» Проблема с squidNT

Доброго времени суток!
Вот нашел на просторах нета GUI конфигуратор для SquidNT под Windows http://sourceforge.net/projects/squidconf/
Может кто возьмется русифицировать и далее развивать... для тех у кого сквид под виндой крутится полезная вещица.
Или может кто встречал другой GUI конфигуратор для SquidNT?

проблема следующая: настроил через acl dstdomain чтоб user ходили только на сайт vk.com, работает но сайт отображается без картинок, сбивается разбивка страницы и не пускает больше с этого сайта никуда в этом же домене, в чем причина поясните..
вот конфиг

#
acl user1 src 172.16.0.2/255.255.255.255
acl user2 src 172.16.0.3/255.255.255.255
acl user3 src 172.16.0.4/255.255.255.255
#
acl all src all
acl manager proto cache_object
acl localhost src 127.0.0.1/32
acl to_localhost dst 127.0.0.0/8 0.0.0.0/32
acl adult dstdom_regex vk
acl regexdomain dstdom_regex \.com$ \.net$ \.ru$
#
acl localnet src 10.0.0.0/8 # RFC1918 possible internal network
acl localnet src 172.16.0.0/12 # RFC1918 possible internal network
acl localnet src 192.168.0.0/16 # RFC1918 possible internal network
#


acl SSL_ports port 443 563
acl Safe_ports port 80 # http
acl Safe_ports port 21 # ftp
acl Safe_ports port 443 563 # https
acl Safe_ports port 70 # gopher
acl Safe_ports port 210 # wais
acl Safe_ports port 1025-65535 # unregistered ports
acl Safe_ports port 280 # http-mgmt
acl Safe_ports port 488 # gss-http
acl Safe_ports port 591 # filemaker
acl Safe_ports port 777 # multiling http
acl CONNECT method CONNECT
#

http_access deny CONNECT !user1
http_access allow user1 adult regexdomain
http_access deny user1
http_access allow user2
http_access allow user3
http_access allow localnet
http_access deny !Safe_ports
#
http_access deny all
#
icp_access allow localnet
icp_access deny all
#
http_port 3128
#
#icp_port 0
#htcp_port 0

#cache_mem 20 MB

hierarchy_stoplist cgi-bin ?
#
#
#ftp_user anon@anon.com
cache_replacement_policy lru
#
cache_dir ufs c:/squid/var/cache 100 16 256
#cache_dir awin32 d:/cache 100 16 256
#
max_open_disk_fds 0
#
minimum_object_size 0 KB
#
maximum_object_size 1024 KB
#
cache_swap_low 90
cache_swap_high 95
#
update_headers on
#
#
access_log c:/squid/var/logs/access.log common
#
logfile_daemon c:/squid/libexec/logfile-daemon.exe
#
cache_log c:/squid/var/logs/cache.log
#
cache_store_log c:/squid/var/logs/store.log
#
logfile_rotate 100
#
emulate_httpd_log off
#
log_ip_on_direct on
#
mime_table c:/squid/etc/mime.conf
#
log_mime_hdrs off
#
pid_filename c:/squid/var/logs/squid.pid
#
log_fqdn off
#
strip_query_terms on
#
buffered_logs off
#
refresh_pattern ^ftp: 1440 20% 10080
refresh_pattern ^gopher: 1440 0% 1440
refresh_pattern -i (/cgi-bin/|\?) 0 0% 0
refresh_pattern . 0 20% 4320
#
acl shoutcast rep_header X-HTTP09-First-Line ^ICY.[0-9]
upgrade_http0.9 deny shoutcast
#
acl apache rep_header Server ^Apache
broken_vary_encoding allow apache
#
#
delay_pools 3 # Всего 3 пула
delay_class 1 1 # 1й пул первого класса
delay_class 2 1 # 2й пул первого класса
delay_class 3 1 # 3й пул первого класса
#
delay_access 1 allow user1
delay_access 1 allow localhost
delay_access 1 deny all
delay_access 2 allow user2
delay_access 2 deny all
delay_access 3 allow user3
delay_access 3 deny all
delay_parameters 1 128000/128000 # 1m для admin
delay_parameters 2 64000/64000 # 512K для users
delay_parameters 3 32000/32000 # 256K для bad_users
#

Добавлено:
как сделать доступ только на один сайт vk.com, пробывал прописать через dstdomain работает но не отображаются картинки и разметка сайта сбита...

