» Проблема с squidNT

bagol
ФФ тоже должен работать... Смотри дебаг.
Опера вроде не должна...

Вчерась подключил еще несколько юзеров к серверу и вылез бок с ident-сервером.
Он запускается один раз и открывает сокет, кто раньше встал того и тапки, остальные курят бамбук. Ident авторизация отпадает. Буду рыть дальше и глубже NTLM. Если он работает по тому-же принципу, тогда полная Ж.

Может уже не сквид надо настраивать , а браузер . Какую версию версию FF используете ?

bagol В свое время я писал свою программу для авторизации пользователей на сквиде. Правда, сквид под юниксом. Но и для виндузового такую написать не сложно. Программа тупая как валенок, грузит из файла логины и пароли, получает на стандартный вход от сквида строку вида "логин пароль", и в зависимости от наличия такой пары выдает OK или ERR. Все работало прекрасно в сетке на 150 человек. Потом меня задолбала необходимость при появлении нового сотрудника добавлять его логин пароль в файл и рестартовать сквид, к тому же подняли АД, и я перевел сквид на авторизацию с АД. В твоем случае, когда имеется не очень много юзеров на терминале, это может быть выходои. Правда, юзерам терминала придется предъявлять аусвайс, но это уже их проблемы.

Ребята, день добрый бьюсь с конфигом который день, первый раз настраиваю Squid, так что не будьте ко мне суровы.... Проблема следующая, установил Squid 2,7 на Win2003, который находится в домене но не является контролером домена... Работать должно так: Есть домен на 200 юзеров, все они распределены по группам Inet-admin, inet-user, inet-directors и inet-freemail... соответственно для каждой группы есть свой аксес лист... но проблема заключается в том, что когда любой пользователь вне зависимости в какой он группе начинает ходить в Инет через этот прокси, он проходит Аунтификазию нормально, тоесть АД подхватывается, но у него есть полный доступ в Инет.... прилагаю свой конфиг... Покритикуйте пожалуйста! Заранее Благодарен!
Собственно и сам конфиг:

auth_param ntlm program c:/squid/libexec/mswin_ntlm_auth.exe -d
auth_param ntlm children 10
auth_param ntlm keep_alive on

visible_hostname srv2
acl all src all
acl manager proto cache_object
acl localhost src 127.0.0.1/32
acl to_localhost dst 127.0.0.0/8 10.0.0.0/24

http_port 3128

external_acl_type AD_global_group %LOGIN c:/squid/libexec/mswin_check_ad_group.exe -G



acl    inet-admins    external AD_global_group    Gelios\inet-admins
acl    inet-directors    external AD_global_group    Gelios\inet-directors
acl    inet-freemail    external AD_global_group    Gelios\inet-freemail
acl    inet-icq     external AD_global_group    Gelios\inet-icq    
acl    inet-users     external AD_global_group    Gelios\inet-users
acl    inet_seller     external AD_global_group    Gelios\inet_seller
acl    inet-work     external AD_global_group    Gelios\inet-work
acl password proxy_auth REQUIRED


http_access allow password inet-admins
http_access allow password inet-directors
http_access allow password inet-freemail
http_access allow password inet-icq
http_access allow password inet-users
http_access allow password inet_seller
http_access allow password inet-work
http_access deny all


acl localnet src 10.0.0.0/8 # RFC1918 possible internal network

# Only allow cachemgr access from localhost
http_access allow manager localhost
http_access deny manager

acl SSL_ports port 443
acl Safe_ports port 80 # http
acl Safe_ports port 85          # Mtsbu
acl Safe_ports port 21 # ftp
acl Safe_ports port 443 # https
acl Safe_ports port 70 # gopher
acl Safe_ports port 210 # wais
acl Safe_ports port 1025-65535 # unregistered ports
acl Safe_ports port 280 # http-mgmt
acl Safe_ports port 488 # gss-http
acl Safe_ports port 591 # filemaker
acl Safe_ports port 777 # multiling http
acl Safe_ports port 8443     # pay Volia.com
acl Safe_ports port 7002
acl CONNECT method CONNECT

