» Проблема с squidNT

Leshgan
Тогда только HEX'ом подправить...

Ребята, прошу помощи:

напишите как мне сделать компьютеру с IP 192.168.0.90 доступ только к одному сайту (к примеру forum.ru-board.com), а на все остальные сайты ему доступ запретить!
За раннее спасибо!

r18101989 Кросспостим потихоньку?

а чем логи парсить? нужно трафик посчитать..

Ситуёвина очень интересная у меня произошла. Если авторизоваться напрямую в домен, то сквид не пропускает меня.
А если заходить на комп как локальный пользователь (администратор), и в дальнейшем авторизоваться в домене (при запуске браузера), то прокся подхватывается на ура.
Изменение политики безопасности не помогло. Бубен тоже...

AlCannaBIS
Конфиг? Лог? ОС?

Господа, добречка всем!

Вобщем, установил себе VMware workstation 7.1.3 - и squid перестал работать.
Т.е. всмысле, процесс-сервис как бы крутится - но страницы не грузятся больше
(без прокси - браузеры все показывают)

Помогите кто чем может - в чем может быть вся соль и перец? В какую сторону копать?..

prestigo
в squid указан tcp_outgoing_address???

Цитата:

в squid указан tcp_outgoing_address???

если честно - то я вообще не знал о необходимости этой настройки... стоит по дефолту.

можете или объяснить вкратце, или тыкнуть туда, где есть нормальная пояснялка на русском?

да, и если ее править - можно как-то учесть, что могут быть два динамических IP от двух разных провайдеров-подключений, LAN и MTC-GPRS соотв. (не одновременно)?..

prestigo пояснялка в самом теге, разве не понятно? Если у вас два подключения к инету одновременно, то этот тэг указывает кальмару через какой ip выходить в инет, то есть ip интерфейса.

prestigo
Цитата:

могут быть два динамических IP от двух разных провайдеров-подключений

Тогда не прокатит. Либо конфиг нужно будет править при каждом переподключении. А если имеются несколько статических айпи от одного или разных провайдеров, то с помощью акцесс-листов можно настроить, кому из локальной сетки под каким айпи выходить наружу.

По многочисленным просьбам перенёс тему сюда...

Установлен Squid 2.7 на Windowds 2008 Server R2, выполняющго роль сервера терминалов.
Как вы понимаете, локальной сети в привычном виде нет. Все пользователи находятся на сервере только на разных рабочих столах. Были предложены вырезки из конфига примерно следующего содержания

Код: auth_param ntlm program c:/prg/squid/libexec/mswin_ntlm_auth.exe c:/squid/etc/passwd.txt
auth_param ntlm children 5
auth_param ntlm keep_alive on
external_acl_type NT_global_group %LOGIN c:/prg/squid/libexec/mswin_check_lm_group.exe -G -c

acl ProxyUsers external NT_global_group ProxyUsers
acl password proxy_auth REQUIRED

http_access allow password
http_access deny all

bagol В данном случае мы имеем два взаимоисключающих желания:

Цитата:

нельзя никак избавиться от ввода аусвайса?

Цитата:

внутри конфига различать юзеров чтобы можно было ими разруливать пулами?

Сквид не умеет различать юзеров по радужной оболочке, генетическому коду и т.д. У него только два критерия: айпи клиента и логин пользователя. Поскольку речь идет о терминальном сервере, первый отпадает. Остается второй, который Сквид получает только при аутентификации юзера через форму ввода логина и пароля. Опции "запомнить логин и пароль" в браузерах нет, но в форме остаются прежние значения логина и пароля, так что юзерам остается только нажать кнопку, и не сходить с ума.

Цитата:

для ведения логов есть трёхбайтные програмулины с графиками-рюшечками-цветочками и не нужно заморачиваться со Сквидом.

Это программы не для ведения логов, а для их обработки. Но если у вас действительно есть такая программа из трех байтов, которая позволяет обеспечивать юзерам прозрачный доступ в интернет с полным контролем доступа, вести логи их активности и показывать результат с графиками-рюшечками-цветочками, тогда вообще непонятен предмет разговора.

vlary

Цитата:

Сквид не умеет различать юзеров по радужной оболочке
Сквид получает только при аутентификации юзера через форму ввода логина и пароля

Убедил, хотя есть AD в котором уже вбит и ник и пасс, осталось только дождаться юзера который залогинился в системе и желает зайти в и-нет. Ну да ладно, фиг с ней авторизайией.
Юзеры уже зашли в инет и по сему задаю 3-й раз вопрос (сорри за наглость) - как разрулить их пулами?

bagol
acl group1 proxy_auth venya petya
acl group2 proxy_auth masha vasya
delay_access 1 allow group1
delay_access 1 deny all
delay_access 2 allow group2
delay_access 2 deny all
Определяешь пулы класса 1 и 2, и распределяешь юзеров по пулам через акцесс листы

Ну, впринципе что-то работает только как-то криво.

Код: acl ProxyUsers proxy_auth REQUIRED
http_access allow ProxyUsers
http_access deny all

delay_pools 1
delay_class 1 1
delay_access 1 allow ProxyUsers
delay_access 1 deny all
delay_parameters 1 15000/20000

bagol Сквид обрабатывает акцесс листы по мере их просмотра. Как только он находит подходящее правило, он его выполняет и дальнейшее не рассматривает.
http_access allow ProxyUsers выполняется раньше, чем
delay_access 1 allow ProxyUsers посему до него просто не доходит очередь.
Поэтому нужно тщательно настраивать акцесс листы.

vlary

Цитата:

http_access allow ProxyUsers выполняется раньше, чем
delay_access 1 allow ProxyUsers посему до него просто не доходит очередь.

