» Проблема с squidNT

ipmanyak
Скорее всего затык в руках или голове.
После перегенерации файла паролей всё заработало.
Не успел отчитаться как народ завопил, что пароли приходится через каждые 5 минут заводить....
Где мне это поправить?
Можно ли вписать IP, для которого пароль можно не вводить?

Kornholio Любишь аутентификацию - люби и пароли вводить при каждом открытии нового окна. Как вариант открывать не новое окно , а вкладку, это умеют делать опера и мозилла, и IE7.

Цитата:

Можно ли вписать IP, для которого пароль можно не вводить?

Можно, если пропишешь правила для ip и поставишь их выше правил аутентификации.

ipmanyak
Вписал, вроде сработало:
acl noauth src xxx.xxx.xxx.xxx
http_access allow noauth

Ребята пользую вот такой [more=конфиг]http_port 192.168.0.6:3128
icp_port 0
htcp_port 0

# OPTIONS WHICH AFFECT THE NEIGHBOR SELECTION ALGORITHM
# -----------------------------------------------------------------------------

# TAG: no_cache
#We recommend you to use the following two lines.
acl QUERY urlpath_regex cgi-bin \?
acl icq urlpath_regex login.icq.com
no_cache deny QUERY
no_cache deny icq
acl apache rep_header Server ^Apache
broken_vary_encoding allow apache


# OPTIONS WHICH AFFECT THE CACHE SIZE
# -----------------------------------------------------------------------------

cache_mem 128 MB
cache_swap_low 90
cache_swap_high 95
maximum_object_size 8192 KB
minimum_object_size 0 KB
maximum_object_size_in_memory 8 KB
ipcache_size 4096
ipcache_low 90
ipcache_high 95
fqdncache_size 4096
cache_replacement_policy lru
memory_replacement_policy lru


# LOGFILE PATHNAMES AND CACHE DIRECTORIES
# -----------------------------------------------------------------------------

# Настройка логов
# -----------------------------------------------------------------------------
cache_dir aufs e:/SquidNT/var/cache 4096 16 256
access_log e:/SquidNT/var/logs/access.log
cache_log none
cache_store_log none
emulate_httpd_log off
log_ip_on_direct on
mime_table e:/SquidNT/etc/mime.conf
log_mime_hdrs off
pid_filename e:/SquidNT/var/logs/squid.pid
debug_options ALL,1
log_fqdn off

# Настройка DNS
# -----------------------------------------------------------------------------
dns_nameservers 192.168.0.6


# OPTIONS FOR EXTERNAL SUPPORT PROGRAMS
# -----------------------------------------------------------------------------

ftp_user Squid@domain.ru
ftp_list_width 64
ftp_passive on
ftp_sanitycheck on
hosts_file c:/windows/system32/drivers/etc/hosts
unlinkd_program e:/SquidNT/libexec/unlinkd.exe

# Настройка подключаемых модулей
# -----------------------------------------------------------------------------
url_rewrite_program e:/SquidNT/sbin/redirector.exe e:/SquidNT/etc/redirector.conf
url_rewrite_children 5
authenticate_cache_garbage_interval 30 minutes
authenticate_ttl 30 minutes


# Настройка аутентификации
# -----------------------------------------------------------------------------
#auth_param ntlm program e:/SquidNT/libexec/mswin_ntlm_auth.exe
#auth_param ntlm children 5
#auth_param ntlm keep_alive on

#auth_param basic program e:/SquidNT/libexec/mswin_auth.exe -O tuboplast
#auth_param basic children 5
#auth_param basic realm Autosphere Squid proxy-server
#auth_param basic credentialsttl 2 hours
#auth_param basic casesensitive on

#external_acl_type NT_global_group %LOGIN e:/SquidNT/libexec/mswin_check_lm_group.exe -G

