The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

форумы
правила/FAQ
поиск
регистрация
вход
слежка
RSS


Создать новую тему
- Свернуть нити
Пометить прочитанным
1 | 2 | 3 | 4 | 5 | 6 | 7 | 8 | 9 | 10 | Архив | Избранное | Мое | Новое | | |  
Форум Настройка Squid, Tor и прокси серверов
Squid ходит не по всем сайтам, !*! chuk, (Прозрачный proxy) 23-Ноя-14, 04:32  [ | | | ] [линейный вид] [смотреть все] [раскрыть новое]


Сайты локальной сети пропускать через Squid, !*! binom, (Подключение фильтров) 21-Ноя-14, 04:46  [ | | | ] [линейный вид] [смотреть все] [раскрыть новое]
  • Почему не будут Им какая разница кому отдавать контент - вашему пк или серверу , !*! Hawk (??), 05:32 , 21-Ноя-14 (1)
    > Если у клиента в настройках прокси не ставить галочку  "Не использовать
    > прокси-сервер для локальных адресов", то все локальные сайты буду идти через
    > squid, но они работать конечно же не будут.

    Почему не будут? Им какая разница кому отдавать контент - вашему пк или серверу сквида?

    Возможные причины на сервере:
    1. в сквиде есть опция tcp_outgoing_address, она установлена?
    2. различные косяки со списками доступа
    3. Разные варианты косяков с настройкой фаервола/маршрутизации


    сообщить модератору +/ответить
    • Тем не менее не работает Помогите мне пожалуйста Что мне нужно прописать чтобы, !*! binom (?), 05:49 , 21-Ноя-14 (2)
      Тем не менее не работает! Помогите мне пожалуйста. Что мне нужно прописать чтобы локальные
      сайты из сети 10.250.*.* ходили через проксю?


      ВОТ МОЙ КОНФИГ:

      --------------------------------------------------------------------------------------
      # created by SAMS _sams_ 2014-11-18 13:49:11
      #debug_options ALL,8

      #-------------------------------------------------------------------------------------
      # Указываем Squid как проводить аутентификацию:

      #--domain=DOMEN
      auth_param ntlm program /usr/bin/ntlm_auth --helper-protocol=squid-2.5-ntlmssp
      auth_param ntlm children 5
      auth_param ntlm keep_alive on
      authenticate_cache_garbage_interval 15 minute
      authenticate_ttl 5 minute
      auth_param basic program /usr/bin/ntlm_auth --helper-protocol=squid-2.5-basic
      auth_param basic children 5
      auth_param basic realm Squid Proxy-Server
      auth_param basic credentialsttl 20 minute
      auth_param basic casesensitive off


      # Теперь указываем Squid где брать информацию о группах пользователей

      external_acl_type nt_group ttl=0 %LOGIN /usr/lib/squid/wbinfo_group.pl

      #########################################################
      #Указываем группы доступа
      acl INTERNET_ADMIN      external nt_group INTERNET_ADMIN
      acl INTERNET_USERS_VIP  external nt_group INTERNET_USERS_VIP
      acl INTERNET_USERS_ALL  external nt_group INTERNET_USERS_ALL

      #Определяем имена acl
      acl ntlm  proxy_auth REQUIRED
      acl all src all


      #Имя листа доступа manager, отмечает протокол cache_object:
      acl manager proto cache_object

      #Имя листа доступа localhost, отмечает IP-клиента (127.0.0.1)
      acl localhost src 127.0.0.1/32

      #Имя листа доступа to_localhost, отмечает подсеть ресурсов:
      acl to_localhost dst 127.0.0.0/8 0.0.0.0/32

      #---------------------------------------------------
      #Администраторы
      http_access allow INTERNET_ADMIN
      #VIP пользователи
      http_access allow INTERNET_USERS_VIP

      #---------------------------------------------------

      #-------------------СЛОВАРИ ДОСТУПА-----------------
      # Указываем расположение и назначение словарей доступа в сеть интернет:

      # Список разрешенных сайтов (доступ к этим сайтам будет возможен
      #даже пользователям, кторым доступ в интернет запрещен) (отдельные файлы для http и https)
      acl users-all-good-url dstdomain "/etc/squid/dictionaries/users-all-good-url.txt"
      #Определяем имена acl
      acl ntlm  proxy_auth REQUIRED
      acl all src all


      #Имя листа доступа manager, отмечает протокол cache_object:
      acl manager proto cache_object

      #Имя листа доступа localhost, отмечает IP-клиента (127.0.0.1)
      acl localhost src 127.0.0.1/32

      #Имя листа доступа to_localhost, отмечает подсеть ресурсов:
      acl to_localhost dst 127.0.0.0/8 0.0.0.0/32

      #---------------------------------------------------
      #Администраторы
      http_access allow INTERNET_ADMIN
      #VIP пользователи
      http_access allow INTERNET_USERS_VIP

      #---------------------------------------------------

      #-------------------СЛОВАРИ ДОСТУПА-----------------
      # Указываем расположение и назначение словарей доступа в сеть интернет:

      # Список разрешенных сайтов (доступ к этим сайтам будет возможен
      #даже пользователям, кторым доступ в интернет запрещен) (отдельные файлы для http и https)
      acl users-all-good-url dstdomain "/etc/squid/dictionaries/users-all-good-url.txt"
      acl users-all-good-urls urlpath_regex -i "/etc/squid/dictionaries/users-all-good-urls.txt"

      # Список сайтов, использующих для работы JAVA-#апплеты"
      #acl java-url dstdomain "/etc/squid/dictionaries/java-url.txt"

      #---------------------------------------------------


      #------------Теперь указываем права доступа по словарям----------------
      #http_access allow java-url

      http_access allow users-all-good-url
      http_access allow users-all-good-urls

      #---------Указываем в каких группах используются какие словари---------
      http_access allow INTERNET_USERS_ALL users-all-good-url users-all-good-urls

      #Правило разрешает обращаться к КЭШу локальному ХОСТу.
      http_access allow manager localhost
      #---------------------Стандартные правила------------------------------


      http_access deny all

      http_reply_access allow all

      icp_access allow all

      # Список сайтов, использующих для работы JAVA-#апплеты"
      #acl java-url dstdomain "/etc/squid/dictionaries/java-url.txt"

      #---------------------------------------------------


      #------------Теперь указываем права доступа по словарям----------------
      #http_access allow java-url

      http_access allow users-all-good-url
      http_access allow users-all-good-urls

      #---------Указываем в каких группах используются какие словари---------
      http_access allow INTERNET_USERS_ALL users-all-good-url users-all-good-urls

      #Правило разрешает обращаться к КЭШу локальному ХОСТу.
      http_access allow manager localhost
      #---------------------Стандартные правила------------------------------


      http_access deny all

      http_reply_access allow all

      icp_access allow all

      #Порт прокси
      http_port 3128

      #РЕЖЕМ СКОРОСТЬ
      #Создадим три пула по которым будут пролетать наши пользователи.
      # Администраторы

      # VIP пользователи
      #Установим ограничение в 128 килобит (16000 нужно умножить на 8)
      # ОБЫЧНЫЕ  пользователи
      #Установим ограничение в 128 килобит (16000 нужно умножить на 8)
      #---------------------------------------------------------------------------------------

      #Перечисляем порты, которые смогут проходить через прокси
      acl SSL_ports port 443
      acl Safe_ports port 80          # http
      acl Safe_ports port 21          # ftp
      acl Safe_ports port 443         # https
      acl Safe_ports port 70          # gopher
      acl Safe_ports port 210         # wais
      acl Safe_ports port 1025-65535  # unregistered ports
      acl Safe_ports port 280         # http-mgmt
      acl Safe_ports port 488         # gss-http
      acl Safe_ports port 591         # filemaker
      acl Safe_ports port 777         # multiling http
      acl CONNECT method CONNECT

      #Параметры изменяемые SAMS (Не удалять!)#Порт прокси
      http_port 3128

      #РЕЖЕМ СКОРОСТЬ
      #Создадим три пула по которым будут пролетать наши пользователи.
      # Администраторы

      # VIP пользователи
      #Установим ограничение в 128 килобит (16000 нужно умножить на 8)
      # ОБЫЧНЫЕ  пользователи
      #Установим ограничение в 128 килобит (16000 нужно умножить на 8)
      #---------------------------------------------------------------------------------------

      #Перечисляем порты, которые смогут проходить через прокси
      acl SSL_ports port 443
      acl Safe_ports port 80          # http
      acl Safe_ports port 21          # ftp
      acl Safe_ports port 443         # https
      acl Safe_ports port 70          # gopher
      acl Safe_ports port 210         # wais
      acl Safe_ports port 1025-65535  # unregistered ports
      acl Safe_ports port 280         # http-mgmt
      acl Safe_ports port 488         # gss-http
      acl Safe_ports port 591         # filemaker
      acl Safe_ports port 777         # multiling http
      acl CONNECT method CONNECT

      #Параметры изменяемые SAMS (Не удалять!)
      #  TAG: acl
      acl _sams_default src "/etc/squid/default.sams"
      acl _sams_default_time time MTWHFAS 00:00-24:00

      #  TAG: http_access
      _sams_default_time
      #  TAG: delay_class

      #Выделяем память под кешируемые объекты
      cache_mem 64 MB

      #Задаем максимальный размер файла в памяти
      maximum_object_size_in_memory 64 KB
      memory_replacement_policy lru
      cache_replacement_policy lru

      #Определяем кеш на диске
      #Первая цифра размер директории кеша, две следующие это
      # число директорий 1-го уровня и в них количество,
      # определенное третьей цифрой, директорий
      cache_mem 64 MB

      #Задаем максимальный размер файла в памяти
      maximum_object_size_in_memory 64 KB
      memory_replacement_policy lru
      cache_replacement_policy lru
      #Определяем кеш на диске
      #Первая цифра размер директории кеша, две следующие это
      # число директорий 1-го уровня и в них количество,
      # определенное третьей цифрой, директорий
      # непосредственно для файлов кеша

      #Полность отключить кеширование
      #cache deny all

      #cache_effective_user root
      cache_dir ufs /var/spool/squid  100 16 256

      store_dir_select_algorithm least-load

      #Задаем максимальный размер закешированного файла
      maximum_object_size  8 MB
      cache_swap_low 90
      cache_swap_high 95
      logformat squid %ts.tu %6tr %>a %Ss/Hs %<st %rm %ru %un %Sh/%<A %mt

      #Указываем местонахождение лог файлов
      access_log /var/log/squid/access.log squid
      cache_log /var/log/squid/cache.log
      cache_store_log /var/log/squid/store.log
      pid_filename /var/run/squid.pid
      strip_query_terms off
      refresh_pattern ^ftp:         &n... 1440    20%     10080
      refresh_pattern ^gopher:        1440    0%      1440
      refresh_pattern -i (/cgi-bin/|\?) 0     0%      0

      #Задаем имя сервера в случае ошибки DNS
      visible_hostname proxy.DOMEN

      #Задаем язык отображения ошибок
      error_directory /usr/share/squid/errors/Russian-1251
      check_hostnames on
      coredump_dir /var/spool/squid

      сообщить модератору +/ответить
      • Сайты должны ходить Сайты должны ходить через проксю Как интересно Это не ваш к, !*! PavelR (??), 08:31 , 21-Ноя-14 (3)
        > Что мне нужно прописать чтобы локальные сайты из сети 10.250.*.* ходили через проксю?