C vk.com не всё так просто, посмотри в access.log и разреши сопутствующие домены.

murlavik попробуй так
acl adult dstdomain .vk.com
http_access allow user1 adult

всем спасибо!!! все получилось, добавил разрешение на сопутствующий домен

acl adult dstdomain .vk.com .userapi.com
http_access allow user1 adult
http_access deny user1

привет. поставил squid-2.5.STABLE14-NT-bin-DELAY

Настроил squid.conf с авторизацие NTLM:


Код:
auth_param ntlm program c:/squid/libexec/win32_ntlm_auth.exe -v -d

auth_param ntlm children 30

#

external_acl_type NT_global_group children=30 %LOGIN c:/squid/libexec/win32_check_group.exe -G -d

#squid_proxy - группа в домене - так понял?
acl squid_users_group external NT_global_group squid_proxy

acl Worktime time MTWHFA 07:30-21:00

acl all src all

#

http_access deny !Worktime

http_access allow squid_users_group

http_access deny all

#

cache_mem 2 GB

maximum_object_size_in_memory 256 MB

cache_replacement_policy lru

memory_replacement_policy lru

minimum_object_size 0 KB

maximum_object_size 10 GB

cache_swap_low 0

cache_swap_high 100

#

cache_access_log c:/squid/var/logs/access.log squid

cache_log c:/squid/var/logs/cache.log

cache_store_log c:/squid/var/logs/store.log

pid_filename c:/squid/var/logs/pid.log

unlinkd_program c:/squid/libexec/unlinkd.exe

#

cache_mgr bdm

visible_hostname 192.168.2.5

#httpd_suppress_version_string on

http_port 192.168.2.5:3128

icp_port 0

htcp_port 0

coredump_dir D:/squid/cache

error_directory c:/squid/share/errors/Russian

repon
Цитата:

на машине с squid-ом запускается куча процессов win32_check_group.exe и win32_ntlm_auth.exe при старте СКУИДА.... даже до того, как подключаются пользователи....

Ты же сам поставил в конфиге параметр
auth_param ntlm children 30
Вот у тебя 30 процессов и запускается, вне зависимости от числа юзеров.
Не знаю, сколько у тебя там народа, но 2-3 процесса на 50 человек вполне достаточно.

Цитата:

Ты же сам поставил в конфиге параметр
auth_param ntlm children 30
Вот у тебя 30 процессов и запускается, вне зависимости от числа юзеров.
Не знаю, сколько у тебя там народа, но 2-3 процесса на 50 человек вполне достаточно.

я думал, что это макс возможное кол-во пользователей под NTLM авторизацией)
пользователей 100 максимум...
обычно одновременно 50-70 висят...

без NTLM=авторизации, с авторизацией по IP так же медленно работает интернет...

я squid-ом хочу USER_gate старый заменить... а-то новый не покупают (


Добавлено:

Цитата:

auth_param ntlm children 30

поставил

Код: auth_param ntlm children 5

repon
Цитата:

так же медленно работает интернет...

Что значит - медленно работает?
Зайди с клиента на http://www.speedtest.net и сделай проверку скорости через прокси.
Потом зайди туда непосредственно с сервака, где стоит squidNT, и померь скорость оттуда. Естественно, не включая прокси в эксплорере. Результаты - в студию.

через squid
http://www.speedtest.net/result/2124940322.png
http://www.speedtest.net/result/2124990527.png

через usergate
http://www.speedtest.net/result/2124982353.png
http://www.speedtest.net/result/2124984362.png

результаты противоречивые...