# OPTIONS FOR TUNING THE CACHE
# -----------------------------------------------------------------------------

request_header_max_size 20 KB
request_body_max_size 0 KB

# TAG: refresh_pattern
#Suggested default:
refresh_pattern ^ftp: 1440 20% 10080
refresh_pattern ^gopher: 1440 0% 1440
refresh_pattern . 0 20% 4320
quick_abort_min 16 KB
quick_abort_max 16 KB
quick_abort_pct 95
negative_ttl 1 minute
positive_dns_ttl 6 hours
negative_dns_ttl 5 minutes
range_offset_limit 0 KB


# TIMEOUTS
# -----------------------------------------------------------------------------

connect_timeout 2 minutes
read_timeout 15 minutes
request_timeout 5 minutes
persistent_request_timeout 1 minute
client_lifetime 8 hours
half_closed_clients off
pconn_timeout 120 seconds
ident_timeout 10 seconds
shutdown_lifetime 30 seconds


# ACCESS CONTROLS
# -----------------------------------------------------------------------------

acl all src 0.0.0.0/0.0.0.0
acl localhost src 127.0.0.1/255.255.255.255
acl to_localhost dst 127.0.0.0/8

acl SSL_ports port 443 563 5190 15100
acl Safe_ports port 80 # http
acl Safe_ports port 21 # ftp
acl Safe_ports port 443 563 # https, snews
acl Safe_ports port 70 # gopher
acl Safe_ports port 210 # wais
acl Safe_ports port 1025-65535 # unregistered ports
acl Safe_ports port 280 # http-mgmt
acl Safe_ports port 488 # gss-http
acl Safe_ports port 591 # filemaker
acl Safe_ports port 777 # multiling http
acl CONNECT method CONNECT
acl icq_proto proto HTTPS


# Настройка списков доступа
# -----------------------------------------------------------------------------

#acl DomainUsers external NT_global_group "e:/SquidNT/etc/Domain_Users.list"
#acl SquidProxyUsers external NT_global_group SquidProxyUsers
#acl SquidProxyICQUsers external NT_global_group SquidProxyICQUsers
#acl tlt_ip dst "e:/SquidNT/etc/tlt_ip.list"
#acl local_ip dst "e:/SquidNT/etc/local_ip.list"
#acl icq_servers dst "e:/SquidNT/etc/icq_servers.list"
#acl password proxy_auth REQUIRED

acl special_users src "e:/SquidNT/etc/special_users.list"



# TAG: http_access
# Allowing or Denying access based on defined access lists

http_access allow special_users
http_access deny to_localhost
http_access deny CONNECT !SSL_ports
http_access deny all CONNECT
http_access deny !Safe_ports

http_access deny all

# TAG: http_reply_access
# Allow replies to client requests. This is complementary to http_access.

http_reply_access allow all

icp_access deny all
miss_access allow all

# ADMINISTRATIVE PARAMETERS
# -----------------------------------------------------------------------------

cache_mgr adm@xxx.ru
cache_effective_user nobody
cache_effective_group none
visible_hostname Autosphere Proxy Server


# OPTIONS FOR THE CACHE REGISTRATION SERVICE
# -----------------------------------------------------------------------------

announce_period 0


# MISCELLANEOUS
# -----------------------------------------------------------------------------

memory_pools off
forwarded_for on
log_icp_queries off

cachemgr_passwd lesssssssecret shutdown
cachemgr_passwd lesssssssecret info stats/objects
cachemgr_passwd disable all

store_avg_object_size 9 KB
client_db on
reload_into_ims off

icon_directory e:/SquidNT/share/icons
short_icon_urls off
error_directory e:/SquidNT/share/errors/Russian-1251
maximum_single_addr_tries 1

snmp_port 0

offline_mode off

uri_whitespace strip
strip_query_terms on
coredump_dir e:/SquidNT/var/cache
redirector_bypass off
ignore_unknown_nameservers on
client_persistent_connections on
server_persistent_connections on
balance_on_multiple_ip on
request_entities off
high_response_time_warning 0
high_page_fault_warning 0
high_memory_warning 0[/more]