        Сайты должны ходить?
        Сайты должны ходить через проксю?

        Как интересно.

        > ВОТ МОЙ КОНФИГ:
        > --------------------------------------------------------------------------------------
        > # created by SAMS _sams_ 2014-11-18 13:49:11
        > #debug_options ALL,8
        > #-------------------------------------------------------------------------------------

        Это не ваш конфиг и прописывать в него ничего не надо, и более того, _нельзя_.


        > Тем не менее не работает! Помогите мне пожалуйста.

        Помоги себе сам. Начни с гуглежа на тему "как правильно задавать вопросы".

        сообщить модератору +/ответить
  • Если на сайты будешь ходить по IP адресам, то ничего прописывать не нужно Вот те, !*! ipmanyak (ok), 15:39 , 21-Ноя-14 (4)
    > Если у клиента в настройках прокси не ставить галочку  "Не использовать
    > прокси-сервер для локальных адресов", то все локальные сайты буду идти через
    > squid, но они работать конечно же не будут. А можно ли
    >  прописать что-нибуть в конфиге squid чтобы эти локальные сайты работали?

    Если на сайты будешь ходить по IP адресам, то ничего прописывать не нужно.
    Вот тебе пример из лога
    1416573291.634      1 10.16.56.49 TCP_MISS/304 261 GET http://10.222.2.22:3000/LookOut/icon.ico? - HIER_DIRECT/10.131.2.11 text/html
    Если по именам, то тебе нужно иметь свой нэймсервер, который будет резолвить эти имена и отдавать сквиду.

    p.s.
    Какой смысл ходить на локальные сайты через сквид? - лишний тормоз имхо.


    сообщить модератору +/ответить
Сохранить кэш Unbound  и использовать после ребута, !*! oleg_skat, (Разное) 10-Окт-13, 15:31  [ | | | ] [линейный вид] [смотреть все] [раскрыть новое]
  • unbound сам, вроде, сохраняться и восстанавливаться не умеет 1 это умеет, вроде, !*! Andrey Mitrofanov (?), 19:26 , 10-Окт-13 (1)
    > Доброго времени.
    > Здесь, вроде, не по теме обсуждать DNS, но по ним раздела не
    > нашёл..... хочу обратиться к сообществу за консультацией.
    > По существу.
    > Стоит Unbound Version 1.4.19, всем доволен, только вот после ребута шлюза кэш,
    > естественно уничтожается. Может быть есть идеи, как его (кэш) сохранить и
    > после запуска скормить Unbound. Интересует сама идея, скрипт напишу сам.
    > Спасибо.

    unbound сам, вроде, сохраняться и восстанавливаться не умеет.

    1. это умеет, вроде, pdnsd.

    2. Засунь unbound в контейнер-винтуалку и чекпоинти его вместо останова и рестарти вместо запускаю %)

    или

    3. и джедайский путь - патчить исходники до реализации необходимого.

    сообщить модератору +/ответить
Убрать имя домена при вводе пользователя, !*! binom, (Аутентификация) 18-Ноя-14, 02:48  [ | | | ] [линейный вид] [смотреть все] [раскрыть новое]
  • username, !*! Мимоадмин (?), 11:18 , 19-Ноя-14 (1)
    > Здравствуйте! На сквиде настроена прозрачная аунтефикация с AD, те если компьютер в
    > домене пользователю пароль и логин вводить не нужно, но если компьютер
    > не в домене, то приходится вводить имя пользователя в виде DOMEN\USER.
    > Вопрос как убрать имя домена в имени пользователя (те строчку DOMEN\).
    > Если это возможно прощу дать ответ как можно подробнее, ибо я
    > не очень силен в сквиде.

    \username

    сообщить модератору +/ответить
Не скачиваются файлы с некоторых сайтов, !*! binom, (ACL, блокировки) 12-Ноя-14, 11:37  [ | | | ] [линейный вид] [смотреть все] [раскрыть новое]
  • Ну так это у админа нет ограничений, а у вас есть , !*! PavelR (??), 12:19 , 12-Ноя-14 (1) +1
    > Здравствуйте! Squid с прозрачной доменной  аунтефикацией.  Все работает у админа
    > нет ни каких ограничений!

    Ну так это у админа нет ограничений, а у вас есть.

    сообщить модератору +1 +/ответить
  • TCP_DENIED - Значит есть правила, запрещающие скачку mp3 Показывай конфиг сквид, !*! ipmanyak (ok), 07:32 , 14-Ноя-14 (3)
    > 1415781043.198      0 10.250.236.249 TCP_DENIED/407 2071 GET http://dl.zaycev.net/91493/3031073/sia_-_chandelier_(zaycev.net).mp3
    > - NONE/- text/html

    TCP_DENIED - Значит есть правила, запрещающие скачку mp3. Показывай конфиг сквида или сам смотри.


    сообщить модератору +/ответить
    • КОНФИГ ------------------------------------------------------------------------, !*! binom (?), 06:47 , 17-Ноя-14 (4)
      >> 1415781043.198      0 10.250.236.249 TCP_DENIED/407 2071 GET http://dl.zaycev.net/91493/3031073/sia_-_chandelier_(zaycev.net).mp3
      >> - NONE/- text/html
      > TCP_DENIED - Значит есть правила, запрещающие скачку mp3. Показывай конфиг сквида или
      > сам смотри.

      КОНФИГ
      #-------------------------------------------------------------------------------------
      # Указываем Squid как проводить аутентификацию:

      #--domain=DOMEN
      auth_param ntlm program /usr/bin/ntlm_auth --helper-protocol=squid-2.5-ntlmssp
      auth_param ntlm children 5
      auth_param ntlm keep_alive on
      authenticate_cache_garbage_interval 15 minute
      authenticate_ttl 5 minute
      auth_param basic program /usr/bin/ntlm_auth --helper-protocol=squid-2.5-basic
      auth_param basic children 5
      auth_param basic realm Squid Proxy-Server
      auth_param basic credentialsttl 20 minute
      auth_param basic casesensitive off


      # Теперь указываем Squid где брать информацию о группах пользователей

      external_acl_type nt_group ttl=0 %LOGIN /usr/lib/squid/wbinfo_group.pl

      #########################################################
      #Указываем группы доступа
      acl INTERNET_ADMIN      external nt_group INTERNET_ADMIN
      acl INTERNET_USERS_VIP  external nt_group INTERNET_USERS_VIP
      acl INTERNET_USERS_ALL  external nt_group INTERNET_USERS_ALL

      #Определяем имена acl
      acl ntlm  proxy_auth REQUIRED
      acl all src all

      #---------------------------------------------------
      #Администраторы
      http_access allow INTERNET_ADMIN
      #VIP пользователи
      http_access allow INTERNET_USERS_VIP

      #---------------------------------------------------

      #-------------------СЛОВАРИ ДОСТУПА-----------------
      # Указываем расположение и назначение словарей доступа в сеть интернет:

      # Список разрешенных сайтов (доступ к этим сайтам будет возможен
      #даже пользователям, кторым доступ в интернет запрещен) (отдельные файлы для http и https)
      acl users-all-good-url dstdomain "/etc/squid/dictionaries/users-all-good-url.txt"
      acl users-all-good-urls urlpath_regex -i "/etc/squid/dictionaries/users-all-good-urls.txt"

      # Список сайтов, использующих для работы JAVA-#апплеты"
      #acl java-url dstdomain "/etc/squid/dictionaries/java-url.txt"

      #---------------------------------------------------


      #------------Теперь указываем права доступа по словарям----------------
      #http_access allow java-url

      http_access allow users-all-good-url
      http_access allow users-all-good-urls
      #---------Указываем в каких группах используются какие словари---------
      http_access allow INTERNET_USERS_ALL users-all-good-url users-all-good-urls

      #---------------------Стандартные правила------------------------------
      http_access deny all
      http_reply_access allow all
      icp_access allow all
      #Порт прокси
      http_port 3128


      #РЕЖЕМ СКОРОСТЬ
      #Создадим три пула по которым будут пролетать наши пользователи.
      # Администраторы

      # VIP пользователи
      #Установим ограничение в 128 килобит (16000 нужно умножить на 8)
      # ОБЫЧНЫЕ  пользователи
      #Установим ограничение в 128 килобит (16000 нужно умножить на 8)
      #---------------------------------------------------------------------------------------

      #Перечисляем порты, которые смогут проходить через прокси
      acl SSL_ports port 443
      acl Safe_ports port 80          # http
      acl Safe_ports port 21          # ftp
      acl Safe_ports port 443         # https
      acl Safe_ports port 70          # gopher
      acl Safe_ports port 210         # wais
      acl Safe_ports port 1025-65535  # unregistered ports
      acl Safe_ports port 280         # http-mgmt
      acl Safe_ports port 488         # gss-http
      acl Safe_ports port 591         # filemaker
      acl Safe_ports port 777         # multiling http
      acl CONNECT method CONNECT

      #Параметры изменяемые SAMS (Не удалять!)

