Для хождения по сайтам понадобилось замаскировать/подменить свой IP.
Задача вроде простейшая, поэтому купил на дешевом хостинге VPN за $1 и поднял на нем SQUID, который завелся с пол-оборота, а в браузере прописал его IP и порт 3128.

Поначалу казалось, что скорость прокси замечательная, а сайты открываются с пол-пинка.
Однако быстро выяснилось, что грубо говоря половина сайтов вообще не открываются, хотя пингуются с того же хоста - на ура.

Что я делаю не так? O_O

Адрес прокси: 188.117.22.22

acl manager proto cache_object
acl localhost src 127.0.0.1/32 ::1
acl to_localhost dst 127.0.0.0/8 0.0.0.0/32 ::1
acl localnet src 95.132.99.99   # Мой десктоп

acl SSL_ports port 443
acl Safe_ports port 80   # http
acl Safe_ports port 21   # ftp
acl Safe_ports port 443  # https
acl Safe_ports port 70   # gopher
acl Safe_ports port 210  # wais
acl Safe_ports port 1025-65535  # unregistered ports
acl Safe_ports port 280  # http-mgmt
acl Safe_ports port 488  # gss-http
acl Safe_ports port 591  # filemaker
acl Safe_ports port 777  # multiling http
acl CONNECT method CONNECT

http_access allow manager localhost
http_access deny manager
http_access deny !Safe_ports
http_access deny CONNECT !SSL_ports

http_access allow localnet
http_access allow localhost
http_access deny all

http_port 3128

hierarchy_stoplist cgi-bin ?

coredump_dir /var/spool/squid

refresh_pattern ^ftp:         &n...
refresh_pattern ^gopher:       1440   0%    1440
refresh_pattern -i (/cgi-bin/|\?) 0   0%       0
refresh_pattern .                 0  20%    4320

Если у клиента в настройках прокси не ставить галочку  "Не использовать прокси-сервер для локальных адресов", то все локальные сайты буду идти через squid, но они работать конечно же не будут. А можно ли  прописать что-нибуть в конфиге squid чтобы эти локальные сайты работали?

Доброго времени.
Здесь, вроде, не по теме обсуждать DNS, но по ним раздела не нашёл..... хочу обратиться к сообществу за консультацией.

По существу.
Стоит Unbound Version 1.4.19, всем доволен, только вот после ребута шлюза кэш, естественно уничтожается. Может быть есть идеи, как его (кэш) сохранить и после запуска скормить Unbound. Интересует сама идея, скрипт напишу сам.

Спасибо.
  

Здравствуйте! На сквиде настроена прозрачная аунтефикация с AD, те если компьютер в домене пользователю пароль и логин вводить не нужно, но если компьютер не в домене, то приходится вводить имя пользователя в виде DOMEN\USER. Вопрос как убрать имя домена в имени пользователя (те строчку DOMEN\). Если это возможно прощу дать ответ как можно подробнее, ибо я не очень силен в сквиде.

Здравствуйте! Squid с прозрачной доменной  аунтефикацией.  Все работает у админа нет ни каких ограничений! Но например zaycev.net не проигрывает и не качает музыку. Почему?
При попытке скачать пишет, но при этом все остальное работает отлично.
Not Found

The requested URL /ban/mp3.html was not found on this server.

Apache/2.2.22 (Debian) Server at 127.0.0.1 Port 80

access.log
1415781043.195      0 10.250.236.249 TCP_DENIED/407 1865 GET http://dl.zaycev.net/91493/3031073/sia_-_chandelier_(zaycev.net).mp3 - NONE/- text/html
1415781043.198      0 10.250.236.249 TCP_DENIED/407 2071 GET http://dl.zaycev.net/91493/3031073/sia_-_chandelier_(zaycev.net).mp3 - NONE/- text/html

Я конечно извиняюсь и так далее , но меня скоро нервный тик хватит....
мне например нужно прописать эту строку " +hide-referer{forge} " в default.action .
Кууууда её чёрт возьми прописывать , где эти секции , задолбало, простое ункомментироаание вызывает ошибку Fatal error: can't load actions file '/etc/privoxy/default.action': first needed line (280) is invalid и так далее ... то есть эту строку просто так ункоментировать нельзя . надо найти эти чертовы секции, раза три просматривал этот файл, походу это секция "action" или хз...

Короче, большая просьба , тупо скажите мне номер строки этого вот файла http://www.privoxy.org/default.action , куда вставлять эту запись " +hide-referer{forge}".

И если можно, Объясните почему именно туда...

Объясните нубу, как настроить прокси авторизацию (аутентификацию) в squid (Логин:пароль)

Добрый день!

Имею Squid 3.3.13. Хочу что бы в лог писались только скачанный трафик, т.е. по сути с http_status 200-300. Но по сути в моей проблеме даже попытка отделять записи с кодами 0-500 не помогает.

В настройках логов:

acl normal_reply http_status 0-599
access_log /var/log/squid/access_200.log squid normal_reply

Так вот, в моём случае, если пользователь ходит на сайт по https, то в логи не пишутся записи с CONNECT методом и кодом 200.  С этого же сайта пишутся записи CONNECT и кодами 407, например, но с кодом 200 почему то игнорируется.

Если убрать фильтр normal_reply, то пишутся все строки, в том числе и CONNECT/200.

Подскажите, пожалуйста, где я затупил?

В заголовке немного не верно написано, но ладно.

Добрый день, господа!
У нас в организации есть прокси сервер 192.хх.хх.хх, раздающий интернет. Недавно его толи как то урезали, то ли что, сам не понял, но теперь доступ только по логину и паролю с привязкой к ip.

Раньше данную прокси можно было вписать в браузер или тот же антивирус и всё корректно работало на всех компьютерах, однако теперь доступ имеет 1 компьютер из 40, хотя как минимум пятерым он остро нужен.

Вопрос состоит в том, смогу ли я и как сделать свою прокси 168.уу.уу.уу на CentOS 6.4, вписав в систему тот ip который имеет доступ к проси-интернету по логину и паролю. Чтобы вписав например ip настроенный в моём прокси можно было пройти через него в интернет?

Спасибо всем, кто откликнется и поможет советом, ссылкой, мануалом.

Есть настроенный шлюз на дебиан 7.5
На нём рабочий squid3, блокирующий список сайтов, работающий по http кроме группы ip(директора, главбух, я)
Надо заблокировать сайт (конкретно вконтактик), работающий, как известно, по https.

