URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID12
Нить номер: 7230
[ Назад ]

Исходное сообщение
"squid 2е авторизации в одной сети"

Отправлено alanq , 29-Ноя-15 14:34 
Доброго времени. есть сквид и т.п. все настраивалось через webmin squid работает с авторизацией (Внешняя аутентификация ACL External Auth логин+пароль). Возникла потребность авторизовать некоторые машины по MAC без запроса логина+пароля. Когда делаю (Ethernet Address) и помещаю привило выше первой авторизации, все работает но спустя пару мину все начинает дико тормозить, любая страница открывается в течении нескольких минут. Скажите как правильно сделать такой вид авторизации? все машины находятся в одной сети 192.168.0/24. Сильно не ругайтесь я только учусь ). Требуемые логи и т.п. предоставлю, скажите какие. За ранее всем спасибо.


Содержание

Сообщения в этом обсуждении
"squid 2е авторизации в одной сети"
Отправлено Павел Самсонов , 29-Ноя-15 19:50 
> Доброго времени. есть сквид и т.п. все настраивалось через webmin squid работает
> с авторизацией (Внешняя аутентификация ACL External Auth логин+пароль). Возникла потребность
> авторизовать некоторые машины по MAC без запроса логина+пароля. Когда делаю (Ethernet
> Address) и помещаю привило выше первой авторизации, все работает но спустя
> пару мину все начинает дико тормозить, любая страница открывается в течении
> нескольких минут. Скажите как правильно сделать такой вид авторизации? все машины
> находятся в одной сети 192.168.0/24. Сильно не ругайтесь я только учусь
> ). Требуемые логи и т.п. предоставлю, скажите какие. За ранее всем
> спасибо.

Я бы не делал на уровне mac, я бы сделална уровне ip. Раздать статические ip и пустить их без авториации.


"squid 2е авторизации в одной сети"
Отправлено alanq , 29-Ноя-15 20:35 

> Я бы не делал на уровне mac, я бы сделална уровне ip.
> Раздать статические ip и пустить их без авториации.

хорошо, совместить с авторизацией логин+пароль для одних пользователей и по ip без пароля и логина других возможно? и как это сделать?


"squid 2е авторизации в одной сети"
Отправлено ipmanyak , 01-Дек-15 08:50 
>> Я бы не делал на уровне mac, я бы сделална уровне ip.
>> Раздать статические ip и пустить их без авториации.
> хорошо, совместить с авторизацией логин+пароль для одних пользователей и по ip без
> пароля и логина других возможно? и как это сделать?

поставить разрешающие аксели по IP или MAC выше правил с авторизацией логин+пароль



"squid 2е авторизации в одной сети"
Отправлено alanq , 01-Дек-15 13:16 

> поставить разрешающие аксели по IP или MAC выше правил с авторизацией логин+пароль

так и сделал после чего спустя некоторое время появляются жуткие тормоза. С чем это может быть связано?



"squid 2е авторизации в одной сети"
Отправлено ipmanyak , 01-Дек-15 14:18 
>> поставить разрешающие аксели по IP или MAC выше правил с авторизацией логин+пароль
> так и сделал после чего спустя некоторое время появляются жуткие тормоза. С
> чем это может быть связано?

Тормоза у вас по другой причине. Какого размера кэш на диске выделил?
Приведи конфиг сквида сюда, но только без каментов.
убрать камменты
grep -v "^#" squid.conf | uniq > squid.conf.txt
squid.conf.txt  - сюда



