» Проблема с squidNT

2 Engaged Clown

Цитата:

Этот http://dump.ru/file/3109069 ?
Он довольно кривоват.

Похоже не он, тот весит метров 20.
Но все равно спасибо!)))

Дружищи, нужна помощь. Может будут у кого какие предположения!
Итак:
-----------------------------------------
squidNT 2.7 stable6 (скомпиленная с delay_pools) - взято с http://squid.acmeconsulting.it/download/dl-squid.html
(в описании написано, что запускается на windows 2008 x86 и x64)
установлен на Windows 2008.
Домен AD Windows 2003 Native

в squid.conf настроена аутентфикация на mswin_ntlm_auth:

auth_param ntlm program c:/squid/libexec/mswin_ntlm_auth.exe -d
auth_param ntlm children 10
...
acl password proxy_auth REQUIRED
...
http_access allow password
-------------------------------------------
Проблема такова - ни в IE, ни в Firefox не срабатывает сквозная аутентификация.
Все время появляется окошко ввода пользователя и пароля.
После ввода напрямую domain\user + password - в IE - снова окошко, в firefox - все начинает работать (до перезапуска firefox, естественно)

в логах access.log - из IE - имя пользователя не логируется и TCP_denied
из Firefox -

в логах cache.log (IE) -
...
mswin_ntlm_auth[816]: Got 'YR TMTVNTUAABAAAAB4IIAAAAAAAAAAAAAAAAAAAAAA=' from Squid
mswin_ntlm_auth[816]: attempting SSPI challenge retrieval
mswin_ntlm_auth[816]: Got it
mswin_ntlm_auth[816]: sending 'TT TlRMTVNTUAAAAAADAAMADgAAFgokCQS9Ct0KMZ9YAAAAAAAAAAJAAkABEAAAABgBxFwAAAA9NAE0AQgBBAE4ASw
FIATwBYAFkABAASAG0AbQBiAGEAbgBrAC4AYgB5AAMAKABzAGUAcgB2AC0AcAByAG8AeAB5AC4AbQBtAGIAYQBuAGsALgBiAHkABQASAG0AbQBiAGEAbgBrAC4AY
mswin_ntlm_auth[816]: Got 'KK TlRMTVNTUAADAAAAGAAYAGgAAAAYABgAgAAAAAwADABAAAAADAAMAEwAAAAQABAAWAAAAAAAAAAAAAAABYIIAG0AbQBiAG
QDU8fwDXoA1FAAAAAAAAAAAAAAAAAAAAABdcn8g871qIzsyKvg06uNJwoZX+x4fJAo=' from Squid
mswin_ntlm_auth[816]: checking domain: 'domain', user: 'user'
mswin_ntlm_auth[816]: Login attempt had result 0
mswin_ntlm_auth[816]: sending 'NA The parameter is incorrect.' to squid
...

в логах cache.log (firefox) -
...
mswin_ntlm_auth[724]: Got 'KK TlRMTVNTUAADAAAAGAAYAGgAAAAYABgAgAAAAAwADABAAAAAD
QANkzY6oyMDbwAAAAAAAAAAAAAAAAAAAADx4htc2RdrUrEsp5FiEODlQ5gSqeMlWnA=' from Squid
mswin_ntlm_auth[724]: checking domain: 'domain', user: 'user'
...

На WinXP-Win2003 все прекрасно работает, - проблема, видимо, именно в работе аутентификатора под windows 2008.
У меня есть предположения, что, возможно, нужно подергать групповые политики в windows2008 насчет NTLM.

Гуру - отзовитесь!

BullDOS
2008 в домене? Если да то понизить надо NTLM до уровня 2003...

Цитата:

У меня есть предположения, что, возможно, нужно подергать групповые политики в windows2008 насчет NTLM.

Во-во именно вот это и стоит попробовать

Цитата:

Go to: Local Policies > Security Options

Find "Network Security: LAN Manager authentication level"

Change Setting from "Send NTLMv2 response only"
to
"Send LM & NTLM - use NTLMv2 session security if negotiated"

Ruza

Спасибо.
Изменения нужны были именно эти.
Только на клиенте - то бишь на моей машине.
Я с утра попробовал работать с машины с WinXP - все в ажуре. А у меня стоит Win7 RC. Вот в ней-то как раз и нужно указывать неиспользование NTLM2, - она его по умолчанию использует.
Насколько я понял, т.к. на сервере стоял параметр - "Send LM & NTLM - use NTLMv2 session security if negotiated" - соответственно второй части этого параметра Win 7 негоциировала (во блин слово-то... тьфу) соединение по NTLM2.