Подскажите, куда копать, пожалуйста, и можно ли вообще средствами кальмара ограничить https траффик?

прилагаю конфиг кальмара (подскажите, пожалуйста, как здесь можно спрятать под спойлер объемный текст?)

acl manager proto cache_object
acl localhost src 127.0.0.1/32 ::1
acl to_localhost dst 127.0.0.0/8 0.0.0.0/32 ::1
acl my_network src 192.168.0.0/24
acl SSL_ports port 443
acl Safe_ports port 80 # http
acl Safe_ports port 21 # ftp
acl Safe_ports port 443 # https
acl Safe_ports port 70 # gopher
acl Safe_ports port 210 # wais
acl Safe_ports port 1025-65535 # unregistered ports
acl Safe_ports port 280 # http-mgmt
acl Safe_ports port 488 # gss-http
acl Safe_ports port 591 # filemaker
acl Safe_ports port 777 # multiling http
acl CONNECT method CONNECT
# это я добавил
acl url_no_filtred src 192.168.0.12 192.168.0.53-192.168.0.55
# разрешенные ip
#acl url_no_filtred src 192.168.0.53-192.168.0.55
# подключаем черный список сайтов
acl blacklist url_regex -i "/etc/squid3/blacklist"

# блокировка списка сайтов blacklist для списка ip url_filtred
#http_access deny blacklist url_filtred
http_access deny blacklist !url_no_filtred
http_access allow my_network
http_access allow manager localhost
http_access deny manager
http_access deny !Safe_ports
http_access deny CONNECT !SSL_ports
http_access allow localhost
http_access deny all

http_port 3128 transparent

hierarchy_stoplist cgi-bin ?
coredump_dir /var/spool/squid3
refresh_pattern ^ftp: 1440 20% 10080
refresh_pattern ^gopher: 1440 0% 1440
refresh_pattern -i (/cgi-bin/|\?) 0 0% 0
refresh_pattern . 0 20% 4320

shutdown_lifetime 5.00 second
#cache_dir ufs /var/cache/squid 2048 16 256
maximum_object_size 10024.00 bytes

Доброго времени суток.
Имеется непрозрачный прокси, с установленным Squid 2.7 и SAMS 1.3. Squid настроен на NTLM-авторизацию. Пользователи берутся из Active Directory. Имеется необходимость добавить IP авторизации, т.к. имеются рабочие станции не входящие в домен. Подскажите пожалуйста, каким образом можно это реализовать, т.к. ранее я со Squid-ом дела не имел. Привожу конфиг Squid (комментарии исключены):

auth_param ntlm program /usr/bin/ntlm_auth --helper-protocol=squid-2.5-ntlmssp
auth_param ntlm children 300
auth_param ntlm keep_alive on
auth_param basic program /usr/bin/ntlm_auth --helper-protocol=squid-2.5-basic
auth_param basic children 300
auth_param basic realm Proxy Server
auth_param basic credentialsttl 2 hours
auth_param basic casesensitive off
acl _sams_543e75aaf1cf2 src "/etc/squid/543e75aaf1cf2.sams"
acl _sams_5432282885920 proxy_auth "/etc/squid/5432282885920.sams"
acl _sams_543228747c1f2 proxy_auth "/etc/squid/543228747c1f2.sams"
acl _sams_5433bdb7828c1 proxy_auth "/etc/squid/5433bdb7828c1.sams"
acl all src all
acl manager proto cache_object
acl localhost src 127.0.0.1/32
acl to_localhost dst 127.0.0.0/8 0.0.0.0/32
acl ntlm proxy_auth REQUIRED
acl localnet src 10.18.0.0/32
acl localnet src 192.168.0.0/16 # RFC1918 possible internal network
acl SSL_ports port 443          # https
acl SSL_ports port 563          # snews
acl SSL_ports port 873          # rsync
acl Safe_ports port 80          # http
acl Safe_ports port 21          # ftp
acl Safe_ports port 443         # https
acl Safe_ports port 70          # gopher
acl Safe_ports port 210         # wais
acl Safe_ports port 1025-65535  # unregistered ports
acl Safe_ports port 280         # http-mgmt
acl Safe_ports port 488         # gss-http
acl Safe_ports port 591         # filemaker
acl Safe_ports port 777         # multiling http
acl Safe_ports port 631         # cups
acl Safe_ports port 873         # rsync
acl Safe_ports port 901         # SWAT
acl purge method PURGE
acl CONNECT method CONNECT
acl GET method GET
http_access allow _sams_543e75aaf1cf2
http_access allow _sams_5432282885920
http_access allow _sams_543228747c1f2
http_access allow _sams_5433bdb7828c1
http_access allow ntlm
http_access allow manager localhost
http_access deny manager
http_access allow purge localhost
http_access deny purge
http_access allow CONNECT SSL_ports
http_access deny !Safe_ports
http_access deny CONNECT !SSL_ports
http_access allow localhost
http_access deny all
icp_access allow localnet
icp_access deny all
http_port 8080
hierarchy_stoplist cgi-bin ?
cache_dir ufs /var/spool/squid 100 16 256
access_log /var/log/squid/access.log squid
log_fqdn off
url_rewrite_program /usr/bin/samsredir
refresh_pattern ^ftp:         &n... 1440    20%     10080
refresh_pattern ^gopher:        1440    0%      1440
refresh_pattern -i (/cgi-bin/|\?) 0     0%      0
refresh_pattern (Release|Packages(.gz)*)$       0       20%     2880
refresh_pattern .               0       20%     4320
acl shoutcast rep_header X-HTTP09-First-Line ^ICY.[0-9]
upgrade_http0.9 deny shoutcast
acl apache rep_header Server ^Apache
broken_vary_encoding allow apache
extension_methods REPORT MERGE MKACTIVITY CHECKOUT
delay_pools 4
delay_class 1 2
delay_class 2 2
delay_class 3 2
delay_class 4 2
delay_access 1 allow _sams_5432282885920
delay_access 1 deny all
delay_parameters 1 0/0 0/0
delay_access 2 allow _sams_543228747c1f2
delay_access 2 deny all
delay_parameters 2 0/0 0/0
delay_access 3 allow _sams_5433bdb7828c1
delay_access 3 deny all
delay_parameters 3 0/0 0/0
delay_access 4 allow _sams_543e75aaf1cf2
delay_access 4 deny all
delay_parameters 4 0/0 0/0
hosts_file /etc/hosts
coredump_dir /var/spool/squid

В файле /etc/squid/543e75aaf1cf2.sams список IP-адресов c которых разрешен доступ к интернету (на данный момент один - для теста), в остальных файлах, созданных средствами SAMS хранятся списки пользоателей Active Directory по группам.