Можно ли сделать так чтобы некоторым пользователям допустим из определенного списка доступ был только к определенным сайтам

rosalin
acl limit_users src "e:/SquidNT/etc/limit_users.list"
acl limit_sites url_regex -i "e:/SquidNT/etc/limit_sites.list"

http_access deny to_localhost
http_access deny CONNECT !SSL_ports
http_access deny all CONNECT
http_access deny !Safe_ports

http_access allow limit_users limit_sites
http_access deny limit_users
http_access allow special_users
http_access deny all

В файле limit_sites.list имена сайтов по одному в строке:
yandex.ru
rambler.ru
В файле limit_users.list ip юзеров по одному в строке

ipmanyak
Спасибо помогло

Дано:

Сервер 1 - Контроллер домена на Win2003 Ent.
Сервер 2 - Прокси сервер SquidNT 2.5 на Win2003
Сеть из WinXP SP3, в данный авторизация в Squid'e осуществляется по имени компьютера, но возникает проблема, т.к. за одним и тем же компьютером могут работать разные пользователи, соответственно с разными ограничениями на доступ. Все имена пользователей на английском языке.

Задача:

Сделать авторизацию в SquidNT через имена и пароли, которые имеются в ActiveDirectory, и соответственно в конфиге сквида прописывать ACL на основании имен пользователей. Надо отметить, что "сервер 2", где крутится squidnt, не является членом домена, максимум, что я могу сделать, это запускать на нем сервис SquidNT под именем пользователя, аналогичным тому, что есть в AD и соотв. ему раздать нужные права.

Вопрос:

Есть у кого ни будь работающий вариант указанной задачи? Нужен конфиг сквида и настройки на стороне AD. Т.к. серверы боевые, нет особых возможностей для эксперимента.

УРА СВЕРШИЛОСЬ!!!!
Помните была у мен проблема в том, что SquidNT не хотел авторизовыватся на родительском прокси по NTLM?
На днях скачал себе новый SquidNT - версия 2.7 STABLE2 и все заработало сходу! Итак, начиная с версии 2.7 SquidNT поддерживает свою авторизацию на родительском прокси по NTLM методу в формате:

cache_peer .... login=Домен\Юзер:Пароль

Переходим на 2.7

gap5

Цитата:

максимум, что я могу сделать, это запускать на нем сервис SquidNT под именем пользователя, аналогичным тому, что есть в AD и соотв. ему раздать нужные права.

В таком случае никак... Имя пользователя в данном случае контроллеру домена по барабану - SID разный. А запустить сквид от имени Domain\user у тебя не получится.
AD попросту не отдаст список пользователей...
Хотя можно вывести машину в DMZ, но это не в этой теме.
А что мешает включить туже NCSA?

Ruza
NCSA это необходимость каждый раз вводить пароль вручную? Такой вариант неподходит, нужна жесткая привязка к залогиненному юзеру.

Насчет SID - пример: Apache2, запущенный с одинаковым именем пользователя и паролем (т.е. юзер apache_2 есть и на сервере и на контроллере домена), без проблем заходит на шару контроллера домена. Так что я думаю стоит попробовать. Просто нужна рабочая конфигурация и ман по настройкам на домене.

Есть сеть с адресами:
1)192.168.1.1 и 192.168.1.2 - Модем ADSL
2)192.168.1.3 Server
3)192.168.1.4-192.168.1.6 Клиенты

На Server имеется 2 сетевухи(одна сейчас не используется)Нужно настройть SQUID как прозрачный прокси.
Запустить его надо в начале следующего месяца.Проверить работоспособность в сетке сейчас нет возможности.
Помогите настройть грамотно SQUID пожалуйста.В сети используется QIP и электроннка.Заранее спасибо.Вот SQUID.CONF(взят откуда-то с этого форума и немного переделанный):

