Zmey Strangled by Lynx Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору Я думаю удобнее сделать будет один топик по Squid и все вопросы касательно него постить сюда. :) У меня вопрос такого характера: как настроить резку трафика squid и как настроить замену баннеров или просто их вырезку. SQUID - HTTP/HTTPS прокси под *nix   В первом посте собираем полезные ссылки, преимущественно на русском по Squid.   Официальный сайт: www.squid-cache.org Squid (кеширующий прокси для http): установка, настройка и использование Squid Web Proxy Cache: получение, компилляция, настройка (архивная версия) Squid Proxy Server 3.1 Beginners Guide,  Packtpub, 2011, PDF (см. также и другие источники)   About Squid Web Proxy Cache (архивная версия) Зона особого внимания: Squid (архивная версия) Как не получать рекламы через Internet   FAQ по Squid (архивная версия) Авторизация squid в домене Windows 2003 Server Статьи по Squid на Opennet.ru   Как заставить Squid быть только прокси, без кэширования чего-либо?   Также смотрите фильтр по squid   В отдельных темах обсуждается Squid и ограничение доступа по времени Squid: ограничить трафик для отдельного юзера: ширина канала Squid и вырезание баннеров Анализаторы логов для Squid   // текущий бэкап шапки.. Всего записей: 303 | Зарегистр. 07-12-2001 | Отправлено: 14:56 10-05-2002 | Исправлено: TheBarmaley TMP, 15:33 23-03-2016

ipmanyak Platinum Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору Teckatlipoka зайди в каталог  в  /usr/local/etc/squid выполни   grep -v "^#" squid.conf | uniq > squid.conf.txt покажи  squid.conf.txt сюда     ---------- В сортире лучше быть юзером, чем админом... Всего записей: 11743 | Зарегистр. 10-12-2003 | Отправлено: 08:32 27-04-2010

Alukardd Gold Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору ipmanyak Цитата: grep -v "^#" squid.conf | uniq > squid.conf.txt   хы) вечно у меня извращенские способы решения задачи я умудрился прогу на си накатать которая тоже самое делает) я как всегда сама логичность! Всего записей: 6563 | Зарегистр. 28-08-2008 | Отправлено: 13:27 27-04-2010

ipmanyak Platinum Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору Alukardd если бы был программер, может тоже бы сваял прогу, потому пришлось найти в инете этот скриптец на opennet.ru. ---------- В сортире лучше быть юзером, чем админом... Всего записей: 11743 | Зарегистр. 10-12-2003 | Отправлено: 13:40 27-04-2010

Alukardd Gold Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору Народ подскажите плз... умаялся я с ним бороться...   имеем сервер win2k3 + AD          шлюз Debian Lenny + squid3 + iptables   собрался на squid3 навесить авторизацию через AD - взялся... почти прикрутид LDAP потом понял, что облажался т.к. auth_param basic меня совсем не устраивает - собрался прикрутить ntlm_auth да не тут-то было... ни черта у меня не вышло - и даже не потому что squid её не воспринимает а все застопорилось намного раньше... мне не удалось запустить ни какие демоны для связи с AD! Пытался делать следующее: установил samba + winbind настроил smb.conf при попытке wbinfo -t пишет checking the trust secret via RPC calls failed   Could not check secret   пробывал наладить kerberos - установил все пакеты типа krb5-kdc и прочее... настроил krb5.conf запукаю демона он мне пишет krb5kdc: cannot initialize realm SCHOOL.RU - see log file for details - в логах понятное дело 1 строчка и вы её и так видите...   не знаю уже как заставить его работать и обсчаться с AD?!   дополнительная инфа... как я уже говорил выше ldap мне удалось заставить пообсчаться с AD ldapsearch -D "squidreader@school.ru" -x -W -b "dc=school,dc=ru" -h 192.168.0.1 - пашет на ура, впрочем как и команды проверки пароля и принадлежности группе...   с шлюза nslookup school.ru - проходит... соответсвенно имя pdc и pdc.school.ru тоже разрешает...   вотЪ такой вот гемор свалился на мою голову этой ночью! очень прошу помочь найти затыку...   Всего записей: 6563 | Зарегистр. 28-08-2008 | Отправлено: 03:58 14-05-2010

Ruza Gold Member Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору Alukardd http://forum.ru-board.com/topic.cgi?forum=8&topic=0458&start=380#lt ---------- Fools rush in where angels fear to tread. Всего записей: 5472 | Зарегистр. 10-09-2003 | Отправлено: 10:21 14-05-2010

