repon
Та хз) У меня нету SquidNT... А зачем -D 9, если и так -X написали?
Та хз) У меня нету SquidNT... А зачем -D 9, если и так -X написали?
» Проблема с squidNT
Цитата:
Та хз) У меня нету SquidNT... А зачем -D 9, если и так -X написали?
c:\squid\sbin\squid -X -f C:\squid\etc\squid.conf
тоже засыпает на
Код: 2012/09/03 17:22:09| leave_suid: PID 5880 called
repon
Да что засыпает это к этому не относится... Видимо он просто не демонизируется (остаётся висеть в фоне, а не уходит в бэкграунд). Если Вы нажимаете Ctrl+C, то процесс завершается или нет (я имею ввиду, продолжает ли работать кальмар или тоже умирает)?
Если писать -X это и так заставляет его вывалить все возможные сообщения на экран.
Да что засыпает это к этому не относится... Видимо он просто не демонизируется (остаётся висеть в фоне, а не уходит в бэкграунд). Если Вы нажимаете Ctrl+C, то процесс завершается или нет (я имею ввиду, продолжает ли работать кальмар или тоже умирает)?
Если писать -X это и так заставляет его вывалить все возможные сообщения на экран.
Цитата:
repon
Да что засыпает это к этому не относится... Видимо он просто не демонизируется (остаётся висеть в фоне, а не уходит в бэкграунд). Если Вы нажимаете Ctrl+C, то процесс завершается или нет (я имею ввиду, продолжает ли работать кальмар или тоже умирает)?
Если писать -X это и так заставляет его вывалить все возможные сообщения на экран.
я и так его прерываю Ctrl+C на этом шаге, дальше стартую squid. стартует нормально.
еще проблемка)
конфиг:
Код:
# squid 2.7
http_port 192.168.2.5:8888 transparent
icp_port 0
htcp_port 0
dns_nameservers 217.23.80.2 217.23.80.4
# OPTIONS WHICH AFFECT THE NEIGHBOR SELECTION ALGORITHM
# -----------------------------------------------------------------------------
# TAG: no_cache
#We recommend you to use the following two lines.
acl QUERY urlpath_regex cgi-bin \?
acl icq urlpath_regex login.icq.com
no_cache deny QUERY
no_cache deny icq
acl apache rep_header Server ^Apache
broken_vary_encoding allow apache
# OPTIONS WHICH AFFECT THE CACHE SIZE
# -----------------------------------------------------------------------------
cache_mem 128 MB
cache_swap_low 90
cache_swap_high 95
maximum_object_size 8192 KB
minimum_object_size 0 KB
maximum_object_size_in_memory 8 KB
ipcache_size 4096
ipcache_low 90
ipcache_high 95
fqdncache_size 4096
cache_replacement_policy lru
memory_replacement_policy lru
# LOGFILE PATHNAMES AND CACHE DIRECTORIES
# -----------------------------------------------------------------------------
# cache_dir aufs c:/squid/var/cache 4096 16 256
cache_dir ufs c:/squid/var/cache 4096 16 256
access_log c:/squid/var/logs/access.log
cache_log none
cache_store_log none
emulate_httpd_log off
log_ip_on_direct on
mime_table c:/squid/etc/mime.conf
log_mime_hdrs off
pid_filename c:/squid/var/logs/squid.pid
debug_options ALL,1
log_fqdn off
# OPTIONS FOR EXTERNAL SUPPORT PROGRAMS
# -----------------------------------------------------------------------------
ftp_user repon06@ya.ru
ftp_list_width 64
ftp_passive on
ftp_sanitycheck on
# hosts_file c:/windows/system32/drivers/etc/hosts
unlinkd_program c:/squid/libexec/unlinkd.exe
# url_rewrite_program c:/squid/sbin/redirector.exe c:/squid/etc/redirector.conf
# url_rewrite_children 5
authenticate_cache_garbage_interval 30 minutes
authenticate_ttl 30 minutes
auth_param ntlm program c:/squid/libexec/mswin_ntlm_auth.exe --helper-protocol=squid-2.7-ntlmssp
# auth_param ntlm program c:/squid/libexec/mswin_ntlm_auth.exe
auth_param ntlm children 5
auth_param ntlm keep_alive on
auth_param basic program c:/squid/libexec/mswin_auth.exe -O kimsar
auth_param basic children 5
auth_param basic realm Autosphere Squid proxy-server
auth_param basic credentialsttl 2 hours
auth_param basic casesensitive on
external_acl_type NT_global_group %LOGIN c:/squid/libexec/mswin_check_lm_group.exe -G
# OPTIONS FOR TUNING THE CACHE
# -----------------------------------------------------------------------------
request_header_max_size 20 KB
request_body_max_size 0 KB
# TAG: refresh_pattern
#Suggested default:
refresh_pattern ^ftp: 1440 20% 10080
refresh_pattern ^gopher: 1440 0% 1440
refresh_pattern . 0 20% 4320
quick_abort_min 16 KB
quick_abort_max 16 KB
quick_abort_pct 95
negative_ttl 1 minute
positive_dns_ttl 6 hours
negative_dns_ttl 5 minutes
range_offset_limit 0 KB
# TIMEOUTS
# -----------------------------------------------------------------------------
connect_timeout 2 minutes
read_timeout 15 minutes
request_timeout 5 minutes
persistent_request_timeout 1 minute
client_lifetime 8 hours
half_closed_clients off
pconn_timeout 120 seconds
ident_timeout 10 seconds
shutdown_lifetime 30 seconds
# ACCESS CONTROLS
# -----------------------------------------------------------------------------
acl all src 0.0.0.0/0.0.0.0
acl localhost src 127.0.0.1/255.255.255.255
acl to_localhost dst 127.0.0.0/8
acl SSL_ports port 443 563 5190 15100
acl Safe_ports port 8332 # bitcoin