# ACCESS CONTROLS # Списки доступа
acl all src 0.0.0.0/0.0.0.0
acl localhost src 127.0.0.1/255.255.255.255
acl to_localhost dst 127.0.0.0/8
acl localhost src 192.168.1.3/255.255.255.0 # На нем установлен Squid.Компютер является сервером.
acl localhost src 192.168.1.4/255.255.255.0 # Клиент.
acl localhost src 192.168.1.5/255.255.255.0 # Клиент.
acl localhost src 192.168.1.6/255.255.255.0 # Клиент.
http_access allow localhost
http_access deny all
#---------------------------------------------------------------------------------------------------------------------------
# NETWORK OPTIONS
http_port 3128 # Порт,через который идут все соеденения
#---------------------------------------------------------------------------------------------------------------------------
# MEMORY CACHE OPTIONS
cache_mem 64 MB # стандартное количество памяти для сквида
maximum_object_size_in_memory 999 KB # максимальное колличество объектов в памяти
#---------------------------------------------------------------------------------------------------------------------------
# DISK CACHE OPTIONS
cache_dir ufs C:/squid/var/cache/squid 12288 32 512 # Дисковая память под кеш (в Мб)
minimum_object_size 0 KB # Минимальное колличество объектов в кеше
maximum_object_size 131072 KB # Максимальное колличество объектов в кеше
cache_swap_low 90
cache_swap_high 95
#---------------------------------------------------------------------------------------------------------------------------
# LOGFILE OPTIONS # Настройки лог-файлов.
cache_log C:/squid/var/logs/cache.log # Местонахождение лог-файла кеша.
cache_access_log C:/squid/var/logs/access.log # Местонахождение лог-файла доступа.
mime_table C:/squid/etc/mime.conf
log_mime_hdrs on
pid_filename C:/squid/var/logs/squid.pid
#---------------------------------------------------------------------------------------------------------------------------
# OPTIONS FOR FTP GATEWAYING # Настройки для FTP
ftp_user vas@vas.com # Логин
ftp_list_width 64
#---------------------------------------------------------------------------------------------------------------------------
# OPTIONS FOR TUNING THE CACHE
acl QUERY urlpath_regex cgi-bin \?
hierarchy_stoplist cgi-bin ?
refresh_pattern ^ftp: 1440 20% 10080
refresh_pattern ^gopher: 1440 0% 1440
refresh_pattern . 0 20% 4320
no_cache deny QUERY
quick_abort_min 0 KB
quick_abort_max 0 KB
#---------------------------------------------------------------------------------------------------------------------------
# ADMINISTRATIVE PARAMETERS
cache_effective_user nobody nogroup
visible_hostname mysquid
#---------------------------------------------------------------------------------------------------------------------------
# ICP OPTIONS
icp_port 0
#---------------------------------------------------------------------------------------------------------------------------
# INTERNAL ICON OPTIONS
icon_directory C:/squid/share/icons
#---------------------------------------------------------------------------------------------------------------------------
# ERROR PAGE OPTIONS
error_directory c:/squid/share/errors/Russian-1251 # Местонахождение файлов с описаниями ошибок.
#---------------------------------------------------------------------------------------------------------------------------
# DNS OPTIONS
dns_nameservers 62.213.0.12 62.213.2.1 # Primary & Secondary DNS Provider
hosts_file C:/WINDOWS/system32/drivers/etc/hosts # Местонахождение host - файла.
#---------------------------------------------------------------------------------------------------------------------------
# MISCELLANEOUS
coredump_dir C:/squid/var/cache

Проблема следующая:
1. Есть городская локальная сеть 10.0.0.0, маска 255.255.0.0. Компов, эдак, на 3000.
2. К этой локальной сети подключена сетка 192.168.0.0 с маской 255.255.255.0 через роутер D-Link DIR-100. Моя домашняя. Роутер работает DHCP-сервером, а также перенаправляет все DNS из большой локалки.
3. Соединение с интернет выполняется через vpn-сервер. Так как роутер почему-то не умеет подключаться к инету в нашей локалке сам, то приходится делать это вручную. Соответственно, инет доступен только на одном компе одновременно, а хочецца на всех. Причем, не только для работы, но и для компьютерных игр и прочих шалостей. Домашняя локалка потому что.
4. На всех домашних компах установлена Windows XP SP2. Без вариантов. Линукс ставить не собираюсь.
5. В наличии есть дистрибутив Squid 2.6 Stable20, скачанный с сайта http://www.acmeconsulting.it/.