      #  TAG: acl
      #  TAG: http_access
      #  TAG: delay_class
      delay_pools 0

      #Выделяем память под кешируемые объекты
      cache_mem 64 MB

      #Задаем максимальный размер файла в памяти
      maximum_object_size_in_memory 64 KB
      memory_replacement_policy lru
      cache_replacement_policy lru

      #Определяем кеш на диске
      #Первая цифра размер директории кеша, две следующие это
      # число директорий 1-го уровня и в них количество,
      # определенное третьей цифрой, директорий
      cache_mem 64 MB

      #Задаем максимальный размер файла в памяти
      maximum_object_size_in_memory 64 KB
      memory_replacement_policy lru
      cache_replacement_policy lru

      #Определяем кеш на диске
      #Первая цифра размер директории кеша, две следующие это
      # число директорий 1-го уровня и в них количество,
      # определенное третьей цифрой, директорий
      # непосредственно для файлов кеша

      #Полность отключить кеширование
      #cache deny all

      #cache_effective_user root
      cache_dir ufs /var/spool/squid  100 16 256

      store_dir_select_algorithm least-load

      #Задаем максимальный размер закешированного файла
      maximum_object_size  8 MB
      cache_swap_low 90
      cache_swap_high 95
      logformat squid %ts.tu %6tr %>a %Ss/Hs %<st %rm %ru %un %Sh/%<A %mt

      #Указываем местонахождение лог файлов
      access_log /var/log/squid/access.log squid
      cache_log /var/log/squid/cache.log
      cache_store_log /var/log/squid/store.log
      pid_filename /var/run/squid.pid
      strip_query_terms off
      refresh_pattern ^ftp:         &n... 1440    20%     10080
      refresh_pattern ^gopher:        1440    0%      1440
      refresh_pattern -i (/cgi-bin/|\?) 0     0%      0
      refresh_pattern .               0       20%     4320

      #Задаем имя сервера в случае ошибки DNS
      visible_hostname proxy.DOMEN

      #Задаем язык отображения ошибок
      error_directory /usr/share/squid/errors/Russian-1251
      check_hostnames on
      coredump_dir /var/spool/squid

      #Программа редиректор
      redirect_program        /usr/local/rejik3/redirector /usr/local/rejik3/redirector.conf

      #redirect_children 15

      сообщить модератору +/ответить
Как еастраивать fefault.action в privoxy, !*! Andreyua, (Другие proxy) 12-Ноя-14, 20:03  [ | | | ] [линейный вид] [смотреть все] [раскрыть новое]
Авторизация, !*! Andreyua, (Аутентификация) 11-Ноя-14, 21:16  [ | | | ] [линейный вид] [смотреть все] [раскрыть новое]
ACL для access_log и CONNECT, !*! dalex, (Учет работы пользователей, логи) 28-Окт-14, 15:57  [ | | | ] [линейный вид] [смотреть все] [раскрыть новое]
Раздача интернета через прокси., !*! Subber, (Squid) 22-Окт-14, 13:18  [ | | | ] [линейный вид] [смотреть все] [раскрыть новое]
Блокировка списка сайтов https для группы пользователей squid , !*! longcat, (ACL, блокировки) 10-Июн-14, 06:43  [ | | | ] [линейный вид] [смотреть все] [раскрыть новое]
  • Прозрачный сквид и отсутствие всяческих ssl bump-ов Наверное, клиентский https , !*! Andrey Mitrofanov (?), 09:08 , 10-Июн-14 (1) +1
    > Подскажите, куда копать, пожалуйста, и можно ли вообще средствами кальмара ограничить https траффик?
    > http_port 3128 transparent

    Прозрачный сквид и отсутствие всяческих ssl bump-ов. Наверное, клиентский https ходит мимо сквида, через NAT, блокировать в iptables.

    Насчёт, можно ли, вариантов 2: непрозрачный сквид (_надо настраивать прокси во всех клиентах и _не пускать их "через NAT") и см.про CONNECT+https+squid, либо ssl bump (и, вроде, тоже непрозрачный сквид нужен? не знаю) + либо "не доверенный сертификат" на все сайты, либо загрузка своего ЦА на клиентах.

    ...и тут снова два варианта.

    сообщить модератору +1 +/ответить
  • Закройте домен vk com в сквиде или всего его ip адреса, которые можно узнать по , !*! ipmanyak (ok), 15:29 , 10-Июн-14 (4)
    Закройте домен vk.com в сквиде или всего его ip адреса, которые можно узнать по nslookup
    acl vk dstdomain .vk.com
    http_access deny vk
    если очень хочется только по HTTPS добавьте ssl порт
    acl vk dstdomain .vk.com
    http_access deny vk SSL_ports
    Если по HTTPS не банит, бань по IP

    ----- по IP
    acl  vk  dst  87.240.131.120  87.240.131.119  87.240.131.118
    http_access deny vk
    или
    http_access deny vk SSL_ports
    ---------
    правила http_access  поставить в нужное место.
    ==============================================
    Через Iptables  как-то так:

    iptables -t filter -I INPUT -s vk.com -p tcp -m tcp --sport 443 -j DROP
    iptables -t filter -I OUTPUT -d vk.com -p tcp -m tcp --dport 443 -j DROP
    iptables -t filter -I FORWARD -d vk.com -p tcp -m tcp --dport 443 -j DROP

    сообщить модератору +/ответить
    • у меня squid настроен в прозрачном режиме и на его порт iptables перекидывает па, !*! longcat (ok), 07:30 , 11-Июн-14 (5)
      у меня squid настроен в прозрачном режиме и на его порт iptables перекидывает пакеты только с 80 порта, а в squid у меня уже есть

      acl SSL_ports port 443
      acl Safe_ports port 443
      acl CONNECT method CONNECT
      acl url_no_filtred src 192.168.0.12 192.168.0.211 192.168.0.53-192.168.0.56
      # разрешенные ip
      # подключаем черный список сайтов
      acl blacklist url_regex -i "/etc/squid3/blacklist"

      # блокировать  список сайтов всем кроме группы ip
      http_access deny blacklist !url_no_filtred
      http_access allow my_network
      http_access allow manager localhost
      http_access deny manager
      http_access deny !Safe_ports
      http_access deny CONNECT !SSL_ports
      http_access allow localhost
      http_access deny all

      если я добавлю в iptables правило перебрасывающее 443 порт на squid, у меня перестают открываться страницы, к сожалению не могу экспериментировать часто , потому как шлюз уже используется

      а  можно ли в сквиде акселями как-то блокировку домена:порта сделать для всех кроме группы ip?

      сообщить модератору +/ответить
      • значит неправильно пробрасываешь, ищи примеры в инете или доки в википедии http , !*! ipmanyak (ok), 14:42 , 11-Июн-14 (6)
        > если я добавлю в iptables правило перебрасывающее 443 порт на squid, у
        > меня перестают открываться страницы, к сожалению не могу экспериментировать часто ,
        > потому как шлюз уже используется

        значит неправильно пробрасываешь, ищи примеры в инете или доки в википедии
        http://wiki.squid-cache.org/ConfigExamples/Intercept/LinuxRe...
        что-то типа:
        iptables -t nat -A PREROUTING -s $SQUIDIP -p tcp --dport 80 -j ACCEPT
        iptables -t nat -A PREROUTING -p tcp --dport 80 -j REDIRECT --to-port 3128
        iptables -t nat -A PREROUTING -p tcp --dport 443 -j REDIRECT --to-port 3128

        > а  можно ли в сквиде акселями как-то блокировку домена:порта сделать для
        > всех кроме группы ip?

        пример такой блокировки с ssl портом  тебе уже давал выше, применяй аксель к нужным  IP.
        создай аксель на IP и добавляй его в http_access deny  или http_access allow
        в зависимости блочишь доступ или наоборот разрешаешь.

        сообщить модератору +/ответить
  • Чтоб не плодить темы напишу тут Использую ОС - openSuSE 13 2 Squid - 3 4 4 б, !*! Useful (ok), 14:15 , 22-Окт-14 (7)
    Чтоб не плодить темы напишу тут.
    Использую:
      ОС - openSuSE 13.2
      Squid - 3.4.4
      браузер у клиентов - firefox, opera, ie и т.д.
    содержание squid.conf:
    #===============================================================
    visible_hostname af-server

    acl a_localnet src "/srv/squid/allow/ip_allow.acl"    # разрешенная сеть для прокси
    acl d_localnet src "/srv/squid/deny/ip_stud.acl"    # сеть с ограничениями
    acl soc_domain dstdomain "/srv/squid/deny/soc_domain.acl"
    acl stud_domain dstdomain "/srv/squid/allow/stud_domain.acl"
    acl ip_server dst 192.168.3.1

    acl SSL_ports port 443
    acl Safe_ports port 80        # http
    acl Safe_ports port 21        # ftp
    acl Safe_ports port 443        # https
    acl Safe_ports port 70        # gopher
    acl Safe_ports port 210        # wais
    acl Safe_ports port 1025-65535    # unregistered ports
    acl Safe_ports port 280        # http-mgmt
    acl Safe_ports port 488        # gss-http
    acl Safe_ports port 591        # filemaker
    acl Safe_ports port 777        # multiling http
    acl CONNECT method CONNECT

    # Запрещены все порты, кроме как из списка
    http_access deny !Safe_ports

    # Запрещены все коннекты по портам, кроме как из списка
    http_access deny CONNECT !SSL_ports

    # Разрешен доступ к кешу только для localhost
    http_access allow localhost manager
    http_access deny manager

    http_access allow a_localnet !soc_domain
    http_access allow d_localnet ip_server
    http_access deny d_localnet !stud_domain

    # Allow localhost always proxy functionality
    http_access allow localhost

    # And finally deny all other access to this proxy
    http_access deny all

    http_port 192.168.3.1:3128 transparent
    https_port 192.168.3.1:3129 transparent ssl-bump generate-host-certificates=on dynamic_cert_mem_cache_size=4MB cert=/etc/squid/ssl/squid.pem key=/etc/squid/ssl/squid.pem
    sslproxy_flags DONT_VERIFY_PEER
    sslproxy_cert_error allow all
    always_direct allow all

    ssl_bump client-first all
    ssl_bump server-first all
    ssl_bump none all
    sslcrtd_program /usr/sbin/ssl_crtd -s /srv/squid/ssl_db -M 4MB

    # Leave coredumps in the first cache dir
    coredump_dir /srv/squid/cache

    refresh_pattern ^ftp:        1440    20%    10080
    refresh_pattern ^gopher:    1440    0%    1440
    refresh_pattern -i (/cgi-bin/|\?) 0    0%    0
    refresh_pattern .        0    20%    4320
    #=============================================================================
    сертификат и ключ создавал так:
    openssl req -new -newkey rsa:1024 -days 365 -nodes -x509 -keyout squid.pem -out squid.pem

    Все работает отлично, кроме одного неудобства. В списке "stud_domain.acl" есть ".google.ru". Так вот при открытии "https://www.google.ru" каждый раз приходится подтверждать исключение безопасности. Как сделать, чтоб пользователь только однажды подтвердил, и больше этот вопрос в браузере не возникал?