acl Safe_ports port 80 # http
acl Safe_ports port 110 21 25 3389 # smtp, udal rab stol
acl Safe_ports port 21 # ftp
acl Safe_ports port 443 563 # https, snews
acl Safe_ports port 70 # gopher
acl Safe_ports port 210 # wais
acl Safe_ports port 1025-65535 # unregistered ports
acl Safe_ports port 280 # http-mgmt
acl Safe_ports port 488 # gss-http
acl Safe_ports port 591 # filemaker
acl Safe_ports port 777 # multiling http
acl CONNECT method CONNECT
acl icq_proto proto HTTPS
acl DomainUsers external NT_global_group "c:/squid/etc/Domain_Users.list" #список групп "Domain Users"
acl SquidProxyUsers external NT_global_group squid_proxy # группа squid_proxy в домене с доступом
acl SquidProxyICQUsers external NT_global_group squid_proxy # группа в домене с доступом только к аське
acl tlt_ip dst "c:/squid/etc/tlt_ip.list"
acl local_ip dst "c:/squid/etc/local_ip.list"
acl icq_servers dst "c:/squid/etc/icq_servers.list"
acl password proxy_auth REQUIRED
# TAG: http_access
# Allowing or Denying access based on defined access lists
http_access deny to_localhost
http_access allow password CONNECT SquidProxyUsers SSL_ports
http_access allow password CONNECT SquidProxyICQUsers icq_servers SSL_ports
http_access allow password CONNECT DomainUsers tlt_ip SSL_ports
http_access allow password CONNECT DomainUsers local_ip SSL_ports
http_access deny all CONNECT
# запрещены все, кроме этих портов
http_access deny !Safe_ports
http_access allow password DomainUsers tlt_ip
http_access allow password DomainUsers local_ip
http_access allow password SquidProxyUsers
http_access deny all
# TAG: http_reply_access
# Allow replies to client requests. This is complementary to http_access.
http_reply_access allow all
icp_access deny all
miss_access allow all
# ADMINISTRATIVE PARAMETERS
# -----------------------------------------------------------------------------
cache_mgr repon06@ya.ru
cache_effective_user nobody
cache_effective_group none
visible_hostname Autosphere Proxy Server
# OPTIONS FOR THE CACHE REGISTRATION SERVICE
# -----------------------------------------------------------------------------
announce_period 0
# MISCELLANEOUS
# -----------------------------------------------------------------------------
memory_pools off
forwarded_for on
log_icp_queries off
cachemgr_passwd lesssssssecret shutdown
cachemgr_passwd lesssssssecret info stats/objects
cachemgr_passwd disable all
store_avg_object_size 9 KB
client_db on
reload_into_ims off
icon_directory c:/squid/share/icons
short_icon_urls off
error_directory c:/squid/share/errors/Russian-1251
maximum_single_addr_tries 1
snmp_port 0
offline_mode off
uri_whitespace strip
strip_query_terms on
coredump_dir c:/squid/var/cache
redirector_bypass off
ignore_unknown_nameservers on
client_persistent_connections on
server_persistent_connections on
balance_on_multiple_ip on
request_entities off
high_response_time_warning 0
high_page_fault_warning 0
high_memory_warning 0
конфиг:
Код:
# squid 2.7
http_port 192.168.2.5:8888 transparent
icp_port 0
htcp_port 0
dns_nameservers 217.23.80.2 217.23.80.4
# OPTIONS WHICH AFFECT THE NEIGHBOR SELECTION ALGORITHM
# -----------------------------------------------------------------------------
# TAG: no_cache
#We recommend you to use the following two lines.
acl QUERY urlpath_regex cgi-bin \?
acl icq urlpath_regex login.icq.com
no_cache deny QUERY
no_cache deny icq
acl apache rep_header Server ^Apache
broken_vary_encoding allow apache
# OPTIONS WHICH AFFECT THE CACHE SIZE
# -----------------------------------------------------------------------------
cache_mem 128 MB
cache_swap_low 90
cache_swap_high 95
maximum_object_size 8192 KB
minimum_object_size 0 KB
maximum_object_size_in_memory 8 KB
ipcache_size 4096
ipcache_low 90
ipcache_high 95
fqdncache_size 4096
cache_replacement_policy lru
memory_replacement_policy lru
# LOGFILE PATHNAMES AND CACHE DIRECTORIES
# -----------------------------------------------------------------------------
# cache_dir aufs c:/squid/var/cache 4096 16 256
cache_dir ufs c:/squid/var/cache 4096 16 256
access_log c:/squid/var/logs/access.log
cache_log none
cache_store_log none
emulate_httpd_log off
log_ip_on_direct on
mime_table c:/squid/etc/mime.conf
log_mime_hdrs off
pid_filename c:/squid/var/logs/squid.pid
debug_options ALL,1
log_fqdn off
# OPTIONS FOR EXTERNAL SUPPORT PROGRAMS
# -----------------------------------------------------------------------------
ftp_user repon06@ya.ru
ftp_list_width 64
ftp_passive on
ftp_sanitycheck on
# hosts_file c:/windows/system32/drivers/etc/hosts
unlinkd_program c:/squid/libexec/unlinkd.exe
# url_rewrite_program c:/squid/sbin/redirector.exe c:/squid/etc/redirector.conf
# url_rewrite_children 5
authenticate_cache_garbage_interval 30 minutes
authenticate_ttl 30 minutes
auth_param ntlm program c:/squid/libexec/mswin_ntlm_auth.exe --helper-protocol=squid-2.7-ntlmssp
# auth_param ntlm program c:/squid/libexec/mswin_ntlm_auth.exe
auth_param ntlm children 5