В общем, вопрос:
1. Можно ли при помощи Squid для Windows NT сделать прозрачное проксирование для всех протоколов, а не только для HTTP?
2. Если можно, то какие настройки для этого нужно писать в конфиге? Я Squid впервые увидел сегодня и понятия не имею, как его правильно настраивать, особенно такие специфические вещи, как прозрачное проксирование.
3. Можно ли в Squid отключить кэширование? Типа, чтобы комп занимался исключительно раздачей интернета.

З.Ы. Попрошу не считать меня чайником, просто я уже задолбался искать эту инфу именно для винды.

Kozlyblyn
1. еще для ftp
2. читать здесь http://squid.opennet.ru
3. можно, но не стоит

Вот здесь http://squid.opennet.ru/ в статье "Установка Squid под Windows NT" есть такая фраза:
"Наиболее существенные на сегодняшний момент ограничения Squid под NT - это отсутствие ... прозрачного проксирования."
Это так и есть? Или это устаревшая информация? (я вижу, что, судя по новостной ленте, сайт не обновлялся с января прошлого года, а сама статья по настройке Squid вообще от 2002 года).
Кстати, по прозрачному проксированию там опять исключительно для Linux, с применением имеющихся только в Linux средств.

З.Ы. А вообще, я уже на этом сайте искал. Как и на многих других. Фактически, в инете ходят кругами только эти четыре статьи по настройке прозрачного проксирования - и все для линукса. Почему и решил обратиться за советом к тем, кто работал со Squid.

Kozlyblyn


Цитата:

В общем, вопрос:
1. Можно ли при помощи Squid для Windows NT сделать прозрачное проксирование для всех протоколов, а не только для HTTP?
2. Если можно, то какие настройки для этого нужно писать в конфиге? Я Squid впервые увидел сегодня и понятия не имею, как его правильно настраивать, особенно такие специфические вещи, как прозрачное проксирование.
3. Можно ли в Squid отключить кэширование? Типа, чтобы комп занимался исключительно раздачей интернета.

1. Нет.
2. Настройки можно но они не помогут...
3. Да.


Цитата:

Кстати, по прозрачному проксированию там опять исключительно для Linux, с применением имеющихся только в Linux средств.

Ну почему исключительно Линукс?
Squid сам по себе не маршрутизатор а просто прокси-сервер... и разворачивать трафик нужно пакетными фильтрами, которых нет в винде. И поэтому либо сторонний фильтр+squid либо такие продукты как KFW, PI, WinGate... тебе помогут

А что такое KFW и PI?

Kozlyblyn
kerio winroute firewall
proxy inspector

P.S. Я бы на твоём месте ник сменил...

Ребята вот мой [more=конфиг]http_port 192.168.0.6:3128
icp_port 0
htcp_port 0

# OPTIONS WHICH AFFECT THE NEIGHBOR SELECTION ALGORITHM
# -----------------------------------------------------------------------------

# TAG: no_cache
#We recommend you to use the following two lines.
acl QUERY urlpath_regex cgi-bin \?
acl icq urlpath_regex login.icq.com
no_cache deny QUERY
no_cache deny icq
acl apache rep_header Server ^Apache
broken_vary_encoding allow apache


# OPTIONS WHICH AFFECT THE CACHE SIZE
# -----------------------------------------------------------------------------

cache_mem 128 MB
cache_swap_low 90
cache_swap_high 95
maximum_object_size 8192 KB
minimum_object_size 0 KB
maximum_object_size_in_memory 8 KB
ipcache_size 4096
ipcache_low 90
ipcache_high 95
fqdncache_size 4096
cache_replacement_policy lru
memory_replacement_policy lru


# LOGFILE PATHNAMES AND CACHE DIRECTORIES
# -----------------------------------------------------------------------------