10.18.123.2/255.255.255.255

Добрый день!
есть сквид версии 3.4.7 с керберос авторизацией пользователей. все работает замечательно, но заметил такую вещь: Сквид пишет в логах учетные данные клиента лишь при попытке коннекта по https, а если идет запрос на обычный http, то сквид в access.log пишет только айпи клиента.

вот кусок кода с acl и http_access, подскажи пожалуйста, где ошибка:

acl intranet dst 172.18.2.0/24
acl SSL_ports port 443
acl Safe_ports port 80 # http
acl Safe_ports port 21 # ftp
acl Safe_ports port 443 # https
acl Safe_ports port 70 # gopher
acl Safe_ports port 210 # wais
acl Safe_ports port 1025-65535 # unregistered ports
acl Safe_ports port 280 # http-mgmt
acl Safe_ports port 488 # gss-http
acl Safe_ports port 591 # filemaker
acl Safe_ports port 777 # multiling http
acl CONNECT method CONNECT
acl DHCP src 172.18.1.0/24 # ip adresses
#acl password proxy_auth REQUIRED
#acl ntlm     proxy_auth REQUIRED
#acl AuthorizedUsers proxy_auth REQUIRED
#acl YLRUS srcdomain domain.com
http_access allow CONNECT !SSL_ports
#http_access allow CONNECT SSL
#http_access allow CONNECT AuthorizedUsers
#http_access allow password
http_access allow localhost
http_access allow intranet
http_access allow DHCP
#http_access allow manager
#http_access allow manager localhost
http_access allow Safe_ports
http_access deny all

может стоить убрать строчки

acl DHCP src 172.18.1.0/24 # ip adresses 
http_access allow DHCP

и расскоментировать строчки

#acl AuthorizedUsers proxy_auth REQUIRED
#http_access allow CONNECT AuthorizedUsers

Ситуация такая. Ставлю squid3 на Ubuntu 14.04 x64
Конфиг

visible_hostname pass
acl mynet src МОЙ IP
acl SSL_ports port 443
acl Safe_ports port 80          # http
acl Safe_ports port 21          # ftp
acl Safe_ports port 443         # https
acl Safe_ports port 70          # gopher
acl Safe_ports port 210         # wais
acl Safe_ports port 1025-65535  # unregistered ports
acl Safe_ports port 280         # http-mgmt
acl Safe_ports port 488         # gss-http
acl Safe_ports port 591         # filemaker
acl Safe_ports port 777         # multiling http
acl CONNECT method CONNECT
http_access deny !Safe_ports
http_access deny CONNECT !SSL_ports
http_access allow localhost manager
http_access deny manager
http_access allow localhost
http_access allow mynet
http_access deny all
http_port IP сервера в интернет:3129
coredump_dir /var/spool/squid3
refresh_pattern ^ftp:         &n... 1440    20%     10080
refresh_pattern ^gopher:        1440    0%      1440
refresh_pattern -i (/cgi-bin/|\?) 0     0%      0
refresh_pattern (Release|Packages(.gz)*)$      0       20%     2880
refresh_pattern .               0       20%     4320
cache_dir ufs /var/spool/squid3 4096 32 256
minimum_object_size 2 KB
maximum_object_size 65536 KB
via off
forwarded_for delete

Прописываю в браузер настройки proxy
IP сервера: 3129
Работает!

Прописываю на mikrotik

ip firewall nat add chain=dstnat action=accept protocol=tcp src-address-list=IP сервера dst-port=80
ip firewall nat add chain=dstnat action=dst-nat protocol=tcp src-address-list=clients dst-port=80 to-addresses=IP сервера to-ports=3129

Получаю в браузере:

ERROR
The requested URL could not be retrieved

The following error was encountered while trying to retrieve the URL: /
Invalid URL
Some aspect of the requested URL is incorrect.
Some possible problems are:
Missing or incorrect access protocol (should be http:// or similar)
Missing hostname
Illegal double-escape in the URL-Path
Illegal character in hostname; underscores are not allowed.
Your cache administrator is webmaster.

И браузер упорно не подключается к squid на порту 3128, приходиться менять на 3129

Здравствуйте.

url_rewrite_program не хочет работать с соединениями типа connect. Http пролетает на ура, ssl сразу зарубается - не может открыть страницу.

Пример: делаем простейший скрипт

#!/bin/sh
while read LINE; do
    echo ${LINE} >> /tmp/out.txt
done

пишем в сквиде
url_rewrite_program /test.sh

Обращаемся к http://google.ru, который сразу форвардит на https, потом к https://mail.ru.
Имеем на выходе в access.log :
1412764210.059     87 192.168.1.2 TCP_MISS/302 718 GET http://www.google.ru/ username DIRECT/64.233.161.94 text/html
1412764210.072      3 192.168.1.2 TCP_MISS/404 0 CONNECT www.google.ru:443 username DIRECT/- -
1412764239.120      3 192.168.1.2 TCP_MISS/404 0 CONNECT mail.ru:443 username DIRECT/- -

В /tmp/out.txt например так
e.mail.ru:443 192.168.1.2/- username CONNECT myip=192.168.1.1 myport=3128

Обойти это дело можно через
url_rewrite_access deny SSL_ports
Но это очень некрасиво. Кто-нибудь сталкивался с таким? Может быть результирующий url надо в каком-то особом виде отдавать? Что-то гуголь не дает ответа.
Спасибо.