Alukardd Gold Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору Ruza трололо хоть статья и не совсем то что нужно... однако пройдя по чепочке ссылок благодаря неё я настроил samba на работу с AD - дело как обычно было в 1 слове((( так что за это спасибо kerberos пока атк и не удалось заставить дружить с AD   правда squid по прежнему отказывается пускать меня в интерент - к тому же он выводит запрос логина/пароля хотя вроде бы и не должен при ntlm авторизации... в сквиде написанно так: Код:  . . . auth_param ntlm program /usr/bin/ntlm_auth --helper-protocol=squid-2.5-ntlmssp auth_param ntlm children 10 acl authorized proxy_auth REQUIRED  . . . http_access allow authorized workingTime http_access deny all . . . при этом запрос в консоле Код: /usr/bin/ntlm_auth --username=user01 --domain=SCHOOL.RU password:   NT_STATUS_OK: Success (0x0) покопаюсь - вечерком отпишусь по вопросам... Всего записей: 6563 | Зарегистр. 28-08-2008 | Отправлено: 13:11 14-05-2010

Ruza Gold Member Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору Alukardd Как это не совсем то что нужно?   Самбу сделал, значит можно и к сквиду переходить... Просто исправлять в этой ветке твои конфиги самбы и кербероса ИМХО не правильно, да и почитав форум с реальными примерами ты понял больше чем если бы я отдал тебе твои готовые конфиги.   ---------- Fools rush in where angels fear to tread. Всего записей: 5472 | Зарегистр. 10-09-2003 | Отправлено: 16:35 14-05-2010

Alukardd Gold Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору Ruza ошибку я нашёл не с форума а ссылок из его шапки   как это не печально но настроить до конца так и не удалось   ntlm_auth --helper-protocol=squid-2.5-basic user01 user01 OK   ntlm_auth --helper-protocol=squid-2.5-ntlmssp   user01 user01 utils/ntlm_auth.c:manage_squid_ntlmssp_request(786) BH NTLMSSP query invalid   не пашет ntlm авторизация... хз почему( права на /var/run/samba/winbindd_privileged выставил 0777 привелегии   вот в дополнение кусок лога /var/log/squid3/cache.log Код: Login for user [SCHOOL]\[user01]@[PDC] failed due to [winbind client not authorized to use winbindd_pam_auth_crap. Ensure permissions on /var/run/samba/winbindd_privileged are set correctly.] [2010/05/14 13:08:12,  0] utils/ntlm_auth.c:manage_squid_ntlmssp_request(817)   NTLMSSP BH: NT_STATUS_ACCESS_DENIED 2010/05/14 13:08:12| authenticateNTLMHandleReply: Error validating user via NTLM. Error returned 'BH NT_STATUS_ACCESS_DENIED' [2010/05/14 13:08:14,  0] utils/ntlm_auth.c:winbind_pw_check(545)   net join сработал нормально wbinfo тоже гвоорит что все хорошо - связь с доменом есть - кароче говоря samba + winbind работают вроде как нормально... kerberos ( krb5-kdc ) настроить так и не удалось( Всего записей: 6563 | Зарегистр. 28-08-2008 | Отправлено: 21:50 14-05-2010

vlary Platinum Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору Alukardd Я к сквиду прицепил самописную программу, которая авторизует юзеров через AD, поскольку через ntlm почему-то сразу не срослось. Работает без проблем уже года три.   Всего записей: 17279 | Зарегистр. 13-06-2007 | Отправлено: 22:25 14-05-2010

Alukardd Gold Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору vlary я конечно счастлив за вас) но писать самому когда я только поверхностно представляю порядок алгоритма аутентификации пользователя... если в краце то я вашу мыслю представляю так... 1 - squid получает запрос от юзера 2 - в squid прописан auth_param -хз правда какой именно - на внешнюю прогу - видимо ваш скрипт 3 - скрипт каким-то чудом выполняет проверку типо этой - /usr/lib/squid3/squid_ldap_group -R -b "dc=school,dc=ru" -f "(&(sAMAccountName=%v)(memberOf=cn=%a,ou=groups,ou=school,dc=school,dc=ru))" -D squidreader@school.ru -W /etc/squid3/adpw.txt 192.168.0.1 т.е. просто проверяет принадлежность к группе допущеных в инет юзеров. 4 - отдает ответ привыный для squid - ERR/OK - на сколько мне известно... 5 - дальше вроде всё как обычно...   можно наверное как-нить так проверять - wbinfo -a user01%user01 - но тут вопро - а разве squid3 знает с каким логином и паролем работает юзер что бы их проверять?) только в этом алгоритме нету уверенности что юзер именно из AD а н просто с таким же именем как в AD создал себе акк и прописал настройи проксика - а скрипт проверил имя есть - типо всё хорошо     не понятно как при этом будет работать учёт личного трафика и ширины канала - delay_pools и иже с ним?! в общем пока для меня это темный кусок...   готовой проги с разжеванными коментами я конечно от вас не прошу, но разъянения по поводу алгоритма получить хотелось бы - если это действительно не сильно сложно сделать самому и не сильно вас напряжёт или не перчит вашим идеалам   Всего записей: 6563 | Зарегистр. 28-08-2008 | Отправлено: 22:42 14-05-2010 | Исправлено: Alukardd, 23:33 14-05-2010

