» SQUID (только под *nix)

yakostik
Вот такой конфиг у меня, но все равно выкидывает окно авторизации

Код: auth_param ntlm program /usr/bin/ntlm_auth --helper-protocol=squid-2.5-ntlmssp
auth_param ntlm children 100
auth_param ntlm keep_alive on
authenticate_cache_garbage_interval 15 minute
authenticate_ttl 8 hour

auth_param basic program /usr/bin/ntlm_auth --helper-protocol=squid-2.5-basic
auth_param basic children 5
auth_param basic realm Squid proxy-caching web server
auth_param basic credentialsttl 20 minute
auth_param basic casesensitive off


#######
# ACL #
#######

external_acl_type nt_group ttl=120 %LOGIN /usr/lib/squid3/wbinfo_group.pl

acl manager proto cache_object
acl localhost src 127.0.0.1/32
acl to_localhost dst 127.0.0.0/8 0.0.0.0/32
acl localnet src 10.0.0.0/8 # RFC1918 possible internal network
acl localnet src 172.16.0.0/12 # RFC1918 possible internal network
acl localnet src 192.168.0.0/16 # RFC1918 possible internal network
acl ntlmauth proxy_auth REQUIRED

acl SSL_ports port 443 563
acl Safe_ports port 80 # http
acl FTP port 21 22 23 # ftp
acl Safe_ports port 443 # https
acl Safe_ports port 70 # gopher
acl Safe_ports port 210 # wais
acl Safe_ports port 1025-65535 # unregistered ports
acl Safe_ports port 280 # http-mgmt
acl Safe_ports port 488 # gss-http
acl Safe_ports port 591 # filemaker
acl Safe_ports port 777 # multiling http
acl purge method PURGE
acl CONNECT method CONNECT

acl lan src 192.168.0.0/16

http_access deny !ntlmauth
http_access allow manager lan
http_access allow purge localhost
http_access deny !Safe_ports !FTP
http_access deny CONNECT !SSL_ports
http_access deny manager
http_access deny to_localhost
http_access allow localhost
http_access allow purge localhost
http_access deny purge
url_rewrite_access deny localhost

при таком конфиге нужна самба введенная в домен и настроенная. Она есть?

Добавлено:
и еще я не увидел вот такой acl
acl auth proxy_auth REQUIRED

При создании пользователя в Sams по ip, указывается маска /255.255.255.0 , а при
sudo squid3 -k check
Выдает:
2015/07/08 14:13:24| WARNING: Netmasks are deprecated. Please use CIDR masks instead.
2015/07/08 14:13:24| WARNING: IPv4 netmasks are particularly nasty when used to compare IPv6 to IPv4 ranges.
2015/07/08 14:13:24| WARNING: For now we will assume you meant to write /8
2015/07/08 14:13:24| aclIpParseIpData: WARNING: Netmask masks away part of the specified IP in '192.168.0.43/255.0.0.0'
Кто нибудь сталкивался?

yakostik
самба в домене.
а вот так не подойдет?

Код: acl ntlmauth proxy_auth REQUIRED
http_access deny !ntlmauth

Renua
Вроде как должно пойти видно я не заметил в первый раз эту строку

Единственное что у меня сначала разрешаются все порты, потом разрешение для авторизованных потом разрешения для групп, а потом запретить всем оставшимся все.

Самба проходит тесты


Код: sudo wbinfo -t
checking the trust secret for domain KOM via RPC calls succeeded

yakostik
от самбы все ответы приходят. простоя не могу понять. почему-то все равно выкидывает окно авторизации. еще раз проверю время... мало ли

Renua
Поиграй с хелпером отдельно от сквида проверь что он вертает

yakostik
проверку на логин и пароль, проверку на группы возвращает. поэтому и странно. в логах ошибок нет.

Попробуй тут только первую часть строки взять

Код: auth_param negotiate program /usr/lib/squid3/negotiate_wrapper_auth --ntlm /usr/bin/ntlm_auth --diagnostics --helper-protocol=squid-2.5-ntlmssp --kerberos /usr/lib/squid3/negotiate_kerberos_auth -r -s HTTP/kis.may.com@MAY.COM
auth_param negotiate program /usr/lib/squid3/negotiate_kerberos_auth -r -s HTTP/kis.may.com@MAY.COM.UA
auth_param negotiate children 2250 startup=20 idle=25
auth_param negotiate keep_alive off

yakostik
не прокатило

значит где то не проходит авторизация или еще что то у меня пашет и по керберосу и по самбе авторизацию нормально, а после того как настроил керберос вообще супер стало

Здравствуйте, коллеги. Нужна ваша помощь.

