Доброго времени суток!
Нужен совет. Имеется прокси squid и прозрачный http. Т.к. http прозрачный, то можно легко залочить неугодные мне сайты. Но как быть с Https траффиком? можно ли не имея прозрачный https лочить CONNECT? Если да, то как?
Заранее благодарен за ответы

Салют. Сейчас squid настроил таким оразом, что все пользователи в домене аутентифицируются с помощью kerberos и с помощью squid_ldap_group получают свой разграниченный долбанный интернет.
Но, остался вопрос. Для тех, кто не в домене, можно ли выдавать запрос логина/пароля, после ввода которого пользователь (входящий в соответствующую группу) получал свой долбанно-разграниченный интернет?
Предполагаю, что нужно использовать ntlm-авторизацию, но где-то тут читал, что сквид использует первую попавшуюся ему схему авторизации. Может можно в существующий конфиг добавить какую-то строчку, чтобы запросило логин и пароль для пользователя? (Хотя из мира фантастики чето).

Люди, уже голову всю сломал. Подскажите, пожалуйста.

Сервер squid работает с аутентификацией kerberos и авторизацией по группам с помощью хелпера squid_ldap_group (тест squid_ldap_group) проходит удачно и видно подтверждение того, что пользователи находятся в своих группах.

acl у меня такие:
acl OFFICE external ldap_verify Access_Proxy_ftl_OFFICE
acl VIP external ldap_verify Access_Proxy_ftl_VIP

acl media url_regex "/etc/squid/deny_flash.conf"
acl allusers proxy_auth REQUIRED
http_access allow VIP
http_access allow media OFFICE
http_access deny !allusers all

Что хочу получиьт в итоге: acl VIP доступен весь интернет без ограничений.
acl OFFICE должен быть заблокирован доступ к flash контенту.
Файлик: /etc/squid/deny_flash.conf
acl media rep_mime_type video/flv video/x-flv
acl mediapr urlpath_regex \.flv(\?.*)?$
acl media rep_mime_type application/x-shockwave-flash
acl mediapr urlpath_regex \.swf(\?.*)?$
acl mimeblock rep_mime_type -i ^video
acl mimeblock rep_mime_type -i ^audio

#http_access deny mediapr
#http_reply_access deny media

C acl, приведенными сверху, группа VIP работает отлично.
А с acl OFFICE, пользователям из группы OFFICE вообще ничего не доступно: обращаясь на любой веб-сайт, получаю страницу squid: Доступ запрещен. И так абсолютно везде.
Если просто заинклюдить(include) файл deny_flash.conf в конфиг squid, то flash блокируется как и положено, но для всех. А мне нужно только для группы OFFICE. Помогите, пожалуйста.

Всем привет. Столкнулся с такой проблемой. Есть сайт в локале. Он на Apache идет авторизация по ldap (mod_authnz_ldap).

Если идти НЕ через проксю сквида, то все нормально. Спрашивает пароль и дает доступ.
Но если через сквида то
  (13) Permission denied
The remote host or network may be down. Please try the request again.
access.log говорит
TCP_MISS/504 1413 GET http://site/ - DIRECT/- text/html

httpd-error.log apache молчит
httpd-access.log apache молчит

Как я ето вижу, сквид пытается получить сайт а оно ему отвечает нет ибо не дал логин.
На етом все.
Подскажите как решить данную проблемму?

Добрый день. Прошу Вас помочь разобраться с настройками squid. У меня есть несколько подсетей, для них уже есть рабочие правила и настройки. Но, у меня появилась необходимость сделать доступ по паролю в интернет только для одного компьютера в сети, так как он удаленный, работает через VPN и с ограниченным трафиком. Находил авторизацию через домен и для всех пользователей. Но мне надо только для одного компьютера и всё. Помогите, подскажите.
Спасибо

Здравствуйте. Который день бьюсь с проблемой и не могу решить. Пытаюсь с помощью сквида заблокировать доступ определенному IP адресу и не получается, чтобы я не пробовал.
Версия Squid 2.7 (Windows)
Режим - transparent
Блокируемый IP - 192.168.8.129

Вот конфиг:
acl all src 0.0.0.0/0
acl manager proto cache_object
acl localhost src 127.0.0.1/255.255.255.255
acl to_localhost dst 127.0.0.0/8
acl SSL_ports port 443
acl Safe_ports port 80 # http
acl Safe_ports port 21 # ftp
acl Safe_ports port 443 # https
acl Safe_ports port 70 # gopher
acl Safe_ports port 210 # wais
acl Safe_ports port 1025-65535 # unregistered ports
acl Safe_ports port 280 # http-mgmt
acl Safe_ports port 488 # gss-http
acl Safe_ports port 591 # filemaker
acl Safe_ports port 777 # multiling http
acl CONNECT method CONNECT

acl bad_ip src 192.168.8.129
acl our_networks src 192.168.8.50-192.168.8.240

http_access deny bad_ip
http_access deny !Safe_ports
http_access deny CONNECT !SSL_ports

http_access allow manager localhost
http_access deny manager

http_access allow our_networks
http_access allow localhost
http_reply_access allow all

http_access deny all

В чем проблема не подскажете? Заранее спасибо.

Народ имеется freebsd прокси с внутренним 192.168.1.1,3128 и внешний канал допустим с адресом 195.190.100.200. Как в обход сквида выходить в инет по какому-нибудь статическому ip (например 192.168.1.11).
Данная функция реализована кем-то раньше работавшим для одного ip  (этот ип обходит squid), но не могу на прокси-машине найти правило форвардинга, ни в squid.conf, ни в файерволле, и работник тот благополучно испарился

Приветствую!