    сообщить модератору +/ответить
Squid, Sams, схемы авторизации, !*! maxim.ishchenko, (Аутентификация) 18-Окт-14, 12:48  [ | | | ] [линейный вид] [смотреть все] [раскрыть новое]
  • на ваш acl _sams_543e75aaf1cf2 src etc squid 543e75aaf1cf2 sams делаете разре, !*! ipmanyak (ok), 09:48 , 22-Окт-14 (1)
    на ваш acl _sams_543e75aaf1cf2 src "/etc/squid/543e75aaf1cf2.sams"
    делаете  разрешение для него
    http_access allow acl _sams_543e75aaf1cf2
    разрешение ставите выше разрешающих правил правил для SAMS
    оно у вас стоит вроде в правильном месте. Не работает что ли?
    P.S.
    В файле IP адреса можете писать по одному в строке без маски, если это не группа адресов. Да и группу по-моему  можно писать без маски в виде:
    10.18.123.2-10.18.123.122
    сообщить модератору +/ответить
squi керберос авторизация, !*! Ninjatrasher, (Учет работы пользователей, логи) 18-Сен-14, 17:41  [ | | | ] [линейный вид] [смотреть все] [раскрыть новое]
Ubuntu 14.04 x64 squid3 + mikrotik - прокси на digitalocean ?, !*! колбаскин, (Socks) 07-Окт-14, 15:13  [ | | | ] [линейный вид] [смотреть все] [раскрыть новое]
url_rewrite + connect, !*! Нет, (Подключение фильтров) 08-Окт-14, 15:50  [ | | | ] [линейный вид] [смотреть все] [раскрыть новое]
squid+gmail.com (SSL) проблема, !*! skiff2002, (Squid) 31-Июл-12, 14:56  [ | | | ] [линейный вид] [смотреть все] [раскрыть новое]


Направить Squid через другой Squid, !*! Tiarasu, (Прозрачный proxy) 17-Сен-14, 17:13  [ | | | ] [линейный вид] [смотреть все] [раскрыть новое]
Помощь по аутентификации в squid , !*! Александр, (Squid) 15-Сен-14, 19:42  [ | | | ] [линейный вид] [смотреть все] [раскрыть новое]
Прозрачный Squid + ipfw проблема редиректа, !*! enzorik, (Прозрачный proxy) 12-Авг-13, 14:17  [ | | | ] [линейный вид] [смотреть все] [раскрыть новое]
  • Почему forwarding раньше divert Давайте от простого к сложному Загрузите минима, михалыч (ok), 18:09 , 12-Авг-13 (1) !*!
    • gt оверквотинг удален Большое спасибо за ответ, попробую вечером - отпишусь , enzorik (ok), 18:17 , 12-Авг-13 (2) !*!
      • gt оверквотинг удален Добрый вечер Загрузил вашы правила, пробывал и по друго, enzorik (ok), 00:00 , 13-Авг-13 (3) !*!
        • gt оверквотинг удален Добавить в самое начало acl localhost src 127 0 0 1 32Та, !*! михалыч (ok), 04:37 , 13-Авг-13 (4)
          >[оверквотинг удален]
          >>> add 100 allow all from any to any via lo0
          >>> add 200 deny all from any to 127.0.0.0/8
          >>> add 300 deny all from 127.0.0.0/8 to any
          >>> add 400 fwd 127.0.0.1,3128 tcp from any to any 80 in recv
          >>> bge0
          >>> add 500 allow all from any to any
          >> Большое спасибо за ответ, попробую вечером - отпишусь.
          > Добрый вечер. Загрузил вашы правила, пробывал и по другому. Теперь сайты грузятся,
          > но вот в access.log нету записей. Таке впечатление что сквид не
          > ловит.

          Добавить в самое начало:
          acl localhost src 127.0.0.1/32

          Так как у вас указана ваша сеть:
          acl my_network src 192.168.50.0/24

          то это всё
          acl localnet src 10.0.0.0/8     # RFC1918 possible internal network
          acl localnet src 172.16.0.0/12  # RFC1918 possible internal network
          acl localnet src 192.168.0.0/16 # RFC1918 possible internal network
          acl localnet src fc00::/7       # RFC 4193 local private network range
          acl localnet src fe80::/10      # RFC 4291 link-local (directly plugged) machines
          можно(нужно) убрать.

          Строку
          http_access allow localnet
          заменить на
          http_access allow my_network

          Строку
          http_port 3128 intercept
          заменить на
          http_port 127.0.0.1:3128 intercept

          Убрать строку
          http_port 3129

          Выхлоп ipfw show покажите.

          сообщить модератору +/ответить
          • gt оверквотинг удален Загрузил правила, согласно вашим рекомендациям Выхлоп 0, !*! enzorik (ok), 10:15 , 13-Авг-13 (5)
            >[оверквотинг удален]
            > http_access allow localnet
            > заменить на
            > http_access allow my_network
            > Строку
            > http_port 3128 intercept
            > заменить на
            > http_port 127.0.0.1:3128 intercept
            > Убрать строку
            > http_port 3129
            > Выхлоп ipfw show покажите.

            Загрузил правила, согласно вашим рекомендациям. Выхлоп:

            00050  702 475601 divert 8668 ip from any to any via bge1
            00100    0      0 allow ip from any to any via lo0
            00200    0      0 deny ip from any to 127.0.0.0/8
            00300    0      0 deny ip from 127.0.0.0/8 to any
            00400    0      0 fwd 127.0.0.1,3128 tcp from 192.168.50.128 to any dst-port 80 in recv bge0
            00500 1474 957392 allow ip from any to any
            65535 9194 553357 allow ip from any to any

            Также поправил конфиг сквида, но строку http_port 3129 если коментирую то сквид не ругается:
            ERROR: No forward-proxy ports configured.
            Согласно информации з гугла, для прозрачного прокси нужен еще один порт.

            Вот конфиг сквида новый:
            acl localhost src 127.0.0.1/32
            acl my_network src 192.168.50.0/24

            acl SSL_ports port 443
            acl Safe_ports port 80          # http
            acl Safe_ports port 21          # ftp
            acl Safe_ports port 443         # https
            acl Safe_ports port 70          # gopher
            acl Safe_ports port 210         # wais
            acl Safe_ports port 1025-65535  # unregistered ports
            acl Safe_ports port 280         # http-mgmt
            acl Safe_ports port 488         # gss-http
            acl Safe_ports port 591         # filemaker
            acl Safe_ports port 777         # multiling http
            acl CONNECT method CONNECT


            http_access allow my_network

            http_access deny !Safe_ports
            http_access deny CONNECT !SSL_ports
            http_access allow localhost manager
            http_access deny manager

            http_access allow localhost

            http_access deny all

            http_port 127.0.0.1:3128 intercept
            http_port 3129

            cache_dir ufs /cache 20480 16 256
            coredump_dir /cache

            refresh_pattern ^ftp:         &n... 1440    20%     10080
            refresh_pattern ^gopher:        1440    0%      1440
            refresh_pattern -i (/cgi-bin/|\?) 0     0%      0
            refresh_pattern .               0       20%     4320


            Лог сквида:
            2013/08/13 12:14:00 kid1| Logfile: opening log daemon:/var/log/squid/access.log
            2013/08/13 12:14:00 kid1| Logfile Daemon: opening log /var/log/squid/access.log
            2013/08/13 12:14:00 kid1| WARNING: no_suid: setuid(0): (1) Operation not permitted
            2013/08/13 12:14:00 kid1| Squid plugin modules loaded: 0
            2013/08/13 12:14:00 kid1| Adaptation support is off.
            2013/08/13 12:14:00 kid1| Store logging disabled
            2013/08/13 12:14:00 kid1| DNS Socket created at 0.0.0.0, FD 9
            2013/08/13 12:14:00 kid1| Adding domain csia.net from /etc/resolv.conf
            2013/08/13 12:14:00 kid1| Adding nameserver 192.168.50.4 from /etc/resolv.conf
            2013/08/13 12:14:00 kid1| Adding nameserver 192.168.50.6 from /etc/resolv.conf
            2013/08/13 12:14:00 kid1| HTCP Disabled.
            2013/08/13 12:14:00 kid1| WARNING: no_suid: setuid(0): (1) Operation not permitted
            2013/08/13 12:14:00 kid1| Pinger socket opened on FD 15
            2013/08/13 12:14:00| pinger: Initialising ICMP pinger ...
            2013/08/13 12:14:00| pinger: ICMP socket opened.
            2013/08/13 12:14:00 kid1| Loaded Icons.
            2013/08/13 12:14:00 kid1| Accepting NAT intercepted HTTP Socket connections at local=127.0.0.1:3128 remote=[::] FD 11 flags=41
            2013/08/13 12:14:00 kid1| Accepting HTTP Socket connections at local=0.0.0.0:3129 remote=[::] FD 12 flags=9


            Также включал дебаг по этому WARNING: no_suid: setuid(0): (1) Operation not permitted :

            tools.cc(755) enter_suid: enter_suid: PID 70354 taking root privileges
            2013/08/12 12:32:25.779| tools.cc(758) enter_suid: enter_suid: setresuid failed: (1) Operation not permitted

            Результат к сожалению тот же.

            сообщить модератору +/ответить
            • gt оверквотинг удален Покажите выводcat usr src sys uname -m conf uname -i, !*! михалыч (ok), 11:41 , 13-Авг-13 (6)
              >[оверквотинг удален]
              > 2013/08/13 12:14:00 kid1| Accepting NAT intercepted HTTP Socket connections at local=127.0.0.1:3128
              > remote=[::] FD 11 flags=41
              > 2013/08/13 12:14:00 kid1| Accepting HTTP Socket connections at local=0.0.0.0:3129
              > remote=[::] FD 12 flags=9
              > Также включал дебаг по этому WARNING: no_suid: setuid(0): (1) Operation not permitted
              > :
              > tools.cc(755) enter_suid: enter_suid: PID 70354 taking root privileges
              > 2013/08/12 12:32:25.779| tools.cc(758) enter_suid: enter_suid: setresuid failed:
              > (1) Operation not permitted
              > Результат к сожалению тот же.