Имеется версия 2.6.STABLE21 на CentOS 5.11, работает многие годы как простой прокси. Понадобился прозрачный режим для некоторых NAT-юзеров, и возникли проблемы: похоже теряются/путаются пакеты, из-за чего эти самые NAT-юзеры качают исключительно битые файлы, а также у них грузятся не все картинки на сайтах.
При этом у пользователей юзающих обычный прокси проблем нет, у NAT-юзеров ходящих мимо Сквида тоже все ОК.

squid.conf

Код: ...
http_port 192.168.11.254:3128
http_port 192.168.11.254:3129 transparent
...

serdon
masquerade после squid'а уже не актуален, для src пользователя.
да выглядит-то норм чего там transparent да redirect

Надеюсь Вы понимаете что https в прозрачном режиме не работает. Обычные файлы по http должны грузиться без проблем.

Больше не каких правил задевающих ущемлёных юзеров в таблице NAT iptables'а нету?

Alukardd

Цитата:

Надеюсь Вы понимаете что https в прозрачном режиме не работает.

Угу. Вроде как masquerade для этого в т.ч.

В iptables не знаю зачем есть такое:

Код: ...
*filter
...
-A INPUT -i tap0 -j ACCEPT
...

serdon
Ну из того что Вы привели ни чего лишнего я не вижу, некоторое даже нужно.

Alukardd
В логе Wireshark на клиенте присутствует много таких записей:

Код: ...TCP    1514    [TCP Dup ACK 373#1] 80->50426 [ACK] Seq=10039 Ack=430 Win=6432 Len=0 [ETHERNET FRAME CHECK SEQUENCE INCORRECT]
...TCP    1514    [TCP Dup ACK 373#2] 80->50426 [ACK] Seq=10039 Ack=430 Win=6432 Len=0 [ETHERNET FRAME CHECK SEQUENCE INCORRECT]
...TCP    1514    [TCP Dup ACK 373#3] 80->50426 [ACK] Seq=10039 Ack=430 Win=6432 Len=0 [ETHERNET FRAME CHECK SEQUENCE INCORRECT]

serdon
Цитата:

А может это delay_pools безобразничает?

очень маловероятно
Скорее то что у вас пакеты путаются и не могут восстановить цепочку TCP соединения.

А эти же клиенты без принудительного редиректа работали нормально?

Alukardd

Цитата:

А эти же клиенты без принудительного редиректа работали нормально?

В том то и дело, что да. Стоит отключить редирект в iptables, как все прекрасно работает.

serdon
Цитата:

Стоит отключить редирект в iptables, как все прекрасно работает

Ваше утверждение не противоречит известным фактам. Продолжайте наблюдение.

Цитата:

При этом у пользователей юзающих обычный прокси проблем нет, у NAT-юзеров ходящих мимо Сквида тоже

все ОК.

Ну кое-что проясняется. Анализ в Wireshark лога tcpdump со шлюза говорит о том, что при прямом NAT стабильно идут пакеты/сегменты фиксированной длины 1412 байт:

Код: ...
3330    15.713963    192.168.11.213    80.239.149.81    TCP    60    49965->80 [ACK] Seq=1483 Ack=3041449 Win=64952 Len=0
3331    15.715973    80.239.149.81    192.168.11.213    TCP    1466    80->49965 [ACK] Seq=3078161 Ack=1483 Win=16944 Len=1412
3332    15.716347    192.168.11.213    80.239.149.81    TCP    60    49965->80 [ACK] Seq=1483 Ack=3044273 Win=64952 Len=0
3333    15.716697    80.239.149.81    192.168.11.213    TCP    1466    80->49965 [ACK] Seq=3079573 Ack=1483 Win=16944 Len=1412
3334    15.717734    80.239.149.81    192.168.11.213    TCP    1466    80->49965 [ACK] Seq=3080985 Ack=1483 Win=16944 Len=1412
...

serdon
Len это скорее всего длинна TCP пакета, а не Ethernet Frame'а.
Почему в первом случае он фрагментирован, а во втором нет, точно сказать не могу.

Добрый день подскажите пожалуйста.
Перестали работать политики безопасности AD, в которых прописывались настройки для пользователей, а именно хосты в IE в группе :"не использовать прокси-сервер для адресов, начинающихся с:"
Можно ли как то на SQUID прописать эти адреса?
У пользователей в IE уже прописан нужный айпи адрес SQUID и порт, а вот сам список сложно всем настраивать и актуализировать....