# Настройка логов
# -----------------------------------------------------------------------------
cache_dir aufs e:/SquidNT/var/cache 4096 16 256
access_log e:/SquidNT/var/logs/access.log
cache_log none
cache_store_log none
emulate_httpd_log off
log_ip_on_direct on
mime_table e:/SquidNT/etc/mime.conf
log_mime_hdrs off
pid_filename e:/SquidNT/var/logs/squid.pid
debug_options ALL,1
log_fqdn off

# Настройка DNS
# -----------------------------------------------------------------------------
dns_nameservers 192.168.0.6


# OPTIONS FOR EXTERNAL SUPPORT PROGRAMS
# -----------------------------------------------------------------------------

ftp_user Squid@domain.ru
ftp_list_width 64
ftp_passive on
ftp_sanitycheck on
hosts_file c:/windows/system32/drivers/etc/hosts
unlinkd_program e:/SquidNT/libexec/unlinkd.exe

# Настройка подключаемых модулей
# -----------------------------------------------------------------------------
url_rewrite_program e:/SquidNT/sbin/redirector.exe e:/SquidNT/etc/redirector.conf
url_rewrite_children 5
authenticate_cache_garbage_interval 30 minutes
authenticate_ttl 30 minutes


# Настройка аутентификации
# -----------------------------------------------------------------------------
#auth_param ntlm program e:/SquidNT/libexec/mswin_ntlm_auth.exe
#auth_param ntlm children 5
#auth_param ntlm keep_alive on

#auth_param basic program e:/SquidNT/libexec/mswin_auth.exe -O tuboplast
#auth_param basic children 5
#auth_param basic realm Autosphere Squid proxy-server
#auth_param basic credentialsttl 2 hours
#auth_param basic casesensitive on

#external_acl_type NT_global_group %LOGIN e:/SquidNT/libexec/mswin_check_lm_group.exe -G

# OPTIONS FOR TUNING THE CACHE
# -----------------------------------------------------------------------------

request_header_max_size 20 KB
request_body_max_size 0 KB

# TAG: refresh_pattern
#Suggested default:
refresh_pattern ^ftp: 1440 20% 10080
refresh_pattern ^gopher: 1440 0% 1440
refresh_pattern . 0 20% 4320
quick_abort_min 16 KB
quick_abort_max 16 KB
quick_abort_pct 95
negative_ttl 1 minute
positive_dns_ttl 6 hours
negative_dns_ttl 5 minutes
range_offset_limit 0 KB


# TIMEOUTS
# -----------------------------------------------------------------------------

connect_timeout 2 minutes
read_timeout 15 minutes
request_timeout 5 minutes
persistent_request_timeout 1 minute
client_lifetime 8 hours
half_closed_clients off
pconn_timeout 120 seconds
ident_timeout 10 seconds
shutdown_lifetime 30 seconds


# ACCESS CONTROLS
# -----------------------------------------------------------------------------

acl all src 0.0.0.0/0.0.0.0
acl localhost src 127.0.0.1/255.255.255.255
acl to_localhost dst 127.0.0.0/8

acl SSL_ports port 443 563 5190 15100
acl Safe_ports port 80 # http
acl Safe_ports port 21 # ftp
acl Safe_ports port 443 563 # https, snews
acl Safe_ports port 70 # gopher
acl Safe_ports port 210 # wais
acl Safe_ports port 1025-65535 # unregistered ports
acl Safe_ports port 280 # http-mgmt
acl Safe_ports port 488 # gss-http
acl Safe_ports port 591 # filemaker
acl Safe_ports port 777 # multiling http
acl CONNECT method CONNECT
acl icq_proto proto HTTPS


# Настройка списков доступа
# -----------------------------------------------------------------------------

#acl DomainUsers external NT_global_group "e:/SquidNT/etc/Domain_Users.list"
#acl SquidProxyUsers external NT_global_group SquidProxyUsers
#acl SquidProxyICQUsers external NT_global_group SquidProxyICQUsers
#acl tlt_ip dst "e:/SquidNT/etc/tlt_ip.list"
#acl local_ip dst "e:/SquidNT/etc/local_ip.list"
#acl icq_servers dst "e:/SquidNT/etc/icq_servers.list"
#acl password proxy_auth REQUIRED

acl special_users src "e:/SquidNT/etc/special_users.list"
acl limit_users src "e:/SquidNT/etc/limit_users.list"
acl limit_sites url_regex -i "e:/SquidNT/etc/limit_sites.list"