              Покажите вывод
              cat /usr/src/sys/`uname -m`/conf/`uname -i` | grep IPFIREWALL

              сообщить модератору +/ответить
              • gt оверквотинг удален Вывод - пустая строка Я не не делал перекомпиляции ядра, !*! enzorik (ok), 12:32 , 13-Авг-13 (7)
                >[оверквотинг удален]
                >> 2013/08/13 12:14:00 kid1| Accepting HTTP Socket connections at local=0.0.0.0:3129
                >> remote=[::] FD 12 flags=9
                >> Также включал дебаг по этому WARNING: no_suid: setuid(0): (1) Operation not permitted
                >> :
                >> tools.cc(755) enter_suid: enter_suid: PID 70354 taking root privileges
                >> 2013/08/12 12:32:25.779| tools.cc(758) enter_suid: enter_suid: setresuid failed:
                >> (1) Operation not permitted
                >> Результат к сожалению тот же.
                > Покажите вывод
                > cat /usr/src/sys/`uname -m`/conf/`uname -i` | grep IPFIREWALL

                Вывод - пустая строка.
                Я не не делал перекомпиляции ядра.
                Вот вывод kldstat и sysctl

                sysctl -a | grep forward
                kern.smp.forward_signal_enabled: 1
                net.inet.ip.forwarding: 1
                net.inet.ip.fastforwarding: 0
                net.inet6.ip6.forwarding: 0
                net.wlan.hwmp.replyforward: 1

                kldstat
                Id Refs Address            Size     Name
                1   12 0xffffffff80200000 1323408  kernel
                2    3 0xffffffff81612000 cf6e     ipfw.ko
                3    1 0xffffffff8161f000 a07d     dummynet.ko
                4    1 0xffffffff8162a000 16e3     ipdivert.ko

                сообщить модератору +/ответить
                • Для включения fwd пересобирать ядро всё же необходимо Вот кусок man ipfw который, !*! михалыч (ok), 13:55 , 13-Авг-13 (10) +2
                  > Я не не делал перекомпиляции ядра.

                  Для включения fwd пересобирать ядро всё же необходимо.
                  Вот кусок man ipfw который чётко об этом говорит.

                  To enable fwd a custom kernel needs to be compiled with the
                  option options IPFIREWALL_FORWARD.

                  А вот для включения divert можно использовать два варианта.

                  man divert

                  To enable support for divert sockets, place the following lines in the
                  kernel configuration file:

                        options IPFIREWALL
                        options IPDIVERT

                  Alternatively, to load divert as a module at boot time, add the following
                  lines into the loader.conf(5) file:

                        ipfw_load="YES"
                        ipdivert_load="YES"

                  Если будете компилировать ядро включите туда и divert
                  то есть добавьте следующее.

                  options         IPFIREWALL              # firewall
                  options         IPFIREWALL_VERBOSE      # enable logging to syslogd(8)
                  options         IPFIREWALL_VERBOSE_LIMIT=10     # limit verbosity
                  options         IPFIREWALL_DEFAULT_TO_ACCEPT    # allow everything by default
                  options         IPFIREWALL_FORWARD      # packet destination changes
                  options         IPFIREWALL_NAT          # ipfw kernel nat support
                  options         IPDIVERT                # divert sockets

                  cp /usr/src/sys/`uname -m`/conf/GENERIC  /usr/src/sys/`uname -m`/conf/mykernel

                  cd /usr/src/sys/`uname -m`/conf/
                  ee mykernel

                  Отредактируйте mykernel, добавив вышеуказанные строки с IPFIREWALL и IPDIVERT
                  и заменив строку
                  ident           GENERIC
                  на
                  ident           mykernel

                  После этого

                  cd /usr/src/
                  make buildkernel KERNCONF=mykernel
                  make installkernel KERNCONF=mykernel

                  Отключить в loader.conf загрузку ipdivert закомментировав или удалив строки
                  ipfw_load="YES"
                  ipdivert_load="YES"

                  P.S. Рекомендую вместо natd использовать kernel nat

                  сообщить модератору +2 +/ответить
            • Форвардится только ОДИН IP , !*! Аноним (-), 12:39 , 13-Авг-13 (8)
              > Загрузил правила, согласно вашим рекомендациям. Выхлоп:
              > 00050  702 475601 divert 8668 ip from any to any via bge1
              > 00100    0      0 allow  ip from any to any via lo0
              > 00200    0      0 deny   ip from any to 127.0.0.0/8
              > 00300    0      0 deny   ip from 127.0.0.0/8 to any
              > 00400    0      0 fwd    127.0.0.1,3128 tcp from 192.168.50.128 to any dst-port 80 in recv bge0

              Форвардится только ОДИН IP ?????

              сообщить модератору +/ответить
              • Это моя машина, делаю так, чтобы не трогать пользователей , !*! enzorik (ok), 12:50 , 13-Авг-13 (9)
                >> Загрузил правила, согласно вашим рекомендациям. Выхлоп:
                >> 00050  702 475601 divert 8668 ip from any to any via bge1
                >> 00100    0      0 allow  ip from any to any via lo0
                >> 00200    0      0 deny   ip from any to 127.0.0.0/8
                >> 00300    0      0 deny   ip from 127.0.0.0/8 to any
                >> 00400    0      0 fwd    127.0.0.1,3128 tcp from 192.168.50.128 to any dst-port 80 in recv bge0
                > Форвардится только ОДИН IP ?????

                Это моя машина, делаю так, чтобы не трогать пользователей.

                сообщить модератору +/ответить
    • gt оверквотинг удален Попробовал сделать по вашему рецепту Первая же строка н, !*! Tiarasu (ok), 13:30 , 18-Сен-14 (13)
      >[оверквотинг удален]
      > Давайте от простого к сложному.
      > Загрузите минимальный набор правил.
      > После, добавляйте/усложняйте по вкусу.
      > add 50 divert natd all from any to any via bge1
      > add 100 allow all from any to any via lo0
      > add 200 deny all from any to 127.0.0.0/8
      > add 300 deny all from 127.0.0.0/8 to any
      > add 400 fwd 127.0.0.1,3128 tcp from any to any 80 in recv
      > bge0
      > add 500 allow all from any to any

      Попробовал сделать по вашему рецепту. Первая же строка нафик обрубает подключение по ssl и пропадают пинги. Это нормально?

      сообщить модератору +/ответить


Микротик+прозрачный Squid, !*! summer0001, (Прозрачный proxy) 12-Сен-14, 09:00  [ | | | ] [линейный вид] [смотреть все] [раскрыть новое]
squid - TCP_MISS/401 IIS, !*! Ninjatrasher, (Squid) 09-Сен-14, 10:11  [ | | | ] [линейный вид] [смотреть все] [раскрыть новое]
Как заставить приложение работать через squid, !*! Mayers, (Squid) 09-Сен-14, 07:15  [ | | | ] [линейный вид] [смотреть все] [раскрыть новое]
Squid, HTTPS и современные браузеры, !*! vladadm, (ACL, блокировки) 04-Сен-14, 12:26  [ | | | ] [линейный вид] [смотреть все] [раскрыть новое]
Squidguard, !*! testsia, (Разное) 01-Сен-14, 18:10  [ | | | ] [линейный вид] [смотреть все] [раскрыть новое]
тормозит Squid после добавления http_reply_access, !*! dirty_rain, (ACL, блокировки) 13-Авг-14, 11:14  [ | | | ] [линейный вид] [смотреть все] [раскрыть новое]
  • Эта группа не забивает канал видео-трафиком Канал какой ширины P SЕсли у вас т, !*! ipmanyak (ok), 07:52 , 18-Авг-14 (1)
    > http_reply_access    allow         l-inet-AIM tipe_video

    Эта группа не забивает канал видео-трафиком? Канал какой ширины?
    P.S
    Если у вас  трафик в Инет безлимитный, то я бы советовал отключить дисковый кэш (шерстить индексы на ваши 2 гига - явно скорости не добавит, кстати реальный размер дискового кэга какой? Не превышает 2 гига ?) и ОЗУ сквиду (cache_mem 256 MB)дать побольше, если есть такая возможность.

    сообщить модератору +/ответить
    • Это особанная группа им на уровне железа зарезана полоса пропускания до 20 Mb, !*! dirty_rain (ok), 17:03 , 18-Авг-14 (2)
      >> http_reply_access    allow         l-inet-AIM tipe_video
      > Эта группа не забивает канал видео-трафиком? Канал какой ширины?
      > P.S
      > Если у вас  трафик в Инет безлимитный, то я бы советовал
      > отключить дисковый кэш (шерстить индексы на ваши 2 гига - явно
      > скорости не добавит, кстати реальный размер дискового кэга какой? Не превышает
      > 2 гига ?) и ОЗУ сквиду (cache_mem 256 MB)дать побольше, если
      > есть такая возможность.

      Это особанная группа :) им на уровне железа зарезана полоса пропускания до 20 Mbps. так что исключено.
      У нас и трафик безлимитный и интетрнет 100мегабит честные. Дисковый кэш 1.9 гига, по идее все в порядке... да и сквиду все чего угодно добавить могу, виртуалка.

      сообщить модератору +/ответить
Проблема с Kerberos авторизацией, !*! GlooM14, (Аутентификация) 09-Авг-14, 02:44  [ | | | ] [линейный вид] [смотреть все] [раскрыть новое]
squid выбор авторизации, !*! Ninjatrasher, (Аутентификация) 07-Авг-14, 09:47  [ | | | ] [линейный вид] [смотреть все] [раскрыть новое]
  • где написано что есть какая-то очерёдность протоколов авторизации задержки в дан, !*! pavel_simple (ok), 15:11 , 07-Авг-14 (1)
    > Добрый день товарищи.
    > Столкнулся вот с такой проблемой.
    > Есть машина Debian 7.5, squid 3.1.20 + ntlm аунтефикация + squidguard +
    > ldap
    > Через сквид работают 5 пользователей, страницы открываются с задержкой,  выяснил что
    > проблема в NTLM аунтефикации, так же вычитал что для протокол HTTP
    > вначале использует Basic и Digest авторизацию и лишь потом NTLM. По
    > этому и происходят задержки.

    где написано что есть какая-то очерёдность протоколов авторизации?