В ближайшее время планирую переделывать фряшный шлюз. На данный момент используется связка сквид+сквидгард в прозрачном режиме для http. Для работы некоторых ресурсов https открываю порты правилами фаервола (соответственно никаких логов их посещения пользователями не вижу). Хочу переводить всех на обычный режим (не транспарент), для того, чтобы через сквид было доступно также https проксирование. Возник вопрос - реально ли сделать раздельную обработку сквидгардом пользовательских обращений? Требуется, чтобы http ресурсы работали по чёрному списку (можно все, что не запрещено блокировками), а https ресурсы по белому списку (можно только то, что разрешено).

Добрый день!
Я новичок в Linux. Встал такой вопрос:
Нужно установить squid для перехвата https трафика. Система - RHEL 6, скачал последнюю версию squid с сайта. Захожу под root, затем tar xvzf squid-3.3.8.tar.gz после распаковки перехожу и запускаю ./configure --enable-icap-client --enable-useragent-log --enable-referer-log --enable-kill-parent-hack --enable-ssl --enable-follow-x-forwarded-for --enable-ssl-crtd --enable-delay-pools --enable-xmalloc-statistics (опции нужны для ssl трафика), затем make all, затем make install.
Порядок установки правильный? Как после этого запускать/останавливать squid? service squid выдает, что unrecognized service. squid -v ничего не показывает (command not found) - или ее надо из какого-то другого места запускать. Или эта команда годится только к тем, что были из rpm установлены? Никакого пользователя squid для установки создавать не надо? Папка /usr/local/squid появилась.

Если устанавливать squid из rpm, то можно как-то эти параметры (опции) --enable-icap-client --enable-useragent-log --enable-referer-log --enable-kill-parent-hack --enable-ssl --enable-follow-x-forwarded-for --enable-ssl-crtd --enable-delay-pools --enable-xmalloc-statistics выставить?

И еще вопрос: если squid уже стоит, то чтобы пересобрать его с указанными опциями, то нужно его удалять или же нет? Сохранятся ли при этом настройки?

Добрый день Всем.
Прошу помощи у сообщества, так как не удется настроить прозрачный прокси сервер.
Конфигурация следующая: FreeBSD 9.1, Squid 3.3.8
Ситуация такова: в обычном режиме все работает без проблем. Когда меняю конфиги на прозрачный режим, перестают грузится сайты, но скайп и остальное работают, то есть такое впечатление, что 80 порт не редиректиться правильно.
Ниже предоставляю конфиги:
squid.conf

acl localnet src 10.0.0.0/8     # RFC1918 possible internal network
acl localnet src 172.16.0.0/12  # RFC1918 possible internal network
acl localnet src 192.168.0.0/16 # RFC1918 possible internal network
acl localnet src fc00::/7       # RFC 4193 local private network range
acl localnet src fe80::/10      # RFC 4291 link-local (directly plugged) machines

acl my_network src 192.168.50.0/24

acl SSL_ports port 443
acl Safe_ports port 80          # http
acl Safe_ports port 21          # ftp
acl Safe_ports port 443         # https
acl Safe_ports port 70          # gopher
acl Safe_ports port 210         # wais
acl Safe_ports port 1025-65535  # unregistered ports
acl Safe_ports port 280         # http-mgmt
acl Safe_ports port 488         # gss-http
acl Safe_ports port 591         # filemaker
acl Safe_ports port 777         # multiling http
acl CONNECT method CONNECT

http_access allow my_network
http_access deny !Safe_ports
http_access deny CONNECT !SSL_ports
http_access allow localhost manager
http_access deny manager

http_access allow localnet
http_access allow localhost

http_access deny all

http_port 3128 intercept
http_port 3129

cache_dir ufs /cache 20480 16 256
coredump_dir /cache

refresh_pattern ^ftp:         &n... 1440    20%     10080
refresh_pattern ^gopher:        1440    0%      1440
refresh_pattern -i (/cgi-bin/|\?) 0     0%      0
refresh_pattern .               0       20%     4320

ipfw rules:

ipfw="/sbin/ipfw"
int="bge0"
ext="bge1"

${ipfw} add 101 fwd 127.0.0.1,3128 tcp from any to any 80 recv $int
${ipfw} add 1000 allow ip from any to any via $int # ALLOW LAN TRAFFIC

${ipfw} add 5000 divert natd all from any to any out xmit $ext
${ipfw} add 20000 divert natd all from any to any in recv $ext
${ipfw} add 60000 permit ip from any to any

exit 0

Буду признателен за любую помощь.

Добрый день!)
Настроил тестовый стенд для со сквидом. Создал для него пользователя в АД, сгенерил кейтаб. Все работало.
Когда попытался запустить в бой - поменял пароль от пользователя сквида в АД, перегенерил кейтаб.
После этого через 20 минут сквид перестал аутентицифировать через керберос.
На скиде два кейтаба. старый и новый.
Смотрю  klist -k -e /etc/squid/krb5.keytab все одинаково и принципиалы и метод кодировки.
Пробую авторизоваться через kinit - все работает. новый файл аутентифицирует.
Права к файлу кейта тоже проверил. Что еще посмотреть - не знаю. Сквид в логах пишет:

2013/08/08 12:06:25| squid_kerb_auth: DEBUG: Got 'YR YIIHFQYGKwYB......... UKV+CDwzgEwYeKIjM=' from squid (length: 2427).
2013/08/08 12:06:25| squid_kerb_auth: DEBUG: Decode 'YIIHFQYGKwYBBQUC......4KUQpjWqZUAUKV+CDwzgEwYeKIjM=' (decoded length: 1817).
2013/08/08 12:06:25| squid_kerb_auth: ERROR: gss_accept_sec_context() failed: Unspecified GSS failure.  Minor code may provide more information.
2013/08/08 12:06:25| authenticateNegotiateHandleReply: Error validating user via Negotiate. Error returned 'BH gss_accept_sec_context() failed: Unspecified GSS failure.  Minor code may provide more information. '
2013/08/08 12:06:25| squid_kerb_auth: INFO: User not authenticated

Плз хелп)))

Сталкнулся с такой бедой - не работает через прокси один сайт и тогда когда заходишь в админку.

