» SQUID (только под *nix)

Ichigo2
Ну во первых acl localhost у squid'а на сколько я помню встроенный и описывать его отдельно не надо, а если и описывать то правильно — 127.0.0.1/255.0.0.0 , то бишь /8.

Дальше, я так и не понял как Вы с 127.0.0.1 попадаете в кальмара? Он прямо прописан как прокси сервер в приложении? Правил ipfw для localhost'а не заметил (я если что их не очень читаю, не iptables всё же )

Alukardd

Цитата:

Дальше, я так и не понял как Вы с 127.0.0.1 попадаете в кальмара?

ipfw перенапрявляет весь http-трафик в dansguardian, который слушает 8080 порт. DG в свою очередь направляет его в 3129 порт сквида.

Цитата:

Правил ipfw для localhost'а не заметил

Факт в том, что сквид получает данные. Какое еще правило надо указать?

Ichigo2
Я хотел убедится в том, что если squid получает данные на порту не предназначенном для прозрачного проксирования в перенаправленном виде, то оно и не должно нормально работать.
Что такое DansGuardian и с чем его едят я тоже не знаю.

fwd у вас всего 2 правила вижу и ни одно из них не предназначено для трафика от localhost'а.

есть проблемка
есть squid - выступает в роли фронтенда для ряда доменных имен...
+ выполняет свои обязанности по учету трафика в локальной сети

нужно чтобы все внешние подключения, которые не попадают в указанный выше перечень доменных имен
переадресовывался на страницу с описанием ошибки.


Цитата:

http_port 10.10.10.1:80 accel defaultsite=xxx.ru vhost
cache_peer 99.99.99.99 parent 80 0 no-query originserver name=ext

acl ext_users dstdomain .xxx.ru
cache deny all

http_access allow ext_users
http_access deny ext_users url_allow4all
cache_peer_access ext allow ext_users
cache_peer_access ext deny all
deny_info http://xxx.ru/denied.html ext_users

сейчас если доменное имя не совпадает - вижу стандартное сообщение от squid`а

где ошибся?

Добрый день! Подскажите, если на squid заворачивать трафик по wccp, можно ли организовать доменную аутентификацию пользователей?

Nenakhoff http://rus-linux.net/MyLDP/FAQ/SQUID-FAQ/FAQ-17.html#ss17.15

Код:
17.15 Могу ли я использовать proxy_auth с прозрачным проксированием?

Нет, не можете. При прозрачном проксировании ПО клиента считает, что обращается напрямую к серверу и никогда не посылает заголовок Proxy-authorization.

Подскажите как реализовать работу интернета на компах в сети, при условии:
что роутером перекрыт порт udp,icmp,tcp, на сервере стоит squid 2.7, прописывая ipшник прокси сервера только в сетевом подключении, без прописки в браузер?

Конфиг:
visible_hostname Server
http_port 3128
acl localnet src 192.168.100.0/255.255.255.0
acl localhost src 127.0.0.1/255.255.255.255
acl Safe_ports port 80 110 25
acl CONNECT method CONNECT
acl all src 0.0.0.0/0.0.0.0
http_access allow localnet
http_access allow localhost
http_access allow !Safe_ports
http_access deny CONNECT
http_access deny all
http_port 192.168.100.55:3128 transparent
access_log c:/squid/var/logs/access.log squid

Курил много в интернете но пока не нашел как обойти прописку прокси в браузере.

Pbz
Цитата:

Курил много в интернете но пока не нашел как обойти прописку прокси в браузере.

Только с использованием т.н. "прозрачного" режима работы SQUID.
Либо, если имеется в виду необходимость прописывать прокси руками, то настройка через групповые политики.

vlary
в другой теме вы мне говорили про непрозрачный режим, я сделал его работоспособным и он работает только если прописать в браузере проксю.

Теперь значит надо перевести squid в прозрачный режим работы,
только вот что пишут в мануале

"Для настройки прозрачного режима, необходимо:

1. Задать прозрачный режим в настройках прокси. Это делается в параметре http_port, например:

http_port ip:port transparent"

И у меня это есть в конфиге.

Pbz
Цитата:

И у меня это есть в конфиге.