# who get file config
acl good_url url_regex "c:/squid/files/good_url"
acl freemail    url_regex -i    "c:/squid/files/freemail_url"
acl netshare url_regex -i "c:/squid/files/allowshare_url"
acl ftp url_regex -i "c:/squid/files/ftp_url"
acl ssl url_regex -i "c:/squid/files/ssl_url"
acl icq url_regex -i "c:/squid/files/icq_url"
acl seller url_regex -i "c:/squid/files/seller_url"
acl clientbank url_regex -i "c:/squid/files/clientbank_url"
acl work url_regex -i "c:/squid/files/allow_work"
acl bad_url url_regex "c:/squid/files/bad_url"
acl blockedfiles urlpath_regex "c:/squid/files/bad_files"


# Deny CONNECT to other than SSL ports
http_access    allow    inet-admins all
http_access    allow    inet-directors all
http_access    allow    inet-freemail freemail
http_access    allow    inet-icq icq
http_access    allow    inet-work work
http_access    allow    inet-users bad_url blockedfiles

# And finally deny all other access to this proxy
icp_access deny all
http_access deny all

#We recommend you to use at least the following line.
hierarchy_stoplist cgi-bin ?

#Default:
cache_replacement_policy lru

# Прописываем расположение директории, в которой будет хранится наш кэш:
cache_dir ufs c:/squid/var/cache 100 16 256
store_dir_select_algorithm least-load
max_open_disk_fds 0
minimum_object_size 0 KB
maximum_object_size 4096 KB
cache_swap_low 90
cache_swap_high 95
update_headers on
access_log c:/squid/var/logs/access.log squid
logfile_daemon c:/squid/libexec/logfile-daemon.exe
cache_log c:/squid/var/logs/cache.log
cache_store_log c:/squid/var/logs/store.log
logfile_rotate 10
emulate_httpd_log off
log_ip_on_direct on
mime_table c:/squid/etc/mime.conf
log_mime_hdrs off
unlinkd_program c:/squid/libexec/unlinkd.exe
pid_filename c:/squid/var/logs/squid.pid
log_fqdn off

strip_query_terms on

buffered_logs off

Thecrazyman

Цитата:

http_access allow password inet-admins
http_access allow password inet-directors
http_access allow password inet-freemail
http_access allow password inet-icq
http_access allow password inet-users
http_access allow password inet_seller
http_access allow password inet-work
http_access deny all

Цитата:

# Deny CONNECT to other than SSL ports
http_access allow inet-admins all
http_access allow inet-directors all
http_access allow inet-freemail freemail
http_access allow inet-icq icq
http_access allow inet-work work
http_access allow inet-users bad_url blockedfiles

Deja vu...

Squid работает по принципу первого найденного access т.е.
Если юзер вышел по правилу http_access allow password inet-work то ниже ты юзера хоть нах посылай уже будет поздно...

Спасибо за ответ, действительно непонятно, но если убираю вот это:

Цитата:

http_access allow password inet-admins
http_access allow password inet-directors
http_access allow password inet-freemail
http_access allow password inet-icq
http_access allow password inet-users
http_access allow password inet_seller
http_access allow password inet-work
http_access deny all

то интернет у всех заблочен....
А если восстанавливаю как было и убираю вот это:

Цитата:

# Deny CONNECT to other than SSL ports
http_access allow inet-admins all
http_access allow inet-directors all
http_access allow inet-freemail freemail
http_access allow inet-icq icq
http_access allow inet-work work
http_access allow inet-users bad_url blockedfiles

то Инет появляется, вот только сново у всех он доступен в полной мере... =(

Неужели ни у кого больше нет мыслей по моему конфигу?!?!?!

Попробуй так:
http_access allow password inet-work work !all

И возможно придётся юзать редиректор для более точного разграничения.

Цитата:

http_access allow password inet-work work !all

я не могу понять, что это решит?

Доброго дня!