Ruza Gold Member Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору Alukardd Цитата: ошибку я нашёл не с форума а ссылок из его шапки Но ведь нашёл же, остальное патетика...   Цитата: права на /var/run/samba/winbindd_privileged   сквид стартуй от группы wbpriv, а права не трогай   Цитата: в squid прописан auth_param -хз правда какой именно - на внешнюю прогу - видимо ваш скрипт   Чей скрипт и где он?   Цитата: разъянения по поводу алгоритма получить хотелось бы - если это действительно не сильно сложно сделать самому и не сильно вас напряжёт или не перчит вашим идеалам эх молодость молодость... При чём тут идеалы или напряги, ты с утра спросил про самбу потом приплёл какой то скрипт. куча конфигов, какие то извини "домыслы/соображения" и в самом конце концов просьба описать протокол ntlm и его взаимодействие со squid. Ты определись что тебе надо... либо шашки либо ехать... Шашки - Чёрные, Белые Ехать - Поиск ---------- Fools rush in where angels fear to tread. Всего записей: 5472 | Зарегистр. 10-09-2003 | Отправлено: 23:56 14-05-2010 | Исправлено: Ruza, 23:58 14-05-2010

Alukardd Gold Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору Ruza Цитата: Чей скрипт и где он?   это мои размышления по поводу сказанного vlary!!!   краткие пояснения... вся суета из-за необходимости сделать контроль за происходящим в squid3 - соответственно необходимо идентифицировать каждую личность ( нету фиксированного рабочего места ) использующую squid3 и ограничить в скорости и трафике в день. получается что надо тем или иным способом авторизировать ползователей - настройку samba крутил для того что бы сделать squid3 + winbind из samba - ntlmssp авторизацию через доменное имя ( без запроса логина/пароля в браузере - для IE разумеется ).   вот в общем-то и все что надо сделать - ну потом delay_pools и sarg для ограничений думаю доковыряю - а пока авторизацию провернуть не удается... Всего записей: 6563 | Зарегистр. 28-08-2008 | Отправлено: 00:12 15-05-2010

vlary Platinum Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору Поскольку мастерил я ее весьма давно, то сам уже многого не помню. Работает программа с библиотекой LDAP, посему самому низкоуровневыми вещами заниматься не пришлось. Пункты 1-5 совершенно справедливы, в конфиге сквида я передаю имя проги и айпи контроллера домена в качестве параметра. "OU=m1,dc=school,dc=ru" вставил непосредственно в исходник программы. Можно, конечно и в параметрах передавать. Цитата: не понятно как при этом будет работать учёт личного трафика и ширины канала - delay_pools и иже с ним? С эти все нормально, учет ведется по логинам в логе сквида, delay_pools при необходимости тоже легко прикрутить через акцесс листы. Цитата: готовой проги с разжеванными коментами я конечно от вас не прошу А их, комментов, там и нету, этим не грешу. Исходник валяется до сих пор, могу сбросить.         Всего записей: 17279 | Зарегистр. 13-06-2007 | Отправлено: 00:23 15-05-2010