# TAG: http_access
# Allowing or Denying access based on defined access lists

http_access allow special_users
http_access deny to_localhost
http_access deny CONNECT !SSL_ports
http_access deny all CONNECT
http_access deny !Safe_ports


http_access allow limit_users limit_sites
http_access deny limit_users

http_access deny all

# TAG: http_reply_access
# Allow replies to client requests. This is complementary to http_access.

http_reply_access allow all

icp_access deny all
miss_access allow all

# ADMINISTRATIVE PARAMETERS
# -----------------------------------------------------------------------------

cache_mgr adm@xxx.ru
cache_effective_user nobody
cache_effective_group none
visible_hostname Autosphere Proxy Server


# OPTIONS FOR THE CACHE REGISTRATION SERVICE
# -----------------------------------------------------------------------------

announce_period 0


# MISCELLANEOUS
# -----------------------------------------------------------------------------

memory_pools off
forwarded_for on
log_icp_queries off

cachemgr_passwd lesssssssecret shutdown
cachemgr_passwd lesssssssecret info stats/objects
cachemgr_passwd disable all

store_avg_object_size 9 KB
client_db on
reload_into_ims off

icon_directory e:/SquidNT/share/icons
short_icon_urls off
error_directory e:/SquidNT/share/errors/Russian-1251
maximum_single_addr_tries 1

snmp_port 0

offline_mode off

uri_whitespace strip
strip_query_terms on
coredump_dir e:/SquidNT/var/cache
redirector_bypass off
ignore_unknown_nameservers on
client_persistent_connections on
server_persistent_connections on
balance_on_multiple_ip on
request_entities off
high_response_time_warning 0
high_page_fault_warning 0
high_memory_warning 0[/more]

подскажите можно ли подключить проверку по mac адресу из списка в файле как например

acl special_users src "e:/SquidNT/etc/special_users.list

Очень признателен за помощь

rosalin Теоретически можно, почему нет? Сделай и проверь.

ipmanyak
Так вот я прошу вас помочь мне внести коррективы в конфиг....

rosalin
Можно. Для этого сквид должон быть собран с параметром –-enable-arp-acl

Цитата:

acl aclname arp mac-address ... (xx:xx:xx:xx:xx:xx notation)

The arp ACL requires the special configure option --enable-arp-acl.
Furthermore, the ARP ACL code is not portable to all operating systems.
It works on Linux, Solaris, Windows, FreeBSD, and some other *BSD variants.
NOTE: Squid can only determine the MAC address for clients that are on
the same subnet. If the client is on a different subnet, then Squid cannot
find out its MAC address.

Ruza

Цитата:

kerio winroute firewall
proxy inspector

Огромное спасибо! Буду искать.

Здравствуйте.
Никак не могу разобраться с NTML авторизацией в Squid NT.

Задача:
1. Cделать авторизацию в прокси сервере Squid NT по данным пользователей в AD.
2. Пользователям выдавать как можно окон для авторизации, т.е. чтобы все шло автоматом.

Ставлю сквид 2.7 под Windows XP prof sp2 , в плане перекинуть на Windows 2003. "Настроил" mswin_ntlm_auth. На машине где стоид сквид (моя машина: wrk-admin) IE авторизует меня нормально, не выдает окно и т.д. Opera, естественно, просит ввести логин и пароль. Ввожу свои, те, которые прописаны в домене - пускает, в лог access записывает что я (SMR/wrk-admin) запрашивал то то.
Когда настраиваю соседнюю машину (win XP prof sp2) на работу с прокси, авторизация запрашивается и в IE тоже (чего быть не должно). Только user с данными своей учетки авторизоваться не может, а я на его машине со своими данными могу. Короче говоря идут только мои логин и пароль. Почему понять не могу.