например ввожу адрес сайта - 2krota.ru,
1)без squid - загружается за 8 сек - вся страница с картинками - с очищенным до этого кэшем
2)с squid - загружается за 16 сек

Цитата:

cache_mem 2 GB

зачем так много? У тебя ОЗУ В 4 гига и хочешь отдать половину сквиду? Хватит и 512мб или 1 гиг коли ты гигантоман.

Цитата:

maximum_object_size 10 GB

ну явно гигантоман, уменьшай до нескольких мегов или даже килобайт

Цитата:

cache_store_log c:/squid/var/logs/store.log

А это зачем включил? В каментах написано же, что будет замедлять работу и забивать диск. Отключай сделав - none.

Цитата:

acl all src all

Это еще что за галиматья? В cache.log явно есть ругачки на этот счет - исправляй.

Не вижу опции размера кэша на диске, где он? Если он тоже у тебя в несколько гигов, то тоже будет тормозить работу, делай кэш на диске 1-2 гига не более. А лучше вообще его отключить.

repon Как то я не увидел сильного замедления скорости.

Замедления в тесте правда не видно.... непонятно почему....

переписал немного настройки...


Код:
auth_param ntlm program c:/squid/libexec/win32_ntlm_auth.exe -v -d

#3-процессов на 100 чел хватит)
auth_param ntlm children 3
auth_param ntlm max_challenge_reuses 0
auth_param ntlm max_challenge_lifetime 2 minutes
auth_param ntlm use_ntlm_negotiate on


#children=3 - 3 процессов хватит на 100 чел
external_acl_type NT_global_group children=3 %LOGIN c:/squid/libexec/win32_check_group.exe -G -d

# ACL - Access Control List. Списки доступа к нашему прокси серверу.
# Здесь мы указываем кто имеет право, а кто нет, использовать наш прокси.
acl squid_users_group external NT_global_group squid_proxy
acl all src all

http_reply_access allow all
#12-20 http_access deny all



#---OGRANI4IVAEM DOSTUP---
# полный доступ
# acl full-access src 192.168.2.21

#zakrit dostup s 8 do 20 krome obeda
acl work_time time 08:00-13:00 14:00-20:00

acl bad_url url_regex "c:/squid/acl/bad_url.txt"
acl social url_regex "c:/squid/acl/social.txt"
acl upload url_regex "c:/squid/acl/upload.txt"
acl filetypes urlpath_regex -i "c:/squid/acl/filetypes.txt"
acl baners urlpath_regex -i "c:/squid/acl/baners.txt"

http_access deny social work_time squid_users_group
http_access deny bad_url squid_users_group
http_access deny upload squid_users_group
http_access deny filetypes squid_users_group

#---OGRANI4IVAEM DOSTUP---


http_access allow squid_users_group

#– увеличиваем в 2 раза, а то и больше – так как хранятся здесь наиболее частые ответы кэша
#2 GB - попробовать больше 128 поставить
cache_mem 128 MB

maximum_object_size_in_memory 256 MB

cache_replacement_policy lru
memory_replacement_policy lru

minimum_object_size 0 KB

#10 GB
#(максимальный размер кешируемого объекта; если его увеличишь, то съэкономишь трафик, если уменьшишь, то странички быстрее грузиться будут - хотя можно просто увеличить размер кеша; максимальный размер объекта, который удалось за раз скачать по модему - 8 MB)
maximum_object_size 4096 KB

#процесс удаления старых объектов заканчивается, если достигнут данный уровень
cache_swap_low 90

#при достижении данного уровня заполнения кеша - в процентах - начинается ускоренный процесс удаления старых объектов; для большого кеша эти границы надо поднять, 5% от 8 GB - это 400 MB!
cache_swap_high 99