"squid 2е авторизации в одной сети"
Отправлено alanq , 01-Дек-15 15:15 
> Тормоза у вас по другой причине. Какого размера кэш на диске выделил?
> Приведи конфиг сквида сюда, но только без каментов.
> убрать камменты
> grep -v "^#" squid.conf | uniq > squid.conf.txt
> squid.conf.txt  - сюда

auth_param basic program /etc/webmin/squid/squid-auth.pl /etc/webmin/squid/users
auth_param basic children 1500

acl SSL_ports port 443
acl Safe_ports port 80 # http
acl Safe_ports port 21 # ftp
acl Safe_ports port 443 # https
acl Safe_ports port 70 # gopher
acl Safe_ports port 210 # wais
acl Safe_ports port 1025-65535 # unregistered ports
acl Safe_ports port 280 # http-mgmt
acl Safe_ports port 488 # gss-http
acl Safe_ports port 591 # filemaker
acl Safe_ports port 777 # multiling http
acl CONNECT method CONNECT
acl auth proxy_auth REQUIRED
acl mactest arp 00:E0:4D:55:7C:6E 00:E0:4D:55:7A:75

http_access allow localhost manager

http_access deny manager

http_access deny !Safe_ports
http_access deny CONNECT !SSL_ports

http_access allow mactest

http_access allow auth
http_access allow localhost
http_access deny all

http_port 192.168.0.1:3128
http_port 192.168.0.1:3127

cache_mem 1 GB

cache_dir ufs /var/spool/squid3 15000 64 256

coredump_dir /var/spool/squid3

refresh_pattern ^ftp:        1440    20%    10080
refresh_pattern ^gopher:    1440    0%    1440
refresh_pattern -i (/cgi-bin/|\?) 0    0%    0
refresh_pattern (Release|Packages(.gz)*)$      0       20%     2880
refresh_pattern .        0    20%    4320

cache_effective_user proxy

forwarded_for off

cache_effective_group proxy
redirect_program /usr/bin/squidGuard -c /etc/squidguard/squidGuard.conf


"squid 2е авторизации в одной сети"
Отправлено alanq , 01-Дек-15 18:05 
на всякий вывел grep -v "^#|^$" /etc/squid*/squid.conf | grep dns

#  TAG: dns_v4_fallback
#  TAG: dns_testnames
#  TAG: positive_dns_ttl    time-units
#    larger than negative_dns_ttl.
# positive_dns_ttl 6 hours
#  TAG: negative_dns_ttl    time-units
# negative_dns_ttl 1 minutes
#  TAG: incoming_dns_average
# incoming_dns_average 4
#  TAG: min_dns_poll_cnt
# min_dns_poll_cnt 8
#  TAG: cache_dns_program
#       --disable-internal-dns
#    Specify the location of the executable for dnslookup process.
# cache_dns_program /usr/lib/squid3/dnsserver
#  TAG: dns_children
#       --disable-internal-dns
# dns_children 32 startup=1 idle=1
#  TAG: dns_retransmit_interval
# dns_retransmit_interval 5 seconds
#  TAG: dns_timeout
# dns_timeout 30 seconds
#  TAG: dns_packet_max
#  TAG: dns_defnames    on|off
#  TAG: dns_nameservers
#    Example: dns_nameservers 10.0.0.1 192.172.0.4 95.154.128.32 78.46.36.8
#dns_nameservers 8.8.8.8 8.8.4.4
#  TAG: dns_v4_first
# dns_v4_first off
#        dns
но что тут не понимаю сори(


"squid 2е авторизации в одной сети"
Отправлено eRIC , 04-Дек-15 12:38 
acl auth_ips src 192.168.0.10 192.168.0.11
acl notauth_ips src 192.168.0.20 192.168.0.30

http_access allow notauth_ips
http_access allow auth auth_ips

notauth_ips - IP адреса для которых не запрашивается логин и пароль
auth_ips - IP адреса для которыx запрашивается пароль.

так же можно не указывая IP адреса в ACL сделать чтобы запрашивался у всех логин и пароль. Для этого сперва в начале списка указываем ACL и https_access которым не нужно запрашивать логин и пароль(auth) и уже потом идет другое правило ACL и https_access c auth для остальных.

http://wiki.squid-cache.org/SquidFaq/SquidAcl читайте как работать с ACL листами


"squid 2е авторизации в одной сети"
Отправлено Alecsandr19912015 , 04-Дек-15 13:41 
а вы не ставили squid 3.5+sams2+редирект-sams на freebsd ?
если ставили, то поделитесь пожалуйста информацие, что нужно в портах меняли. чтоб после установки, у него корректно работал редирект-sams.