После ввода логина и пароля браузер пишет 503 ошибку, в логах скивда

192.168.1.19 TCP_NEGATIVE_HIT/503 519 GET http://.su/administrator/index.php? - NONE/- text/html

Подскажите, пожалуйста, куда копать?

не много не в тему но может сможете помочь
Проблема следующая Имеем 3 сетевых интерфейса eth0 - внешний сетевой интерфейс имеет внешний IP:89.175.100.126 и подцеплено 4 альаса eth0:1 - 89.175.188.85 eth0:2 - 89.175.188.87 eth0:3 - 89.175.188.84 eth0:4 - 89.175.188.81 так же имеем 2 внутренние сетевые карты eth1 - 192.168.1.44 eth2 - 192.168.0.1
результат выполнения ifconfig

eth0      Link encap:Ethernet  HWaddr 00:1f:1e:02:91:31
          inet addr:89.175.100.126  Bcast:89.175.100.255  Mask:255.255.255.252
          inet6 addr: fe80::21f:1eff:fe02:9131/64 Scope:Link
          UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1
          RX packets:450185 errors:0 dropped:0 overruns:0 frame:0
          TX packets:402434 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:1000
          RX bytes:321291572 (321.2 MB)  TX bytes:85646661 (85.6 MB)

eth0:1    Link encap:Ethernet  HWaddr 00:1f:1e:02:91:31
          inet addr:89.175.188.85  Bcast:89.175.188.87  Mask:255.255.255.252
          UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1

eth0:2    Link encap:Ethernet  HWaddr 00:1f:1e:02:91:31
          inet addr:89.175.188.87  Bcast:89.175.188.87  Mask:255.255.255.252
          UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1

eth0:3    Link encap:Ethernet  HWaddr 00:1f:1e:02:91:31
          inet addr:89.175.188.86  Bcast:89.175.188.87  Mask:255.255.255.252
          UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1

eth0:4    Link encap:Ethernet  HWaddr 00:1f:1e:02:91:31
          inet addr:89.175.188.81  Bcast:89.175.188.83  Mask:255.255.255.255
          UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1

eth1      Link encap:Ethernet  HWaddr 00:1f:1e:02:52:89
          inet addr:192.168.1.44  Bcast:192.168.1.255  Mask:255.255.255.0
          inet6 addr: fe80::21f:1eff:fe02:5289/64 Scope:Link
          UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1
          RX packets:460803 errors:0 dropped:1272 overruns:0 frame:0
          TX packets:457629 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:1000
          RX bytes:91068596 (91.0 MB)  TX bytes:323854354 (323.8 MB)

eth2      Link encap:Ethernet  HWaddr c8:be:19:d3:91:d7
          inet addr:192.168.0.44  Bcast:192.168.0.255  Mask:255.255.255.0
          inet6 addr: fe80::cabe:19ff:fed3:91d7/64 Scope:Link
          UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1
          RX packets:57665 errors:0 dropped:1272 overruns:0 frame:0
          TX packets:0 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:1000
          RX bytes:5965976 (5.9 MB)  TX bytes:309803 (309.8 KB)

lo        Link encap:Local Loopback
          inet addr:127.0.0.1  Mask:255.0.0.0
          inet6 addr: ::1/128 Scope:Host
          UP LOOPBACK RUNNING  MTU:65536  Metric:1
          RX packets:34 errors:0 dropped:0 overruns:0 frame:0
          TX packets:34 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:0
          RX bytes:2632 (2.6 KB)  TX bytes:2632 (2.6 KB)

В сети Eth1 куча компов которые выходят через этот шлюз в инет и несколько копов с разными сервисами. В сети eth2 есть только один компьютер с веб сервером почему то проброс портов до сети eth1 работает нормально А вот в eth2 не прорабатывает. И из сети eth1 не получается увидеть сайт в сети eth2

#!/bin/bash

#Стираем iptables
iptables -F
iptables -t nat -F

#параметры по умолчанию iptables -P INPUT ACCEPT

iptables -P FORWARD ACCEPT
iptables -P OUTPUT ACCEPT

#Маскарадим
iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE

#Разрешаем если нужно ping
iptables -t filter -A FORWARD -p icmp -j ACCEPT

#Разрешаем уже установленые соединения iptables -A FORWARD -p tcp -m state --state ESTABLISHED,RELATED -j ACCEPT