Доброго времени суток.
Столкнулся со следующей проблемой: имеем прокси-сервер:

> squid -v

Squid Cache: Version 3.1.19
configure options:  '--with-default-user=squid' '--bindir=/usr/local/sbin' '--sbindir=/usr/local/sbin' '--datadir=/usr/local/etc/squid' '--libexecdir=/usr/local/libexec/squid' '--localstatedir=/var/squid' '--sysconfdir=/usr/local/etc/squid' '--with-logdir=/var/log/squid' '--with-pidfile=/var/run/squid/squid.pid' '--enable-removal-policies=lru heap' '--disable-linux-netfilter' '--disable-linux-tproxy' '--disable-epoll' '--disable-translation' '--enable-auth=basic digest negotiate ntlm' '--enable-basic-auth-helpers=DB NCSA PAM MSNT SMB squid_radius_auth YP' '--enable-digest-auth-helpers=password' '--enable-external-acl-helpers=ip_user session unix_group wbinfo_group' '--enable-ntlm-auth-helpers=smb_lm' '--enable-negotiate-auth-helpers=squid_kerb_auth' '--enable-storeio=ufs diskd aufs' '--enable-disk-io=AIO Blocking DiskDaemon DiskThreads' '--enable-delay-pools' '--enable-ssl' '--with-openssl=/usr' '--enable-pf-transparent' '--disable-ecap' '--disable-loadable-modules' '--enable-kqueue' '--prefix=/usr/local' '--mandir=/usr/local/man' '--infodir=/usr/local/info/' '--build=i386-portbld-freebsd8.2' 'build_alias=i386-portbld-freebsd8.2' 'CC=cc' 'CFLAGS=-O2 -pipe  -I/usr/include -fno-strict-aliasing' 'LDFLAGS= -rpath=/usr/lib:/usr/local/lib -L/usr/lib' 'CPPFLAGS=' 'CXX=c++' 'CXXFLAGS=-O2 -pipe -I/usr/include -fno-strict-aliasing' 'CPP=cpp' --with-squid=/usr/ports/www/squid31/work/squid-3.1.19 --enable-ltdl-convenience

При попытке выйти на https://google.com (accounts.google.com, gmail.com, etc), в браузере (Google Chrome) вываливается ошибка: Ошибка 111 (net::ERR-TUNNEL-CONNECTION-FAILED): неизвестная ошибка. Обновляем страницу (F5), и все загружается на ура

access.log:
1340265714.287 90 10.1.2.141 TCP_MISS/503 0 CONNECT accounts.google.com:443 - DIRECT/- -
1340265724.683 10235 10.1.2.141 TCP_MISS/200 0 CONNECT accounts.google.com:443 - DIRECT/74.125.143.84 -

Вопрос: почему не директит с первого раза? Уже пробовал и always_direct allow SSL, и кеширование гугла отключал, и dns_nameservers подсовывал, и с размером буфера баловался, и с MTU на клиенте.
Что характерно, прочие SSL ресурсы открываются с первого пинка и без каких-либо затруднений:

access.log:
1340266039.778 1207 10.1.2.141 TCP_MISS/200 21981 CONNECT login.live.com:443 - DIRECT/65.54.165.177 -
1340266146.933 1380 10.1.2.141 TCP_MISS/200 5724 CONNECT login.yahoo.com:443 - DIRECT/209.191.92.114 -
и т.д.

Такое впечатление, что какие-то запросы или ответы теряются. При этом без прокси все работает нормально.

Хотя бы в какую сторону копать?
P.S. Решение, найденное на http://squid-web-proxy-cache.1019090.n4.nabble.com/squid-and... - не для меня, ибо там у человека есть вышестоящий прокси.
P.P.S. Проблема появилась достаточно давно. Обновление сквида до последней версии ее не решило.

День добрый. Ситуация следующая.
Есть отдельно стоящий компьютер, ip 10.10.0.3/24, gateway 10.10.0.2. Больше на нем ничего не настроено, ни dns, ни proxy, только эти параметры.
Этим интерфейсом он смотрит на сервер с установленным Squid. У Squid две сетевые карты - одна ip 10.10.0.2/24, вторая 192.168.1.222/22, смотрит в локальную сеть с интернетом и вторым Squid в ней.
Вот squid.conf

dns_nameservers 192.168.0.122 192.168.0.10
dns_v4_first on
shutdown_lifetime 10 seconds
coredump_dir /usr/local/squid
visible_hostname serv.altest.net
tcp_outgoing_address 192.168.1.222
cache_peer 192.168.0.162 parent 3128 0 proxy-only no-query default
never_direct allow all
#ICAP SECTION
icap_enable on
icap_service_failure_limit 500
icap_service_revival_delay 30
icap_service Zgate_ICAP_Proxy reqmod_precache bypass=0 icap://192.168.0.231:1344/reqmod
icap_service Zgate_ICAP_Logger respmod_precache routing=1 icap://192.168.0.231:1344/respmod
icap_send_client_ip on
icap_send_client_username on
adaptation_service_set class_proxy Zgate_ICAP_Proxy
adaptation_service_set class_logger Zgate_ICAP_Logger
adaptation_access class_proxy allow all
adaptation_access class_logger allow all
#HTTPS SECTION
http_port 3128 ssl-bump cert=/usr/local/etc/squid/root.cer key=/usr/local/etc/squid/root.key generate-host-certificates=on
ssl_bump client-first all
always_direct allow all
sslproxy_cert_error allow all
#CACHE SETTINGS
acl QUERY urlpath_regex cgi-bin \\?
no_cache deny !QUERY
cache_dir ufs /usr/local/squid/cache 3000 16 256
maximum_object_size 320 MB
quick_abort_min 5 MB
#ACCESS CONTROL LISTS!
acl localnet src 192.168.0.0/22
acl localnet src 10.10.0.0/24
acl CONNECT method CONNECT
acl BlockSite dstdomain .woman.ru
acl BlockSite dstdomain .odnoklassniki.ru
http_access allow manager localhost
http_access deny to_localhost
http_access deny all BlockSite
http_access allow localnet
http_reply_access allow all
debug_options 93,5
refresh_pattern -i (/cgi-bin/|\?) 0     0%      0
refresh_pattern .               0       20%     4320

Если я не ошибаюсь, опции cache_peer и never_direct должны перенаправлять на второй squid (192.168.0.162). Для проверки на втором Squid заблокировал сайт rbc.ru. К сожалению, клиентский хост на rbc пускает, следовательно, он идет не через второй Squid, а напрямую. Подскажите пожалуйста, что я делаю не так.

Народ выручайте.Есть прокси сервер, связь с ним через putty. Так же есть пользователи которые получают данные от меня, логин и пароль. Нужно сделать так чтобы один логин можно было использовать только на одном компьютере, и чтобы логин не действовал если по пытаться ввести его на другом компе. Расскажите что нужно изменить в squid.config чтобы работала такая штука.