auth_param ntlm keep_alive on
auth_param basic program c:/squid/libexec/mswin_auth.exe -O kimsar
auth_param basic children 5
auth_param basic realm Autosphere Squid proxy-server
auth_param basic credentialsttl 2 hours
auth_param basic casesensitive on
external_acl_type NT_global_group %LOGIN c:/squid/libexec/mswin_check_lm_group.exe -G
# OPTIONS FOR TUNING THE CACHE
# -----------------------------------------------------------------------------
request_header_max_size 20 KB
request_body_max_size 0 KB
# TAG: refresh_pattern
#Suggested default:
refresh_pattern ^ftp: 1440 20% 10080
refresh_pattern ^gopher: 1440 0% 1440
refresh_pattern . 0 20% 4320
quick_abort_min 16 KB
quick_abort_max 16 KB
quick_abort_pct 95
negative_ttl 1 minute
positive_dns_ttl 6 hours
negative_dns_ttl 5 minutes
range_offset_limit 0 KB
# TIMEOUTS
# -----------------------------------------------------------------------------
connect_timeout 2 minutes
read_timeout 15 minutes
request_timeout 5 minutes
persistent_request_timeout 1 minute
client_lifetime 8 hours
half_closed_clients off
pconn_timeout 120 seconds
ident_timeout 10 seconds
shutdown_lifetime 30 seconds
# ACCESS CONTROLS
# -----------------------------------------------------------------------------
acl all src 0.0.0.0/0.0.0.0
acl localhost src 127.0.0.1/255.255.255.255
acl to_localhost dst 127.0.0.0/8
acl SSL_ports port 443 563 5190 15100
acl Safe_ports port 8332 # bitcoin
acl Safe_ports port 80 # http
acl Safe_ports port 110 21 25 3389 # smtp, udal rab stol
acl Safe_ports port 21 # ftp
acl Safe_ports port 443 563 # https, snews
acl Safe_ports port 70 # gopher
acl Safe_ports port 210 # wais
acl Safe_ports port 1025-65535 # unregistered ports
acl Safe_ports port 280 # http-mgmt
acl Safe_ports port 488 # gss-http
acl Safe_ports port 591 # filemaker
acl Safe_ports port 777 # multiling http
acl CONNECT method CONNECT
acl icq_proto proto HTTPS
acl DomainUsers external NT_global_group "c:/squid/etc/Domain_Users.list" #список групп "Domain Users"
acl SquidProxyUsers external NT_global_group squid_proxy # группа squid_proxy в домене с доступом
acl SquidProxyICQUsers external NT_global_group squid_proxy # группа в домене с доступом только к аське
acl tlt_ip dst "c:/squid/etc/tlt_ip.list"
acl local_ip dst "c:/squid/etc/local_ip.list"
acl icq_servers dst "c:/squid/etc/icq_servers.list"
acl password proxy_auth REQUIRED
# TAG: http_access
# Allowing or Denying access based on defined access lists
http_access deny to_localhost
http_access allow password CONNECT SquidProxyUsers SSL_ports
http_access allow password CONNECT SquidProxyICQUsers icq_servers SSL_ports
http_access allow password CONNECT DomainUsers tlt_ip SSL_ports
http_access allow password CONNECT DomainUsers local_ip SSL_ports
http_access deny all CONNECT
# запрещены все, кроме этих портов
http_access deny !Safe_ports
http_access allow password DomainUsers tlt_ip
http_access allow password DomainUsers local_ip
http_access allow password SquidProxyUsers
http_access deny all
# TAG: http_reply_access
# Allow replies to client requests. This is complementary to http_access.
http_reply_access allow all
icp_access deny all
miss_access allow all
# ADMINISTRATIVE PARAMETERS
# -----------------------------------------------------------------------------
cache_mgr repon06@ya.ru
cache_effective_user nobody
cache_effective_group none
visible_hostname Autosphere Proxy Server
# OPTIONS FOR THE CACHE REGISTRATION SERVICE
# -----------------------------------------------------------------------------
announce_period 0
# MISCELLANEOUS
# -----------------------------------------------------------------------------
memory_pools off
forwarded_for on
log_icp_queries off
cachemgr_passwd lesssssssecret shutdown
cachemgr_passwd lesssssssecret info stats/objects
cachemgr_passwd disable all
store_avg_object_size 9 KB
client_db on
reload_into_ims off
icon_directory c:/squid/share/icons
short_icon_urls off
error_directory c:/squid/share/errors/Russian-1251
maximum_single_addr_tries 1
snmp_port 0
offline_mode off
uri_whitespace strip
strip_query_terms on
coredump_dir c:/squid/var/cache
redirector_bypass off
ignore_unknown_nameservers on
client_persistent_connections on
server_persistent_connections on
balance_on_multiple_ip on
request_entities off
high_response_time_warning 0
high_page_fault_warning 0
high_memory_warning 0
repon
Цитата:
Правила у Вас, конечно, ужасно написаны. Вместо того что бы в каждом правиле указывать, что пользователь должен быть авторизован, проще в начале запретить не авторизованных одни раз и всё — http_access deny !password
Цитата:
http_port 192.168.2.5:8888 transparentа как у вас в кальмара трафик попадает? Если transparent, то Вы должны его туда redirect'ить. Или в браузерах жёстко прописан адрес прокси, тогда зачем transparent? Если всё же трафик туда заворачивается с обычных портов firewall'ом, то с SSL вообще такое не прокатит.