#Разрешаем dns
iptables -t filter -A FORWARD -p tcp --sport 53 -j ACCEPT
iptables -t filter -A FORWARD -p tcp --dport 53 -j ACCEPT
iptables -t filter -A FORWARD -p udp --sport 53 -j ACCEPT
iptables -t filter -A FORWARD -p udp --dport 53 -j ACCEPT

iptables -t nat -A PREROUTING -p tcp --dport 443 -d 89.175.100.126 -j DNAT --to-destination 192.168.1.168
iptables -A FORWARD -p tcp --dport 443 -d 192.168.1.168 -j ACCEPT
iptables -A FORWARD -p tcp --sport 443 -s 192.168.1.168 -j ACCEPT
iptables -t nat -A PREROUTING -d 89.175.188.85 -j DNAT --to-destination 192.168.1.202
iptables -t nat -A PREROUTING -d 89.175.188.87 -j DNAT --to-destination 192.168.1.203
iptables -t nat -A PREROUTING -p tcp --dport 3389 -d 89.175.100.126 -j DNAT --to-destination 192.168.1.176
iptables -t nat -A PREROUTING -p tcp --dport 5222 -d 89.175.100.126 -j DNAT --to-destination 192.168.1.200
iptables -t nat -A PREROUTING -p tcp -m multiport --dport 25,110,125,143,993 -d 89.175.100.126 -j DNAT --to-destination 192.168.1.224
iptables -t nat -A PREROUTING -p tcp --dport 80 -d 89.175.188.81 -j DNAT --to-destination 192.168.0.204 -не прорабатывает
iptables -A FORWARD -p tcp -o eth2 -d 192.168.0.204 -s 192.168.1.223 --dport 80 -j ACCEPT -не прорабатывает
iptables -A FORWARD -p tcp -o eth2 -d 192.168.0.204 -s 192.168.1.223 --dport 6022 -j ACCEPT - не прорабатывает

остальное все работает

Доброго времени суток ув. Форумчане. Прошу вашей помощи так как погуглив так и не нашел нужной мне информации. Имеется прокси squid (Version 3.2.9) на freeBSD (9.0-RELEASE-p7) сервер настроен прозрачно в связке с Cisco 2911 по протоколу wccp. Все работает отлично, но в логах постоянный "срачЪ" типа такого:

2013/08/01 01:19:28 kid1| ACL::checklistMatches WARNING: 'torrent_mime' ACL is used but there is no HTTP reply -- not matching.
2013/08/01 01:19:28 kid1| ACL::checklistMatches WARNING: 'torrent_mime' ACL is used but there is no HTTP reply -- not matching.
2013/08/01 01:19:28 kid1| ACL::checklistMatches WARNING: 'deny_rep_mime_flashvideo' ACL is used but there is no HTTP reply -- not matching.
2013/08/01 01:19:28 kid1| ACL::checklistMatches WARNING: 'deny_rep_mime_shockwave' ACL is used but there is no HTTP reply -- not matching.
2013/08/01 01:19:28 kid1| ACL::checklistMatches WARNING: 'fails' ACL is used but there is no HTTP reply -- not matching.
2013/08/01 01:19:28 kid1| ACL::checklistMatches WARNING: 'x-type2' ACL is used but there is no HTTP reply -- not matching.
2013/08/01 01:19:28 kid1| ACL::checklistMatches WARNING: 'torrent_mime' ACL is used but there is no HTTP reply -- not matching.
2013/08/01 01:19:28 kid1| ACL::checklistMatches WARNING: 'fails' ACL is used but there is no HTTP reply -- not matching.
2013/08/01 01:19:28 kid1| ACL::checklistMatches WARNING: 'torrent_mime' ACL is used but there is no HTTP reply -- not matching.
2013/08/01 01:19:28 kid1| ACL::checklistMatches WARNING: 'torrent_mime' ACL is used but there is no HTTP reply -- not matching.
2013/08/01 01:19:28 kid1| ACL::checklistMatches WARNING: 'deny_rep_mime_flashvideo' ACL is used but there is no HTTP reply -- not matching.
2013/08/01 01:19:28 kid1| ACL::checklistMatches WARNING: 'deny_rep_mime_shockwave' ACL is used but there is no HTTP reply -- not matching.
2013/08/01 01:19:28 kid1| ACL::checklistMatches WARNING: 'fails' ACL is used but there is no HTTP reply -- not matching.
2013/08/01 01:19:28 kid1| ACL::checklistMatches WARNING: 'x-type2' ACL is used but there is no HTTP reply -- not matching.
2013/08/01 01:19:28 kid1| ACL::checklistMatches WARNING: 'torrent_mime' ACL is used but there is no HTTP reply -- not matching.
2013/08/01 01:19:28 kid1| ACL::checklistMatches WARNING: 'fails' ACL is used but there is no HTTP reply -- not matching.
2013/08/01 01:19:28 kid1| ACL::checklistMatches WARNING: 'torrent_mime' ACL is used but there is no HTTP reply -- not matching.
2013/08/01 01:19:28 kid1| ACL::checklistMatches WARNING: 'torrent_mime' ACL is used but there is no HTTP reply -- not matching.
2013/08/01 01:19:28 kid1| ACL::checklistMatches WARNING: 'deny_rep_mime_flashvideo' ACL is used but there is no HTTP reply -- not matching.
2013/08/01 01:19:28 kid1| ACL::checklistMatches WARNING: 'deny_rep_mime_shockwave' ACL is used but there is no HTTP reply -- not matching.
2013/08/01 01:19:28 kid1| ACL::checklistMatches WARNING: 'fails' ACL is used but there is no HTTP reply -- not matching.
2013/08/01 01:19:28 kid1| ACL::checklistMatches WARNING: 'x-type2' ACL is used but there is no HTTP reply -- not matching.
2013/08/01 01:19:28 kid1| ACL::checklistMatches WARNING: 'torrent_mime' ACL is used but there is no HTTP reply -- not matching.
2013/08/01 01:19:28 kid1| ACL::checklistMatches WARNING: 'fails' ACL is used but there is no HTTP reply -- not matching.
2013/08/01 01:19:28 kid1| ACL::checklistMatches WARNING: 'torrent_mime' ACL is used but there is no HTTP reply -- not matching.
2013/08/01 01:19:28 kid1| ACL::checklistMatches WARNING: 'torrent_mime' ACL is used but there is no HTTP reply -- not matching.