(squid-2.7.STABLE6)
У меня работает "авторизация" на уровне групп в AD, описано в squid.conf вот так:
(запрос о авторизации у пользователя не выскакивает, этого мне не нужно)

==========================================================
auth_param ntlm program c:/squid/libexec/mswin_ntlm_auth.exe -v
auth_param ntlm children 5
auth_param ntlm keep_alive off
#
auth_param basic credentialsttl 2 minutes
authenticate_cache_garbage_interval 2 minutes
authenticate_ttl 2 minutes
#
external_acl_type NT_local_group children=5 negative_ttl=0 %LOGIN c:/squid/libexec/mswin_check_lm_group.exe -G -d -c
#
acl IntrestUsers external NT_local_group {Имя группы в AD}
acl password proxy_auth REQUIRED
#
.....
acl my url_regex -i "c:/squid/rules/my/my.allow"
http_access allow my_intresta password IntrestUsers
.....
==========================================================

Возможно будут идеи по оптимизации, или просто для кого сгодится...
С уважением.

Приветствую профи этого раздела, и софта. Не могу побороть squid чтобы работал стабильно. Уже пробовал больше памяти выделять, выключал NOD32 и другие способы что советовали в схожих темах.
У меня проблема squid толи заваливается толи не совсем корректно настроен из моего не большого опыта. Суть в следующем у пользователей Интернета практически нету, он появляется на 1-ну минуту максимум затем пропадает (невозможно отобразить страницу), затем ждем и обновляем страницу вроде появился но не надолго и так постоянно. В сети 30 машин, канал на модеме 10мб на 1.5 мб. Проблем с модемом нет и каналом так как сам сижу когда выключен squid абсолютно без каких бы то ни было проблем.

squid.conf

http_port 172.18.6.2:3128
icp_port 0
hierarchy_stoplist cqi-bin ?
cache_mem 512 MB

#выделил место на диске для кэша
#cache_dir 100 4096
#cache_dir ufs /usr/local/squid/cache 1024 10 128
#cache_dir ufs /var/spool/squid 10240 16 256

maximum_object_size 4096 KB
minimum_object_size 0 KB
maximum_object_size_in_memory 8 KB
cache_access_log c:/squid/var/logs/access.log

visible_hostname MAIN

refresh_pattern ^ftp: 1440 20% 10080
refresh_pattern ^qopher: 1440 0% 1440
refresh_pattern . 0 20% 4320

acl all src 0.0.0.0/0.0.0.0
acl Safe_ports port 80 # http
acl Safe_ports port 21 # ftp
acl Safe_ports port 443 444 563 543 4443 4445 5190 5445 # https, snews
acl CONNECT method CONNECT
acl allowed_sites dstdomain "c:\squid\etc\allowed_sites.conf"
acl limited_IP src "c:\squid\etc\limited_IP.conf"
acl localhost src 127.0.0.0/8
acl LocalNet src 172.18.6.0/24
acl denied_sites url_regex "c:\squid\etc\denied_ext.conf"
acl LocalNetTime time M T W H F A 00:00-19:30

#списки доступа
acl admins src 172.18.6.2/32
#acl admins src 172.18.6.147/32
acl LocalNet src 172.18.6.0/24

#права доступа
http_access allow admins
http_access allow LocalNet

#блокируем скачивание мах 5МБ для LocalNet
#reply_body_max_size 5000000 allow LocalNet
#reply_body_max_size 0 deny all

#создаем 2 пула 1 и 3 уровня (всего бывает 3 вида)
delay_pools 2
delay_class 1 1
delay_class 2 3

#зададим принадлежность групп доступа к пулам
delay_access 1 allow admins
delay_access 1 deny all
delay_access 2 allow LocalNet
delay_access 2 deny all