Кстати, до кучи - squidNT в той версии, которую я указал парой постов выше, не запускается на Windows 2008 R2 x64. Надеюсь, пока. Причину не исследовал.

Народ, подскажите, как замониторить кто насколько загружает канал? Средствами самого сквида можно? Например через SNMP?

DX4
sqstat попробуй...

Вышел Squid for Windows 2.7 STABLE 7 от Guido Serassio
Вся инфа на офсайте и http://squid.acmeconsulting.it/

Доброй ночи, выкладываю конфу:

Цитата:

# отключить ведение логов store log
cache_store_log none

# debug_options ALL,1 33,2
unlinkd_program c:\squid\libexec\unlinkd.exe
dns_testnames 127.0.0.1

acl all src all
acl manager proto cache_object
acl localhost src 127.0.0.1/32
acl to_localhost dst 127.0.0.0/8
acl localnet src 192.168.0.0/16    # RFC1918 possible internal network

acl SSL_ports port 443
acl Safe_ports port 80        # http
acl Safe_ports port 21        # ftp
acl Safe_ports port 443        # https
acl Safe_ports port 70        # gopher
acl Safe_ports port 210        # wais
acl Safe_ports port 1025-65535    # unregistered ports
acl Safe_ports port 280        # http-mgmt
acl Safe_ports port 488        # gss-http
acl Safe_ports port 591        # filemaker
acl Safe_ports port 777        # multiling http
acl Safe_ports port 2802    # WMoney
acl CONNECT method CONNECT

http_access allow manager localhost
http_access allow localhost
http_access deny manager
# Deny requests to unknown ports
http_access deny !Safe_ports
http_access allow localnet

# And finally deny all other access to this proxy
http_access deny all

http_reply_access allow all

#Allow ICP queries from local networks only
icp_access allow localnet
icp_access deny all

# Squid normally listens to port 3128
# фильтр ограничения доступа на определенный интерфейс
# http_port 192.168.0.1:3128
http_port 3128

cache_mem 8 MB
cache_dir ufs c:/squid/var/cache 196 16 96
access_log c:/squid/var/logs/access.log squid

refresh_pattern ^ftp:        1440    20%    10080
refresh_pattern ^gopher:    1440    0%    1440
refresh_pattern -i (/cgi-bin/|\?) 0    0%    0
refresh_pattern .        0    20%    4320

acl shoutcast rep_header X-HTTP09-First-Line ^ICY.[0-9]
upgrade_http0.9 deny shoutcast

acl apache rep_header Server ^Apache
broken_vary_encoding allow apache

visible_hostname localhost

вылетает ошибка

Цитата:

2009/09/23 22:10:27| Starting Squid Cache version 2.7.STABLE7 for i686-pc-winnt...
2009/09/23 22:10:27| Running as Squid Windows System Service on Windows Vista
2009/09/23 22:10:27| Service command line is:
2009/09/23 22:10:27| Process ID 3268
2009/09/23 22:10:27| With 2048 file descriptors available
2009/09/23 22:10:27| With 2048 CRT stdio descriptors available
2009/09/23 22:10:27| Windows sockets initialized
2009/09/23 22:10:27| Using select for the IO loop
2009/09/23 22:10:27| Performing DNS Tests...
2009/09/23 22:10:27| Successful DNS name lookup tests...
2009/09/23 22:10:27| DNS Socket created at 0.0.0.0, port 54912, FD 5
2009/09/23 22:10:27| Adding nameserver 195.98.160.25 from Registry
2009/09/23 22:10:27| Adding nameserver 195.98.160.26 from Registry
2009/09/23 22:10:27| Adding nameserver 195.98.161.26 from Registry
2009/09/23 22:10:27| Adding domain from Registry
2009/09/23 22:10:27| User-Agent logging is disabled.
2009/09/23 22:10:27| Referer logging is disabled.
2009/09/23 22:10:27| logfileOpen: opening log c:/squid/var/logs/access.log
FATAL: Failed to create unlinkd subprocess
Squid Cache (Version 2.7.STABLE7): Terminated abnormally.
CPU Usage: 0.031 seconds = 0.000 user + 0.031 sys
Maximum Resident Size: 5704 KB
Page faults with physical i/o: 1498
2009/09/23 22:10:27| ipcCreate: FD 7 accept: (10004) WSAEINTR, Interrupted function call.