Это ты несколько перегнул палку, не? Вроде как разные вещи...

bagol
Покажи разделы на настоящий момент.
auth_param
acl
http_access/deny
delay_pools

Цитата:

Это ты несколько перегнул палку, не? Вроде как разные вещи...

да видно у vlary был тяжёлый понедельник)))

bagol
из прозрачной авторизации максимум, что можно выжать это что бы клиенты IE ходили через ntlm а остальные через basic.
Лучше в тэг more выложите полный конфиг без коментов.

Ruza
Цитата:

Это ты несколько перегнул палку, не? Вроде как разные вещи...

Почему же? Сквид получил запрос, начал смотреть правила, встретил
http_access allow ProxyUsers и выполнил его.
До delay_access 1 allow ProxyUsers дело просто не дойдет.
Вот если его поместить раньше, как я написал выше двумя постами,
то Сквид загонит юзеров venya и petya , отвечающих правилу,
в delay_pool, а остальных пропустит без оного.
У меня Сквид нормально работал с delay_pool,
так что я знаю, что пишу. Правда, сейчас в связи с безлимитом я их убрал.

vlary
oO
неужто мы заблуждаемся и эти секции действительно рассматриваются в одном контексте?

Добавлено:
И как в таком случае описать пул для белого списка сайтов?

Alukardd
Цитата:

неужто мы заблуждаемся и эти секции действительно рассматриваются в одном контексте?

Почему бы и нет? Если есть delay_access пулы, совершенно не обязательно, что все туда будут загоняться. Поставьте первым правило http_access allow all и проверьте.

после совпадения с delay_access дальше по всей логике проверка не пойдет, а если у нас в фирме действует правило запрещено всё что не разрешено (whitelist), то как тогда задать разрешение и пул? Ведь срабатывать будет что-то одно и дальше проверка правил не пойдет...

p.s. ток заметил, грац с голдом)

Alukardd
Цитата:

если у нас в фирме действует правило запрещено всё что не разрешено (whitelist), то  как тогда задать разрешение и пул?

Да это как раз элементарно.
Определяем, что разрешено:
acl good dstdomain "/var/gooddomains"
Запрещаем все, чего там нет:
http_access deny !good
А дальше разбрасываем юзеров по delay_pools

Цитата:

p.s. ток заметил, грац с голдом)

Сенкс!

vlary
я так и не нарыл где об этом написано в документации что ли или в wiki хотя бы...
но мысль пока уяснил, проверить возможности нету(

Alukardd
Цитата:

я так и не нарыл где об этом написано

Вот тут есть кое что: Ссылка

vlary
Цитата:

Вот тут есть кое что: Ссылка

ну ни чего не нашёл что бы говорило о том, что delay_access длжен разбавлять http_access (в плане порядка). *коменты я не читал*
Так же открыл оригинальный squid.conf вот кусок
Код: # TAG: delay_access
#    This is used to determine which delay pool a request falls into.
#
#    delay_access is sorted per pool and the matching starts with pool 1,
#    then pool 2, ..., and finally pool N. The first delay pool where the
#    request is allowed is selected for the request. If it does not allow
#    the request to any pool then the request is not delayed (default).

Alukardd

Цитата:

ну ни чего не нашёл что бы говорило о том, что delay_access длжен разбавлять http_access (в плане порядка).

Ну там написано вот такое:

Цитата:

Тут в дело вступает порядок просмотра ACL - они просматриваются в порядке обьявления, и если сработало одно правило, то другие уже не просматриваются.

Правила для delay_access ничем не лучше http_access, потому выполняется первое сработавшее. Так там и написано:
Цитата:

В первый пул попадают только машины, описываемые ACL vasya. Остальные ходят как им положенно - ведь им доступ к 1му пулу заказан.

В твоем куске из конфига написано то же самое: If it does not allow the request to any pool then the request is not delayed (default)
Но чтобы они ходили как положено, после правил для delay_access им должно встретиться правило http_access allow office. Иначе
Цитата:

Если не одно правило не сработало, то за основу берется последнее.

А последним должно стоять http_access deny all

Мы либо не понимаем друг друга, либо я не понимаю вашу логику...
Моя мысль о том что порядок имеет значение в squid.conf - это априори, но он применяется внутри секций (TAG), т.е. порядок для http_access сам по себе а порядок delay_access сам по себе, и они могут располагаться в конфиге друг относительно друга как угодно.
Вот я и пытаюсь, понять что вы мне тут пытаетесь сказать и где этому документальное подтверждение. Я уже почти решился на опыты над живой сеткой, просто щас на работе занят другими проблемами...

Alukardd Ну вот здесь чуть более подробно и чуть более понятно как раз по сути сомнений: Ссылка
bagol Наткнулся на штуку, о которой слышал, но никогда не пользовался, посему она у меня в голове в качестве возможного решения и не крутилась. Это доступ по ident.

Цитата:

acl aclname ident username - ACL описывает имя пользователя, от которого запущена программа на клиентской машине. Имя узнается с помощью ident-сервера.

Вот в этом случае сквид будет знать имя юзера, а тому не придется вводить логин/пароль. Попробуй копать в эту сторону.