Проблема с squidNT

Автор: Ruza
Дата сообщения: 12.05.2010 12:25

Когда то делал, не далее как в прошлом году но не помню

В readme по win_group и по mswin_ntlm_auth внимательно прочитай.

Автор: kadaber
Дата сообщения: 12.05.2010 18:41

убрал проверку нахождения юзера в определенной группе

cache.log теперь выдает:

Цитата:

mswin_ntlm_auth[6124]: sending 'TT TlRMTVNTUAACAAAADAAMADgAAAAFgomiKXzMWNPKhEEAAAAAAAAAAIoAigBEAAAABgGwHQAAAA9CAEEAUgBFAE4ATwACAAwAQgBBAFIARQBOAE8AAQAOAFQARQBDAEgAQQBEAE0ABAAUAGIAYQByAGUAbgBvAC4AYwBvAG0AAwAkAHQAZQBjAGgAYQBkAG0ALgBiAGEAcgBlAG4AbwAuAGMAbwBtAAUAFABiAGEAcgBlAG4AbwAuAGMAbwBtAAcACAAIERjq5/HKAQAAAAA=' to squid
mswin_ntlm_auth[6124]: Got 'KK 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' from Squid
mswin_ntlm_auth[6124]: checking domain: 'DOMAIN', user: 'user'
mswin_ntlm_auth[6124]: Login attempt had result 0
mswin_ntlm_auth[6124]: sending 'NA Вход в систему не произведен: имя пользователя или пароль не опознаны.' to squid

в какую сторону смотреть? на DC что нить докрутить надо?
DC - win 2008 server ent

Автор: kadaber
Дата сообщения: 18.05.2010 21:27

ntlm авторизации под windows 7 не работала пока не набрел на эту заметку

Добавлено:
теперь пускает доменных пользователей..

хочется сделать чтобы юзеры проверялись на нахождение в определенной группе в АД
например создаем группу ProxyUsers, все кто в ней находятся могут ходить через прокси, если нет, то доступ запрещен..

для этого используются mswin_check_lm_group или mswin_check_ad_group

Цитата:

external_acl_type NT_group ttl=120 negative_ttl=0 children=5 %LOGIN c:/squidnt/libexec/mswin_check_ad_group.exe -d -G

acl allow_users external NT_group ProxyUsers
http_access allow allow_users
http_access deny all

в принципе пускает пользователей домена

вопрос в том что есть еще пара доменов, юзеров которых надо выпускать через этот прокси..
...

Автор: Cheery
Дата сообщения: 20.05.2010 22:50

Кто нить запускал под 64 битной 7?
под 32 битной у меня запускается без ошибки, под свежей 64 битной выдает просто
abnormal program termination
в event viewere

Fault bucket , type 0
Event Name: PCA2
Response: Not available
Cab Id: 0

Problem signature:
P1: squid.exe
P2: 2.5.4.0
P3: squid
P4: SQUID Web Proxy Cache for Windows NT/2000
P5: SQUID Web Proxy Cache - http://www.squid-cache.org/
P6: 200
P7: -1
P8:
P9:
P10:

Attached files:
C:\Users\User\AppData\Local\Temp\{1be95e2a-5566-4c03-8a2a-6321ea940218}\appcompat.txt
C:\Users\User\AppData\Local\Temp\TabBDD5.tmp

These files may be available here:

Analysis symbol:
spam_detecteding for solution: 0
Report Id: 148329f5-6448-11df-9d62-6cf04957a82a
Report Status: 0

appcompat.txt там нет..
ps: на самом деле это 2.7 версия

хм.. сравнил с опцией -X на 32 и 64..
и там и там последняя строка вида
2010/05/20 16:03:05| leave_suid: PID номер called
и все.. но один работает, а второй выдает то, что выше. попробую разрешить все приложению в файерволле

нет, не в файерволле дело (

Автор: Ruza
Дата сообщения: 21.05.2010 07:53

Cheery
У меня на 7 работал, правда для теста только на локальной машине, кому то тут отвечал так надо было конфиг проверить.
Вроде совместимость надо включать...
И соответственно все пути должны существовать указанные в конфиге.

Автор: Cheery
Дата сообщения: 21.05.2010 21:57

Ruza

Цитата:

Вроде совместимость надо включать...
И соответственно все пути должны существовать указанные в конфиге.

так я же говорю - под 32 битной все работает.. даже без отключения UAC
а под 64 битной не хочет.

ps: хотя вот.. с более детальным логгированием при запуске
FATAL: storeUfsDirCloseTmpSwapLog: rename failed

pps: разобрался.. я всегда пути указывал от той диры, в которой squid.exe
и работало и под XP и под 32 битной семеркой, а вот под 64 битной не хотело. только после прописания полного пути - заработало. прелесть в том, что -z даже при таких путях создает все, что надо и где надо..
и логи пишутся..