1. насчет слешей я читал, но ни / ни \ не помогает.

2. вопрос номер два: можно ли полностью отключить кеширующую функцию сквида (а не только для определнных сайтов)? Как мне следует отредактировать конфиг?

Bercut
Цитата:

можно ли полностью отключить кеширующую функцию сквида

Можно
acl all src all
cache deny all
Если отрубишь кэширование, то думаю можно и unlinkd не юзать и вообще указать сквиду не занимать дисковое пространство. Подробности тут Configuring Squid
глава "Can I make Squid proxy only, without caching anything?"
А вы создавали кэш сквида? squid -z запускали?

ipmanyak
кеш естественно создавал

ipmanyak
прочел, конфиг сделал:

Цитата:

# отключить ведение логов store log
cache_store_log none

# debug_options ALL,1 33,2
unlinkd_program c:\squid\libexec\unlinkd.exe
dns_testnames 127.0.0.1

acl all src all

# disable cache
cache deny all

acl manager proto cache_object
acl localhost src 127.0.0.1/32
acl to_localhost dst 127.0.0.0/8
acl localnet src 192.168.0.0/16    # RFC1918 possible internal network

acl SSL_ports port 443
acl Safe_ports port 80        # http
acl Safe_ports port 21        # ftp
acl Safe_ports port 443        # https
acl Safe_ports port 70        # gopher
acl Safe_ports port 210        # wais
acl Safe_ports port 1025-65535    # unregistered ports
acl Safe_ports port 280        # http-mgmt
acl Safe_ports port 488        # gss-http
acl Safe_ports port 591        # filemaker
acl Safe_ports port 777        # multiling http
acl Safe_ports port 2802    # WMoney
acl CONNECT method CONNECT

http_access allow manager localhost
http_access allow localhost
http_access deny manager
# Deny requests to unknown ports
http_access deny !Safe_ports
http_access allow localnet

# And finally deny all other access to this proxy
http_access deny all

http_reply_access allow all

# Allow ICP queries from local networks only
icp_access allow localnet
icp_access deny all

# Squid normally listens to port 3128
# фильтр ограничения доступа на определенный интерфейс
# http_port 192.168.0.1:3128
http_port 3128

cache_mem 8 MB
# cache_dir ufs c:/squid/var/cache 196 16 96
access_log c:/squid/var/logs/access.log squid

refresh_pattern ^ftp:        1440    20%    10080
refresh_pattern ^gopher:    1440    0%    1440
refresh_pattern -i (/cgi-bin/|\?) 0    0%    0
refresh_pattern .        0    20%    4320

acl shoutcast rep_header X-HTTP09-First-Line ^ICY.[0-9]
upgrade_http0.9 deny shoutcast

acl apache rep_header Server ^Apache
broken_vary_encoding allow apache

visible_hostname localhost

ошибка таже((

Цитата:

2009/09/24 22:02:28| Starting Squid Cache version 2.7.STABLE7 for i686-pc-winnt...
2009/09/24 22:02:28| Running on Windows Vista
2009/09/24 22:02:28| Process ID 2144
2009/09/24 22:02:28| With 2048 file descriptors available
2009/09/24 22:02:28| With 512 CRT stdio descriptors available
2009/09/24 22:02:28| Windows sockets initialized
2009/09/24 22:02:28| Using select for the IO loop
2009/09/24 22:02:28| Performing DNS Tests...
2009/09/24 22:02:28| Successful DNS name lookup tests...
2009/09/24 22:02:28| DNS Socket created at 0.0.0.0, port 59028, FD 4
2009/09/24 22:02:28| Adding nameserver 195.98.160.25 from Registry
2009/09/24 22:02:28| Adding nameserver 195.98.160.26 from Registry
2009/09/24 22:02:28| Adding nameserver 195.98.161.26 from Registry
2009/09/24 22:02:28| Adding domain from Registry
2009/09/24 22:02:28| User-Agent logging is disabled.
2009/09/24 22:02:28| Referer logging is disabled.
2009/09/24 22:02:28| logfileOpen: opening log c:/squid/var/logs/access.log
2009/09/24 22:10:40| Starting Squid Cache version 2.7.STABLE7 for i686-pc-winnt...
2009/09/24 22:10:40| Running as Squid Windows System Service on Windows Vista
2009/09/24 22:10:40| Service command line is:
2009/09/24 22:10:40| Process ID 4060
2009/09/24 22:10:40| With 2048 file descriptors available
2009/09/24 22:10:40| With 2048 CRT stdio descriptors available
2009/09/24 22:10:40| Windows sockets initialized
2009/09/24 22:10:40| Using select for the IO loop
2009/09/24 22:10:40| Performing DNS Tests...
2009/09/24 22:10:40| Successful DNS name lookup tests...
2009/09/24 22:10:40| DNS Socket created at 0.0.0.0, port 60287, FD 5
2009/09/24 22:10:40| Adding nameserver 195.98.160.25 from Registry
2009/09/24 22:10:40| Adding nameserver 195.98.160.26 from Registry
2009/09/24 22:10:40| Adding nameserver 195.98.161.26 from Registry
2009/09/24 22:10:40| Adding domain from Registry
2009/09/24 22:10:40| User-Agent logging is disabled.
2009/09/24 22:10:40| Referer logging is disabled.
2009/09/24 22:10:40| logfileOpen: opening log c:/squid/var/logs/access.log
FATAL: Failed to create unlinkd subprocess
Squid Cache (Version 2.7.STABLE7): Terminated abnormally.
CPU Usage: 0.047 seconds = 0.000 user + 0.047 sys
Maximum Resident Size: 5712 KB
Page faults with physical i/o: 1500
2009/09/24 22:10:40| ipcCreate: FD 7 accept: (10004) WSAEINTR, Interrupted function call.

не могу сообразить в чем засада((

ps: опытным путем выяснилось, что проблема в Outpost, если его выключить сквид стартует. В чем проблема не могу понять. Приложениям squid.exe, unlinkd вроде все разрешено.

Bercut создай в аутпосте правило для сквида как для браузера.

Да вроде все разрешено в оутпосте для сквида

Bercut а для unlinkd тоже все разрешено?


Добавлено:
Bercut http://www.outpostfirewall.com/forum/showthread.php?s=&threadid=9858
The "Allow Loopback" global rule included in the default configuration presents a significant security risk to those using proxy servers (software like AnalogX Proxy, Proxomitron, WebWasher and some anti-spam/anti-virus software) since it allows any application not specifically blocked to access the Internet using the rules set up for the proxy. Disabling or deleting this rule removes this possibility.
Instructions:
* Go to Options/System/Global Application and System Rules/Settings to see listing of global rules;
* Clear the checkbox beside the "Allow Loopback" rule to disable it.
Включи лог аутпоста и смотри что пишет. Вероятно аутпост папки сквида считает защищенными им самим.

Проблему удалось решить:

кто бы мог подумать )
ЗЫ: спасибо за советы!

Неожиданно начал рости на ровном месте файл
c:/squid/var/logs/store.log
Дорос до 4 гектар и закончилось место на диске.
При этом в моменты роста никакие http-пакеты через систему не идут!
Новые строки в этом логе выглядят крайне бредово - какие-то вопросики и т.д.:
1255771920.417 RELEASE 00 00000C75 6BB569A03D4FD4ABEB829F21396646E3 ? ? ? ? ?/? ?/? ? ?
Отключил этот стремный лог нафиг через
cache_store_log none
Но причины этого безумства тем не менее, интересны.

prestigo

Цитата:

Неожиданно начал рости на ровном месте файл

Это как? Не было и потом прорвало?
У нас неожиданно только зима приходит...


Цитата:

Дорос до 4 гектар и закончилось место на диске.

Logrotate как организован?

Цитата:

При этом в моменты роста никакие http-пакеты через систему не идут!

unlinkd в работе, не?


