» Проблема с squidNT

Есть сеть.

Внутренние адреса — 10.25.0.0/16
Интернет-сервер (Win2003): внутренний адрес — 10.25.0.1, внешний — 193.55.55.165. На внешнем интерфейсе поднят NAT.

Пытаюсь организовать прозрачное проксирование. Когда добавляю портмаппинг:

netsh routing ip nat add portmapping 193.55.55.165 (название соединения такое) tcp 0.0.0.0 80 127.0.0.1 3128

то он редиректит только запросы к самому серверу интернета, а внешние запросы на ya.ru, например, игнорирует полностью

49RUS
Так у тебя вопрос по сквиду или по netsh или по RRAS?

Вопрос, чем перенаправить трафик на 3128 порт сквида. С помощью RRAS перенаправляется только входящий и адресованный самому серверу трафик.

Парни из-зи чего при инстале сквида на 2003 млжет выходить ошибка:


Цитата:

C:\squid26D\sbin>squid -z -f c:/squid26D/etc/squid.conf
FATAL: MIME Config Table c:/squid/etc/mime.conf: (2) No such file or directory
Squid Cache (Version 2.6.STABLE17): Terminated abnormally.
CPU Usage: 0.063 seconds = 0.063 user + 0.000 sys
Maximum Resident Size: 6800 KB
Page faults with physical i/o: 1695

abnormal program termination

Вот мой конфиг:


Цитата:

# http_port 192.168.1.4:8080
icp_port 0
htcp_port 0
сache_peer 127.0.0.1 parent 9202 0 no-query default
acl QUERY urlpath_regex cgi-bin \?
no_cache deny QUERY
cache_mem 32 MB
cache_swap_low 80
cache_swap_high 95
maximum_object_size 4096 KB
minimum_object_size 0 KB
maximum_object_size_in_memory 8 KB
cache_dir ufs c:/squid26D/var/cache 100 5 32

ipcache_size 1024
ipcache_low 80
ipcache_high 95
fqdncache_size 1024
cache_replacement_policy lru
memory_replacement_policy lru
cache_access_log c:/squid26D/var/logs/access.log
cache_log c:/squid26D/var/logs/cache.log
cache_store_log c:/squid26D/var/logs/store.log
log_mime_hdrs off



dns_nameservers 82.211.176.2 213.138.110.132

# Параметры стандартного кэширования
refresh_pattern ^ftp: 1440 20% 10080
refresh_pattern ^gopher: 1440 0% 1440
refresh_pattern . 0 20% 4320


# Параметры auth
auth_param basic program c:/windows/system32/cscript.exe //B //h:cscript //nologo C:/squid26D/libexec/auth.vbs C:/squid26D/etc/auth.conf
auth_param basic children 5
auth_param basic realm Squid proxy-caching web server
auth_param basic credentialsttl 15 hours
auth_param basic casesensitive off
refresh_pattern ^ftp: 1440 20% 10080
refresh_pattern . 0 20% 4320
quick_abort_pct 80
negative_ttl 1 minutes
negative_dns_ttl 5 minute


# контроль за доступом :
# разрешения
acl all src 0.0.0.0/0.0.0.0
acl to_localhost dst 127.0.0.0/8
acl Safe_ports port 80 # http
acl Safe_ports port 21 # ftp
acl Safe_ports port 70 # gopher
acl Safe_ports port 210 # wais
acl Safe_ports port 1025-65535 # unregistered ports
acl Safe_ports port 280 # http-mgmt
acl Safe_ports port 488 # gss-http
acl Safe_ports port 591 # filemaker
acl Safe_ports port 777 # multiling http
acl CONNECT method CONNECT
# пользователи интернет
acl admin src 192.168.0.0/255.255.255.0
acl localhost src 127.0.0.1/255.255.255.255

acl banner url_regex -i "c:/squid26D/etc/banner.txt"
http_access deny banner
http_access allow localhost
http_access deny !Safe_ports
http_access allow admin
http_access allow localhost

http_access deny all
http_reply_access allow all
icp_access deny all
miss_access allow all


cache_mgr adm@work.net
visible_hostname FS2-Squid
memory_pools off
ie_refresh on
never_direct allow all
error_directory c:/squid26D/share/errors/Russian-1251
nonhierarchical_direct off
coredump_dir c:/squid26D/var/cache

dh28


Цитата:

FATAL: MIME Config Table c:/squid/etc/mime.conf: (2) No such file or directory

А тебе это не о чём не говорит?