    задержки в данном случае скорее всего связаны с dns

    >[оверквотинг удален]
    > got NTLMSSP command 3, expected 1
    > got NTLMSSP command 3, expected 1
    > got NTLMSSP command 3, expected 1
    > got NTLMSSP command 3, expected 1
    >
    > На этих 5 клиентах выставил Lan Manager authentication level : Send LM&NTLM
    > - use NTLMv2 session security if possible, но записи сыпяться.
    > Есть ли другой вариант авторизации кроме Basic? например керберос? и будет ли
    > при авторизации керберос запрашиваться у пользователя логин и пароль при доступен
    > в интернет?

    уже как 100 лет нет никакой необходимости понижать уровень на клиентах -- я конечно мог чего и запамятовать за дальностью лет, но бывалые в этой теме не дадут соврать.

    сообщить модератору +/ответить
    • gt оверквотинг удален версия сквида code Squid Cache Version 3 1 20configure, !*! Ninjatrasher (ok), 15:52 , 07-Авг-14 (4)
      >[оверквотинг удален]
      >> got NTLMSSP command 3, expected 1
      >>
      >> На этих 5 клиентах выставил Lan Manager authentication level : Send LM&NTLM
      >> - use NTLMv2 session security if possible, но записи сыпяться.
      >> Есть ли другой вариант авторизации кроме Basic? например керберос? и будет ли
      >> при авторизации керберос запрашиваться у пользователя логин и пароль при доступен
      >> в интернет?
      > уже как 100 лет нет никакой необходимости понижать уровень на клиентах --
      > я конечно мог чего и запамятовать за дальностью лет, но бывалые
      > в этой теме не дадут соврать.

      версия сквида:


      Squid Cache: Version 3.1.20
      configure options:  '--build=x86_64-linux-gnu' '--prefix=/usr' '--includedir=${p                                                                             refix}/include' '--mandir=${prefix}/share/man' '--infodir=${prefix}/share/info'                                                                              '--sysconfdir=/etc' '--localstatedir=/var' '--libexecdir=${prefix}/lib/squid3' '                                                                             --srcdir=.' '--disable-maintainer-mode' '--disable-dependency-tracking' '--disab                                                                             le-silent-rules' '--datadir=/usr/share/squid3' '--sysconfdir=/etc/squid3' '--man                                                                             dir=/usr/share/man' '--with-cppunit-basedir=/usr' '--enable-inline' '--enable-as                                                                             ync-io=8' '--enable-storeio=ufs,aufs,diskd' '--enable-removal-policies=lru,heap'                                                                              '--enable-delay-pools' '--enable-cache-digests' '--enable-underscores' '--enabl                                                                             e-icap-client' '--enable-follow-x-forwarded-for' '--enable-auth=basic,digest,ntl                                                                             m,negotiate' '--enable-basic-auth-helpers=LDAP,MSNT,NCSA,PAM,SASL,SMB,YP,DB,POP3                                                                             ,getpwnam,squid_radius_auth,multi-domain-NTLM' '--enable-ntlm-auth-helpers=smb_l                                                                             m,' '--enable-digest-auth-helpers=ldap,password' '--enable-negotiate-auth-helper                                                                             s=squid_kerb_auth' '--enable-external-acl-helpers=ip_user,ldap_group,session,uni                                                                             x_group,wbinfo_group' '--enable-arp-acl' '--enable-esi' '--enable-zph-qos' '--en                                                                             able-wccpv2' '--disable-translation' '--with-logdir=/var/log/squid3' '--with-pid                                                                             file=/var/run/squid3.pid' '--with-filedescriptors=65536' '--with-large-files' '-                                                                             -with-default-user=proxy' '--enable-linux-netfilter' 'build_alias=x86_64-linux-g                                                                             nu' 'CFLAGS=-g -O2 -fPIE -fstack-protector --param=ssp-buffer-size=4 -Wformat -W                                                                             error=format-security -Wall' 'LDFLAGS=-fPIE -pie -Wl,-z,relro -Wl,-z,now' 'CPPFL                                                                             AGS=-D_FORTIFY_SOURCE=2' 'CXXFLAGS=-g -O2 -fPIE -fstack-protector --param=ssp-bu                                                                             ffer-size=4 -Wformat -Werror=format-security' --with-squid=/tmp/buildd/squid3-3.                                                                             1.20

      может версия сквида у меня старая?
      в access.log пишется следующие:

      1407412115.063      0 172.18.2.36 TCP_DENIED/407 4393 GET http://www.tikkurila.ru/www/poisk? - NONE/- text/html [Accept: text/html, application/xhtml+xml, *$
      1407412115.173      1 172.18.2.36 TCP_DENIED/407 4748 GET http://www.tikkurila.ru/www/poisk? - NONE/- text/html [Accept: text/html, application/xhtml+xml, *$
      1407412115.376    102 172.18.2.36 TCP_MISS/301 537 GET http://www.tikkurila.ru/www/poisk? pegorov DIRECT/193.93.134.82 text/html [Accept: text/html, applica$
      1407412116.511   1056 172.18.2.36 TCP_MISS/200 8743 GET http://www.tikkurila.ru/poisk? pegorov DIRECT/193.93.134.82 text/html [Accept: text/html, applicatio$

      видно, что сквид авторизует только с 3 раза.
      а как если не понижать уровень, избежать того, то бы в cache.log валилась эта запись, он разрастается довольно быстро и приходится руками удалять

      сообщить модератору +/ответить
    • gt оверквотинг удален ошибочно два раза одно и тоже послал, !*! Ninjatrasher (ok), 15:55 , 07-Авг-14 (5)
      >[оверквотинг удален]
      >> got NTLMSSP command 3, expected 1
      >>
      >> На этих 5 клиентах выставил Lan Manager authentication level : Send LM&NTLM
      >> - use NTLMv2 session security if possible, но записи сыпяться.
      >> Есть ли другой вариант авторизации кроме Basic? например керберос? и будет ли
      >> при авторизации керберос запрашиваться у пользователя логин и пароль при доступен
      >> в интернет?
      > уже как 100 лет нет никакой необходимости понижать уровень на клиентах --
      > я конечно мог чего и запамятовать за дальностью лет, но бывалые
      > в этой теме не дадут соврать.

      ошибочно два раза одно и тоже послал

      сообщить модератору +/ответить
  • Хочешь Керберос, юзай http wiki squid-cache org ConfigExamples Authenticate Wi, !*! ipmanyak (ok), 15:50 , 07-Авг-14 (2)
    Хочешь Керберос, юзай
    http://wiki.squid-cache.org/ConfigExamples/Authenticate/Wind...
    http://wiki.bitbinary.com/index.php/Active_Directory_Integra...

    squid+ad2008\kerberos+ldap и win7\ie8
    http://www.lissyara.su/?id=2101

    Debian Squeeze, Squid, Kerberos/LDAP аутентификация, интеграция Active Directory и Cyfin Reporter
    http://alldebian.ru/debian-squeeze-squid-kerberosldap-active...

    Можно просто привязаться к LDAP
    http://samag.ru/archive/article/204
    http://system-administrators.info/?p=3299

    сообщить модератору +/ответить
  • Курите http www theadmin ru linux squid proksi-server-squid-v-active-directory, !*! gfh (??), 15:51 , 07-Авг-14 (3)
  • gt оверквотинг удален вот полный вариант cache log code 2014 08 07 16 06 54 1, !*! Ninjatrasher (ok), 16:13 , 07-Авг-14 (7)
    >[оверквотинг удален]
    > got NTLMSSP command 3, expected 1
    > got NTLMSSP command 3, expected 1
    > got NTLMSSP command 3, expected 1
    > got NTLMSSP command 3, expected 1
    >
    > На этих 5 клиентах выставил Lan Manager authentication level : Send LM&NTLM
    > - use NTLMv2 session security if possible, но записи сыпяться.
    > Есть ли другой вариант авторизации кроме Basic? например керберос? и будет ли
    > при авторизации керберос запрашиваться у пользователя логин и пароль при доступен
    > в интернет?

    вот полный вариант cache.log


    2014/08/07 16:06:54| Squid Cache (Version 3.1.20): Exiting normally.
    2014/08/07 16:07:17| Starting Squid Cache version 3.1.20 for x86_64-pc-linux-gnu...
    2014/08/07 16:07:18| Process ID 14532
    2014/08/07 16:07:18| With 16384 file descriptors available
    2014/08/07 16:07:18| Initializing IP Cache...
    2014/08/07 16:07:18| DNS Socket created at [::], FD 8
    2014/08/07 16:07:18| DNS Socket created at 0.0.0.0, FD 9
    2014/08/07 16:07:18| Adding nameserver 172.18.2.10 from squid.conf
    2014/08/07 16:07:18| helperOpenServers: Starting 200/200 'squidGuard' processes
    2014/08/07 16:07:20| helperOpenServers: Starting 450/450 'ntlm_auth' processes
    2014/08/07 16:07:44| Unlinkd pipe opened on FD 1314
    2014/08/07 16:07:44| Local cache digest enabled; rebuild/rewrite every 3600/3600 sec
    2014/08/07 16:07:44| Store logging disabled
    2014/08/07 16:07:44| Swap maxSize 0 + 262144 KB, estimated 20164 objects
    2014/08/07 16:07:44| Target number of buckets: 1008
    2014/08/07 16:07:44| Using 8192 Store buckets
    2014/08/07 16:07:44| Max Mem  size: 262144 KB
    2014/08/07 16:07:44| Max Swap size: 0 KB
    2014/08/07 16:07:44| Using Least Load store dir selection
    2014/08/07 16:07:44| Current Directory is /
    2014/08/07 16:07:44| Loaded Icons.
    2014/08/07 16:07:44| Accepting  HTTP connections at [::]:3128, FD 1315.
    2014/08/07 16:07:44| HTCP Disabled.
    2014/08/07 16:07:44| Squid plugin modules loaded: 0
    2014/08/07 16:07:44| Adaptation support is off.
    2014/08/07 16:07:44| Ready to serve requests.
    2014/08/07 16:07:45| storeLateRelease: released 0 objects
    got NTLMSSP command 3, expected 1
    got NTLMSSP command 3, expected 1
    got NTLMSSP command 3, expected 1
    got NTLMSSP command 3, expected 1

    не очень понятно почему где DNS Socket нули.
    почему весь кэш лог засоряется NTLMSSP ?
    и подскажиет, какая актуальная версия сквида?