#параметры пулов
delay_parameters 1 64000/128000 8000/8000
delay_parameters 2 -1/-1 64000/128000 8000/8000


cache.log

Squid Cache (Version 2.6.STABLE18): Terminated abnormally.
CPU Usage: 0.297 seconds = 0.188 user + 0.109 sys
Maximum Resident Size: 9432 KB
Page faults with physical i/o: 2497
2011/05/27 11:34:48| storeDirWriteCleanLogs: Starting...
2011/05/27 11:34:48| WARNING: Closing open FD 14
2011/05/27 11:34:48| Finished. Wrote 6350 entries.
2011/05/27 11:34:48| Took 0.0 seconds (423333.3 entries/sec).
2011/05/27 11:34:49| Starting Squid Cache version 2.6.STABLE18 for i686-pc-winnt...
2011/05/27 11:34:49| Running as squid26 Windows System Service on Windows XP
2011/05/27 11:34:49| Service command line is:
2011/05/27 11:34:49| Process ID 3076
2011/05/27 11:34:49| With 2048 file descriptors available
2011/05/27 11:34:49| With 2048 CRT stdio descriptors available
2011/05/27 11:34:49| Windows sockets initialized
2011/05/27 11:34:49| Using select for the IO loop
2011/05/27 11:34:49| Performing DNS Tests...
2011/05/27 11:34:49| Successful DNS name lookup tests...
2011/05/27 11:34:49| DNS Socket created at 0.0.0.0, port 4380, FD 5
2011/05/27 11:34:49| Adding nameserver 80.94.225.5 from Registry
2011/05/27 11:34:49| Adding nameserver 80.94.225.254 from Registry
2011/05/27 11:34:49| User-Agent logging is disabled.
2011/05/27 11:34:49| Referer logging is disabled.
2011/05/27 11:34:49| Unlinkd pipe opened on FD 8
2011/05/27 11:34:49| Swap maxSize 102400 KB, estimated 7876 objects
2011/05/27 11:34:49| Target number of buckets: 393
2011/05/27 11:34:49| Using 8192 Store buckets
2011/05/27 11:34:49| Max Mem size: 524288 KB
2011/05/27 11:34:49| Max Swap size: 102400 KB
2011/05/27 11:34:49| Local cache digest enabled; rebuild/rewrite every 3600/3600 sec
2011/05/27 11:34:49| Rebuilding storage in c:/squid/var/cache (CLEAN)
2011/05/27 11:34:49| Using Least Load store dir selection
2011/05/27 11:34:49| Current Directory is C:\squid\sbin
2011/05/27 11:34:49| Loaded Icons.
2011/05/27 11:34:49| Accepting proxy HTTP connections at 172.18.6.2, port 3128, FD 14.
2011/05/27 11:34:49| Accepting HTCP messages on port 4827, FD 15.
2011/05/27 11:34:49| Accepting SNMP messages on port 3401, FD 16.
2011/05/27 11:34:49| Ready to serve requests.
2011/05/27 11:34:49| Store rebuilding is 64.5% complete
2011/05/27 11:34:49| Done reading c:/squid/var/cache swaplog (6350 entries)
2011/05/27 11:34:49| Finished rebuilding storage from disk.
2011/05/27 11:34:49| 6350 Entries scanned
2011/05/27 11:34:49| 0 Invalid entries.
2011/05/27 11:34:49| 0 With invalid flags.
2011/05/27 11:34:49| 6350 Objects loaded.
2011/05/27 11:34:49| 0 Objects expired.
2011/05/27 11:34:49| 0 Objects cancelled.
2011/05/27 11:34:49| 0 Duplicate URLs purged.
2011/05/27 11:34:49| 0 Swapfile clashes avoided.
2011/05/27 11:34:49| Took 0.1 seconds (81410.3 objects/sec).
2011/05/27 11:34:49| Beginning Validation Procedure
2011/05/27 11:34:49| Completed Validation Procedure
2011/05/27 11:34:49| Validated 6350 Entries
2011/05/27 11:34:49| store_swap_size = 92184k
2011/05/27 11:34:50| storeLateRelease: released 0 objects
2011/05/27 11:36:02| comm_select: select failure: (10055) WSAENOBUFS, No buffer space available.
2011/05/27 11:36:02| Select loop Error. Retry 1
2011/05/27 11:36:02| comm_select: select failure: (10055) WSAENOBUFS, No buffer space available.
2011/05/27 11:36:02| Select loop Error. Retry 2
2011/05/27 11:36:02| comm_select: select failure: (10055) WSAENOBUFS, No buffer space available.
2011/05/27 11:36:02| Select loop Error. Retry 3
2011/05/27 11:36:02| comm_select: select failure: (10055) WSAENOBUFS, No buffer space available.
2011/05/27 11:36:02| Select loop Error. Retry 4
2011/05/27 11:36:02| comm_select: select failure: (10055) WSAENOBUFS, No buffer space available.
2011/05/27 11:36:02| Select loop Error. Retry 5
2011/05/27 11:36:02| comm_select: select failure: (10055) WSAENOBUFS, No buffer space available.
2011/05/27 11:36:02| Select loop Error. Retry 6
2011/05/27 11:36:02| comm_select: select failure: (10055) WSAENOBUFS, No buffer space available.
2011/05/27 11:36:02| Select loop Error. Retry 7
2011/05/27 11:36:02| comm_select: select failure: (10055) WSAENOBUFS, No buffer space available.
2011/05/27 11:36:02| Select loop Error. Retry 8
2011/05/27 11:36:02| comm_select: select failure: (10055) WSAENOBUFS, No buffer space available.
2011/05/27 11:36:02| Select loop Error. Retry 9
2011/05/27 11:36:02| comm_select: select failure: (10055) WSAENOBUFS, No buffer space available.
2011/05/27 11:36:02| Select loop Error. Retry 10
FATAL: Select Loop failed!