#bdm - icp_port 3130 (если соседей не ожидается, то поставить "icp_port 0")
icp_port 0

dns_nameservers 217.23.80.2 217.23.80.4

#– храним здесь ответы DNS сервера поэтому не экономим
fqdncache_size 4096

cache_access_log c:/squid/var/logs/access.log squid
cache_log c:/squid/var/logs/cache.log
pid_filename c:/squid/var/logs/pid.log
unlinkd_program c:/squid/libexec/unlinkd.exe
cache_store_log none

# Прописываем расположение директории, в которой будет хранится наш кэш:
# – буква диска может меняться, awin32 позволяет асинхронно работать с дисковым кэшем, что увеличивает быстродействие по сравнению с ufs
cache_dir awin32 c:/squid/var/cache 10240 16 256

visible_hostname 192.168.2.5
http_port 3128
https_port 3128

error_directory c:/squid/share/errors/Russian

repon
Добавьте как Вы еще один acl — acl authorized proxy_auth REQUIRED
И добавьте еще одно правило доступа самым первым! — http_access deny !authorized
Что бы зарубить всех не авторизованных пользователей, просто есть смутное подозрение, что они у Вас как-то странно авторизацию проходят.

Цитата:

repon
Добавьте как Вы еще один acl — acl authorized proxy_auth REQUIRED
И добавьте еще одно правило доступа самым первым! — http_access deny !authorized
Что бы зарубить всех не авторизованных пользователей, просто есть смутное подозрение, что они у Вас как-то странно авторизацию проходят.

Спасибо за помощь )

вот часть squid.conf :


Код:
auth_param ntlm program c:/squid/libexec/win32_ntlm_auth.exe -v -d

auth_param ntlm children 5
auth_param ntlm max_challenge_reuses 0
auth_param ntlm max_challenge_lifetime 2 minutes
auth_param ntlm use_ntlm_negotiate on

external_acl_type NT_global_group children=5 %LOGIN c:/squid/libexec/win32_check_group.exe -G -d

acl squid_users_group external NT_global_group squid_proxy
acl all src all

#авторизовазованные пользователи
acl authorized proxy_auth REQUIRED

acl work_time time 08:00-13:00 14:00-20:00

acl bad_url url_regex "c:/squid/acl/bad_url.txt"
acl social url_regex "c:/squid/acl/social.txt"
acl upload url_regex "c:/squid/acl/upload.txt"
acl filetypes urlpath_regex -i "c:/squid/acl/filetypes.txt"
acl baners urlpath_regex -i "c:/squid/acl/baners.txt"

#для всех запрещено, кроме авторизованных
http_access deny !authorized

http_access deny social work_time squid_users_group
http_access deny bad_url squid_users_group
http_access deny upload squid_users_group
http_access deny filetypes squid_users_group

http_reply_access allow all

http_access allow squid_users_group

repon Вы внимательно читаете ответы на ваши вопросы? Судя по всему - нет, также как и лог сквида cache.log, в котором вам сообщается об ошибках. На этой же странице несколькими постами выше я вам уже писал по поводу:

Цитата:

acl all src all

Верни как было - acl all src 0.0.0.0/0.0.0.0
и не только об этом акселе писал.

Цитата:

acl all src all

я помню про это. пробовал удалить... выдает ошибку)


Цитата:

и не только об этом акселе писал.

какой акселе?) - все советы я учел и добавил acl authorized proxy_auth REQUIRED
и это - http_access deny !authorized - правило первым поставил)

кэш на диске указал, всю гигантоманию исправил) кол-во чилдренов уменьшил

repon
Цитата:

пробовал удалить... выдает ошибку)

не удалить, а написать как сказал т. ipmanyak — acl all src 0.0.0.0/0.0.0.0

Цитата:

но при заходе на них, все-равно прокси запрашивает авторизацию((

авторизацию он должен запрашивать всегда, не зависимо от того на какие сайты они идут. Если он просит авторизации, значит ваша прозрачная не работает.

cache.log - при старте, до залогинивания пользователей на нем - все ок. ошибок нет.