Автор: rosalin
Дата сообщения: 24.05.2010 15:26

подскажите squid нужен для прозрачного кеширования web запросов ....

подскажите версию постабильнее для данной задачи

Автор: vlary
Дата сообщения: 24.05.2010 15:39

rosalin
Цитата:

подскажите версию постабильнее для данной задачи

На сайте сквида обычно пишут, какая версия у них стабильная.

Автор: ipmanyak
Дата сообщения: 24.05.2010 15:53

rosalin А чем собрались прозрачно заворачить трафик на винду со сквидом? В винде своих средств нет.

Автор: Ruza
Дата сообщения: 24.05.2010 15:59

ipmanyak
Я так подозреваю реверс надо...

rosalin

Цитата:

SSL support for reverse proxy only

http://squid.acmeconsulting.it/download/squid-2.7.STABLE8-bin-SSL.zip

Автор: rosalin
Дата сообщения: 24.05.2010 16:26

ipmanyak
tmeter умеет заворачивать !!!

Автор: ipmanyak
Дата сообщения: 24.05.2010 17:07

rosalin Что ж, это радует, но все же не сама винда!

Автор: rosalin
Дата сообщения: 25.05.2010 18:10

mikas
посоветуйте плиз конфиг сквида

основная функция сквида прозрачный кеширующий

как лучше настроить cache_dir

на борту 4 Гб ОЗУ

Автор: ipmanyak
Дата сообщения: 25.05.2010 19:27

rosalin в наше время с кульными каналами и безлимитным трафиком, у кого он есть, дисковый кэш тока тормоз! Лучше его отрубить! В свое время тестил эффективность кэша - выигрыш мизер! Эффективность кэша была 4%, потому что пипл ходил куда угодно. В учебных классах школ и универов, там да есть выигрыш до 20 %. Так что советую собрать сквид без дискового кэша. Решать тебе.

Автор: rosalin
Дата сообщения: 26.05.2010 07:52

ipmanyak
да то что он тормоз я понял .... потестил немного скорее всего откажусь от этой идеи ... т.к он мне нужен был только для кеша !!!!!

Автор: mihmig
Дата сообщения: 27.05.2010 10:48

кульные каналы не у всех, увы, за мкадом
сквид испольую для рещки рекламы, но вот как прозрачный сквид сделать действительно прозрачным (чтобы при блокировке просто бросал соединение, а не заявлял о себе )

Автор: Alukardd
Дата сообщения: 27.05.2010 10:58

mihmig
вопрос конечно интересный - только вот зачем вы так хотите его скрыть? Простым смертным всё равно что они видят ошибку именно от squid'a, а тем у кого руки по прямее не составит труда обнаружить что на их пути в инет сидит злой дядька и мешает им наслаждать порнухой и прочим...

Автор: mihmig
Дата сообщения: 27.05.2010 12:51

Alukardd
прокси нужен для контроля и статистики, это раз.
информация о марке ПО и его версии - уже полезная информация для злоумышленника - это два.

Автор: vlary
Дата сообщения: 27.05.2010 15:16

mihmig
Цитата:

информация о марке ПО и его версии - уже полезная информация для злоумышленника

Ну так поправьте странички сквида, там ведь чистый ХТМЛ. Пусть выдает, что он не Сквид, а Керио или Винраут

Автор: mihmig
Дата сообщения: 27.05.2010 21:19

vlary
в том то и дело! сквид насильно пихает туда информацю о себе!
блин, хоть ищи кого, чтоб исходники поправил...

Автор: vlary
Дата сообщения: 27.05.2010 22:51

Цитата:

сквид насильно пихает туда информацю о себе!

А в конфиге покопаться?
httpd_suppress_version_string off поменять на on?
Выставить realm какой вам нравится?
Установить error_directory /usr/local/squid/share/errors/russian и создать там свои страницы для ошибок?
Средствами только конфига можно существенно изменить проявления сущности сквида,
менять исходники нет необходимости.

Автор: mihmig
Дата сообщения: 28.05.2010 19:54

vlary
установил httpd_suppress_version_string
но все равно прилепляет к страничке:
Generated Fri, 28 May 2010 16:52:17 GMT by localhost (squid)
хоть версию и не пишет...