Правила у Вас, конечно, ужасно написаны. Вместо того что бы в каждом правиле указывать, что пользователь должен быть авторизован, проще в начале запретить не авторизованных одни раз и всё — http_access deny !password
Цитата:
а как у вас в кальмара трафик попадает? Если transparent, то Вы должны его туда redirect'ить. Или в браузерах жёстко прописан адрес прокси, тогда зачем transparent? Если всё же трафик туда заворачивается с обычных портов firewall'ом, то с SSL вообще такое не прокатит.
Правила у Вас, конечно, ужасно написаны. Вместо того что бы в каждом правиле указывать, что пользователь должен быть авторизован, проще в начале запретить не авторизованных одни раз и всё — http_access deny !password
под редиректором я подразумевал - режика
1)в браузерах прописаны прокси, удалил transparent.
2)
Добавлено:
если добавлю правило
http_access deny !password
то эти удалять
Код: http_access deny to_localhost
http_access allow password CONNECT SquidProxyUsers SSL_ports
http_access allow password CONNECT SquidProxyICQUsers icq_servers SSL_ports
http_access allow password CONNECT DomainUsers tlt_ip SSL_ports
http_access allow password CONNECT DomainUsers local_ip SSL_ports
http_access deny all CONNECT
# запрещены все, кроме этих портов
http_access deny !Safe_ports
http_access allow password DomainUsers tlt_ip
http_access allow password DomainUsers local_ip
http_access allow password SquidProxyUsers
http_access deny all
repon
Дык махинации с !password и не должны были её решить, это просто конфиг упрощает и приводит к более читабельному виду.
А другие SSL сайт корректно работают при этом?
А вообще https://xiva-daria.mail.yandex.net/ возвращает 403 Forbidden, так что...
p.s. Пожалуйста прячьте Ваши конфиги нереальных размеров в тэг [no][more=тут мой конфиг][/more][/no]
Дык махинации с !password и не должны были её решить, это просто конфиг упрощает и приводит к более читабельному виду.
А другие SSL сайт корректно работают при этом?
А вообще https://xiva-daria.mail.yandex.net/ возвращает 403 Forbidden, так что...
p.s. Пожалуйста прячьте Ваши конфиги нереальных размеров в тэг [no][more=тут мой конфиг][/more][/no]
Цитата:
А другие SSL сайт корректно работают при этом?
А вообще https://xiva-daria.mail.yandex.net/ возвращает 403 Forbidden, так что...
p.s. Пожалуйста прячьте Ваши конфиги нереальных размеров в тэг [more=тут мой конфиг][/more]
сорри. искал тег типа "spoler", не нашел((
больше окно авторизации ни на каких сайтах не выходит и ошибки этой не наблюдается(((
сайты https все корретно работают) пробовал на госуслугах и тп
попытка заблокировать https://xiva-daria.mail.yandex.net режиком - не дает результата..
repon
Ну хз...
Включайте отладочную информацию.
debug_option ALL,1 28,9
После запятой уровень дебага, перед — номер секции.
И пробуйте войти, лог если сами не прочитаете, в студию.
Ну хз...
Включайте отладочную информацию.
debug_option ALL,1 28,9
После запятой уровень дебага, перед — номер секции.
И пробуйте войти, лог если сами не прочитаете, в студию.
2 Alukardd
спасибо. можно на "ты")
включил отлад. информацию... debug_option ALL,1 28,9
//section 28 Access Control , а "9" - что значит?
я так понял, ее надо смотреть в cache_store_log.log ???
[more=ошибки cache_store_log.log]
1348123095.470 RELEASE -1 FFFFFFFF F0BE262DEF48F803037698C1ADDC5235 407 1348123095 -1 -1 text/html 1341/1341 CONNECT xiva-daria.mail.yandex.net:443
1348123095.517 RELEASE -1 FFFFFFFF 23CDD5542990BB8E9A686D9983EBD3D4 407 1348123095 -1 -1 text/html 1341/1341 CONNECT xiva-daria.mail.yandex.net:443
1348123095.564 RELEASE -1 FFFFFFFF E269B370D979F19F489CFA652667513D 407 1348123095 -1 -1 text/html 1341/1341 CONNECT xiva-daria.mail.yandex.net:443
1348123124.487 RELEASE -1 FFFFFFFF 92B21D73FE366D38E42EE2865DA38953 407 1348123124 -1 -1 text/html 1341/1341 CONNECT xiva-daria.mail.yandex.net:443
1348123124.518 RELEASE -1 FFFFFFFF 5765B62452B1BD0F62B58C85EEFF82FB 407 1348123124 -1 -1 text/html 1341/1341 CONNECT xiva-daria.mail.yandex.net:443
1348123124.565 RELEASE -1 FFFFFFFF BB42FD41F2825F4C298DDBEBBFC18E4D 407 1348123124 -1 -1 text/html 1341/1341 CONNECT xiva-daria.mail.yandex.net:443
1348123156.519 RELEASE -1 FFFFFFFF 2A0342472A5CA473B0A0F15269F2BF80 407 1348123156 -1 -1 text/html 1341/1341 CONNECT xiva-daria.mail.yandex.net:443
1348123156.628 RELEASE -1 FFFFFFFF 708862E1B0E8CF29A8E2EF9809EC6522 407 1348123156 -1 -1 text/html 1341/1341 CONNECT xiva-daria.mail.yandex.net:443