Alukardd Gold Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору vlary Цитата: Исходник валяется до сих пор, могу сбросить.   был бы весь ма признателен - хотя вам и так большое спасибо за разжовывание многих вещей... если можно к исходнику строчки вызова его из squid. скинуть можно в личку или на мыло в профиле...   и пока я их еще не видел вопрос про то, что получает squid всё же висит - теории в этом вопросе нехватка... Всего записей: 6563 | Зарегистр. 28-08-2008 | Отправлено: 00:33 15-05-2010

vlary Platinum Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору Цитата: вопрос про то, что получает squid всё же висит squid получает от браузера строчку вида юзер пассворд. Он передает ее программе, та запрашивает LDAP и возвращает сквиду OK или ERR в зависимости от результата. Всего записей: 17279 | Зарегистр. 13-06-2007 | Отправлено: 00:39 15-05-2010 | Исправлено: vlary, 00:46 15-05-2010

vlary Platinum Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору Alukardd Программа ушла на мыло. Параметры в конфиге сквида: auth_param basic program /usr/local/squid/libexec/squid_ad_auth 192.168.1.100 auth_param basic children 1 auth_param basic realm Corporate Squid Proxy auth_param basic credentialsttl 24 hours ....................... acl knownusers proxy_auth REQUIRED .......................................... http_access allow CONNECT knownusers Safe_ports http_access allow CONNECT knownusers SSL_ports http_access allow knownusers         Всего записей: 17279 | Зарегистр. 13-06-2007 | Отправлено: 10:23 15-05-2010 | Исправлено: vlary, 10:33 15-05-2010

Alukardd Gold Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору vlary большое спасибо - еще не проверял работу...   оО мну смущают строчки auth_param basic - я всё-таки добиваюсь того что бы запрос на ввод логина/пароля не вылезал... и вопрос про то как squid получает логин/пароль тоже был для ntlmssp авторизации, когда юзер не вбивает непосредственно данные в браузер...   а еще при попытке собрать: gcc ./squid_ad_auth.c -o ./squid_ad_auth ругаетя( - undefined reference to `ldap_get_option' - и еще на парочку - хотя я честно проверил есть такие функции в /usr/include/ldap.h и lber.h - конечно описанны не совсем привычным мне языком - но думаю что правильно Всего записей: 6563 | Зарегистр. 28-08-2008 | Отправлено: 18:26 15-05-2010

vlary Platinum Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору AlukarddДа, юзерам придется вводить пароль, прозрачного прокси не получится. Но раз в день это не затруднительно, тем более есть чекбокс "запомнить пароль". Цитата: undefined reference to `ldap_get_option' Собирать нужно gcc -o squid_ad_auth -lldap squid_ad_auth.c Иначе откуда ей знать, какие линковать библиотеки? Если  libldap не в /usr/lib, добавить путь опцией -L   Всего записей: 17279 | Зарегистр. 13-06-2007 | Отправлено: 20:32 15-05-2010

Alukardd Gold Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору vlary Цитата: Да, юзерам придется вводить пароль, прозрачного прокси не получится. Но раз в день это не затруднительно, тем более есть чекбокс "запомнить пароль".   хм.. вы с галочкой натолкнули меня на мыслю... а ведь пароль сохранится в профиле? если он перемещаемый... то галочка запомнится навсегда по идее, и на всех компах заново вводить не придется?   и что значит откуда ему знать? он же заинклюдил ldap.h и lber.h!!! Всего записей: 6563 | Зарегистр. 28-08-2008 | Отправлено: 20:44 15-05-2010 | Исправлено: Alukardd, 20:45 15-05-2010

vlary Platinum Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору Цитата: и что значит откуда ему знать? он же заинклюдил ldap.h и lber.h!!! Ну и что? Это не освобождает от необходимости указывать библиотеки, откуда он должен брать нужные функции. И пути к библиотекам, если они нестандартные. Так работают компиляторы. Если у нас эти функции лежат в libldap.a, мы должны добавить -lldap, если в libldap2.a, то -lldap2. Ну и -lsocket иногда может потребоваться. Короче, по умолчанию только библиотека libc. Всего записей: 17279 | Зарегистр. 13-06-2007 | Отправлено: 21:17 15-05-2010

Страницы: 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131 132 133 134 135 136 137 138 139 140

Компьютерный форум Ru.Board » Компьютеры » В помощь системному администратору » SQUID (только под *nix)

Переход по форумам  Закладки   » Компьютеры Цифровое изображение Программы Microsoft Windows UNIX Другие OS Hardware В помощь сисадмину Прикладное программирование Игры Форумные игры   » Интернет Web-программирование В помощь вебмастеру Графика Хостинг Зацените-ка!   » Тематические Ikonboard v.2 Ikonboard v.3 Invision Board Другие форумы PHP-Nuke и другие порталы Мобила   » Общие Спорт Флейм Темы по региональным встречам Музыка и Кино Юмор Литература и Живопись   » Ru.Board Новости Помощь по форуму   » Андеграунд eBookz Варезник Раздачи и акции Мобильный варезник Андеграунд Игры и фильмы   » Специальные Тестирование