclname acltype "file"
в файле - построчно перечисляешь юзеров
acl restriction1 .....
acl restriction2 .....
http_access allow group1 restriction1
http_access allow group2 restriction1 restriction2

Teo
расширений какой-нить определёный файлику давать или обойдётся?
и по запретам - их тоже можно отдельными файлами прописать?

Teo
Путь к файлу относительно чего задается? (Или только полный?)

Yuki2003 Полный.

Eric Lazzy

Цитата:

расширений какой-нить определёный файлику давать или обойдётся?

Обойдётся

Цитата:

и по запретам - их тоже можно отдельными файлами прописать?

Смотря что ты хочеш... Т.к. не все запреты описываются в файлах.

Yuki2003

Цитата:

Путь к файлу относительно чего задается?

Относительно корневого каталога Да ещё и права надо проверить.

Teo
Ruza
спасибо

Налаживаю авторизацию в домене windows server 2003. Базовая авторизация работает. При включении в squid.conf строчки для включения "небазовой" ntlm-аутентификации

auth_param ntlm program /usr/bin/ntlm_auth --helper-protocol=squid-2.5-ntlmssp --require-membership-of="ИМЯЛОКАЛЬНОГОДОМЕНА"

происходит следующее:

Браузер выдает окошко "введите логин и пароль", как при базовой, только без предупреждения про "нешифрованность и открытотекстость". Ввожу имя и пароль. Получаю снова то же окошко, только в нем мой логин прописан уже в виде ИМЯЛОКАЛЬНОГОДОМЕНА\юзер - и никакого дальнейшего эффекта. Самое интересное начинается в логах.

access.log : 172.16.0.83 TCP_DENIED/407 1840 GET http://go.microsoft.com/fwlink/? - NONE/- text/html

вполне стандартно

cache.log (а вот тут самое интересное!)

[2008/04/21 10:43:39, 0] utils/ntlm_auth.c:get_require_membership_sid(236)
Could not parse ИМЯЛОКАЛЬНОГОДОМЕНА into seperate domain/name parts!

Подчеркну: ИМЯЛОКАЛЬНОГОДОМЕНА - односложное, т.е, состоит из одного слова, домен никуда не делегируется, единственный в лесу и тд.

Часть конфигов:

krb5.conf

[libdefaults]
    default_realm = ИМЯЛОКАЛЬНОГОДОМЕНА
    clockskew = 300

[realms]
    ИМЯЛОКАЛЬНОГОДОМЕНА = {
        kdc = dc2.имялокальногодомена
        default_domain = имялокальногодомена
        admin_server = dc2.имялокальногодомена
    }

[logging]
    kdc = FILE:/var/log/krb5/krb5kdc.log
    admin_server = FILE:/var/log/krb5/kadmind.log
    default = SYSLOG:NOTICE:DAEMON
[domain_realm]
    имялокальногодомена = ИМЯЛОКАЛЬНОГОДОМЕНА
    .имялокальногодомена = ИМЯЛОКАЛЬНОГОДОМЕНА
[appdefaults]
    pam = {
        ticket_lifetime = 1d
        renew_lifetime = 1d
        forwardable = true
        proxiable = false
        retain_after_close = false
        minimum_uid = 1
        use_shmem = sshd
    }

--------------------

wbinfo -u, -g , авторизация плейнтекстом wbinfo -a юзер%пароль - все ок.
id юзер - ок. Еще раз: БАЗОВАЯ авторизация доменного пользователя (squid.conf: auth_param basic program /usr/bin/ntlm_auth --helper-protocol=squid-2.5-basic ) проходит на-ура!

внутрисетевые айпишники обоих контроллеров домена и самой прокси в hosts прописаны.
----------------------------

Прям не знаю, где и копать. Пытался искать в инете поиском по ошибке - ни-фи-га.

Есть мысли хоть какие-нибудь у почтеннейшего All'a? Я в курсе, что дядя Билли не рекомендует даже локальным доменам давать односложные имена, но так уж сложилось. Ну, у меня-то с доменом пытается работать, в данном случае, не биллино творение, а пингвин. Но, тем не менее - неужто такое имя может быть виновато? Поднимать еще один тестовый домен, честно говоря, очень не хочется.

у меня так (делал не я, очень толково сделано):

Код: auth_param basic children 5
auth_param basic program /usr/bin/ntlm_auth --helper-protocol=squid-2.5-basic
auth_param basic realm Company Proxy-server
auth_param basic credentialsttl 1 hours


external_acl_type HS_ea %LOGIN /usr/libexec/squid/wbinfo_group.pl
acl HSpeed external HS_ea "/etc/squid/groups/HS"

У меня уже новая итерация. Скармливать единственно имя домена в --require-membership-of в принципе, бессмысленно - и я стал ставить сразу с группой, узнав, кстати, правильный синтаксис - и здесь, как и иногда для wbinfo, нужно ставить разделитель "\\", т.е. ИМЯЛОКАЛЬНОГОДОМЕНА\\группа

Теперь получаю в cache.log более распространенную ошибку:
Winbindd lookupname failed to resolve ИМЯЛОКАЛЬНОГОДОМЕНА\группа into a SID!

При скармливании вместо имени группы в вышеозначенном виде собственно SIDa, авторизация проходит успешно.

wbinfo_group.pl из комплекта сквида 2.6.STABLE14 & 2.6.STABLE19 не имеет ключа -t.

ПРи запуске >echo имяюзера имягруппы | /usr/sbin/wbinfo_group.pl выдает

Could not lookup name Имягруппы

ну и дальше логично

Could no convert sid to gid
Could not get groups for user имяюзера


Логично потому, что wbinfo -n имягруппы выдает тот же Could not lookup...
Права на запись в winbindd_privileged squid имеет (не имел бы - даже по SIDy не пустил бы).


Пока просвета нету. ПРодолжаю гуглить и яндексить, но толку пока чуть.

Завтра попробую пойти конем и дать винбинду права юзера администратора домена (wbinfo --set-user-auth-user%password). Уродливо, но, может, хоть к пониманию проблемы позволит приблизиться -смутно чувствую, что у винбинда не хватает каких-то прав.. ПРавда, тогда непонятно почему пользовательские сиды ему отдаются, а пролукапить группы он не в состоянии...