И идут постоянно, помогает только если закоментить в squid.conf эти правила. Соответственно кусок конфига относящиеся к нему:

acl fails rep_mime_type ^.*mms.*
acl fails rep_mime_type ^.*ms-hdr.*
acl fails rep_mime_type ^.*x-fcs.*
acl fails rep_mime_type ^.*x-ms-asf.*
acl fails2 urlpath_regex dvrplayer mediastream mms://
acl fails2 urlpath_regex .asf$ .afx$ .flv$ .swf$
acl deny_rep_mime_flashvideo rep_mime_type -i video/flv
acl deny_rep_mime_shockwave rep_mime_type -i ^application/x-shockwave-flash$
acl x-type req_mime_type -i ^application/octet-stream$
acl x-type req_mime_type -i application/octet-stream
acl x-type req_mime_type -i ^application/x-mplayer2$
acl x-type req_mime_type -i application/x-mplayer2
acl x-type req_mime_type -i ^application/x-oleobject$
acl x-type req_mime_type -i application/x-oleobject
acl x-type req_mime_type -i application/x-pncmd
acl x-type req_mime_type -i ^video/x-ms-asf$
acl x-type2 rep_mime_type -i ^application/octet-stream$
acl x-type2 rep_mime_type -i application/octet-stream
acl x-type2 rep_mime_type -i ^application/x-mplayer2$
acl x-type2 rep_mime_type -i application/x-mplayer2
acl x-type2 rep_mime_type -i ^application/x-oleobject$
acl x-type2 rep_mime_type -i application/x-oleobject
acl x-type2 rep_mime_type -i application/x-pncmd
acl x-type2 rep_mime_type -i ^video/x-ms-asf$
acl torrent_mime rep_mime_type -i ^application/x-bittorrent$
acl torrent_mime rep_mime_type -i application/x-bittorrent

http_reply_access deny deny_rep_mime_flashvideo
http_reply_access deny deny_rep_mime_shockwave
http_access deny fails
http_reply_access deny fails
http_access deny fails2
http_reply_access deny fails2
http_access deny x-type
http_reply_access deny x-type
http_access deny torrent_mime      
http_reply_access deny torrent_mime
#http_access deny x-type2
#http_reply_access deny x-type2
http_access deny torrent_mime
http_reply_access deny torrent_mime

Говорят что это наблюдается в версиях именно от 3.0 и выше. Помогите, может кто то решал уже? Заранее благодарен.

По мере необходимости в организации пришлось ставить Squid. Ставился он под Windows и при попытке наборы команды c:\squid\sbin\squid -z выдаёт ошибку  
2013/08/06 14:04:17| parseConfigFile: squid.conf:2963 unrecognized: 'upgrade_http0.9'

Здравствуйте!
Не смог подобрать нормальное название темы, но смысл именно таков ;).
Хочется закрыть доступ ко всему флешу, кроме вполне определенных адресов. Для этого в конфиге прописываю следующее:

acl radio url_regex -i css\.moskva\.fm/f/MoskvaPlayerDark\.swf
acl hard-traffic-mime rep_mime_type -i application/x-shockwave-flash

http_access allow lan radio
http_reply_access deny lan hard-traffic-mime

При чём разрешающее правило для радио прописано выше, чем запрещающее на весь флеш.
При этом в логе я всё так же наблюдаю:
[05/Aug/2013_09:25:57] 10.0.0.2 TCP_DENIED/403 1429 GET http://css.moskva.fm/f/MoskvaPlayerDark.swf text/html

Каким образом это можно реализовать?

squid + kerberos + AD

В логах сквида ровно через час появляются четыре строчки:
==========================
2013/07/23 16:42:29| authenticateNegotiateHandleReply: Error validating user via Negotiate. Error returned 'BH gss_accept_sec_context() failed: Unspecified GSS failure.  Minor code may provide more information. '
2013/07/23 16:42:29| authenticateNegotiateHandleReply: Error validating user via Negotiate. Error returned 'BH gss_accept_sec_context() failed: Unspecified GSS failure.  Minor code may provide more information. '
2013/07/23 16:42:32| authenticateNegotiateHandleReply: Error validating user via Negotiate. Error returned 'BH gss_accept_sec_context() failed: Unspecified GSS failure.  Minor code may provide more information. '
2013/07/23 16:42:32| authenticateNegotiateHandleReply: Error validating user via Negotiate. Error returned 'BH gss_accept_sec_context() failed: Unspecified GSS failure.  Minor code may provide more information. '
==========================

А так все работает отлично, но хочется разобраться. Кто нибудь сталкивался с подобным?