Цитата:

Отключил этот стремный лог нафиг через
cache_store_log none

Это правильно:

Цитата:

This tag defines the location where the transaction log of all objects that are stored in the object store, as well as the time when the object get deleted. This file really doesn't have very much use on a production cache, and it primarily recommended for use in debugging. Therefore, it can be turned off by entering none in the entry field.

Цитата:

Но причины этого безумства тем не менее, интересны.

Так причины самые простые как не крути...
RTFM

Помогите, пожалуйста! Я установил squid, но видимо конфигурация неверна, так как интернет есть на всех компах, хотя ничего еще не настроено у клиентов. Взгляните на squid.conf

akiborgov
Ты бы лучше написал что ты хочешь получить в результате и запостил сюда только изменённые тобой строки дефолтного конфига...
Либо только раскоментированные...

Вот что я добавил
acl LocalNet src 192.168.0.0/255.255.255.0
http_access allow LocalNet
http_access deny all
http_port 192.168.0.1:3128
У одного не заходит в инет без настройки прокси, а у двух почему то заходит.
Мой компьютер подключен к инету. Хочу по wi-fi подключить несколько ноутбуков через прокси.

Цитата:

У одного не заходит в инет без настройки прокси, а у двух почему то заходит.

NAT есть?

Эту проблему я решил. Оказывается у меня был открыт общий доступ к интернету. Но теперь не работает ни аська ни торренты не качаются. Когда изменяю конфигурацию, при попытке перезапуска службы иногда вылазит ошибка 1067. Потом он каким то неведомым образом сам запускается. Не нравится мне все это.

akiborgov

Цитата:

вылазит ошибка 1067

Что в логагх сквида и журналах винды?

Я решил бросить эту затею. Спасибо за внимание.

Подскажите, как настроить два типа авторизации:
1. Локальная сеть по ip-адресу (без пароля)
2. Извне (комп с белым ip) - по логину/паролю (BASIC)
кусочек конфига, если не затруднит, плиз...

mihmig
...........
auth_param basic program c:/Squid/libexec/ncsa_auth.exe (вроде так)
acl password proxy_auth REQUIRED
acl localnet src 192.168.0.0/16
...........
http_access allow localnet
http_access allow password
http_access deny all
............
должно работать.

Вышел Squid for Windows 2.7 STABLE 8 от Guido Serassio
Вся инфа на офсайте и http://squid.acmeconsulting.it/

В ntlm хелперах пофиксин баг с вложенными группами.

lsd11


Цитата:

Похоже не он, тот весит метров 20.
Но все равно спасибо!)))

а вот это случаем не он
http://skachat7.com/trial/kraken-config-for-squid-1.1/101811019/

MamontovYura

Цитата:

а вот это случаем не он
http://skachat7.com/trial/kraken-config-for-squid-1.1/101811019/

Не знаю, не качается что-то)

всем доброго времени суток)

есть вопрос по SquidNT 2.7-STABLE8
хотелось бы сделать ntlm авторизацию
в существующем домене

squid.conf

Цитата:

# OPTIONS FOR AUTHENTICATION
# -----------------------------------------------------------------------------

auth_param ntlm program c:/squidnt/libexec/mswin_ntlm_auth.exe -d
auth_param ntlm children 10
auth_param ntlm keep_alive off

auth_param basic program c:/squidnt/libexec/mswin_auth.exe -d -O DOMAIN
auth_param basic children 5
auth_param basic realm Corporate SQUID Proxy-Server
auth_param basic credentialsttl 2 hours
auth_param basic casesensitive off

# ACCESS CONTROLS
# -----------------------------------------------------------------------------

external_acl_type win_group children=5 negative_ttl=0 %LOGIN c:/squidnt/libexec/mswin_check_ad_group.exe -d -G

acl all src all
acl manager proto cache_object
acl localhost src 127.0.0.1/32
acl to_localhost dst 127.0.0.0/8 0.0.0.0/32

acl SSL_ports port 443
acl Safe_ports port 80        # http
acl Safe_ports port 21        # ftp
acl Safe_ports port 443        # https
acl Safe_ports port 70        # gopher
acl Safe_ports port 210        # wais
acl Safe_ports port 1025-65535    # unregistered ports
acl Safe_ports port 280        # http-mgmt
acl Safe_ports port 488        # gss-http
acl Safe_ports port 591        # filemaker
acl Safe_ports port 777        # multiling http
acl CONNECT method CONNECT