    сообщить модератору +/ответить
Настройка  SAMS 1.0.5, !*! Mayers, (Squid) 05-Авг-14, 07:40  [ | | | ] [линейный вид] [смотреть все] [раскрыть новое]
  • оно генерит правила для squida из базы, по сему только ручками вбить в морду все, !*! Психиатр (ok), 19:25 , 05-Авг-14 (1)
    > Всем привет!
    > Помогите решить такой вопрос:
    > Использую squid. Решил поставить SAMS для упрощения работы с squid. Поставил.
    > Объясните как уже существующие данные в squid (группы, пользователи, правила) привязать
    > к SAMSу.

    оно генерит правила для squida из базы, по сему только ручками вбить в морду всех пользователей итп.

    мой вам совет - если уже юзали "голый" squid -> пошлите в лес SAMS, оно уже 100 лет как не поддерживается и не развивается (а жаль).
    только лишний гимор себе наживёте.

    сообщить модератору +/ответить
parent proxy не пускает https соединения, !*! qunix, (Прозрачный proxy) 08-Апр-14, 23:02  [ | | | ] [линейный вид] [смотреть все] [раскрыть новое]
  • gt оверквотинг удален Источник проблемы выявлен на парент прокси разрешен дл, !*! qunix (ok), 13:02 , 09-Апр-14 (1)
    >[оверквотинг удален]
    >   /----------\|          
    >  |
    >  / squid.     |    
    >       |
    > <  transparent|          
    >  |
    >  \proxy.      |    
    >       |/-----\
    >   \----------/|___________|\-----/ parent proxy
    > </pre>

    Источник проблемы выявлен на "парент прокси" разрешен для SSL только CONNECT.
    каким образом https GET/POST можно завернуть в CONNECT как это делает броузер?

    сообщить модератору +/ответить
    • никаким https через прозрачный прокси не работал и не будет , !*! arachnid (ok), 14:16 , 14-Апр-14 (2)
      никаким. https через прозрачный прокси не работал и не будет.
      сообщить модератору +/ответить
      • при старте пишет opt squid sbin squid -d 9 -f opt squid etc squid conf2014 0, !*! qunix (ok), 18:54 , 04-Июн-14 (3)
        > никаким. https через прозрачный прокси не работал и не будет.

        при старте пишет:

        # /opt/squid/sbin/squid -d 9 -f /opt/squid/etc/squid.conf
        2014/06/04 16:54:00| SECURITY NOTICE: auto-converting deprecated "ssl_bump allow <acl>" to "ssl_bump client-first <acl>" which is usually inferior to the newer server-first bumping mode. Update your ssl_bump rules.
        2014/06/04 16:54:00| WARNING: auto-converting deprecated implicit "ssl_bump deny all" to "ssl_bump none all". New ssl_bump configurations must not use implicit rules. Update your ssl_bump rules.
        2014/06/04 16:54:00| WARNING: auto-converting deprecated "ssl_bump deny <acl>" to "ssl_bump none <acl>". Update your ssl_bump rules.
        root@ubuntu:/opt/squid/ssl_cert# 2014/06/04 16:54:00 kid1| SECURITY NOTICE: auto-converting deprecated "ssl_bump allow <acl>" to "ssl_bump client-first <acl>" which is usually inferior to the newer server-first bumping mode. Update your ssl_bump rules.
        2014/06/04 16:54:00 kid1| WARNING: auto-converting deprecated implicit "ssl_bump deny all" to "ssl_bump none all". New ssl_bump configurations must not use implicit rules. Update your ssl_bump rules.
        2014/06/04 16:54:00 kid1| WARNING: auto-converting deprecated "ssl_bump deny <acl>" to "ssl_bump none <acl>". Update your ssl_bump rules.
        2014/06/04 16:54:00 kid1| Set Current Directory to /opt/squid/var/cache/squid
        2014/06/04 16:54:00 kid1| Starting Squid Cache version 3.4.4-20140414-r13119 for x86_64-unknown-linux-gnu...
        2014/06/04 16:54:00 kid1| Process ID 8590
        2014/06/04 16:54:00 kid1| Process Roles: worker
        2014/06/04 16:54:00 kid1| With 1024 file descriptors available
        2014/06/04 16:54:00 kid1| Initializing IP Cache...
        2014/06/04 16:54:00 kid1| DNS Socket created at [::], FD 7
        2014/06/04 16:54:00 kid1| DNS Socket created at 0.0.0.0, FD 8
        2014/06/04 16:54:00 kid1| Adding nameserver 172.20.1.23 from squid.conf
        2014/06/04 16:54:00 kid1| Adding nameserver 172.20.1.24 from squid.conf
        2014/06/04 16:54:00 kid1| helperOpenServers: Starting 5/5 'ssl_crtd' processes
        2014/06/04 16:54:01 kid1| Logfile: opening log daemon:/opt/squid/var/logs/access.log
        2014/06/04 16:54:01 kid1| Logfile Daemon: opening log /opt/squid/var/logs/access.log
        2014/06/04 16:54:01 kid1| Unlinkd pipe opened on FD 24
        2014/06/04 16:54:01 kid1| Store logging disabled
        2014/06/04 16:54:01 kid1| Swap maxSize 102400 + 262144 KB, estimated 28041 objects
        2014/06/04 16:54:01 kid1| Target number of buckets: 1402
        2014/06/04 16:54:01 kid1| Using 8192 Store buckets
        2014/06/04 16:54:01 kid1| Max Mem  size: 262144 KB
        2014/06/04 16:54:01 kid1| Max Swap size: 102400 KB
        2014/06/04 16:54:01 kid1| Rebuilding storage in /opt/squid/var/cache/squid (no log)
        2014/06/04 16:54:01 kid1| Using Least Load store dir selection
        2014/06/04 16:54:01 kid1| Set Current Directory to /opt/squid/var/cache/squid
        2014/06/04 16:54:01 kid1| Finished loading MIME types and icons.
        2014/06/04 16:54:01 kid1| HTCP Disabled.
        2014/06/04 16:54:01 kid1| Configuring Parent 172.20.200.124/80/3130
        2014/06/04 16:54:01 kid1| Squid plugin modules loaded: 0
        2014/06/04 16:54:01 kid1| Accepting HTTP Socket connections at local=127.0.0.1:80 remote=[::] FD 26 flags=9
        2014/06/04 16:54:01 kid1| Accepting TPROXY intercepted HTTP Socket connections at local=192.168.1.220:3128 remote=[::] FD 27 flags=25
        2014/06/04 16:54:01 kid1| Accepting TPROXY intercepted SSL bumped HTTPS Socket connections at local=192.168.1.220:3129 remote=[::] FD 28 flags=25
        2014/06/04 16:54:01 kid1| Done scanning /opt/squid/var/cache/squid dir (0 entries)
        2014/06/04 16:54:01 kid1| Finished rebuilding storage from disk.
        2014/06/04 16:54:01 kid1|         0 Entries scanned
        2014/06/04 16:54:01 kid1|         0 Invalid entries.
        2014/06/04 16:54:01 kid1|         0 With invalid flags.
        2014/06/04 16:54:01 kid1|         0 Objects loaded.
        2014/06/04 16:54:01 kid1|         0 Objects expired.
        2014/06/04 16:54:01 kid1|         0 Objects cancelled.
        2014/06/04 16:54:01 kid1|         0 Duplicate URLs purged.
        2014/06/04 16:54:01 kid1|         0 Swapfile clashes avoided.
        2014/06/04 16:54:01 kid1|   Took 0.40 seconds (  0.00 objects/sec).
        2014/06/04 16:54:01 kid1| Beginning Validation Procedure
        2014/06/04 16:54:01 kid1|   Completed Validation Procedure
        2014/06/04 16:54:01 kid1|   Validated 0 Entries
        2014/06/04 16:54:01 kid1|   store_swap_size = 0.00 KB
        2014/06/04 16:54:02 kid1| storeLateRelease: released 0 objects


        при попытку подключиться:
        telnet 192.168.1.220 3128
        Trying 192.168.1.220...
        Connected to 192.168.1.220.
        Escape character is '^]'.
        Connection closed by foreign host.

        # netstat -an|grep 3128
        tcp        0      0 192.168.1.220:3128      0.0.0.0:*               LISTEN

        сообщить модератору +/ответить
Настройка delay_pool в Squid. Помогите пожалуйста., !*! Dan78, (Ограничение трафика) 22-Июл-14, 16:26  [ | | | ] [линейный вид] [смотреть все] [раскрыть новое]


squid - TCP/407, !*! Ninjatrasher, (Аутентификация) 21-Июл-14, 16:54  [ | | | ] [линейный вид] [смотреть все] [раскрыть новое]
  • 407 means send me your login or go away проблема в аутентификации учу гугл, !*! Психиатр (ok), 17:23 , 21-Июл-14 (1)
    407 means "send me your login or go away".
    проблема в аутентификации.

    >в интернетах находил, что стоит пересобирать самбу и править ntlmssp

    ...
    учу гуглить за деньги ...

    If you want to use ntlm_auth ( NTLMv1?) you need to change some
    compatibility settings in windows, specially windows vista and 7 are
    configure by default to only use NTLMv2 honoring kerberos, you need to
    edit windows registry and change/create

    *HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\LmCompatibilityLevel*

    *DWORD value 1

    You can automate this with a logon script o with a group policy
    Security:LAN Manager Authentication Level

    Anyway, I think is time to migrate to kerb_auth.

    сообщить модератору +/ответить
    • gt оверквотинг удален если бы все проблемы решались при помощи первых результа, !*! Ninjatrasher (ok), 17:49 , 21-Июл-14 (2)
      >[оверквотинг удален]
      > some
      > compatibility settings in windows, specially windows vista and 7 are
      > configure by default to only use NTLMv2 honoring kerberos, you need to
      > edit windows registry and change/create
      > *HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\LmCompatibilityLevel*
      > *DWORD value 1
      > You can automate this with a logon script o with a group
      > policy
      > Security:LAN Manager Authentication Level
      > Anyway, I think is time to migrate to kerb_auth.