Добрый день!
В файле cache.log Squid3 3.1.6 (Debian Stable 6.07) заметил следующие строки, после настройки Sqstat.php .
2013/07/16 10:20:05| CacheManager: <unknown>@127.0.0.1: password needed for 'storedir'
2013/07/16 10:20:05| CacheManager: <unknown>@127.0.0.1: password needed for 'info'
2013/07/16 10:20:05| CacheManager: <unknown>@127.0.0.1: password needed for 'counters'
2013/07/16 10:20:05| CacheManager: <unknown>@127.0.0.1: password needed for 'counters'
2013/07/16 10:25:05| CacheManager: <unknown>@127.0.0.1: password needed for 'storedir'
2013/07/16 10:25:05| CacheManager: <unknown>@127.0.0.1: password needed for 'info'
2013/07/16 10:25:05| CacheManager: <unknown>@127.0.0.1: password needed for 'counters'
2013/07/16 10:25:05| CacheManager: <unknown>@127.0.0.1: password needed for 'counters'
2013/07/16 10:30:07| CacheManager: <unknown>@127.0.0.1: password needed for 'storedir'
2013/07/16 10:30:07| CacheManager: <unknown>@127.0.0.1: password needed for 'info'
2013/07/16 10:30:07| CacheManager: <unknown>@127.0.0.1: password needed for 'counters'
2013/07/16 10:30:07| CacheManager: <unknown>@127.0.0.1: password needed for 'counters'
2013/07/16 10:35:05| CacheManager: <unknown>@127.0.0.1: password needed for 'storedir'
2013/07/16 10:35:05| CacheManager: <unknown>@127.0.0.1: password needed for 'info'
2013/07/16 10:35:05| CacheManager: <unknown>@127.0.0.1: password needed for 'counters'
2013/07/16 10:35:05| CacheManager: <unknown>@127.0.0.1: password needed for 'counters'

Часть конфигурации squid.conf
cachemgr_passwd mypassword counters storedir info

Еще столкнулись с проблемой, что с недавнего времени Squid стал занимать всю оперативную память (16ГБ) и вылетать. До этого были настройки по умолчанию. После этого добавил в файл конфигурации следующие строки:
cache_mem 256 MB
maximum_object_size_in_memory 40 KB
maximum_object_size 20480 KB
cache_dir aufs /var/spool/squid3 3072 16 256

Но это ситуацию не изменило. Приходится ежедневно перезапускать Squid по 2-3 раза, чтобы у пользователей был интернет.
Подскажите, как можно решить данные две проблемы.

Всем Утра! и хорошей недели)

нужна ваша помощь

Есть прокси, есть сервер введенный в домен (wbinfo на все что хочешь отвечает хорошо);
Но авторизация через ntlm_helper не работает, даже
проверка как то странно отвечает, не по faq'у (http://wiki.squid-cache.org/ConfigExamples/Authenticate/Ntlm):

ввожу в командной строке:
/usr/lib/squid3/ntlm_auth --helper-protocol=squid-2.5-basic

а он мне выдает полную справку по хелперу, и предлагает указывать в команде мой домен, я его указываю, действие повторяется....
ничего не пойму. Подскажите кто знает?!

ubuntu 12.04-serv

Всем доброго времени суток! Никак не получается настроить ICQ через SQUID. Выкурил много манов в инете, но безрезультатно. Как в анекдоте, или свисток без дырки или акула глухая, так и у меня, у всех работает у меня нет.
Дано: Сеть, например: Пров -> Маршрутизатор -> Вся остальная сеть+CentOS (Squid+SquidGuard), на Squid 80 и 443 порты заруливаю маршрутизатором.
конфиг squid.conf

redirect_program /usr/bin/squidGuard -c /etc/squid/squidGuard.conf
redirect_children 30
redirector_bypass on

acl localnet src 192.168.2.0/24 # RFC1918 possible internal network

acl SSL_ports port 443
acl Safe_ports port 80 # http
acl Safe_ports port 21 # ftp
acl Safe_ports port 443 # https
acl Safe_ports port 70 # gopher
acl Safe_ports port 210 # wais
acl Safe_ports port 1025-65535 # unregistered ports
acl Safe_ports port 280 # http-mgmt
acl Safe_ports port 488 # gss-http
acl Safe_ports port 591 # filemaker
acl Safe_ports port 777 # multiling http
acl CONNECT method CONNECT

http_access allow localhost manager
http_access deny manager

http_access deny !Safe_ports

http_access deny CONNECT !SSL_ports

http_access allow localnet
http_access allow localhost

http_access deny all

http_port 192.168.0.5:3128 transparent
https_port 192.168.0.5:3129 transparent ssl-bump generate-host-certificates=on dynamic_cert_mem_cache_size=4MB cert=/etc/squid/ssl/squid.pem key=/etc/squid/ssl/squid.key
sslproxy_flags DONT_VERIFY_PEER
sslproxy_cert_error allow all
always_direct allow all

cache_dir ufs /var/spool/squid 1024 16 256

coredump_dir /var/spool/squid

cache_access_log /var/log/squid/access.log
cache_log /var/log/squid/cache.log
cache_store_log /var/log/squid/store.log

visible_hostname Test

cache_effective_user squid
cache_effective_group squid

refresh_pattern ^ftp: 1440 20% 10080
refresh_pattern ^gopher: 1440 0% 1440
refresh_pattern -i (/cgi-bin/|\?) 0 0% 0
refresh_pattern . 0 20% 4320    

iptables

Таблица: nat
Chain PREROUTING (policy ACCEPT)
num target prot opt source destination
1 REDIRECT tcp -- 0.0.0.0/0 0.0.0.0/0 source IP range 192.168.0.120-192.168.0.239 tcp dpt:80 redir ports 3128
2 REDIRECT tcp -- 0.0.0.0/0 0.0.0.0/0 source IP range 192.168.0.120-192.168.0.239 tcp dpt:443 redir ports 3129

Chain POSTROUTING (policy ACCEPT)
num target prot opt source destination

Chain OUTPUT (policy ACCEPT)
num target prot opt source destination

Таблица: filter
Chain INPUT (policy ACCEPT)
num target prot opt source destination