#acl localnet src "c:/squidnt/etc/acl/localnet.txt"
#acl no_auth_ip src "c:/squidnt/etc/acl/no_auth_ip.txt"
#acl blocksites url_regex -i "c:/squidnt/etc/acl/blocksites.txt"

acl allow_users external win_group ProxyUsers
acl password proxy_auth REQUIRED

http_access allow manager localhost
http_access deny manager
http_access deny !Safe_ports
http_access deny CONNECT !SSL_ports

http_access allow allow_users

http_access deny all

на контроллере домена создана группа ProxyUsers, в которой есть пользователь
но не отрабатывает по ntlm авторизации


в cache.log видим

Цитата:

mswin_ntlm_auth[2632]: Got 'YR TlRMTVNTUAABAAAAB4IIogAAAAAAAAAAAAAAAAAAAAAGAbAdAAAADw==' from Squid
mswin_ntlm_auth[2632]: attempting SSPI challenge retrieval
mswin_ntlm_auth[2632]: Got it
mswin_ntlm_auth[2632]: sending 'TT TlRMTVNTUAACAAAADAAMADgAAAAFgomiPe2arY9WN+sAAAAAAAAAAJ4AngBEAAAABgBxFwAAAA9CAEEAUgBFAE4ATwACAAwAQgBBAFIARQBOAE8AAQAYAFMAUgBWADIASwA4AEcAQQBSAEEATgBUAAQAFABiAGEAcgBlAG4AbwAuAGMAbwBtAAMALgBzAHIAdgAyAGsAOABnAGEAcgBhAG4AdAAuAGIAYQByAGUAbgBvAC4AYwBvAG0ABQAUAGIAYQByAGUAbgBvAC4AYwBvAG0ABwAIAOrp9iBd8coBAAAAAA==' to squid
mswin_ntlm_auth[2632]: Got 'KK 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' from Squid
mswin_ntlm_auth[2632]: checking domain: 'DOMAIN', user: 'user'
mswin_ntlm_auth[2632]: Login attempt had result 0
mswin_ntlm_auth[2632]: sending 'NA Параметр задан неверно.' to squid

так отрабатывает basic авторизация:

Цитата:

/mswin_check_ad_group.exe[1124]: Got 'DOMAIN%5Cuser ProxyUsers' from Squid (length: 31).
/mswin_check_ad_group.exe[1124]: Valid_Global_Groups: checking group membership of 'DOMAIN\user'.
/mswin_check_ad_group.exe[1124]: My_NameTranslate: DOMAIN\user translated to CN=
/mswin_check_ad_group.exe[1124]: My_NameTranslate: DOMAIN\ProxyUsers translated to CN=ProxyUsers,CN=Builtin,DC=DOMAIN,DC=com
/mswin_check_ad_group.exe[1124]: My_NameTranslate: S-1-5-21-192570873-1330961744-2146681956-512 translated to CN=
/mswin_check_ad_group.exe[1124]: Get_primaryGroup: Primary group DN: CN=.
/mswin_check_ad_group.exe[1124]: Windows group: CN=, Squid group: CN=ProxyUsers,CN=Builtin,DC=DOMAIN,DC=com
/mswin_check_ad_group.exe[1124]: Windows group: CN=, Squid group: CN=ProxyUsers,CN=Builtin,DC=DOMAIN,DC=com
/mswin_check_ad_group.exe[1124]: Windows group: CN=, Squid group: CN=ProxyUsers,CN=Builtin,DC=DOMAIN,DC=com
/mswin_check_ad_group.exe[1124]: Windows group: CN=ProxyUsers,CN=Builtin,DC=DOMAIN,DC=com, Squid group: CN=ProxyUsers,CN=Builtin,DC=DOMAIN,DC=com
/mswin_check_ad_group.exe[1124]: sending 'OK' to squid

по идее ругается на
Цитата:

mswin_ntlm_auth[2632]: sending 'NA Параметр задан неверно.' to squid

но как там тогда задавать? по умолчанию отдается DOMAIN\user ..