Автор: Ruza
Дата сообщения: 28.05.2010 21:54

mihmig
А не пробовал html код посмотреть?
ERR_ACCESS_DENIED

Цитата:

<p>Your cache administrator is <a href="mailto:%w%W">%w</a>.</p> <br> </div> <hr> <div id="footer">
<p>Generated %T by %h (%s)</p>  </div> </body></html>

Автор: vlary
Дата сообщения: 28.05.2010 21:56

mihmig Ну используйте тогда в конфиге deny_info, чтобы он вообще ничего не показывал.

Автор: ilyav3
Дата сообщения: 23.06.2010 10:19

Доброго всем...
Народ, помогите пожалуйста разобраться, почему Squid не пускает на gmail.com (может кто сталкивался с подобным):

На машине стоит Win 2003 Standart RUS + Kerio WinRoute Firewall + SquidNT (squid-2.7.STABLE8-bin-DELAYP)
На машине два сетевых интерфейса, один в инет, другой в локалку. Инет в локалку раздаётся редиректом KWF на Squid (оный работает как transparent)... в общем работает всё как и хотелось, но... при попытке зайти на gmail.com firefox говорит "SSL получило запись, длина которой превышает максимально опустимую. (Код ошибки: ssl_error_rx_record_too_long)", а опера "Безопасное подключение: критическая ошибка (552)"...
при этом в логах сквида:
cache.log -

Код:
2010/06/23 13:14:19| parseHttpRequest: Unsupported method ''
2010/06/23 13:14:19| clientTryParseRequest: FD 18 (x.x.x.162:1639) Invalid Request
2010/06/23 13:14:19| parseHttpRequest: Unsupported method ''
2010/06/23 13:14:19| clientTryParseRequest: FD 18 (x.x.x.162:1641) Invalid Request
2010/06/23 13:14:20| parseHttpRequest: Unsupported method ''
2010/06/23 13:14:20| clientTryParseRequest: FD 18 (x.x.x.162:1642) Invalid Request

Автор: Ruza
Дата сообщения: 23.06.2010 11:53

ilyav3

Цитата:

Инет в локалку раздаётся редиректом KWF на Squid (оный работает как transparent)...

Хм... А зачем? Чем не устроил встроенный в керио прозрачный прокси?

Цитата:

в общем работает всё как и хотелось, но... при попытке зайти на gmail.com firefox говорит "SSL получило запись, длина которой превышает максимально опустимую. (Код ошибки: ssl_error_rx_record_too_long)", а опера "Безопасное подключение: критическая ошибка (552)"...

Конфиг давай и покажи правило редиректа в керио...

Автор: Leshgan
Дата сообщения: 02.07.2010 14:27

Присоединяюсь к mihmig
Точно такая же проблема.
Через правку шаблона не получается, Squid всё равно дописывает своё "Generated..."
Как через deny_info не могу осилить что-то.
Формат:
deny_info ошибка acl
Не понимаю как оно работает и как на определенную ошибку подставить свой шаблон или убрать эту последнюю строку?

Автор: mobil1
Дата сообщения: 05.07.2010 17:21

как настроить squid на http авторизацию ?
сразу с файликами которые понадобяться если можно

Автор: Ruza
Дата сообщения: 05.07.2010 19:24

Leshgan
Странно только что исправил шаблон, рестартанул squid и всё нормально (правда у меня 3.1 под Linux)
mobil1

Цитата:

как настроить squid на http авторизацию ?

Почитать тему.
Посетить офсайт http://www.serassio.it/SquidNT.htm скачать дистр и NCSA helper Windows support tools

Автор: Leshgan
Дата сообщения: 06.07.2010 14:50

Ruza, может быть потому что у Вас Linux?
Вот содержимое моего шаблона

Код:
<!DOCTYPE HTML PUBLIC "-//W3C//DTD HTML 4.01 Transitional//EN" "http://www.w3.org/TR/html4/loose.dtd">
<HTML><HEAD><META HTTP-EQUIV="Content-Type" CONTENT="text/html; charset=windows-1251">
<TITLE>ОШИБКА: Запрошенный URL не может быть доставлен</TITLE>
<STYLE type="text/css"></STYLE>
</HEAD><BODY>
<H1>ОШИБКА</H1>
<H2>Запрошенный URL не может быть доставлен</H2>
<HR noshade size="1px">
<P>
Во время доставки URL:<br>
<A HREF="%U">%U</A>
<P>
Произошла следующая ошибка:
<BLOCKQUOTE>
Невозможно определить IP адрес узла
<I>%H</I>
</BLOCKQUOTE>
</UL>

<P>
Сервер адресов ответил:
<BLOCKQUOTE>
%z
</BLOCKQUOTE>

<P>
Это обозначает:
<PRE>
Кэш не в состоянии определить сервер, указанный в URL.
Проверьте правильность написания адреса.
</PRE>
</P>

» Проблема с squidNT