А где в конфигах это можно поправить? А то я как увидел эту строчку, пытался править и squid.conf и все что смог найти с расширением *.conf. Пробовал поискать по гуглу. Думаю может стоит упростить донельзя конфиг, как думаете - поможет?

dh28
Добавь что то типа:
mime_table c:/squid26D/etc/mime.conf
При этом mime.conf должен там находится.

Игрался и конфигом, но в итоге в тупую поменял c:/squid26D на c:/squid. И всй зашуршало!

Кстати парни не подскажете можно ли на squidNt поставить лимиты по трафику? К примеру скачал юзер больше 5 мегабайт - все инета нет, ждет следующего дня\недели? Или можно только резать канал\скорость?

dh28 Стандартными средствами самого сквида - нет.

А в винде это вообще возможно? Ведь вроде как все тулзы под никсы.... Мне нужно раздать инет ntlm-аутентификацией + задать квоты по траффику на каждого пользователя. Можно ли это как-нибудь реализовать?

Наверное под Win лучше пользовать 3proxy... Жаль хотелось бы поработать со squid.

dh28
да можно. это реализовываеться другими програмами.

Kerio WinRoute Firewall
Traffic Inspector
UserGate
....

добрый вечер не подскажете из-за чего может быть такое:


Код:
C:\>c:\squid\sbin\squid.exe -z -f C:/squid/etc/squid.conf
FATAL: Could not determine fully qualified hostname. Please set 'visible_hostna
me'

Squid Cache (Version 2.6.STABLE18): Terminated abnormally.
CPU Usage: 0.000 seconds = 0.000 user + 0.000 sys
Maximum Resident Size: 0 KB
Page faults with physical i/o: 0

abnormal program termination

FATAL: Could not determine fully qualified hostname. Please set 'visible_hostna
me'

В конфиге пропиши
visible_hostname proxy.server.ru

кеш создал. что эта строчка дает?
А как служба не запускается пишет


Код: C:\>c:\squid\sbin\squid.exe -i -f c:/squid/etc/squid.conf -n Squid26
OpenSCManager failed

Имеем Squid 2.5 Stable 14-NT, установленный на 2003 server. Сейчас в инет пускает по ip адресам. Нужно реализовать следующее: если ip адресу не разрешено ходить в инет нужно не отфутболивать его, а предложить ввод логина и пароля, по которому можно попасть в инет. Т.е. по дефолту должно пускать по ip безо всяких запросов, а если ip нет в списке разрешенных - то предлагать ввод логина и паса и, соответственно, при правильном вводе пускать. Можно ли такое сделать?
PS Авторизация по пользователям не нужна.

butch9383
Цитата:

предложить ввод логина и пароля,

Цитата:

Авторизация по пользователям не нужна.

Взаимоисключающие требования! Авторизация все равно будет нужна. Сделай авторизацию, а правила для разрешенных ip поставь выше правил авторизации.

ipmanyak
ок, в таком случае, сперва будут выполняться правила для разрешенных ip, но если они удовлетворяют условию, окно ввода логина/пароля, по идее, все равно будет показываться? Или как? Т.е. вопрос в том, как это правильно реализовать?

butch9383 Нет
acl ip_users 192.168.0.3 192.168.0.13 192.168.0.17
http_access allow ip_users
далее всё про авторизацию

Вобщем что мы имеем.
Прописал авторизацию:

auth_param basic program C:/squid/libexec/ncsa_auth.exe C:/squid/etc/auth
auth_param basic children 5
auth_param basic realm Squid proxy-caching web server
auth_param basic credentialsttl 2 hours
auth_param basic casesensitive off

acl userauth proxy_auth REQUIRED
http_access allow userauth

При помощи утилиты htpasswd создал файл auth с логином и зашифрованным в md5 паролем. Ребутнул сквид. В результате, выдает приглашение для ввода логина и пароля, ввожу - опять выдает приглашение. Читал, что такое бывает, если пароль не в формате MD5. Дальше даже не знаю, куда копать...подскажите.