OOD Нет, разбирайся с политиками. Смотри результирующие политики на раб станции:
gpresult /R
rsop.msc
Проанализируй ошибки в системных журналах.
Как вариант, можешь импортировать ветку реестра HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings, например в логон-скрипте командой reg.exe
https://support.microsoft.com/ru-ru/kb/819961
тебе нужно добавить изменить параметр ProxyOverride

P.S.
Один админ писал, что политики для IE нормально применяются только для Windows XP

http://inkvizitor-windows.blogspot.ru/2014/06/microsoft-windows-xp-ie-78.html

Код:

Через общие параметры для IE политики нормально применяются только для Windows XP;
Параметр ProxyServer лучше задавать единым - один прокси для всех протоколов, поскольку могут возникнуть проблемы с прокси из-за наличия параметров для протокола Gopher;
При настройке параметров IE через консоль GPO - Конфигурация пользователя/Настройка/Параметры панели управления/Параметры обозревателя, файл настроек создается, но... параметры ProxyOverride, ProxyEnable, StartPage, несмотря на то, что необходимые значения им присвоены, они имеют статус disabled... Это справедливо для настроек IE 7 и IE 8. Вылечить это можно выяснив UID политики, зайти по нужному пути: ...\SYSVOL\sysvol\YourDomain\Policies\{UID политики, который выяснили чуть ранее}\User\Preferences\InternetSettings\ и поправить файл InternetSettings.xml у нужных параметров поменять disable с 1 на 0. Это можно сделать в обычном текстовом редакторе.
Для того, чтоб параметры IE 8 применялись для IE 9 и выше, необходимо найти: min="8.0.0.0" max="9.0.0.0 и поменять 9 на, например, 20 или выше - политика станет применяться для IE 9-11.
ProxyOverride применяется (во всяком случае у меня так) при отсутствии в адресах следующих символов: : / \ * (пробел здесь использован в качестве разделителя).

Друзья! Очень нужна помощь! Хочу с помощью squid3+AD+skydns разделить пользователей, чтобы пользователи в AD группе "wrong" ходили в интернет через skydns, а в группе "right" через googledns (или любой другой). Привязал acl сквида к группам AD, получилось так:

dns_nameservers 193.58.251.251 8.8.8.8

acl auth proxy_auth REQUIRED
acl right external memberof ".../right.txt" (привязка к группе в AD)
acl wrong external memberof ".../wrong.txt" (привязка к группе в AD)
acl skydns dst 193.58.251.251 (ip адрес skydns)

http_access allow wrong auth localnet (разрешить группе wrong ходить через skydns)
http_access deny skydns (запретить skydns ПО ОЙПИ)
http_access allow right auth localnet (разрешить группе right ходить везде кроме skydns)


В итоге группа right все-равно резолвит адреса через 193.58.251.251, а блокируется этот адрес сквидом только если вбить его в браузере. Как запретить группе right доступ к 193.58.251.251?

gekm
Цитата:

чтобы пользователи в AD группе "wrong" ходили в интернет через skydns,
а в группе "right" через googledns (или любой другой)

Да где же ты такое прочел? ДНС у сквида один на всех, либо системный, либо назначенный в конфиге.
Акцесс-листов для разных ДНС разным юзерам пока не придумали. Ты - первый.

кто нибудь пробовал Sonar, это совершенно новый веб-интерфейс для прокси-сервера Squid ??? Адрес sonar-squid.ru.

redson
Цитата:

это совершенно новый веб-интерфейс для прокси-сервера Squid

А зачем он вообще нужен? Squid не пользовательская программа, а демон.
Один раз сконфигурил его - и забыл. У меня на 3.5 до сих пор старый конфиг от 2.7 работает
(с незначительными правками в старом добром vi).

vlary

Цитата:

А зачем он вообще нужен? Squid не пользовательская программа, а демон.
Один раз сконфигурил его - и забыл. У меня на 3.5 до сих пор старый конфиг от 2.7 работает  
(с незначительными правками в старом добром vi).

раньше, так и делал. но когда часто приходится удалять или заводить пользователей, это не очень удобно

redson
Цитата:

но когда часто приходится удалять или заводить пользователей

??!! SQUID то здесь каким боком? Обычно это делает хелпер,
который работает либо с АД, либо с какой-то базой.

vlary

Цитата:

??!! SQUID  то здесь каким боком? Обычно это делает хелпер,  
который работает либо с АД, либо с какой-то базой.

у меня настроена прозрачная авторизация (kerberos), скриптом забираю учетку из АД, и добавляю в локальную базу (mysql). учетки у нас не заводят хелперы