кэш на винте почему заремлен?

Добавлено:
разремли, сделай кэш на винте мег 500, останови службу, удали каталог кэша на винте, пересоздай с поцией -z.
Релиз сквида 2.6.18 ты взял староватый, возьми 2.6.22 или 2.6.23
http://squid.acmeconsulting.it/index.html
http://squid.acmeconsulting.it/download/squid-2.6.STABLE23-bin-DELAYP.zip
или вообще возьми 2.7.8
http://squid.acmeconsulting.it/download/squid-2.7.STABLE8-bin-DELAYP.zip

не знаю было тут или нет, ибо до конца не дочитал!
думаю полезно будет всем...

разобрался почему сквид не авторизует (или криво и не правильно что равно) через группу в АД. целую неделю мучился и догнал как сделать!
обнаружил, что когда запускаю через командную строку (соответственно под своими правами на сервере) работает правильно, а по сервисом когда запускаю - нет (потому что у сервиса права Локальной CИСТЕМЫ)

! Squid 2.7.STABLE8 подымался НЕ на КОНТРОЛЛЕРе ДОМЕНА !

и я решил проблему так:

в оснастке АД "Пользователи и Компьютеры"
создал учетку для сквида SQUIDService
и добавил ее в группу BUILTIN\Администраторы

и на самом сервере добавил в группу Администраторы

после создания кэша (squid -z) и регистрации как сервиса (squid -i)
настроил запуск сервиса от имени DOMAIN\SQUIDService
(которая получается Локальный Админ и Админ на Контроллерах Домена)

вот мой конфиг:
auth_param ntlm program c:/SQUID/libexec/mswin_ntlm_auth.exe -v -d
auth_param ntlm children 30
#
external_acl_type NT_global_group children=30 %LOGIN c:/SQUID/libexec/mswin_check_lm_group.exe -G -d
acl IoP external NT_global_group InternetOverProxy
acl Worktime time MTWHFA 08:00-19:00
acl all src all
#
http_access deny !Worktime
http_access allow IoP
http_access deny all
#
cache_mem 3 GB
maximum_object_size_in_memory 1 GB
cache_replacement_policy lru
memory_replacement_policy lru
minimum_object_size 0 KB
maximum_object_size 100 GB
cache_swap_low 0
cache_swap_high 100
#
cache_access_log c:/squid/var/logs/access.log squid
cache_log c:/squid/var/logs/cache.log
cache_store_log c:/squid/var/logs/store.log
pid_filename c:/squid/var/logs/pid.log
unlinkd_program c:/squid/libexec/unlinkd.exe
#
cache_mgr it@mubis.local
visible_hostname MUBIS
httpd_suppress_version_string on
http_port 192.168.0.4:3128
icp_port 0
htcp_port 0
coredump_dir c:/squid/var/cache
error_directory c:/squid/share/errors/Russian-1251