после ntml аутентификации появляются записи, типа:


Код:
ntlm-auth[1568]: attempting SSPI challenge retrieval
ntlm-auth[1568]: Got it
ntlm-auth[1568]: sending 'TT' to squid with data:
[0000] 4E 54 4C 4D 53 53 50 00 02 00 00 00 0C 00 0C 00 NTLMSSP. ........
[0010] 38 00 00 00 05 82 89 A2 2F 71 5A 0C 84 67 3E 3F 8....... .qZ..g..
[0020] 00 00 00 00 00 00 00 00 4C 00 4C 00 44 00 00 00 ........ L.L.D...
[0030] 05 02 CE 0E 00 00 00 0F 4B 00 49 00 4D 00 53 00 ........ K.I.M.S.
[0040] 41 00 52 00 02 00 0C 00 4B 00 49 00 4D 00 53 00 A.R..... K.I.M.S.
[0050] 41 00 52 00 01 00 08 00 49 00 4E 00 45 00 54 00 A.R..... I.N.E.T.
[0060] 04 00 0C 00 6B 00 69 00 6D 00 73 00 61 00 72 00 ....k.i. m.s.a.r.
[0070] 03 00 08 00 69 00 6E 00 65 00 74 00 05 00 0C 00 ....i.n. e.t.....
[0080] 6B 00 69 00 6D 00 73 00 61 00 72 00 00 00 00 00 k.i.m.s. a.r.....
ntlm-auth[3224]: Got 'KK' from Squid with data:
[0000] 4E 54 4C 4D 53 53 50 00 03 00 00 00 18 00 18 00 NTLMSSP. ........
[0010] 68 00 00 00 18 00 18 00 80 00 00 00 0C 00 0C 00 h....... ........
[0020] 48 00 00 00 06 00 06 00 54 00 00 00 0E 00 0E 00 H....... T.......
[0030] 5A 00 00 00 00 00 00 00 98 00 00 00 05 82 88 A2 Z....... ........
[0040] 05 01 28 0A 00 00 00 0F 4B 00 49 00 4D 00 53 00 ........ K.I.M.S.
[0050] 41 00 52 00 62 00 64 00 6D 00 4B 00 33 00 31 00 A.R.b.d. m.K.3.1.
[0060] 31 00 42 00 44 00 4D 00 FF 1A B9 AD 18 36 8B 1D 1.B.D.M. .....6..
[0070] 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 ........ ........
[0080] 75 C0 EB 7E 3B 0F A4 82 07 46 AC 03 A9 CB 53 C9 u....... .F....S.
[0090] 7B D3 6D 0A 6C 0C 34 8A 00 ..m.l.4. .
ntlm-auth[3224]: checking domain: 'KIMSAR', user: 'bdm'
ntlm-auth[3224]: Login attempt had result 1
ntlm-auth[3224]: credentials: KIMSAR\bdm
ntlm-auth[3224]: sending 'AF kimsar\bdm' to squid
ntlm-auth[1568]: Got 'KK' from Squid with data:
[0000] 4E 54 4C 4D 53 53 50 00 03 00 00 00 18 00 18 00 NTLMSSP. ........
[0010] 68 00 00 00 18 00 18 00 80 00 00 00 0C 00 0C 00 h....... ........
[0020] 48 00 00 00 06 00 06 00 54 00 00 00 0E 00 0E 00 H....... T.......
[0030] 5A 00 00 00 00 00 00 00 98 00 00 00 05 82 88 A2 Z....... ........
[0040] 05 01 28 0A 00 00 00 0F 4B 00 49 00 4D 00 53 00 ........ K.I.M.S.
[0050] 41 00 52 00 62 00 64 00 6D 00 4B 00 33 00 31 00 A.R.b.d. m.K.3.1.
[0060] 31 00 42 00 44 00 4D 00 F2 19 A6 1B 0C 45 9B 18 1.B.D.M. .....E..
[0070] 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 ........ ........
[0080] A1 7D 0A 3A 77 85 4D 10 B5 C5 F0 73 02 35 69 3D ....w.M. ...s.5i.
[0090] CC 3E CC FF 5D 1D 7D C7 00 ........ .

repon
Цитата:

из него видно, что пользователь kimsar\bdm залогинился и пытается че-то сделать) так?