Chain FORWARD (policy ACCEPT)
num target prot opt source destination

Chain OUTPUT (policy ACCEPT)
num target prot opt source destination

Доброго дня!
Имеется Ubuntu Server 12.04
Squid 3
SAMS 2
редиректор sams
все настроено и работает
Пользователи ходят в интернет, но когда пользователь заходит на сайт, который заблокирован в SAMS2 ему не выводится никаких сообщений, а просто возвращается 404 ошибка, что невозможно отобразить страницу. Ну а следовательно, если URL не запрещен, то никакихз подобных сообщений нет - пользователь попапдает куда ему надо
В настройках прокси в веб интерфейсе SAMS2 в пункте ПУТЬ К КАТАЛОГУ, ГДЕ ЛЕЖАТ ФАЙЛЫ ЗАПРЕТА  ЗАПРОСА у меня прописано:  http://192.168.2.222/sams2/messages
На сервере в этой дире /var/www/sams2/message у меня лежат разные файлы и папка. Так же пробовал создавать здесь свои html файлы со своим текстом для пользователей. Все безрезультатно.

Может быть надо где то в конфигах подправить что нибудь? Прописать конкретные пути к этим файлам? В инете не нашел.
На форуме нашел похожую тему, только ему отвечает squid, а у меня ошибка 404: http://www.opennet.me/openforum/vsluhforumID12/6798.html

Подскажите, что можно сделать...

Доброго всем времени суток.
Сразу к вопросу.

Имеем сервер на FreeBSD, стоит ipfw+pf(не спрашивайте почему такая связка, очень удобно, во всяком случае мне нравится очень), но проблема не в этом.

На борту стоит squid+ntlm+basic аутентификация пользователей из домена(Active Directory). Так же поставил SAMS.
У меня руками прописаны списки запрещенных сайтов и 3 группы пользователей.
Группы пользователей: InetUs, InetVIP, InetFull
Списки запрета доступа: Access.Denied и еще один список, которые разрешает только некоторые сайта из списка запрещенных для определенной группы.
Итак, InetUs - Запрещены все сайты из списка
InetVIP - запрещены все сайта из списка запрещенных, но разрешены некоторые из этого же списка
InetFull - разрешено все.
В Active Directory пользователям назначены группы в зависимости от их разрешений. Из домена авторизация проходит, с SAMS-ом почти разобрался(ну не люблю я подобные вещи, которые работают неизвестно для меня как)
В общем все вроде как работает, юзеры ходят, авторизация и по ntlm и по basic, списки запрета работают.

И вот тут руководство ставит задачу: Нужно, чтобы squid автоматически подтягивал пользователей и записывал в нужную группы на проксе. Т.е. создаем мы нового пользователя в домене, добавляем скажем в группу InetUs и он сразу автоматом появляется в списке юзеров на прокси-сервере. Так же, нужно скажем перенести юзера из одной группы(InetUs) в другую группу(InetVip) и надо чтобы все изменения на проксе произошли автоматом.

Теперь подскажите пожалуйста, возможно ли такое или нет?
P.S. Руководство виндузятники, поэтому им сложно объяснить невозможность и я на всякий случай решил поинтересоваться у гуру. Я конечно понимаю, что с костылями и горой скриптов это вохможно, но это не вариант и я понимаю что почти стандартными средствами это не возможно.

Подскажите пожалуйста, очень жду совета гуру.

Доброго времени суток! Подскажите как можно запустить https через прокси (не прозрачный),
сейчас настроена так: в политиках домена прописал проксю, в iptables прописано
iptables -t nat -A PREROUTING -i eth0 -p tcp -m multiport --dport 80,8080,443 -j REDIRECT --to-port 3128
HTTP запросы проходят нормально и фильтруются, а вот HTTPS не хочет, при этом access.log отображаются https-запросы. Если в самом браузере прописать проксю, то https робит.

Добрый день, столкнулся с проблемой работы системы интернет банкинга от СБ
Есть Прокси сервер есть шлюз(интернет) есть клиенты
Клиенты не могут выходть в интернет банкинг а именно Он зависает на прогресс баре в ie на сквиде права http_access allow all, развернул клиентов на другой сервер на сквиде тоже также,
Поставили usergate на windows все работает как часы,
Выгладит это как будто сквид рвет соединения не возвращаея код статуса.
может кто сталкивался?
Спасибо.
ie банкинг работает через ActivX

Стоит задача прозрачно авторизовать пользователей в домене. Но только для того чтобы в лог падал имя пользователя.
При этом не доменные пользователи должны работать без авторизации.
Так вот если аксес лист первым идет с авторизацией а второй для подсетки, то не доменным пользователям вываливается окно с запросом логина и пароля.
А если наоборот то в лог не падает имя пользователя.

Прописывать до авторизации пользователей IP адреса машин не в домене тоже не подходит, ибо они могут меняться.

Может кто знает как выйти из ситуации?

Доброго времени суток.
Столкнулся со следующей проблемой: имеем прокси-сервер:

> squid -v

Squid Cache: Version 3.1.19
configure options:  '--with-default-user=squid' '--bindir=/usr/local/sbin' '--sbindir=/usr/local/sbin' '--datadir=/usr/local/etc/squid' '--libexecdir=/usr/local/libexec/squid' '--localstatedir=/var/squid' '--sysconfdir=/usr/local/etc/squid' '--with-logdir=/var/log/squid' '--with-pidfile=/var/run/squid/squid.pid' '--enable-removal-policies=lru heap' '--disable-linux-netfilter' '--disable-linux-tproxy' '--disable-epoll' '--disable-translation' '--enable-auth=basic digest negotiate ntlm' '--enable-basic-auth-helpers=DB NCSA PAM MSNT SMB squid_radius_auth YP' '--enable-digest-auth-helpers=password' '--enable-external-acl-helpers=ip_user session unix_group wbinfo_group' '--enable-ntlm-auth-helpers=smb_lm' '--enable-negotiate-auth-helpers=squid_kerb_auth' '--enable-storeio=ufs diskd aufs' '--enable-disk-io=AIO Blocking DiskDaemon DiskThreads' '--enable-delay-pools' '--enable-ssl' '--with-openssl=/usr' '--enable-pf-transparent' '--disable-ecap' '--disable-loadable-modules' '--enable-kqueue' '--prefix=/usr/local' '--mandir=/usr/local/man' '--infodir=/usr/local/info/' '--build=i386-portbld-freebsd8.2' 'build_alias=i386-portbld-freebsd8.2' 'CC=cc' 'CFLAGS=-O2 -pipe  -I/usr/include -fno-strict-aliasing' 'LDFLAGS= -rpath=/usr/lib:/usr/local/lib -L/usr/lib' 'CPPFLAGS=' 'CXX=c++' 'CXXFLAGS=-O2 -pipe -I/usr/include -fno-strict-aliasing' 'CPP=cpp' --with-squid=/usr/ports/www/squid31/work/squid-3.1.19 --enable-ltdl-convenience

При попытке выйти на https://google.com (accounts.google.com, gmail.com, etc), в браузере (Google Chrome) вываливается ошибка: Ошибка 111 (net::ERR-TUNNEL-CONNECTION-FAILED): неизвестная ошибка. Обновляем страницу (F5), и все загружается на ура

access.log:
1340265714.287 90 10.1.2.141 TCP_MISS/503 0 CONNECT accounts.google.com:443 - DIRECT/- -
1340265724.683 10235 10.1.2.141 TCP_MISS/200 0 CONNECT accounts.google.com:443 - DIRECT/74.125.143.84 -

Вопрос: почему не директит с первого раза? Уже пробовал и always_direct allow SSL, и кеширование гугла отключал, и dns_nameservers подсовывал, и с размером буфера баловался, и с MTU на клиенте.
Что характерно, прочие SSL ресурсы открываются с первого пинка и без каких-либо затруднений:

access.log:
1340266039.778 1207 10.1.2.141 TCP_MISS/200 21981 CONNECT login.live.com:443 - DIRECT/65.54.165.177 -
1340266146.933 1380 10.1.2.141 TCP_MISS/200 5724 CONNECT login.yahoo.com:443 - DIRECT/209.191.92.114 -
и т.д.

Такое впечатление, что какие-то запросы или ответы теряются. При этом без прокси все работает нормально.

Хотя бы в какую сторону копать?
P.S. Решение, найденное на http://squid-web-proxy-cache.1019090.n4.nabble.com/squid-and... - не для меня, ибо там у человека есть вышестоящий прокси.
P.P.S. Проблема появилась достаточно давно. Обновление сквида до последней версии ее не решило.

Стоит squid,  настроен давно, не мной. занимаюсь только небольшой поддержкой.
Связка с AD + есть squidquard
Все работало бес проблем. несколько дней назад перестал работать поиск в яндексе.
То есть набираю фразу - ИЕ пишет не могу отобразить страницу, в файерфоксе аналогичная ситуация - надпись "Страница, которую вы пытаетесь просмотреть, не может быть показана, так как она использует неверную или неподдерживаемую форму компрессии."

поиск в других поисковых системах работает, карты и т.д. открываются.
В логаз сквида:

1342603720.984      0 192.168.10.4 TCP_DENIED/407 4581 GET http://yandex.ru/yandsearch? - NONE/- text/html
1342603720.989      0 192.168.10.4 TCP_DENIED/407 4879 GET http://yandex.ru/yandsearch? - NONE/- text/html
1342603721.225     40 192.168.10.4 TCP_MISS/200 389 GET http://yandex.ru/yandsearch? volkov DIRECT/87.250.251.11 text/html

Добрый день, есть сервер на Ubuntu 10.10 на нем Squid с ncsa авторизацией + Sams. Теперь надо добавить проверку по MAC-ам без привязки MAC-а к логину или IP, подскажите как прикрутить к Squid-овскому конфигу файл с собсно MAC-ами (их чуть более пятисот)
P.S. Заранее извиняюсь за возможно глупый вопрос но помощь очень нужна ибо с Линуксом только начал дружить.

Уважаемые форумчане! Извините, но может я не в том форуме задаю вопрос.Тогда поправте. Вопрос заключается в следующем. Система на компьютере Windows XP, браузер Ie 7. Где взять прокси сервера от российских провайдеров. Дело в том, что свежий прокси лист, который можно получить через Google отражает только иностранные прокси сервера, которые не работают в рунете. Задача у меня совсем простая. Как юзать рунет и регистрироваться на некоторых спец сайтах, чтобы тебя не видели. Такая проблема стала появляться у меня всё чаще. Те прокси, которые получаю через Google не позволяют ананимно зарегистрироваться на спец сайтах. Может есть другие варианты или предложения? C уважением к отвечающим..

Привет специалисты!
Проблема заключается в следующем, на шлюзе FreeBSD7.0 nat+ipfw+squid порядка тридцати юзеров ходят в "мир", и вроде бы все ничего, сквида ведет себя корректно, но как только пользователи пытаются отправить письмо с аттачем больше 100 килобайт возникают тормоза и mail.ru на своей странице выводит ошибку.
Прокси у меня прозрачный, пробовал в обход его, все на ура.
Если есть кто сталкивался с проблемой такого рода - ОТЗОВИТЕСЬ!!!