1348123156.675 RELEASE -1 FFFFFFFF 3778E1E828E2FB3A4253DFB7417AB68E 407 1348123156 -1 -1 text/html 1341/1341 CONNECT xiva-daria.mail.yandex.net:443
[/more]
[more=ошибки access.log]
1348123095.470 0 192.168.2.21 TCP_DENIED/407 1770 CONNECT xiva-daria.mail.yandex.net:443 - NONE/- text/html
1348123095.517 32 192.168.2.21 TCP_DENIED/407 1933 CONNECT xiva-daria.mail.yandex.net:443 - NONE/- text/html
1348123095.564 32 192.168.2.21 TCP_DENIED/407 1770 CONNECT xiva-daria.mail.yandex.net:443 - NONE/- text/html
1348123124.487 16 192.168.2.21 TCP_DENIED/407 1770 CONNECT xiva-daria.mail.yandex.net:443 - NONE/- text/html
1348123124.518 31 192.168.2.21 TCP_DENIED/407 1933 CONNECT xiva-daria.mail.yandex.net:443 - NONE/- text/html
1348123124.565 32 192.168.2.21 TCP_DENIED/407 1770 CONNECT xiva-daria.mail.yandex.net:443 - NONE/- text/html
1348123135.581 70222 192.168.2.21 TCP_MISS/200 6768 CONNECT mail.yandex.ru:443 kimsar\bdm DIRECT/77.88.21.25 -
1348123135.753 70394 192.168.2.21 TCP_MISS/200 6694 CONNECT mail.yandex.ru:443 kimsar\bdm DIRECT/77.88.21.25 -
1348123156.519 0 192.168.2.21 TCP_DENIED/407 1770 CONNECT xiva-daria.mail.yandex.net:443 - NONE/- text/html
1348123156.628 31 192.168.2.21 TCP_DENIED/407 1933 CONNECT xiva-daria.mail.yandex.net:443 - NONE/- text/html
1348123156.675 31 192.168.2.21 TCP_DENIED/407 1770 CONNECT xiva-daria.mail.yandex.net:443 - NONE/- text/html
[/more]
сам лог access.log не изменился) т.е. такие же ошибки выдает
Добавлено:
понял) это номера секций через зпт)
спасибо. можно на "ты")
включил отлад. информацию... debug_option ALL,1 28,9
//section 28 Access Control , а "9" - что значит?
я так понял, ее надо смотреть в cache_store_log.log ???
[more=ошибки cache_store_log.log]
1348123095.470 RELEASE -1 FFFFFFFF F0BE262DEF48F803037698C1ADDC5235 407 1348123095 -1 -1 text/html 1341/1341 CONNECT xiva-daria.mail.yandex.net:443
1348123095.517 RELEASE -1 FFFFFFFF 23CDD5542990BB8E9A686D9983EBD3D4 407 1348123095 -1 -1 text/html 1341/1341 CONNECT xiva-daria.mail.yandex.net:443
1348123095.564 RELEASE -1 FFFFFFFF E269B370D979F19F489CFA652667513D 407 1348123095 -1 -1 text/html 1341/1341 CONNECT xiva-daria.mail.yandex.net:443
1348123124.487 RELEASE -1 FFFFFFFF 92B21D73FE366D38E42EE2865DA38953 407 1348123124 -1 -1 text/html 1341/1341 CONNECT xiva-daria.mail.yandex.net:443
1348123124.518 RELEASE -1 FFFFFFFF 5765B62452B1BD0F62B58C85EEFF82FB 407 1348123124 -1 -1 text/html 1341/1341 CONNECT xiva-daria.mail.yandex.net:443
1348123124.565 RELEASE -1 FFFFFFFF BB42FD41F2825F4C298DDBEBBFC18E4D 407 1348123124 -1 -1 text/html 1341/1341 CONNECT xiva-daria.mail.yandex.net:443
1348123156.519 RELEASE -1 FFFFFFFF 2A0342472A5CA473B0A0F15269F2BF80 407 1348123156 -1 -1 text/html 1341/1341 CONNECT xiva-daria.mail.yandex.net:443
1348123156.628 RELEASE -1 FFFFFFFF 708862E1B0E8CF29A8E2EF9809EC6522 407 1348123156 -1 -1 text/html 1341/1341 CONNECT xiva-daria.mail.yandex.net:443
1348123156.675 RELEASE -1 FFFFFFFF 3778E1E828E2FB3A4253DFB7417AB68E 407 1348123156 -1 -1 text/html 1341/1341 CONNECT xiva-daria.mail.yandex.net:443
[/more]
[more=ошибки access.log]
1348123095.470 0 192.168.2.21 TCP_DENIED/407 1770 CONNECT xiva-daria.mail.yandex.net:443 - NONE/- text/html
1348123095.517 32 192.168.2.21 TCP_DENIED/407 1933 CONNECT xiva-daria.mail.yandex.net:443 - NONE/- text/html
1348123095.564 32 192.168.2.21 TCP_DENIED/407 1770 CONNECT xiva-daria.mail.yandex.net:443 - NONE/- text/html
1348123124.487 16 192.168.2.21 TCP_DENIED/407 1770 CONNECT xiva-daria.mail.yandex.net:443 - NONE/- text/html
1348123124.518 31 192.168.2.21 TCP_DENIED/407 1933 CONNECT xiva-daria.mail.yandex.net:443 - NONE/- text/html
1348123124.565 32 192.168.2.21 TCP_DENIED/407 1770 CONNECT xiva-daria.mail.yandex.net:443 - NONE/- text/html
1348123135.581 70222 192.168.2.21 TCP_MISS/200 6768 CONNECT mail.yandex.ru:443 kimsar\bdm DIRECT/77.88.21.25 -
1348123135.753 70394 192.168.2.21 TCP_MISS/200 6694 CONNECT mail.yandex.ru:443 kimsar\bdm DIRECT/77.88.21.25 -
1348123156.519 0 192.168.2.21 TCP_DENIED/407 1770 CONNECT xiva-daria.mail.yandex.net:443 - NONE/- text/html
1348123156.628 31 192.168.2.21 TCP_DENIED/407 1933 CONNECT xiva-daria.mail.yandex.net:443 - NONE/- text/html
1348123156.675 31 192.168.2.21 TCP_DENIED/407 1770 CONNECT xiva-daria.mail.yandex.net:443 - NONE/- text/html
[/more]
сам лог access.log не изменился) т.е. такие же ошибки выдает
Добавлено:
понял) это номера секций через зпт)
repon
Цитата:
Добавлено:
Не-ту секцию я подсказал.