боюсь что не так... Код возврата при успехе дефакто 0, а не 1. К тому же, если придерживаться этой теории, то sending 'AF kimsar\bdm' to squid значит Auth Failure.

По идеи последним правилом доступа должно быть http_access deny all
А каким бразуером пользуется клиент?

Цитата:

А каким бразуером пользуется клиент?

Хром - на нем пробовал...
а вообще мозилла, хром и ИЕ будут

Добавлено:

Цитата:

http_access deny all

у меня это правило было закомментировано.

попробовал сделать его последним...

такой же результат:

Код: ntlm-auth[3728]: Login attempt had result 1

ап

repon Родной, ты за два года ни разу правила не удосужился прочесть?
Здесь такое не принято.
Цитата:

2.8.Запрещена публикация неинформативных сообщений (флуд), включая, но не ограничиваясь:
................................
2.8.3.подъем темы. А именно, публикацию сообщений, имеющих целью лишь подъем темы в списке и при этом не несущих смысловой нагрузки, например: «ну так что, никто не знает?»

Задал вопрос - сиди жди, здесь не горсправка.
Иначе заработаешь у модератора пожизненный цих с гвоздями.

vlary
У кого-то тяпница еще не началась или уже не удалась?)

repon
Та хз, с ваших слов всё было и пушисто, но авторизацию как-то херово народ проходит. Мб это косяк ntlmauth в винде. Глядя на вашу инфу мыслей больше нету.

Цитата:

Задал вопрос - сиди жди, здесь не горсправка.
Иначе заработаешь у модератора пожизненный цих с гвоздями.

ок. извиняюсь

с настройками разобрался... переписал.

еще трабл появился
подскажете?


Код: auth_param ntlm program c:/squid/libexec/mswin_ntlm_auth.exe
auth_param ntlm children 5
auth_param basic program c:/squid/libexec/mswin_auth.exe -O kimsar
auth_param basic children 5

repon
Эти люди случайны или всегда одни и те же? Кальмар на windows server поднят или десктопной?
Процессов должно хватать за глаза.

TCP_DENIED/407 - это нормальное поведение для аутентификации через NTLM для клиентов с MSIE.
Так же укажи какой протокол следует юзать mswin_ntlm_auth.exe --helper-protocol=squid-2.5-ntlmssp.

Вообще squidNT с NTLM авторизацией это зло. Даёшь шлюз на nix'ах!

Цитата:

Эти люди случайны или всегда одни и те же? Кальмар на windows server поднят или десктопной?

поднят на windows server 2003
понять одни пользователи или разные - не успел понять... потому как надо было работать всем , кого не пускал - пока остановил squid на этом порту, вернул старый прокси....


Цитата:

TCP_DENIED/407 - это нормальное поведение для аутентификации через NTLM для клиентов с MSIE.

эти ошибки на IE, FF, Chrome - т.е. у пользователя с ошибкой доступа - ни один браузер не пускает...


Цитата:

Так же укажи какой протокол следует юзать mswin_ntlm_auth.exe --helper-protocol=squid-2.5-ntlmssp.

просто дописать?


Цитата:

Даёшь шлюз на nix'ах!

- не уммею)

repon
Цитата:

- не уммею)

учись)
Цитата:

просто дописать?

да, дописать в строку с прогой хелпер.

Цитата:

да, дописать в строку с прогой хелпер.

спасибо. дописал. тестирую....

еще вопрос есть)
когда делаю ЭТО:

Код: c:\squid\sbin\squid -X -D 9 -f C:\squid\etc\squid.conf