Это мало иметь в конфиге. Если SQUID стоит на хосте, который является для всех дефолт роутером,
тогда с помощью iptables нужно завернуть клиентский трафик на его порт.
iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 80 -j REDIRECT --to-port 3128
Если они на разных хостах, тогда на роутере нужно завернуть на нужный хост
iptables -t nat -A PREROUTING -i eth0 -s ! squid-box -p tcp --dport 80 -j DNAT --to squid-box:3128
iptables -t nat -A POSTROUTING -o eth0 -s local-network -d squid-box -j SNAT --to iptables-box
iptables -A FORWARD -s local-network -d squid-box -i eth0 -o eth0 -p tcp --dport 3128 -j ACCEPT

vlary
согласен что мало...
Squid стоит на сервере который выступает как рядовой пк, роутером он не является.

Тоесть надо ставить iptables на сервак где стоит squid я верно понял?

Добавлено:
не пинайте тока сильно у меня сервер на windows server 2003, гугл не выдает iptables windows версию

Pbz
Цитата:

Тоесть надо ставить iptables на сервак где стоит squid я верно понял?

Нет, не верно. iptables или другой фильтр должны стоять на шлюзе, перехватывать запросы юзеров на 80 порт,
и отправлять их на прозрачный сквид. Если в качестве шлюза стоит домашняя "мыльница",
она скорее всего этого делать не умеет (если не перешита DD-WRT или другой альтернативной прошивкой).

Цитата:

Нет, не верно. iptables или другой фильтр должны стоять на шлюзе, перехватывать запросы юзеров на 80 порт,
и отправлять их на прозрачный сквид. Если в качестве шлюза стоит домашняя "мыльница",
она скорее всего этого делать не умеет (если не перешита DD-WRT или другой альтернативной прошивкой).

какие варианты фильтрации кроме iptables на windows 2003 server подойдут?
шлюзом выступает zyxel keenetic ll lite

и еще проблема вылезла с почтовыми клиентами... пробовал разные варианты, говорят надо делать перенаправлением (NAT) имеется ввиду на маршрутизаторе?

Pbz Ребята, ну нужно по одежке протягивать ножки. Если у вас в качестве
шлюза стоит линукс, циска, жунипер, велком в прозрачный режим.
А если винда и домашний роутер, то вбивайте настройки прокси в броузер.

Цитата:

и еще проблема вылезла с почтовыми клиентами...

А при чем здесь сквид?

vlary прокси вбиты в браузере все работает, проблема вылезла с почтовыми клиентами перепробовал много различных вариантов не желает работать. через веб морду все окей.

Цитата:

проблема вылезла с почтовыми клиентами перепробовал много различных вариантов не желает работать

Почтовые клиенты никогда не работали с серверами через HTTP прокси.
Разве что только Outlook через OWA с Exchange. Но это совсем другая история.

Подскажите, а можно в ACL использовать привязку к разным DNS? Например, хочется часть пользователей обслуживать через DNS яндекса (с детским фильтром), а часть обслуживать через другой DNS (без ограничений)?

Обьясните на пальцах по параметрам delay_class и delay_parameters ?

mrNewman
Цитата:

Обьясните на пальцах по параметрам delay_class и delay_parameters ?

В Гугле - бан? http://eddnet.org/?p=334 Первая же ссылка на твой вопрос

Правильно ли я понимаю,что для скрытия своего реального IP через Squid спасет только установка в конфиге прокси-сервера следующих параметров

header_access Via deny all
header_access X-Forwarded-For deny all

Пробовал менять значение поля HTTP X-Forwarded-For через расширение X-Forwarded-For Header в Firefox,однако,сервис http://hideme.ru/ip/ все равно видит как поддельный так и реальный IP за прокси (Flash/JS/Cookie разумеется отключены).