Добрый день Всем.
Прошу помощи у сообщества, так как не удется настроить прозрачный прокси сервер.
Конфигурация следующая: FreeBSD 9.1, Squid 3.3.8
Ситуация такова: в обычном режиме все работает без проблем. Когда меняю конфиги на прозрачный режим, перестают грузится сайты, но скайп и остальное работают, то есть такое впечатление, что 80 порт не редиректиться правильно.
Ниже предоставляю конфиги:
squid.conf

acl localnet src 10.0.0.0/8     # RFC1918 possible internal network
acl localnet src 172.16.0.0/12  # RFC1918 possible internal network
acl localnet src 192.168.0.0/16 # RFC1918 possible internal network
acl localnet src fc00::/7       # RFC 4193 local private network range
acl localnet src fe80::/10      # RFC 4291 link-local (directly plugged) machines

acl my_network src 192.168.50.0/24

acl SSL_ports port 443
acl Safe_ports port 80          # http
acl Safe_ports port 21          # ftp
acl Safe_ports port 443         # https
acl Safe_ports port 70          # gopher
acl Safe_ports port 210         # wais
acl Safe_ports port 1025-65535  # unregistered ports
acl Safe_ports port 280         # http-mgmt
acl Safe_ports port 488         # gss-http
acl Safe_ports port 591         # filemaker
acl Safe_ports port 777         # multiling http
acl CONNECT method CONNECT

http_access allow my_network
http_access deny !Safe_ports
http_access deny CONNECT !SSL_ports
http_access allow localhost manager
http_access deny manager

http_access allow localnet
http_access allow localhost

http_access deny all

http_port 3128 intercept
http_port 3129

cache_dir ufs /cache 20480 16 256
coredump_dir /cache

refresh_pattern ^ftp:         &n... 1440    20%     10080
refresh_pattern ^gopher:        1440    0%      1440
refresh_pattern -i (/cgi-bin/|\?) 0     0%      0
refresh_pattern .               0       20%     4320

ipfw rules:

ipfw="/sbin/ipfw"
int="bge0"
ext="bge1"

${ipfw} add 101 fwd 127.0.0.1,3128 tcp from any to any 80 recv $int
${ipfw} add 1000 allow ip from any to any via $int # ALLOW LAN TRAFFIC

${ipfw} add 5000 divert natd all from any to any out xmit $ext
${ipfw} add 20000 divert natd all from any to any in recv $ext
${ipfw} add 60000 permit ip from any to any

exit 0

Буду признателен за любую помощь.

Всем доброго утра.

Уважаемые форумчане, пожалуйста выручайте.

Знаю, тема избитая, но ответа для себя я так и не нашел.
Есть микротик в качестве шлюза в интернет, за ним стоит убунта со сквидом3 на борту. Сквид3 должен работать как прозрачный прокси. На микротике есть правило которое должно заворачивать трафик по 80 порту на порт 3128 убунты-сквида3.

Из конфига сквида3:

http_port 192.168.1.10:3128 transparent

Правило на микротике

ip firewall nat add chain=dstnat action=dst-nat protocol=tcp src-address=192.168.1.0/24 dst-port=80 to-addresses=192.168.1.10 to-ports=3128

Все вроде должно работать. Но ничего не работает. Интернет-странички не открываются.
На убунте в iptables никаких дополнительных правил нет.

Помогите разобраться. Спасибо.

Добрый день. Прошу вашей помощи в решение следующего вопроса:
есть сквид, версия 3.1.20 с керберос аунтефикацией.
Есть портал на IIS, который требует авторизацию по логину и паролю. Когда пользователи туда заходят, вводят данные и нажимают ок, авторизация не проходит и по итогу они получают "Страница недоступна"
посмотрев логи сквида обнаружил там ошибку TCP_MISS/401. Нашел эту проблемы в гугле, но решения нигде нет.
попробовал дописать в конфиг сквида

http_port 80  connection-auth=on

результат тот же.
Кто нибудь с таким сталкивался, как это дело лечить?

Всем привет!
Имеется проблема следующего характера:
Имеется локалка и сеть Интернет, работающая через прозрачный squid.
Если ПК включать напрямую через squid, то определенные приложения нормально работают через интернет.
Если необходимость сеть интернет и локалку объединить в одну сеть, но тогда для этих приложений закрывается доступ в интернет. При этом серфинг по интернету возможен.

Помогите решить данную проблему? В каком направлении мне двигаться?

  Приветствую.

Hекоторое время назад перестала срабатывать блокировка по HTTPS (при прозрачном проксировании, с использованием ssl_bump). Сначала грешил на сквид (давно обновился на 3.3). После изучения логов, я увидел, что по https-запросам в строке CONNECT, вместо домена всегда висит IP, при этом, от пользователей, сидящих на Win XP и IE 8 - я продолжаю видеть запросы по домену.

=== выдержка из документации сквида ===
Примерный перевод:
Hекоторые браузеры отправляют IP-адреса в запросы на подключение, даже если пользователь ввел имя сервера (url - не ip) в адресной строке. Hичего не можем с этим поделать, т.к мы не отвечаем за исходный код браузеров.

Оригинал:
Some browsers (e.g., Rekonq browser v0.7.x) send IP addresses in CONNECT requests even when the user typed a host name in the address bar. Squid cannot handle both such browsers and URLs with IP addresses instead of host names because Squid cannot distinguish one case from another. There is nothing we can do about it until somebody contributes code to reliably detect CONNECT requests from those  browsers.
=== выдержка из документации сквида ===

И эти <некоторые браузеры> - это все современные (хром, ie11 и прочие) просто перестали обращатся в сайтам по доменному имени, передавая в строке не URL, а исключительно IP :(

Соответственно, если мы хотим запретить, например, вход на mail.ru по домену - то мы можем это сделать только для пользователей с Win XP, и максимально IE8.

Пример из лога сквида (вырезка 1 строчки из входа на mail.ru):
=== https-запрос от пользователя на XP с IE8 ===
1409725807.296 317 192.168.21.6 TCP_MISS/200 341 CONNECT rs.mail.ru:443 -
HIER_DIRECT/94.100.181.196 -
=== https-запрос от пользователя на XP с IE8 ===

=== https-запрос от пользователя на Win7 с IE11 ===
1409733165.939 2034 192.168.21.77 TCP_MISS/200 1392 CONNECT 94.100.181.196:443
- HIER_DIRECT/94.100.181.196 -
=== https-запрос от пользователя на Win7 с IE11 ===

Кто-нибудь по URL (не по IP) фильтрует трафик? Что посоветуете?

p.s: пока придумали только кривокостыль: регулярно резолвим банлисты, преобразуем их в список ip. Блокируем эти ip по https, в отдельных секциях.