Помогите донаcтроить его для Оперы и Firefox.
При заходе на сайт нужно вводить логин\пароль в домене, пароль вводится правильно и сайт нормально работает через ИЕ. Но с Oперой и Файерфоксом выдается ошибка:

"HTTP Error 401.1 - Unauthorized: Access is denied due to invalid credentials.
Internet Information Services (IIS)"


настройки сквида взяты с этого же форума


Цитата:

auth_param ntlm program c://squid//libexec//mswin_ntlm_auth.exe
auth_param ntlm children 4
auth_param ntlm keep_alive on
auth_param basic program c://squid//libexec//mswin_auth.exe -O group.local
auth_param basic children 5
auth_param basic realm Squid proxy-caching web server
auth_param basic credentialsttl 2 hours
auth_param basic casesensitive off
external_acl_type NT_global_group %LOGIN c://squid//libexec//mswin_check_lm_group.exe -G -D group.local

acl password proxy_auth REQUIRED

во-первых у тебя IIS выдает ошибку а не сквид
судя по строке "...Internet Information Services (IIS)"

а во-вторых попробуй
auth_param basic program c://squid//libexec//mswin_auth.exe -O group.local
сделать

auth_param basic program c:/squid/libexec/mswin_auth.exe

ибо это программа аунтификации, а за запуск тебя в домен отвечает external_acl_type и и так далее
хотя я целью не ставил мозилов и оперов пускать, пусть ИЕ пользуются (он обновляется и политиками настраивается при необходимости)

GayunSN
Я сделал как ты написал, но это не помогло, думаю что дело где-то в сквиде потому что если его выключить и заходить напрямую всё работает

напрямую это как?
через NAT чтоли?

ну вот это у тебя не сквид ругается "...Internet Information Services (IIS)"

кстати проверил как у тебя - действительно не пускает, видимо NTLM аунтефикация срабатывает, а basic нет

здесь я тебе наверно не подскажу.

Цитата:

напрямую это как?

типа "direct connect", например в Файрфоксе в настройках сети поставить "без прокси" .

ну я так и понял что через маршрутизацию, через NAT

тебе надо как-то БАСИК авторизацию настроить
попробуй NTLM выключить пока
и чисто через басик попытаться
потом включишь назад

ниче не подскажу по делу.. позже сам буду делать, у меня через NTML айфон не хочет выходить пока вручную на каждой странице не введешь логин и пароль, а это муторно.

Здравствуйте.
Сразу о проблеме. Пытаюсь настроить squid по примерам из интернета и есть сложности.

В сети есть сервер (контроллер домена) windows 2003 где и стоит squidnt 27 stable 8

Вроде всё поставил, работает ( в интернет пускает).
Из установки в squid.conf заремил

# http_access deny all
в середине конфига и в конце добавил своё


Цитата:

# Установка аутентификации с использованием программы NTLM-авторизации.
auth_param ntlm program c:/squid/libexec/mswin_ntlm_auth.exe -v
auth_param ntlm children 25
# Установка аутентификации с использованием программы простой авторизации.
auth_param basic program c:/squid/libexec/mswin_auth.exe
auth_param basic children 5
# Установка приглашения для ввода логина и пароля для Basic-авторизации
auth_param basic realm Access to Internet
# Установка дополнительных параметров авторизации
auth_param basic credentialsttl 2 hours
authenticate_cache_garbage_interval 1 hour
authenticate_ttl 1 hour
authenticate_ip_ttl 0 seconds
# Установка проверки членства пользователя в группе
external_acl_type NT_global_group children=25 negative_ttl=0 %LOGIN c:/squid/libexec/mswin_check_lm_group.exe -G -d -c
# Установка правил (списков контроля доступа) для групп пользователей
acl ProxyUsers external NT_global_group InternetUsers
acl ProxyUsersRestrict external NT_global_group InternetUsersRestrict
acl password proxy_auth REQUIRED
# Установка стандартных правил для портов
#acl all src 0.0.0.0/0.0.0.0
#acl manager proto cache_object
#acl localhost src 127.0.0.1/255.255.255.255
#acl to_localhost dst 127.0.0.0/8
acl Safe_ports port 21 # ftp
acl Safe_ports port 70 # gopher
acl Safe_ports port 80 # http
acl Safe_ports port 210 # wais
acl Safe_ports port 280 # http-mgmt
acl Safe_ports port 443 # https
acl Safe_ports port 488 # gss-http
acl Safe_ports port 563 # snews
acl Safe_ports port 591 # filemaker
acl Safe_ports port 777 # multiling http
acl Safe_ports port 1863 # msn
acl Safe_ports port 2042 # mail.ru agent
acl Safe_ports port 5222 # jabber
acl Safe_ports port 5223 # jabber SSL
acl Safe_ports port 1025-65535 # unregistered ports
acl SSL_ports port 443 563 1863 2083 5222 8443
# Устанавливаем правило для метода connect
acl CONNECT method CONNECT
# IP-адреса компьютеров, с которых доступ осуществляется без авторизации (текстовый файл "C:/squid/etc/acls/allow.noauth.ip.acl" с IP-адресами)
# acl Advanced_Computers src "C:/squid/etc/acls/allow.noauth.ip.acl"
# IP-адреса компьютеров, для которых требуется авторизация пользователей (текстовый файл "C:/squid/etc/acls/allow.clients.ip.acl" с IP-адресами)
# acl Clients_Ip src "C:/squid/etc/acls/allow.clients.ip.acl"
# Правило, которое описывает адреса ограниченного списка сайтов (текстовый файл "C:/squid/etc/acls/allow.restrictedaccess.sites.acl" с регулярными выражениями)
acl Common_Resources url_regex "C:/squid/etc/acls/allow.restrictedaccess.sites.acl"
# Правило, которое описывает, что с ограниченного списка сайтов можно переходить по ссылкам (лучше не использовать)
acl ref_commonresources referer_regex -i regexp "C:/squid/etc/acls/allow.restrictedaccess.sites.acl"
# Секция, где определяется доступ
# Запрет на использование не разрешённых явно портов
http_access deny !Safe_ports
# Запрет на использование метода CONNECT для портов не указанных в списке SSL_ports
http_access deny CONNECT !SSL_ports
# Без запроса пароля предоставляется доступ компьютерам по правилу Advanced_Computers
# http_access allow Advanced_Computers
# Запросить пароль. Если пользователь попадает в список контроля доступа ProxyUsersRestrict и сайт - в Common_Resources, то дать доступ.
# http_access allow password ProxyUsersRestrict Common_Resources Clients_Ip
# Запросить пароль. Если пользователь попадает в список контроля доступа ProxyUsersRestrict и произошёл переход по ссылке с сайта ref_commonresources, то дать доступ
# http_access allow password ProxyUsersRestrict ref_commonresources Clients_Ip
# Запросить пароль. Если пользователь попадает в список контроля доступа ProxyUsers, то дать доступ.
# http_access allow password ProxyUsers Clients_Ip
# Список запрещённых URL.
acl Banner url_regex "C:/squid/etc/acls/bannerlist.conf"
# Список разрешенных URL.
# acl NoBanner url_regex "C:/squid/etc/acls/nobannerlist.conf"
# Список запрещенных сайтов.
acl denied_sites dstdomain "C:/squid/etc/acls/denied_ext.conf"
# Запретить все явно не разрешённые запросы
http_access deny all

Создал файл denied_ext.conf но чтобы я туда не писал, ничего не блокирует (службу перезапускал)

Реально на сервере 2 сетевые 192.168.0.1 255.255.255.0 и (интернет) 10.0.5.1 255.255.255.0

Надо на будущее блокировать, когда надо группу из домена в интернет, закрыть часть сайтов, сделать дозволенные всегда сайты.
Есть у провайдера прокси и желательно либо пользователю, либо IP машины во внутренней сети, т.е. не всем, дать возможность ходить через него. Прокси у наго с логином и паролем.