Надо промониторить 33, а не 28. уровень можно опустить до 2, вроде имя вывалится, хотя можно и 9 оставить.
Цитата:
После запятой уровень дебага, перед — номер секции.
Добавлено:
Не-ту секцию я подсказал.
Надо промониторить 33, а не 28. уровень можно опустить до 2, вроде имя вывалится, хотя можно и 9 оставить.
а я Вас обманул...
https закупкиговру тоже отваливаются...
отваливается все ssl, что попадает под: ****:403 или https://***
буду копать в эту сторону
https закупкиговру тоже отваливаются...
отваливается все ssl, что попадает под: ****:403 или https://***
буду копать в эту сторону
Привет всем жителям. Вопросик возник такого плана.
Можно ли в Скуиде настроить авторизацию пользователей по паре IP+MAC?
Можно ли в Скуиде настроить авторизацию пользователей по паре IP+MAC?
GnomS
Цитата:
В Сквиде есть возможность External ACLs. Пишешь свою программу-хелпер, скажем, machelper
Прописываешь в конфиге
external_acl_type IPMAC %SRC machelper
А в программе этой проверяешь айпи, который Сквид будет передавать ей на вход,
определяешь текущий MAC адрес, соответствующий этому айпи, сравниваешь по базе или предварительно загруженной таблицей на соответствие, если все ОК, отвечаешь ОК, если нет - то ERR. Вот и вся делов.
Только спрашивается: нахрена?
Цитата:
Можно ли в Скуиде настроить авторизацию пользователей по паре IP+MAC?Ну, если очень хочется потрахаццо, то все можно...
В Сквиде есть возможность External ACLs. Пишешь свою программу-хелпер, скажем, machelper
Прописываешь в конфиге
external_acl_type IPMAC %SRC machelper
А в программе этой проверяешь айпи, который Сквид будет передавать ей на вход,
определяешь текущий MAC адрес, соответствующий этому айпи, сравниваешь по базе или предварительно загруженной таблицей на соответствие, если все ОК, отвечаешь ОК, если нет - то ERR. Вот и вся делов.
Только спрашивается: нахрена?
GnomS Можно, и без хелперов,читаем факи сквида:
Код:
10.20 Can I set up ACL's based on MAC address rather than IP?
Yes, for some operating systes. Squid calls these ``ARP ACLs'' and they are supported on Linux, Solaris, and probably BSD variants.
NOTE: Squid can only determine the MAC address for clients that are on the same subnet. If the client is on a different subnet, then Squid can not find out its MAC address.
To use ARP (MAC) access controls, you first need to compile in the optional code. Do this with the --enable-arp-acl configure option:
% ./configure --enable-arp-acl ...
% make clean
% make
If src/acl.c doesn't compile, then ARP ACLs are probably not supported on your system.
If everything compiles, then you can add some ARP ACL lines to your squid.conf:
acl M1 arp 01:02:03:04:05:06
acl M2 arp 11:12:13:14:15:16
http_access allow M1
http_access allow M2
http_access deny all
Код:
10.20 Can I set up ACL's based on MAC address rather than IP?
Yes, for some operating systes. Squid calls these ``ARP ACLs'' and they are supported on Linux, Solaris, and probably BSD variants.
NOTE: Squid can only determine the MAC address for clients that are on the same subnet. If the client is on a different subnet, then Squid can not find out its MAC address.
To use ARP (MAC) access controls, you first need to compile in the optional code. Do this with the --enable-arp-acl configure option:
% ./configure --enable-arp-acl ...
% make clean
% make
If src/acl.c doesn't compile, then ARP ACLs are probably not supported on your system.
If everything compiles, then you can add some ARP ACL lines to your squid.conf:
acl M1 arp 01:02:03:04:05:06
acl M2 arp 11:12:13:14:15:16
http_access allow M1
http_access allow M2
http_access deny all
Прошу помощи в борьбе с проблемкой.
Используется Squid Cache version 2.7.STABLE8 for i686-pc-winnt.
Система Win XP Prof SP3
Проксик установлен, настроен и работает в целом нормально.
Фрагмент работающего конфига, где как мне кажется ошибка:
Код:
...
#=== ACLs =========================================
acl CONNECT method CONNECT
acl SSL_ports port 443 556 1025 5190 24554
acl Unlims_Ptr src 192.168.x.xx-192.168.x.xx
acl Limits_KlBank src 192.168.x.x
acl Urls_KlBank dst 111.11.11.111
acl Enemies src 192.168.yy.yy
# == ACCESS ===================================================================
http_access allow connect ssl_ports
http_access allow CONNECT Limits_KlBank Urls_KlBank
http_access deny Limits_KlBank
http_access deny Enemies
#http_access deny connect Enemies
http_access allow Unlims_Ptr
http_access deny CONNECT
icp_access deny all
htcp_access deny all
http_access deny all
...
Используется Squid Cache version 2.7.STABLE8 for i686-pc-winnt.
Система Win XP Prof SP3
Проксик установлен, настроен и работает в целом нормально.
Фрагмент работающего конфига, где как мне кажется ошибка:
Код:
...