Привожу часть конфиг файла (не судите строго):

#--А-в-т-о-р-и-з-а-ц-и-я--

auth_param ntlm program c:/squid/libexec/mswin_ntlm_auth.exe
auth_param ntlm children 5

-----------------------------------------------------
acl SSL_ports port 443
acl Safe_ports port 80 # http
acl Safe_ports port 21 # ftp
acl Safe_ports port 443 # https
acl Safe_ports port 70 # gopher
acl Safe_ports port 210 # wais
acl Safe_ports port 1025-65535 # unregistered ports
acl Safe_ports port 280 # http-mgmt
acl Safe_ports port 488 # gss-http
acl Safe_ports port 591 # filemaker
acl Safe_ports port 777 # multiling http
acl CONNECT method CONNECT

---------------------------------------------------
# описываю сеть в которой должен работать sqiud
acl all src 0.0.0.0/0.0.0.0 # все сети
acl Smr src 192.168.130.1/255.255.255.0 # наша сеть


---------------------------------------------------
acl localnet proxy_auth REQUIRED src 192.168.130.0/24
http_access allow localnet
# Конец



Добавлено:
Проблема решена. Просто в групповых политиках сетевой вход был разрешён только для администратора. Поэтому и не пускал.

Подскажите, а как привязать конкретного юзера к IP адресу? Как разрешить доступ с некоторых IP без авторизации?

Необходимо обрезать канал для опред пользователей по опред файлам, т.е. для начальства без ограничений, а для рядовых ограничить скорость скачивания музыки, фильмов и т.д.
Как резать по опред файлам разобрался. Не понимаю как сделать разграничение действия пулов для разных юзеров.
Подскажите пожалуйста как это можно реализовать?! Заранее огромное спасибо!

Часть конфига приведена выше...

gap5
acl blablabla src 192.168.130.x
acl HZ proxy_auth REQUIRED
http_access allow blablabla
http_access allow HZ

Добавлено:
ilicho42


Цитата:

Часть конфига приведена выше...

Угу именно эта часть и интересна в разрезе вопроса:
Цитата:

Необходимо обрезать канал для опред пользователей по опред файлам, т.е. для начальства без ограничений, а для рядовых ограничить скорость скачивания музыки, фильмов и т.д.
Как резать по опред файлам разобрался. Не понимаю как сделать разграничение действия пулов для разных юзеров.
Подскажите пожалуйста как это можно реализовать?

Я иммею в виду мой предыдущий пост.

Ruza
А привязать юзера к адресу можно? Кроме того, как указывать имена юзеров в конфиге? DOMAINNAME\Username?

ilicho42

Цитата:

Я иммею в виду мой предыдущий пост.

Я тоже... ты там delay_pools видиш?

gap5

Цитата:

А привязать юзера к адресу можно?

Это извини не ко мне я squid на *nix системах использую.

Цитата:

Кроме того, как указывать имена юзеров в конфиге?

Зачем в конфиге для этого отдельный файл есть или ntlm автризация.

Цитата:

DOMAINNAME\Username?

А это о чём?

Цитата:

Я тоже... ты там delay_pools видиш?

Если бы я там это видел, то не обращался бы на форум.

Будет ли работать следующая конструкция?

acl all src 0.0.0.0/0.0.0.0
acl All_Internet dst 0.0.0.0/0.0.0.0
acl DomainUsers proxy_auth REQUIRED
acl MaxSpeed proxy_auth petrov sidorov
http_access allow MaxSpeed All_Internet
http_access allow domainusers All_Internet # временно полный доступ
http_access deny domainusers
http_access deny all

delay_pools 2

delay_class 1 1
delay_class 2 2

delay_parameters 1 -1/-1
delay_access 1 allow MaxSpeed
delay_access 1 deny domainusers
delay_access 1 deny all

delay_parameters 2 -1/-1 10000/10000
delay_access 2 allow domainusers
dalay_accsess deny MaxSpeed
dalay_access deny all

Добавлено:
Поторопился...

dalay_accsess 2 deny MaxSpeed
dalay_access 2 deny all