Vsevolod
Цитата:

Создал файл denied_ext.conf но чтобы я туда не писал, ничего не блокирует (службу перезапускал)

А где же у тебя сама блокировка?
Должно быть строка http_access deny denied_sites, и стоять она должна раньше той, что разрешает доступ авторизованным юзерам, поскольку сквид применяет акцесс-листы последовательно. Нашел совпадение - дальше не рассматривает.

Цитата:

Есть у провайдера прокси и желательно либо пользователю, либо IP машины во внутренней сети, т.е. не всем,  дать возможность ходить через него.

Проще настроить сквид, чтобы он использовал его как вышестоящий прокси.

Цитата:

Проще настроить сквид, чтобы он использовал его как вышестоящий прокси.

Не всем можно (нужно!) через него.


Цитата:

http_access deny denied_sites

сейчас постигну мысль и задам вопрос, если не выйдет

Цитата:

и стоять она должна раньше той, что разрешает доступ авторизованным юзерам

Я не понял, какая это строка, методом тыка не выходит

Vsevolod

Код: http_access deny CONNECT !SSL_ports
http_access deny !Clients_Ip
http_access deny denied_sites
http_access allow Advanced_Computers
http_access allow password ProxyUsers
http_access allow password ProxyUsersRestrict ref_commonresources
http_access deny all

Здравствуйте.

Есть проблема - squid упорно использует хелпер ntlm для basic авторизации.

конфиг в принципе такой


Код:
auth_param ntlm program c:/squid/libexec/mswin_ntlm_auth.exe -d -v
auth_param ntlm children 25

auth_param basic program c:/squid/libexec/mswin_auth.exe -O domen
auth_param basic children 5
auth_param basic realm Squid
auth_param basic credentialsttl 2 hours
auth_param basic casesensitive off

authenticate_cache_garbage_interval 1 hour
authenticate_ttl 1 hour
authenticate_ip_ttl 0 seconds

external_acl_type NT_group %LOGIN c:/squid/libexec/mswin_check_ad_group.exe -G -c

acl NT_group proxy_auth REQUIRED

sx1n90 Совершенно аналогичную проблему недавно в теме SQUID (только под *nix) описывал г-н Alukardd: Ссылка
Видимо, кривизна какая-то при применении сразу двух схем авторизации.

vlary
оО
а меня там убеждали в косяки 3-ей ветки...

Спасибо за ответы.

Выяснил еще одну деталь - если этот же squid запустить на win XP - все работает.
Получается бок в 2008 винде. Копаю дальше.

Добавлено:
Ну вроде разобрался.

Дело в том что мелкомягкие намутили с NTLM2 и теперь пока не создашь на клиентах в реестре в HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa параметр под названием LmCompatibilityLevel типа DWORD и присвоить ему значение “1"; (для Vista и выше). В инете на эту тему много сообщений, но все касаются ntlm-авторизации. У меня же ntlm работает без проблем, а вот basic без этого напильника не работает.

Добрый вечер. поиском не нашёл свою проблему. У меня при работе через SquidNT 3.0 все браузеры начинают задумываться и долго долго показывают пустую страницу. И лишь изредка открывается страница.
конфиг:

Цитата:

auth_param ntlm program c:/squid/libexec/mswin_ntlm_auth.exe -v
auth_param ntlm children 15
auth_param ntlm keep_alive on
external_acl_type NT_global_group children=15 negative_ttl=0 %LOGIN c:/squid/libexec/mswin_check_lm_group.exe -G -d -c
acl all src 0.0.0.0/0.0.0.0
acl localnet src 192.168.0.0/16
acl FULLACCESS external NT_global_group "c:/squid/etc/acl-group/fullaccess.txt"
acl password proxy_auth REQUIRED
http_access allow localnet password FULLACCESS
http_access deny all

кеш выключен.
ОС 2008 R2, Клиент 2008 R2
в логах поочередно то TCP_MISS/200, то TCP_DENIED/407
Сам прокси сервер на виртуальной машине.
хост core i7-2600 3.4 GHz 8 GB RAM (2 GB for VM)
Спасибо.