Так же запросил тут: http://rejik.ru/bb_rus/viewtopic.php?f=1&t=1323

upd: это наблюдается только при прозрачном проксировании https, с ssl_bump. Похоже не в браузерах дело.
Вообщем, кто сталкивался, кто наблюдал такое?

Добрый день.
Имеется freebsd, Squid+Squidguard.
В Squidguard имеются access list, если сайт попадает в запрет то производится редирект на мой ресурс.
Все работает кроме сайтов https://. точнее доступ к сайтам закрыт, но вот редирект не отрабатывает.
Подскажите как решить.
Вот пример:
http:
http://vk.com/ - HIER_DIRECT/127.0.0.1 image/png
https:
vk.com:443 - HIER_NONE/- -

Всем добра!
Итак есть Squid Version 3.3.8 на Ubuntu 13.10
пользователей прокси 100+, NTLM авторизация, разграничение прав доступа по доменным группам.

Все работало как часы, все всем устраивало, но возникла необходимость более серьезно ограничивать доступ в интернет, а точнее блокировка мультимедийного трафика, и ограничение скачивания по расширению.
Написал ACLки, подоткнул в конфиг ограничения, все правила отрабатывают на ура, именно так как было нужно. Но после введения этих ACL спустя минут 30-60, начинает тормозить у пользователей инетрнет, каждая страница грузится около минуты, в общем работать становится невозможно. Отключаешь http_reply_access и спустя минут 15 скорость открытия страниц возвращается в норму.
В логах одно время сыпались варнинги про недостаток процессов wbinfo_group.pl
дописал ttl=120 children=15 ошибки из лога ушли, стало чуть чуть легче. но всетаки далеко от удовлетворительного.
при активной работе загрзка процессора не поднимается выше 20% оперативной памяти занимается не больше 2.5 гиг.

Ворос: Куда смотреть, что менять?

собственно листинг конфига (практически без изменений)

# OPTIONS FOR AUTHENTICATION
# -----------------------------------------------------------------------------

#  TAG: auth_param

auth_param ntlm program /usr/bin/ntlm_auth --helper-protocol=squid-2.5-ntlmssp --domain=domain.LOCAL
auth_param ntlm children 50
auth_param ntlm keep_alive on

authenticate_cache_garbage_interval 1 hour

authenticate_ttl 1 hour

acl domain proxy_auth REQUIRED
# -----------------------------------------------------------------------------

#  TAG: external_acl_type
external_acl_type nt_group ttl=120 children=15 %LOGIN /usr/lib/squid3/wbinfo_group.pl

#  TAG: acl
#================================================================================
acl     l-inet-MD    external nt_group g-inet-MD
acl     l-inet-test         external nt_group l-inet-test
acl     l-inet-LD        external nt_group g-inet-L
acl     l-inet-BD        external nt_group g-inet-BD
acl     l-inet-GS        external nt_group g-inet-GS
acl     l-inet-FD        external nt_group g-inet-FD
acl     l-inet-ID        external nt_group g-inet-ID
acl     l-inet-HD        external nt_group g-inet-HD
acl     l-inet-HC        external nt_group g-inet-HC
acl     l-inet-AIM        external nt_group g-inet-AIM
acl     l-inet-ADM        external nt_group g-inet-ADM
acl     l-inet-admin        external nt_group g-inet-admin
acl     l-inet-1C        external nt_group g-inet-1C
acl     l-inet-UD        external nt_group g-inet-UD
acl     l-inet-vk        external nt_group g-inet-vk
acl     l-inet-DIR        external nt_group g-inet-DIR
acl     l-inet-piter        external nt_group g-inet-piter

#=================================================================================
#acl manager proto cache_object
#acl localhost src 127.0.0.1/32 ::1
#acl to_localhost dst 127.0.0.0/8 0.0.0.0/32 ::1
acl localnet src 172.16.0.0/16
acl term_srv src 172.16.1.220 172.16.3.4
acl everyone src all

#=================================================================================
acl SSL_ports port 443
acl Safe_ports port 80        # http
acl Safe_ports port 21        # ftp
acl Safe_ports port 443        # https
acl Safe_ports port 70        # gopher
acl Safe_ports port 210        # wais
acl Safe_ports port 1025-65535    # unregistered ports
acl Safe_ports port 280        # http-mgmt
acl Safe_ports port 488        # gss-http
acl Safe_ports port 591        # filemaker
acl Safe_ports port 777        # multiling http
acl ICQ_ports  port 5190      # ICQ

#================================================================================
acl CONNECT method CONNECT

#=============================================================================
acl zabbix  url_regex ^http://zabbix     
acl srvcis  url_regex ^http://srvcis  
acl otrs    url_regex ^http://otrs
acl domain_local url_regex ^https://.domain.local
#acl time_socnet_evning time 18:00-20:00
## The videos come from several domains

acl noftp proto FTP
#=============================================================================
#    DENY LTS

acl     anonim        dstdomain    \
        "/usr/local/etc/squid/access/anonimaizers"

acl     deny_services        dstdomain    \
       "/usr/local/etc/squid/access/deny_services"

acl     deny_sites          dstdomain        \
      "/usr/local/etc/squid/access/deny_sites"

acl     deny_socnet          dstdomain        \
      "/usr/local/etc/squid/access/deny_socnet"

acl     job_socnet          dstdomain    \
      "/usr/local/etc/squid/access/job_socnet"

acl     porno          dstdomain        \
      "/usr/local/etc/squid/access/porno"

acl     deny_url          dstdomain        \
      "/usr/local/etc/squid/access/deny_url"

acl     dot_domain          dstdomain        \
      "/usr/local/etc/squid/access/dot_domain"

acl     top          dstdomain        \
      "/usr/local/etc/squid/access/users_top"

acl     allow_sites          dstdomain        \
      "/usr/local/etc/squid/access/allow_sites"

acl     allow_GS          dstdomain        \
      "/usr/local/etc/squid/access/allow_GD"

acl     allow_AIM          dstdomain        \
      "/usr/local/etc/squid/access/allow_AIM"

#acl     vk          dstdomain        \
#      "/usr/local/etc/squid/access/vk"

acl     L_deny          dstdomain        \
      "/usr/local/etc/squid/access/L_deny"

acl     term_allow          dstdomain        \
      "/usr/local/etc/squid/access/term_allow"