#=== ACLs =========================================
acl CONNECT method CONNECT
acl SSL_ports port 443 556 1025 5190 24554
acl Unlims_Ptr src 192.168.x.xx-192.168.x.xx
acl Limits_KlBank src 192.168.x.x
acl Urls_KlBank dst 111.11.11.111
acl Enemies src 192.168.yy.yy
# == ACCESS ===================================================================
http_access allow connect ssl_ports
http_access allow CONNECT Limits_KlBank Urls_KlBank
http_access deny Limits_KlBank
http_access deny Enemies
#http_access deny connect Enemies
http_access allow Unlims_Ptr
http_access deny CONNECT
icp_access deny all
htcp_access deny all
http_access deny all
...
RMGRuBoard Акцесс-листы выполняются последовательно, сверху вниз.
http_access allow connect ssl_ports
http_access allow CONNECT Limits_KlBank Urls_KlBank
Выполняется первое правило, и до второго просто дело не доходит.
Правильно будет так:
http_access deny Enemies
http_access deny CONNECT Enemies
http_access deny CONNECT Limits_KlBank !Urls_KlBank
http_access allow connect ssl_ports
.......
http_access allow connect ssl_ports
http_access allow CONNECT Limits_KlBank Urls_KlBank
Выполняется первое правило, и до второго просто дело не доходит.
Правильно будет так:
http_access deny Enemies
http_access deny CONNECT Enemies
http_access deny CONNECT Limits_KlBank !Urls_KlBank
http_access allow connect ssl_ports
.......
Цитата:
Через правку шаблона не получается, Squid всё равно дописывает своё "Generated..."
касается squid 2.7.STABLE3 и подобных,
у которых данная строка не меняется в шаблонах, и автоматом добавляется следующий код:
<BR clear="all"><HR noshade size="1px"><ADDRESS>Generated %T by %h (%s)</ADDRESS></BODY></HTML>
повлиять на данную ситуацию можем так:
- не отображать версию squid, параметр httpd_suppress_version_string on
- имя хоста назвать как хотим, параметр visible_hostname localhost
- а если в конце шаблонов написать <%s>, то строка "Generated..." вообще исчезнет
- дальше можно по аналогии с убранной строкой вывести дату-время сервера
<BR clear="all"><HR noshade size="1px"><ADDRESS>%t</ADDRESS></BODY></HTML>
Спасибо за помощь, все получилось.
Еще один вопрос.
Есть необходимость совмещения в одном конфиге возможности парольного и беспарольного доступа.
#=================================================
auth_param basic program C:/squid/libexec/ncsa_auth.exe C:/squid/etc/pass
auth_param basic children 5
auth_param basic realm Proxy Server
auth_param basic credentialsttl 1 hours
acl Unlims src 192.168.1.1-192.168.1.9
acl Limits proxy_auth REQUIRED
http_access allow Unlims
http_access allow Limits
http_access deny all
#=================================================
Конфиг работает. Unlims ходят без пароля, а все остальные должны вводить пароль.
Учитывая то, что парольный доступ вводится для доступа из спецпрограмм, где пароль на прокси можно сохранить, очень хотелось бы избежать запроса ввода пароля в браузерах у тех, кому доступ запрещен но проксик в параметрах прописан.
Сформулирую вопрос четче: как ограничить перечень АйПи адресов с которых допускается подключение с использованием имени и пароля?
Буду рад любым идеям.
Еще один вопрос.
Есть необходимость совмещения в одном конфиге возможности парольного и беспарольного доступа.
#=================================================
auth_param basic program C:/squid/libexec/ncsa_auth.exe C:/squid/etc/pass
auth_param basic children 5
auth_param basic realm Proxy Server
auth_param basic credentialsttl 1 hours
acl Unlims src 192.168.1.1-192.168.1.9
acl Limits proxy_auth REQUIRED
http_access allow Unlims
http_access allow Limits
http_access deny all
#=================================================
Конфиг работает. Unlims ходят без пароля, а все остальные должны вводить пароль.
Учитывая то, что парольный доступ вводится для доступа из спецпрограмм, где пароль на прокси можно сохранить, очень хотелось бы избежать запроса ввода пароля в браузерах у тех, кому доступ запрещен но проксик в параметрах прописан.
Сформулирую вопрос четче: как ограничить перечень АйПи адресов с которых допускается подключение с использованием имени и пароля?
Буду рад любым идеям.
RMGRuBoard
Цитата:
acl Limits proxy_auth REQUIRED
http_access allow LimitsIP Limits
Цитата:
как ограничить перечень АйПи адресов с которых допускается подключение с использованием имени и пароля?acl LimitsIP src 192.168.1.99-192.168.1.108
acl Limits proxy_auth REQUIRED
http_access allow LimitsIP Limits
Alukardd
Спасибо, сработало.
И еще один вопрос. среди большого количества пользователей есть один, которому нужен и ограниченый, и неограниченый доступ в инет. Ограниченный - для работы через браузер с одним единственным сайтом, неограниченный - для работы в проге GPS слежения, которая идет на кучу сайтов, включая картографию, сбор данных и т.д. (перечислить в АЦЛ очень проблематично). В проге предусмотрен парольный доступ к прокси, соответственно настроен пароль.
========
# =========================== ACL Работы через браузер
acl Limits src 192.168.1.99
acl Urls_Lim dstdomain website.com
# =========================== ACL Работы через прогу
auth_param basic program C:/squid/libexec/ncsa_auth.exe C:/squid/etc/pass
auth_param basic children 5
auth_param basic realm Proxy Server
auth_param basic credentialsttl 1 hours
acl GPS_Users proxy_auth REQUIRED
acl Limits_GPS src 192.168.1.99
# =========================== правила доступа
http_access allow Limits Urls_Lim
http_access allow Limits_GPS GPS_Users
=========
В данном примере прога (вторая строка правил) работать уже не может, получаю TCP_DENIED/403.