PS
В access.log выдает
TCP_DENIED/407 1682 GET http://ya.ru inet NONE/-text/html
Логин/пароль в моем случае inet/inet

butch9383 Какая ОС на станции и какой версии браузер (сервис пак какой ?)
После повторного ввода пускает ? В другом браузере типа опера или мозилла также ?
Если вообще не пускает, то включай debug в конфе сквида на уровень 9 и копай cache_log

ipmanyak
Все проще оказалось, обновил сквида до 2.6 stable 18 - все работает.
Так что, не пользуйте 2.5

У меня в организации настроена ntlm-авторизация для юзеров домена. Но иногда требуется дать доступ и юзерам не с домена (с ноутбука например). Я решил сделать это с помощью ncsa-авторизации через текстовый файлик с паролем. И получается такая петрушка: если я прописываю в конфиге сначала ntlm, а потом ncsa, то Опера вообще не логинится (видимо, пытается только по ntlm), а если делаю наоборот (то есть вверху строчки по ncsa, а потом строчки по ntlm), то юзерам с домена постоянно предлагается ввести пароль. При этом ntlm-авторизация работает, но приходится постоянно жать кнопку Отмена в окне ввода пароля при каждом запросе. Подскажите что делать, если кто сталкивался...

Конфиг такой:

auth_param ntlm program c:/squid/libexec/mswin_ntlm_auth.exe
auth_param ntlm children 5
auth_param ntlm keep_alive on

auth_param basic program c:/squid/libexec/ncsa_auth.exe c:/squid/etc/passwd
auth_param basic children 2
auth_param basic realm Squid proxy-server
auth_param basic credentialsttl 2 hours
auth_param basic casesensitive off

acl password proxy_auth REQUIRED
acl WorkTime time MTWHF 8:00-20:00
acl SquidProxyUsers external NT_global_group SquidProxyUsers

http_access allow password CONNECT SquidProxyUsers SSL_ports WorkTime
http_access allow password CONNECT SSL_ports WorkTime
http_access deny all CONNECT
http_access deny !Safe_ports
http_access allow password SquidProxyUsers WorkTime
http_access allow password WorkTime
http_access deny all


Также пока не решил как запрещать доступ юзерам домена, не входящим в группу SquidProxyUsers. При таком конфиге доступ у них будет...

ребята подскажите можно ли squidNT настроить толька как прокси

днс стоит bind

на компе две сетевых карты 192.168.0.x local

216.x.x.x global

И какой пакет надо качать...

rosalin Squid это и есть только прокси и более ничего! Качать отсюда
http://squid.acmeconsulting.it/download/dl-squid.html

ipmanyak
Вот такой вопрос как разрешить использование прокси только с определенных ip локальной сети

rosalin Всё делается правилами. акселями. Так и быть для примера:
acl all src 0.0.0.0/0.0.0.0
acl users src 10.131.2.42 10.131.2.55 192.168.0.7
http_access allow users
http_access all


Добавлено:
или вот так:
acl all src 0.0.0.0/0.0.0.0
acl special_users src "/usr/local/squid/etc/special_users"
http_access allow special_users
http_access all
в файлике /usr/local/squid/etc/special_users ip адреса по одному в строке

ipmanyak
а в squid не работает проверка из доменной группы если работает то что прописать надо

Спасибо за предыдущий пост

rosalin
Чтение доков расширяет сознание...

external_acl_type NT_global_group %LOGIN c:/squid/libexec/mswin_check_lm_group.exe -G
external_acl_type NT_local_group %LOGIN c:/squid/libexec/mswin_check_lm_group.exe

acl ProxyUsers external NT_global_group "c:/squid/etc/DomainUsers"
http_access allow ProxyUsers
http_access deny all

Файл DomainUsers должен содержать следующую строку:
"Domain Users"

Прочитай вот этот файлик mswin_check_lm_group.txt я вроде правильно написал но проверить негде т.к. squid под linux'ом.

ipmanyak

Цитата:

http_access allow special_users
http_access all

Если не ошибаюсь пропущено deny... Т.е. http_access deny all