#acl     deny_AIM          dstdomain        \
#      "/usr/local/etc/squid/access/deny_AIM"

#acl блокировка скаивания по расширению файла
acl extension_files urlpath_regex -i "/usr/local/etc/squid/access/download_access/extension_files"

#блокировка скачивания файлов для приложений по типу файла (mp3, tar, torrent Блокировка мультимедийного флеш)
acl tipe_application rep_mime_type -i "/usr/local/etc/squid/access/download_access/tipe_application"

#Блокировка потокового аудио
acl tipe_audio rep_mime_type -i "/usr/local/etc/squid/access/download_access/tipe_audio"

#Блокировка потокового видео
acl tipe_video rep_mime_type -i "/usr/local/etc/squid/access/download_access/tipe_video"

#^application/x-shockwave-flash$
#acl not_media rep_mime_type content-type video

#  TAG: http_access
# INSERT YOUR OWN RULE(S) HERE TO ALLOW ACCESS FROM YOUR CLIENTS
#===============================================================================

#http_access deny localnet
#http_access allow localnet
#http_access allow localhost
#http_access allow manager localhost
#http_access deny to_localhost
#http_access deny manager
http_access deny !Safe_ports
http_access deny CONNECT !SSL_ports
#http_replay_access deny not_media
#+++++++++++++++++++++++++++++++++++++++
http_access         deny         term_srv         !term_allow
#+++++++++++++++++++++++++++++++++++++++
#+++ Иcключения из запрещающего списка для всех авторизованных пользователей
http_access        allow       domain         allow_sites

#+++ Разрешения по групам (Приоритет выше запрещений по спискам)

      

http_access        deny        l-inet-ID    job_socnet

http_access        allow        l-inet-MD
http_reply_access    allow         l-inet-MD tipe_audio
http_reply_access    allow         l-inet-MD tipe_video

http_access        allow        l-inet-BD
          
http_access        allow        l-inet-DIR

http_access        deny        l-inet-LD         LD_deny

http_access        allow        l-inet-ADM          job_socnet

http_access        allow        l-inet-vk        job_socnet

http_access        allow        l-inet-GD          allow_GS
http_access        allow        l-inet-GD        job_socnet

http_access        allow        l-inet-admin

http_access        allow        l-inet-AIM        
http_reply_access    allow         l-inet-AIM tipe_video

# +++    Запретить пользователям домена ниже приведенные списки    +++

http_access       deny       domain deny_socnet
http_access       deny       domain deny_services  
http_access       deny       domain dot_domain  
http_access       deny       domain deny_url
http_access       deny       domain anonim
http_access       deny       domain deny_url  
http_access       deny       domain porno
http_access       deny       domain job_socnet

# запрет на скачивание по расширению и по типу
http_access       deny       domain extension_files
http_reply_access    deny         domain tipe_application
http_reply_access    deny         domain tipe_video
http_reply_access    deny         domain tipe_audio

# +++    Разрешить пользователям домена все что не вошло в списки выше    +++
http_access        allow       domain

#---Запретить вообще все
#http_access       deny       domain

#=====DENY ALL======
# Запретить все не авторизованным пользователям
http_access         deny         everyone
http_access         deny         noftp

#================================================================================

# NETWORK OPTIONS
# -----------------------------------------------------------------------------

http_port 3128

# MEMORY CACHE OPTIONS
# -----------------------------------------------------------------------------
cache_mem 256 MB

maximum_object_size_in_memory 512 KB

# DISK CACHE OPTIONS
# -----------------------------------------------------------------------------
cache_dir ufs /var/spool/squid3 2048 16 256

cache_swap_low 90

cache_swap_high 95

# LOGFILE OPTIONS
# -----------------------------------------------------------------------------
access_log /var/log/squid3/access.log squid

cache_store_log none

logfile_rotate 2

# OPTIONS FOR TROUBLESHOOTING
# -----------------------------------------------------------------------------
cache_log /var/log/squid3/cache.log

debug_options ALL,1

coredump_dir /var/spool/squid3

# OPTIONS FOR TUNING THE CACHE
# -----------------------------------------------------------------------------

refresh_pattern ^ftp:        1440    20%    10080
refresh_pattern ^gopher:    1440    0%    1440
refresh_pattern -i (/cgi-bin/|\?) 0    0%    0
refresh_pattern (Release|Packages(.gz)*)$      0       20%     2880

refresh_pattern .        0    20%    4320

quick_abort_min 16 KB

quick_abort_max 16 KB

quick_abort_pct 95

# ADMINISTRATIVE PARAMETERS
# -----------------------------------------------------------------------------
cache_effective_user proxy

visible_hostname proxy.domain.local

# ERROR PAGE OPTIONS
# -----------------------------------------------------------------------------
error_directory /usr/share/squid-langpack/ru

# ICAP OPTIONS
# -----------------------------------------------------------------------------
icap_enable on

icap_preview_enable on

icap_preview_size 128

icap_send_client_ip on

icap_send_client_username on

icap_client_username_header X-Client-Username

icap_service service_req reqmod_precache bypass=1 icap://127.0.0.1:1344/squidclamav
adaptation_access service_req allow all
icap_service service_resp respmod_precache bypass=1 icap://127.0.0.1:1344/squidclamav
adaptation_access service_resp allow all

# DNS OPTIONS
# -----------------------------------------------------------------------------
dns_retransmit_interval 5 seconds

dns_timeout 2 minutes

dns_nameservers 172.16.1.1 172.16.1.11 8.8.8.8

hosts_file /etc/hosts

Приветствую!

На данный момент тестирую связку WinServer 2012 (в роли АД) + Ubuntu Server 14 со squid3 и керберос авторизацией на виртуальной машине.

На винде настроил ДНС + АД, на убунте указал использование АДшного ДНСа + синхронизацию времени и настроил krb5.

ДНС преобразование в обе стороны идет верно - доменное имя прокси сервера разрешается.

Тикеты керберос получает и в варианте запроса с паролем, и в варианте запроса через кейтаб файл. Прокси запускается, парс ошибок не находит. Однако, при попытке открытия какой-либо веб-страницы в браузере, настроенном на использование прокси (по доменному имени, а не ип), появляется ошибка, сообщающая о том, что мы не авторизованы. В то время как на прокси в логах вылезает еррор: "ERROR: Negotiate Authentication validating user. Error returned 'BH received type 1 NTLM token'"

Гугление сообщает, что данная ошибка решается задачей прокси сервера в виде доменного имени, вместо айпи адреса. Но у меня-то он итак задан в виде доменного имени! Подскажите, почему браузер пытается авторизоваться НТЛМом вместо кербероса (вхожу в учетку прям на контроллере домена фаерфоксом). Куда рыть?