Если поменяю строки правил местами - при работе в браузере требуется авторазация, что тоже неприемлемо. Временно пришлось поднимать дополнительный проксик дабы развести сервисы по портам.
Вопрос - можно ли в пределах одного конфига сквида реализовать подобную схему?
Заранее спасибо за любые предложения.
Спасибо, сработало.
И еще один вопрос. среди большого количества пользователей есть один, которому нужен и ограниченый, и неограниченый доступ в инет. Ограниченный - для работы через браузер с одним единственным сайтом, неограниченный - для работы в проге GPS слежения, которая идет на кучу сайтов, включая картографию, сбор данных и т.д. (перечислить в АЦЛ очень проблематично). В проге предусмотрен парольный доступ к прокси, соответственно настроен пароль.
========
# =========================== ACL Работы через браузер
acl Limits src 192.168.1.99
acl Urls_Lim dstdomain website.com
# =========================== ACL Работы через прогу
auth_param basic program C:/squid/libexec/ncsa_auth.exe C:/squid/etc/pass
auth_param basic children 5
auth_param basic realm Proxy Server
auth_param basic credentialsttl 1 hours
acl GPS_Users proxy_auth REQUIRED
acl Limits_GPS src 192.168.1.99
# =========================== правила доступа
http_access allow Limits Urls_Lim
http_access allow Limits_GPS GPS_Users
=========
В данном примере прога (вторая строка правил) работать уже не может, получаю TCP_DENIED/403.
Если поменяю строки правил местами - при работе в браузере требуется авторазация, что тоже неприемлемо. Временно пришлось поднимать дополнительный проксик дабы развести сервисы по портам.
Вопрос - можно ли в пределах одного конфига сквида реализовать подобную схему?
Заранее спасибо за любые предложения.
Удалось ли кому-нить запилить squidNT с лимитами по трафику для пользователей?
aMario
Цитата:
Цитата:
Удалось ли кому-нить запилить squidNT с лимитами по трафику для пользователей?Да вроде как еще лет восемь назад... Ссылка
vlary
Вы не совсем правильно поняли, имелось ввиду лимит по объёму трафика, а не по урезанию пропускной способности канала.
Вы не совсем правильно поняли, имелось ввиду лимит по объёму трафика, а не по урезанию пропускной способности канала.
aMario
Цитата:
Потому вариантов только три:
1. Установить такую скорость, чтобы юзер при всем своем желании не смог перебрать лимит.
2. На основе лога squid собирать статистику о трафике конкретных юзеров,
на основе этой статистики формировать акцесс-листы либо свой хелпер авторизации.
3. Перейти на безлимитный тарифный план (что уже де-факто в большинстве компаний).
Если объем трафика юзера - отрицательный критерий его профессиональной работы,
применять административные меры.
Цитата:
Вы не совсем правильно поняли, имелось ввиду лимит по объёму трафикаsquid никогда не был в курсе объема трафика, потребленного юзерами вместе или конкретно.
Потому вариантов только три:
1. Установить такую скорость, чтобы юзер при всем своем желании не смог перебрать лимит.
2. На основе лога squid собирать статистику о трафике конкретных юзеров,
на основе этой статистики формировать акцесс-листы либо свой хелпер авторизации.
3. Перейти на безлимитный тарифный план (что уже де-факто в большинстве компаний).
Если объем трафика юзера - отрицательный критерий его профессиональной работы,
применять административные меры.
vlary
Интерисует именно вот это.
Цитата:
Причём смог ли кто запилить это под squidNT на Windows
Интерисует именно вот это.
Цитата:
2. На основе лога squid собирать статистику о трафике конкретных юзеров,
на основе этой статистики формировать акцесс-листы.
Причём смог ли кто запилить это под squidNT на Windows
vlary
Цитата:
Вы им реально смогли воспользоваться для заявленной цели?
Цитата:
SquidLog
Вы им реально смогли воспользоваться для заявленной цели?
aMario
Цитата:
Была самописная система, которая обрабатывала лог, складывала данные в базу.
В конце дня формировался отчет по общему потребленному трафику, пятерке "чемпионов"
среди юзеров и доменов.
Он падал в почтовые яшики, мой и начальства. Был сделан веб-интерфейс к базе,
в котором можно было получить дополнительную информацию с выборкой по критериям.
На основе это принималось решение, какие ресурсы поместить под запрет,
каких юзеров "поощрить".
Система работала несколько лет, но после того, как фирма перешла на безлимитный тариф 100 Мбит,
необходимость в ней отпала и я ее похерил.
Цитата:
Вы им реально смогли воспользоваться для заявленной цели?Я squidNT вообще никогда не использовал, у меня squid всегда работал на Unix/Linux.
Была самописная система, которая обрабатывала лог, складывала данные в базу.
В конце дня формировался отчет по общему потребленному трафику, пятерке "чемпионов"
среди юзеров и доменов.
Он падал в почтовые яшики, мой и начальства. Был сделан веб-интерфейс к базе,
в котором можно было получить дополнительную информацию с выборкой по критериям.
На основе это принималось решение, какие ресурсы поместить под запрет,
каких юзеров "поощрить".
Система работала несколько лет, но после того, как фирма перешла на безлимитный тариф 100 Мбит,
необходимость в ней отпала и я ее похерил.
Страницы: 12345678910111213141516171819
Предыдущая тема: Долгий выход из терминального сеанса.
Форум Ru-Board.club — поднят 15-09-2016 числа. Цель - сохранить наследие старого Ru-Board, истории становления российского интернета. Сделано для людей.