Цитата:

однако,сервис http://hideme.ru/ip/ все равно видит как поддельный так и реальный IP за прокси

Какая версия Сквида? В третьей версии он на header_access просто пишет ошибку
(ERROR: Directive 'header_access' is obsolete.) Потому и не работает.
Достаточно прописать в конфиге строчки:

Код: request_header_access Via deny all
request_header_access Proxy deny all
request_header_access X-Forwarded-For deny all
reply_header_access Via deny all
reply_header_access Proxy deny all
reply_header_access X-Forwarded-For deny all

vlary
Squid 3.1.20

Пробую прописать эти строки,но на пару строк squid все равно ругается

squid.conf line 166: request_header_access Proxy deny all
parse_http_header_access: unknown header name 'Proxy'
squid.conf line 169: reply_header_access Proxy deny all
parse_http_header_access: unknown header name 'Proxy'

mithridat1
Цитата:

на пару строк squid все равно ругается

Ну тогда оставить те, на которые не ругается. Сейчас проверил, работает и без них.
У меня стоит версия Version 3.4.9. Еще пишут, что сквид должен быть собран с опцией
--enable-http-violations Не знаю, так или нет, сквид у меня самосборный и эту
опцию при компиляции я ставил.

mithridat1 Насколько я помню скрытие локального IP делается опцией
forwarded_for off
в 3 версии эта опция тоже есть, без всяких там header_access


Цитата:

squid.conf line 166: request_header_access Proxy deny all
parse_http_header_access: unknown header name 'Proxy'

означает, что у вас нет акселя Proxy

Кто-нибудь пробовал Diladele Web Safety для Squid?
Поставил, поигрался немного, вроде не плохо, но жалко, что коммерческая штука.

Здравствуйте всем подскажите советом что не так делаю
Есть Squid3 на Ubutu 14.04 точу его под авторизацию в домене на kerberos, но параллельно хочется что бы можно было ходить в инет по вводу своего логина пароля доменного в окошке запроса пароля или по IP и вот тут возникает непонятка.

Если машина доменная и пользователь имеет права на инет то по kerberos его прозрачно пускает и все Ок.
Если машина не доменная то на ввод пароля по запросу пользователя никуда не пускает.
Если машина доменная то тут зависит от того кто залогинился если с правами на инет то по запросу пароля пустит если без прав то нет.

ну и если в конфиге просто написать

acl inetip1 src 10.0.0.1
http_access allow inetip1
то машину все равно откидывает вне зависимости от того введена она в домен или нет.

Собственно авторизацию прописал так

Код: # Negotiate Kerberos

auth_param negotiate program /usr/lib/squid3/negotiate_wrapper_auth --ntlm /usr/
bin/ntlm_auth --diagnostics --helper-protocol=squid-2.5-ntlmssp --kerberos /usr/
lib/squid3/negotiate_kerberos_auth -r -s HTTP/sq.gb.local@GB.LOCAL
auth_param negotiate program /usr/lib/squid3/negotiate_kerberos_auth -r -s HTTP/
sq.gb.local@GB.LOCAL
auth_param negotiate children 450 startup=50 idle=10
auth_param negotiate keep_alive off

### AD ###
auth_param basic program /usr/lib/squid3/basic_ldap_auth -d -R -D "squid@gb.local" -w "squid2014" -b "dc=gb,dc=local" -f "sAMAccoun
tName=%s" dc1.gb.local
auth_param basic children 400
auth_param basic realm "sq.gb.local Proxy Server Basic auth!!!"
auth_param basic credentialsttl 2 hour

yakostik
Цитата:

Если машина не доменная то на ввод пароля по запросу пользователя никуда не пускает.

А юзеры то доменные? У меня машины в домене были фифти-фифти,
поскольку много с лицензией Хоум, а их в домен не загонишь.
Но у всех юзеров была учетка в домене, и с помощью LDAP хелпера нормально авторизовывались.
Сейчас сделал "прозрачный" сквид и всю авторизацию отключил нафиг.

да юзеры конечно доменные. Просто принимает его только если машина в домене и в нее залогинен пользователь имеющий право доступа в инет (права на основе групп домена)
Отключить авторизацию не могу у меня там потом еще накручивается нарезка скорости, листы доступа/блокировки и прочее

yakostik
Можете ознакомится с данной статьей, там прям все разжевано как Squid может взаимодействовать с доменными группами. Сам в своей сети настраиваю
http://blog.it-kb.ru/2014/06/16/forward-proxy-squid-3-3-on-ubuntu-server-14-04-lts-part-1-install-os-on-hyper-v-generation-2-vm/

vlary
А че так? Всем можно даже Социалочки заходить?
У меня сейчас вопрос, как настроить доступ через Squid мобильным девайсам и пользователям вне домена.