Добрый день товарищи.
Столкнулся вот с такой проблемой.
Есть машина Debian 7.5, squid 3.1.20 + ntlm аунтефикация + squidguard + ldap
Через сквид работают 5 пользователей, страницы открываются с задержкой,  выяснил что проблема в NTLM аунтефикации, так же вычитал что для протокол HTTP вначале использует Basic и Digest авторизацию и лишь потом NTLM. По этому и происходят задержки.
ТАк же в cache.log постояно сыпиться

got NTLMSSP command 3, expected 1
got NTLMSSP command 3, expected 1
got NTLMSSP command 3, expected 1
got NTLMSSP command 3, expected 1
got NTLMSSP command 3, expected 1
got NTLMSSP command 3, expected 1

На этих 5 клиентах выставил Lan Manager authentication level : Send LM&NTLM - use NTLMv2 session security if possible, но записи сыпяться.
Есть ли другой вариант авторизации кроме Basic? например керберос? и будет ли при авторизации керберос запрашиваться у пользователя логин и пароль при доступен в интернет?

Всем привет!
Помогите решить такой вопрос:
Использую squid. Решил поставить SAMS для упрощения работы с squid. Поставил.
Объясните как уже существующие данные в squid (группы, пользователи, правила) привязать к SAMSу.

доброго времени суток.

в компании разрешен доступ в интернет только через прокси....
есть необходимость пускать различные устройства (мобильные устройства, гостевые устройства ,смарт тв) где нельзя прописать прокси в интернет.

для этого купили роутер и настроили транспарент прокси(squid 2.6) и нат для 80 и 443 портов.

http работает https нет, от родительского прокси приходят сообщения:
trying to retrieve the URL: https://code.google.com/p/ifmo-game-1/wiki/UsingSVN

The following error was encountered:

Unsupported Request Method and Protocol
Squid does not support all request methods for all access protocols. For example, you can not POST a Gopher request.

Можно ли что-то сделать на стороне транспарент прокси для решения данной проблемы?

схема:
<pre>

/------------\
\------------/|-----------|
       client |      wifi.|
              |    router |
  /----------\|           |
/ squid.     |           |
<  transparent|           |
\proxy.      |           |/-----\
  \----------/|___________|\-----/ parent proxy

</pre>

Есть прокси/фаервол/NAT на Debian 7 (7.4). Два сетевых интерфейса (eth0 - WAN; eth1 - LAN (сеть 172.16.1.0/24)). Установлен SQUID (Version 2.7.STABLE9)+ iptables. Интернет есть у всех, канал 8 Mbit.
Этот канал хочу порезать при помощи сквида. До этого никогда такого не делал. Задача: отделить тех, кто качает и ходит в соцсети от всех остальных. Первым (качкам и вконтактникам) порезать скорость, вторым дать "равные" доли от канала. Оставив при этом запаса ~2 Mbit от канала. Нашел несколько инструкций по настройке squid и delay_pool в частности, в итоге получился следующий конфиг:

acl all src all
acl manager proto cache_object
acl localhost src 127.0.0.1/32
acl to_localhost dst 127.0.0.0/8 172.16.1.0/24
acl localnet src 172.16.1.0/24    # RFC1918 possible internal network
acl vip src "/etc/squid/lists/vip"
acl file_bad urlpath_regex -i \.mp3$ \.asf$ \.wma$ \.flv$
acl bad_url dst "/etc/squid/lists/bad_url"
acl SSL_ports port 443        # https
acl SSL_ports port 563        # snews
acl SSL_ports port 873        # rsync
acl Safe_ports port 80        # http
acl Safe_ports port 21        # ftp
acl Safe_ports port 443        # https
acl Safe_ports port 70        # gopher
acl Safe_ports port 210        # wais
acl Safe_ports port 1025-65535    # unregistered ports
acl Safe_ports port 280        # http-mgmt
acl Safe_ports port 488        # gss-http
acl Safe_ports port 591        # filemaker
acl Safe_ports port 777        # multiling http
acl Safe_ports port 631        # cups
acl Safe_ports port 873        # rsync
acl Safe_ports port 901        # SWAT
acl purge method PURGE
acl CONNECT method CONNECT

http_access allow manager
http_access allow localnet vip
http_access deny manager
http_access deny !Safe_ports
http_access deny CONNECT !SSL_ports
http_access allow localnet
http_access allow localhost
http_access deny all
cachemgr_passwd ghjcnjq all
http_port 172.16.1.1:3128 transparent
hierarchy_stoplist cgi-bin ?
access_log /var/log/squid/access.log squid
log_fqdn on
refresh_pattern ^ftp:        1440    20%    10080
refresh_pattern ^gopher:    1440    0%    1440
refresh_pattern -i (/cgi-bin/|\?) 0    0%    0
refresh_pattern (Release|Packages(.gz)*)$    0    20%    2880
refresh_pattern .        0    20%    4320
acl shoutcast rep_header X-HTTP09-First-Line ^ICY.[0-9]
upgrade_http0.9 deny shoutcast
acl apache rep_header Server ^Apache
broken_vary_encoding allow apache
extension_methods REPORT MERGE MKACTIVITY CHECKOUT
hosts_file /etc/hosts
coredump_dir /var/spool/squid
cache_dir ufs /var/spool/squid 5000 16 256
minimum_object_size 2 KB
maximum_object_size 61440 KB
via off
forwarded_for delete

delay_pools 4

delay_class 1 1
delay_parameters 1 768000/768000
delay_access 1 allow vip
delay_access 1 deny all

delay_class 2 2
delay_parameters 2 64000/5000000 8000/1024000
delay_access 2 allow file_bad
delay_access 2 deny all

delay_class 3 2
delay_parameters 2 64000/5000000 16000/2048000
delay_access 3 allow bad_url
delay_access 3 deny all

delay_class 4 3
delay_parameters 4 704000/50000000 -1/-1 38000/10000000
delay_access 4 allow localnet

Сквид ошибок не находит в конфиге, нормально стартует. Но при этом ВСЕ пользователи у меня в классе 4. Вторым и третьим классом никто не стал... Что неправильно в конфиге и как добиться выполнения поставленной задачи?