      если бы все проблемы решались при помощи первых результатов, который выдает гугл, я бы сюда не писал)
      данный способ не помогает, прошу помощи у тех, кто действительно решал это проблему


      сообщить модератору +/ответить
        • gt оверквотинг удален 1 Debian 7 52 Squid Cache Version 3 1 203 Конфиг squ, !*! Ninjatrasher (ok), 09:04 , 22-Июл-14 (5)
          >[оверквотинг удален]
          > Если руки из жопы плюс к этому нет мозгов чтоб выложить:
          > 1) OS
          > 2) версия сквида
          > 3) конфиг сквида
          > тебе никто не виноват, одна и та же повторяющаяся строчка лога диагностике
          > не помогает.
          > проблемы гаданием на кофейной гуще тяжело решать.
          > а вообще что я тебя за язык тяну, как задашь вопрос -
          > так и получишь ответ,
          > а вопрос задан на уровне домохозяйки-овцы.

          1. Debian 7.5
          2. Squid Cache: Version 3.1.20
          3. Конфиг squid


          dns_v4_first on
          auth_param ntlm program /usr/bin/ntlm_auth --helper-protocol=squid-2.5-ntlmssp 
          auth_param ntlm children 300
          auth_param ntlm use_ntlm_negotiate on
          auth_param ntlm keep_alive off
          acl localhost src 127.0.0.1/32
          acl to_localhost dst 127.0.0.0/8
          acl intranet dst 172.18.1.0/24
          acl intranet dst 172.18.2.0/24
          cl SSL_ports port 443
          acl Safe_ports port 80 # http 
          acl Safe_ports port 21 # ftp 
          acl Safe_ports port 443 # https 
          acl Safe_ports port 70 # gopher 
          acl Safe_ports port 210 # wais 
          acl Safe_ports port 1025-65535 # unregistered ports 
          acl Safe_ports port 280 # http-mgmt 
          acl Safe_ports port 488 # gss-http 
          acl Safe_ports port 591 # filemaker 
          acl Safe_ports port 777 # multiling http
          acl CONNECT method CONNECT
          acl DHCP src 172.18.1.0/24 # ip adresses 
          acl password proxy_auth REQUIRED
          acl ntlm     proxy_auth REQUIRED
          acl AuthorizedUsers proxy_auth REQUIRED
          http_access allow CONNECT !SSL_ports
          http_access allow CONNECT SSL_ports ntlm
          http_access allow CONNECT AuthorizedUsers
          http_access allow password
          http_access allow localhost
          http_access allow intranet
          http_access allow lync
          http_access allow office365
          http_access allow DHCP
          http_access allow Safe_ports
          http_access allow lync2013
          always_direct allow lync2013
          always_direct allow lync
          http_access deny all

          дальше я думаю смысла нет писать конфиг.

          можно и более дружелюбно отвечать.
          проблема наблюдается при попытке офиса2013 лезть в облако за шаблонами, есть конечно вариант запретить ему это делать, но хотелось бы как нибудь решить не столь радикальным методом.

          сообщить модератору +/ответить
  • Оставь так, у тебя правильный Squid , !*! pavlinux (ok), 03:36 , 22-Июл-14 (4)
    >  TCP_DENIED microsoft.com

    Оставь так, у тебя правильный Squid!

    сообщить модератору +/ответить
  • gt оверквотинг удален Проблему удалось решить следующим способом И так, если к, !*! Ninjatrasher (ok), 12:33 , 22-Июл-14 (6)
    >[оверквотинг удален]
    > got NTLMSSP command 3, expected 1
    > got NTLMSSP command 3, expected 1
    > got NTLMSSP command 3, expected 1
    > got NTLMSSP command 3, expected 1
    >
    > в интернетах находил, что стоит пересобирать самбу и править ntlmssp. Если другой
    > не столь кардинальный сбособ дать доступ офису в облако? в самом
    > сквиде все ip облачных сервисов прописаны, в сквидгарде есть отдельный блок
    > для офиса облачном, в котором все domains и urls облачных сервисов
    > прописаны, это все не дает желаемого эффекта. Прошу вашей помощи

    Проблему удалось решить следующим способом.

    И так, если кто столкнется с трудность пустить облачный сервисы такие как Lync2013, OneDrive, Office 365 через сквида.

    вот кусок кода, в котором указаны все на 22.07.14 ip адреса облачных сервисов от микрософта. поместить этот код в самый вверх конфига сквида, перед авторизацией и все пойдет как по маслу.


    ########Access List for Office365######
    acl office2013 dstdomain .mscend.net
    acl office2013 dstdomain .microsoft.com
    acl office2013 dstdomain officeimg.vo.msecnd.net
    acl office2013 dstdomain office.microsoft.com
    acl office2013 dstdomain odc.officeapps.live.com
    acl office365 dst 65.54.54.128/25
    acl offcie365 dst 134.170.0.0/16
    acl office365 dst 65.55.121.128/27
    acl office365 dst 65.55.127.0/24
    acl office365 dst 111.221.23.0/25
    acl office365 dst 111.221.76.96/27
    acl office365 dst 111.221.76.128/25
    acl office365 dst 111.221.77.0/26
    acl office365 dst 157.55.40.128/25
    acl office365 dst 157.55.46.0/27
    acl office365 dst 157.55.46.64/26
    acl office365 dst 157.55.104.96/27
    acl office365 dst 157.55.229.128/27
    acl office365 dst 157.55.232.128/26
    acl office365 dst 157.55.238.0/25
    acl office365 dst 207.46.5.0/24
    acl office365 dst 207.46.7.128/27
    acl office365 dst 207.46.57.0/25
    acl office365 dst 65.54.62.0/25
    acl office365 dst 65.55.39.128/25
    acl office365 dst 65.55.78.128/25
    acl office365 dst 65.55.94.0/25
    acl office365 dst 65.55.113.64/26
    acl office365 dst 65.55.126.0/25
    acl office365 dst 65.55.174.0/25
    acl office365 dst 65.55.181.128/25
    acl office365 dst 65.55.121.128/27
    acl office365 dst 70.37.151.128/25
    acl office365 dst 94.245.117.128/25
    acl office365 dst 111.221.23.128/25
    acl office365 dst 111.221.66.0/25
    acl office365 dst 111.221.69.128/25
    acl office365 dst 111.221.112.0/21
    acl office365 dst 157.55.9.128/25
    acl office365 dst 157.55.11.0/25
    acl office365 dst 157.55.47.0/24
    acl office365 dst 157.55.49.0/24
    acl office365 dst 157.55.61.0/24
    acl office365 dst 157.55.157.128/25
    acl office365 dst 157.55.224.128/25
    acl office365 dst 157.55.225.0/25
    acl office365 dst 207.46.4.128/25
    acl office365 dst 207.46.58.128/25
    acl office365 dst 207.46.198.0/25
    acl office365 dst 207.46.203.128/26
    acl office365 dst 213.199.174.0/25
    acl office365 dst 213.199.177.0/26
    acl office365 dst 65.52.148.27
    acl office365 dst 65.52.184.75
    acl office365 dst 65.52.196.64
    acl office365 dst 65.52.208.73
    acl office365 dst 65.52.240.233
    acl office365 dst 65.54.54.32/27
    acl office365 dst 65.54.55.201
    acl office365 dst 65.54.74.0/23
    acl office365 dst 65.54.80.0/20
    acl office365 dst 65.54.165.0/25
    acl office365 dst 65.55.86.0/23
    acl office365 dst 65.55.233.0/27
    acl office365 dst 65.55.239.168
    acl office365 dst 70.37.97.234
    acl office365 dst 70.37.128.0/23
    acl office365 dst 70.37.142.0/23
    acl office365 dst 70.37.159.0/24
    acl office365 dst 94.245.68.0/22
    acl office365 dst 94.245.82.0/23
    acl office365 dst 94.245.84.0/24
    acl office365 dst 94.245.86.0/24
    acl office365 dst 94.245.117.53
    acl office365 dst 94.245.108.85
    acl office365 dst 111.221.24.0/21
    acl office365 dst 111.221.70.0/25
    acl office365 dst 111.221.71.0/25
    acl office365 dst 111.221.111.196
    acl office365 dst 111.221.127.112/28
    acl office365 dst 157.55.59.128/25
    acl office365 dst 157.55.130.0/25
    acl office365 dst 157.55.145.0/25
    acl office365 dst 157.55.155.0/25
    acl office365 dst 157.55.185.100
    acl office365 dst 157.55.194.46
    acl office365 dst 157.55.227.192/26
    acl office365 dst 157.56.151.0/25
    acl office365 dst 157.56.200.0/23
    acl office365 dst 157.56.236.0/22
    acl office365 dst 191.234.6.0/24
    acl office365 dst 207.46.216.54
    acl office365 dst 207.46.57.128/25
    acl office365 dst 207.46.70.0/24
    acl office365 dst 207.46.73.250
    acl office365 dst 207.46.206.0/23
    acl office365 dst 213.199.148.0/23
    acl office365 dst 213.199.182.128/25
    acl office365 dst 65.55.150.61
    acl office365 dst 65.55.150.158
    acl office365 dst 65.55.150.160
    acl office365 dst 207.46.14.52
    acl office365 dst 207.46.14.62
    acl office365 dst 207.46.14.63
    acl lync2013  dstdomain  .ru.yusen-logistics.com
    acl lync2013  dstdomain  .microsoftonline.com
    acl lync2013  dstdomain .microsoftonline-p.com
    acl lync2013  dstdomain .onmicrosoft.com
    acl lync2013  dstdomain .officecdn.microsoft.com
    acl lync2013  dstdomain .sharepoint.com
    acl lync2013  dstdomain .outlook.com
    acl lync2013  dstdomain ev-secure.verisign.com
    acl lync2013  dstdomain evsecure-ocsp.verisign.com
    acl lync2013  dstdomain evsecure-aia.verisign.com
    acl lync2013  dstdomain evsecure-crl.verisign.com
    acl office365 dst sipfed.online.lync.com
    acl lync dstdomain .lync.com
    http_access allow lync all
    http_access allow office365 all
    http_access allow office2013 all
    http_access allow lync2013 all
    always_direct allow lync2013 all
    always_direct allow lync all

    бился над этим решением с первого моего знакомства со сквидом. информации крайне мало по данной проблема, так что пусть лежит здесь и люди пользуются.
    сообщить модератору +/ответить
 
Пометить прочитанным Создать тему
1 | 2 | 3 | 4 | 5 | 6 | 7 | 8 | 9 | 10 | Архив | Избранное | Мое | Новое | | |



Партнёры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей 		Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру