Перейти из форума на сайт.

НовостиФайловые архивы
ПоискАктивные темыТоп лист
ПравилаКто в on-line?
Вход Забыли пароль? Первый раз на этом сайте? Регистрация
Компьютерный форум Ru.Board » Компьютеры » В помощь системному администратору » Проблема с squidNT

Модерирует : lynx, Crash_Master, dg, emx, ShriEkeR

 Версия для печати • ПодписатьсяДобавить в закладки
Страницы: 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28

Открыть новую тему     Написать ответ в эту тему

spawel

Newbie
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Бинарники squid/2.7.STABLE8 от 13.03.2010 :
2.7.STABLE8 или тоже самое
2.7.STABLE8-bin-DELAYP
 
"минимальный" конфиг
 
 
Первое сообщение

Всего записей: 4 | Зарегистр. 02-01-2006 | Отправлено: 19:56 21-01-2006 | Исправлено: ndch, 09:53 14-09-2013
repon



Junior Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору

Цитата:
А каким бразуером пользуется клиент?

Хром - на нем пробовал...
а вообще мозилла, хром и ИЕ будут
 
Добавлено:

Цитата:
http_access deny all

у меня это правило было закомментировано.
 
попробовал сделать его последним...
 
такой же результат:

Код:
ntlm-auth[3728]: Login attempt had result 1

 

Цитата:
А каким бразуером пользуется клиент?

пробовал на Хроме... вообще будут Мозилла, Хром и ИЕ
 
Добавлено:
ой)

Всего записей: 36 | Зарегистр. 03-12-2010 | Отправлено: 14:30 23-08-2012
repon



Junior Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
ап

Всего записей: 36 | Зарегистр. 03-12-2010 | Отправлено: 15:59 24-08-2012
vlary



Platinum Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
repon Родной, ты за два года ни разу правила не удосужился прочесть?
Здесь такое не принято.
Цитата:
2.8.Запрещена публикация неинформативных сообщений (флуд), включая, но не ограничиваясь:
................................
2.8.3.подъем темы. А именно, публикацию сообщений, имеющих целью лишь подъем темы в списке и при этом не несущих смысловой нагрузки, например: «ну так что, никто не знает?»
Задал вопрос - сиди жди, здесь не горсправка.
Иначе заработаешь у модератора пожизненный цих с гвоздями.  
 


----------
Заслуженный SCOтовод, почетный SUNтехник и любитель Кошек

Всего записей: 17273 | Зарегистр. 13-06-2007 | Отправлено: 16:36 24-08-2012
Alukardd



Gold Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
vlary
У кого-то тяпница еще не началась или уже не удалась?)
 
repon
Та хз, с ваших слов всё было и пушисто, но авторизацию как-то херово народ проходит. Мб это косяк ntlmauth в винде. Глядя на вашу инфу мыслей больше нету.

----------
Microsoft gives you windows, linuх gives you the whole house...
I've been using Vim for about 4 years now, mostly because I can't figure out how to exit it.

Всего записей: 6562 | Зарегистр. 28-08-2008 | Отправлено: 20:33 24-08-2012
repon



Junior Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору

Цитата:
Задал вопрос - сиди жди, здесь не горсправка.
Иначе заработаешь у модератора пожизненный цих с гвоздями.  

ок. извиняюсь

Всего записей: 36 | Зарегистр. 03-12-2010 | Отправлено: 10:48 27-08-2012
repon



Junior Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
с настройками разобрался... переписал.
 
еще трабл появился
подскажете?
 

Код:
auth_param ntlm program c:/squid/libexec/mswin_ntlm_auth.exe
auth_param ntlm children 5
auth_param basic program c:/squid/libexec/mswin_auth.exe -O kimsar
auth_param basic children 5

 
к инету подрубается сразу человек 30... - примерно
у пары человек выдает ограничение доступа в интернет...
 
проверил, все пользователи и у которых работает инет и те, у кого ограничение доступа - в одной группе, имеют досуп к прокси.
 
попробовал остановить прокси, запустил инет только у тех, у кого ошибка доступа была - пустил в интернет..
 
вот строчка из логов - во время большого кол-ва пользователей

Код:
1346648711.352      0 192.168.2.55 TCP_DENIED/407 1734 CONNECT zakupki.gov.ru:443 - NONE/- text/html

 
вот строчка логов - после:

Код:
1346658022.937    891 192.168.2.55 TCP_MISS/200 6388 GET http://zakupki.gov.ru/gpp/themes/html/gpp/images/gpp/acc.png kimsar\mna DIRECT/194.105.148.87 text/plain

 
IP одной и той же машины. в первом случает пользователь не определился, во втором - ок...  - kimsar\mna
 
выставить бОльшее вол-во прочессов чилдренов?
пользователи негодуют (((

Всего записей: 36 | Зарегистр. 03-12-2010 | Отправлено: 13:02 03-09-2012
Alukardd



Gold Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
repon
Эти люди случайны или всегда одни и те же? Кальмар на windows server поднят или десктопной?
Процессов должно хватать за глаза.
 
TCP_DENIED/407 - это нормальное поведение для аутентификации через NTLM для клиентов с MSIE.
Так же укажи какой протокол следует юзать mswin_ntlm_auth.exe --helper-protocol=squid-2.5-ntlmssp.
 
Вообще squidNT с NTLM авторизацией это зло. Даёшь шлюз на nix'ах!

----------
Microsoft gives you windows, linuх gives you the whole house...
I've been using Vim for about 4 years now, mostly because I can't figure out how to exit it.

Всего записей: 6562 | Зарегистр. 28-08-2008 | Отправлено: 13:24 03-09-2012
repon



Junior Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору

Цитата:
Эти люди случайны или всегда одни и те же? Кальмар на windows server поднят или десктопной?

поднят на windows server 2003
понять одни пользователи или разные - не успел понять... потому как надо было работать всем , кого не пускал - пока остановил squid на этом порту, вернул старый прокси....
 

Цитата:
 
TCP_DENIED/407 - это нормальное поведение для аутентификации через NTLM для клиентов с MSIE.
 

эти ошибки на IE, FF, Chrome - т.е. у пользователя с ошибкой доступа - ни один браузер не пускает...
 

Цитата:
 
Так же укажи какой протокол следует юзать mswin_ntlm_auth.exe --helper-protocol=squid-2.5-ntlmssp.
 

просто дописать?  
 
 
Цитата:
 
Даёшь шлюз на nix'ах!

 - не уммею)

Всего записей: 36 | Зарегистр. 03-12-2010 | Отправлено: 13:34 03-09-2012
Alukardd



Gold Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
repon
Цитата:
- не уммею)  
учись)
Цитата:
просто дописать?  
да, дописать в строку с прогой хелпер.

----------
Microsoft gives you windows, linuх gives you the whole house...
I've been using Vim for about 4 years now, mostly because I can't figure out how to exit it.

Всего записей: 6562 | Зарегистр. 28-08-2008 | Отправлено: 14:16 03-09-2012
repon



Junior Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору

Цитата:
да, дописать в строку с прогой хелпер.

спасибо. дописал. тестирую....
 
еще вопрос есть)
когда делаю ЭТО:

Код:
c:\squid\sbin\squid -X -D 9 -f C:\squid\etc\squid.conf

идет парсинг конфига...
 
и замирает на (leave_suid: PID 5880 called) - пид всегда разный:

Код:
2012/09/03 17:22:09| authNTLMConfigured: returning configured
2012/09/03 17:22:09| authBasicConfigured: returning configured
2012/09/03 17:22:09| cachemgrRegister: registered config
2012/09/03 17:22:09| fd_open FD 0 stdin
2012/09/03 17:22:09| fd_open FD 1 stdout
2012/09/03 17:22:09| fd_open FD 2 stderr
2012/09/03 17:22:09| leave_suid: PID 5880 called

 
отменяю процедуру эту, запускаю сквид - все ОК.. так должно быть?

Всего записей: 36 | Зарегистр. 03-12-2010 | Отправлено: 17:20 03-09-2012
Alukardd



Gold Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
repon
Та хз) У меня нету SquidNT... А зачем -D 9, если и так -X написали?

----------
Microsoft gives you windows, linuх gives you the whole house...
I've been using Vim for about 4 years now, mostly because I can't figure out how to exit it.

Всего записей: 6562 | Зарегистр. 28-08-2008 | Отправлено: 21:12 03-09-2012
repon



Junior Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору

Цитата:
Та хз) У меня нету SquidNT... А зачем -D 9, если и так -X написали?

 
c:\squid\sbin\squid -X -f C:\squid\etc\squid.conf
тоже засыпает на  

Код:
2012/09/03 17:22:09| leave_suid: PID 5880 called  

Всего записей: 36 | Зарегистр. 03-12-2010 | Отправлено: 09:03 04-09-2012
Alukardd



Gold Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
repon
Да что засыпает это к этому не относится... Видимо он просто не демонизируется (остаётся висеть в фоне, а не уходит в бэкграунд). Если Вы нажимаете Ctrl+C, то процесс завершается или нет (я имею ввиду, продолжает ли работать кальмар или тоже умирает)?
Если писать -X это и так заставляет его вывалить все возможные сообщения на экран.

----------
Microsoft gives you windows, linuх gives you the whole house...
I've been using Vim for about 4 years now, mostly because I can't figure out how to exit it.

Всего записей: 6562 | Зарегистр. 28-08-2008 | Отправлено: 10:09 04-09-2012
repon



Junior Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору

Цитата:
repon
Да что засыпает это к этому не относится... Видимо он просто не демонизируется (остаётся висеть в фоне, а не уходит в бэкграунд). Если Вы нажимаете Ctrl+C, то процесс завершается или нет (я имею ввиду, продолжает ли работать кальмар или тоже умирает)?
Если писать -X это и так заставляет его вывалить все возможные сообщения на экран.

 
я и так его прерываю Ctrl+C на этом шаге, дальше стартую squid. стартует нормально.

Всего записей: 36 | Зарегистр. 03-12-2010 | Отправлено: 13:30 04-09-2012
repon



Junior Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
еще проблемка)
конфиг:

Код:
 
# squid 2.7
 
http_port 192.168.2.5:8888 transparent
icp_port 0
htcp_port 0
 
dns_nameservers 217.23.80.2 217.23.80.4
 
# OPTIONS WHICH AFFECT THE NEIGHBOR SELECTION ALGORITHM
# -----------------------------------------------------------------------------
 
#  TAG: no_cache
#We recommend you to use the following two lines.
acl QUERY urlpath_regex cgi-bin \?
acl icq urlpath_regex login.icq.com
no_cache deny QUERY
no_cache deny icq
acl apache rep_header Server ^Apache
broken_vary_encoding allow apache
 
 
# OPTIONS WHICH AFFECT THE CACHE SIZE
# -----------------------------------------------------------------------------
 
cache_mem 128 MB
cache_swap_low 90
cache_swap_high 95
maximum_object_size 8192 KB
minimum_object_size 0 KB
maximum_object_size_in_memory 8 KB
ipcache_size 4096
ipcache_low 90
ipcache_high 95
fqdncache_size 4096
cache_replacement_policy lru
memory_replacement_policy lru
 
 
# LOGFILE PATHNAMES AND CACHE DIRECTORIES
# -----------------------------------------------------------------------------
 
# cache_dir aufs c:/squid/var/cache 4096 16 256
cache_dir ufs c:/squid/var/cache 4096 16 256
access_log c:/squid/var/logs/access.log
 
cache_log none
cache_store_log none
emulate_httpd_log off
log_ip_on_direct on
mime_table c:/squid/etc/mime.conf
log_mime_hdrs off
pid_filename c:/squid/var/logs/squid.pid
debug_options ALL,1
log_fqdn off
 
# OPTIONS FOR EXTERNAL SUPPORT PROGRAMS
# -----------------------------------------------------------------------------
 
ftp_user repon06@ya.ru
ftp_list_width 64
ftp_passive on
ftp_sanitycheck on
# hosts_file c:/windows/system32/drivers/etc/hosts
unlinkd_program c:/squid/libexec/unlinkd.exe
# url_rewrite_program c:/squid/sbin/redirector.exe c:/squid/etc/redirector.conf
# url_rewrite_children 5
authenticate_cache_garbage_interval 30 minutes
authenticate_ttl 30 minutes
 
auth_param ntlm program c:/squid/libexec/mswin_ntlm_auth.exe --helper-protocol=squid-2.7-ntlmssp
# auth_param ntlm program c:/squid/libexec/mswin_ntlm_auth.exe
auth_param ntlm children 5
auth_param ntlm keep_alive on
 
auth_param basic program c:/squid/libexec/mswin_auth.exe -O kimsar
auth_param basic children 5
auth_param basic realm Autosphere Squid proxy-server
auth_param basic credentialsttl 2 hours
auth_param basic casesensitive on
 
external_acl_type NT_global_group %LOGIN c:/squid/libexec/mswin_check_lm_group.exe -G
 
# OPTIONS FOR TUNING THE CACHE
# -----------------------------------------------------------------------------
 
request_header_max_size 20 KB
request_body_max_size 0 KB
 
#  TAG: refresh_pattern
#Suggested default:
refresh_pattern ^ftp:      1440   20%   10080
refresh_pattern ^gopher:   1440   0%   1440
refresh_pattern .      0   20%   4320
quick_abort_min 16 KB
quick_abort_max 16 KB
quick_abort_pct 95
negative_ttl 1 minute
positive_dns_ttl 6 hours
negative_dns_ttl 5 minutes
range_offset_limit 0 KB
 
 
# TIMEOUTS
# -----------------------------------------------------------------------------
 
connect_timeout 2 minutes
read_timeout 15 minutes
request_timeout 5 minutes
persistent_request_timeout 1 minute
client_lifetime 8 hours
half_closed_clients off
pconn_timeout 120 seconds
ident_timeout 10 seconds
shutdown_lifetime 30 seconds
 
 
# ACCESS CONTROLS
# -----------------------------------------------------------------------------
 
acl all src 0.0.0.0/0.0.0.0
acl localhost src 127.0.0.1/255.255.255.255
acl to_localhost dst 127.0.0.0/8
 
acl SSL_ports port 443 563 5190 15100
acl Safe_ports port 8332      # bitcoin
acl Safe_ports port 80      # http
acl Safe_ports port 110 21 25 3389       # smtp, udal rab stol
acl Safe_ports port 21      # ftp
acl Safe_ports port 443 563   # https, snews
acl Safe_ports port 70      # gopher
acl Safe_ports port 210      # wais
acl Safe_ports port 1025-65535   # unregistered ports
acl Safe_ports port 280      # http-mgmt
acl Safe_ports port 488      # gss-http
acl Safe_ports port 591      # filemaker
acl Safe_ports port 777      # multiling http
acl CONNECT method CONNECT
acl icq_proto proto HTTPS
 
 
acl DomainUsers external NT_global_group "c:/squid/etc/Domain_Users.list"      #список групп "Domain Users"
acl SquidProxyUsers external NT_global_group squid_proxy      # группа squid_proxy в домене с доступом
acl SquidProxyICQUsers external NT_global_group squid_proxy      # группа в домене с доступом только к аське
 
acl tlt_ip dst "c:/squid/etc/tlt_ip.list"
acl local_ip dst "c:/squid/etc/local_ip.list"
acl icq_servers dst "c:/squid/etc/icq_servers.list"
acl password proxy_auth REQUIRED
 
#  TAG: http_access
#  Allowing or Denying access based on defined access lists
 
http_access deny to_localhost
http_access allow password CONNECT SquidProxyUsers SSL_ports
http_access allow password CONNECT SquidProxyICQUsers icq_servers SSL_ports
http_access allow password CONNECT DomainUsers tlt_ip SSL_ports
http_access allow password CONNECT DomainUsers local_ip SSL_ports
http_access deny all CONNECT
# запрещены все, кроме этих портов
http_access deny !Safe_ports
http_access allow password DomainUsers tlt_ip
http_access allow password DomainUsers local_ip
http_access allow password SquidProxyUsers  
http_access deny all
 
#  TAG: http_reply_access
#        Allow replies to client requests. This is complementary to http_access.
 
http_reply_access allow all
 
icp_access deny all
miss_access allow all
 
# ADMINISTRATIVE PARAMETERS
# -----------------------------------------------------------------------------
 
cache_mgr repon06@ya.ru
cache_effective_user nobody
cache_effective_group none
visible_hostname Autosphere Proxy Server
 
 
# OPTIONS FOR THE CACHE REGISTRATION SERVICE
# -----------------------------------------------------------------------------
 
announce_period 0
 
 
# MISCELLANEOUS
# -----------------------------------------------------------------------------
 
memory_pools off
forwarded_for on
log_icp_queries off
 
cachemgr_passwd lesssssssecret shutdown
cachemgr_passwd lesssssssecret info stats/objects
cachemgr_passwd disable all
 
store_avg_object_size 9 KB
client_db on
reload_into_ims off
 
icon_directory c:/squid/share/icons
short_icon_urls off
error_directory c:/squid/share/errors/Russian-1251
maximum_single_addr_tries 1
 
snmp_port 0
 
offline_mode off
 
uri_whitespace strip
strip_query_terms on
coredump_dir c:/squid/var/cache
redirector_bypass off
ignore_unknown_nameservers on
client_persistent_connections on
server_persistent_connections on
balance_on_multiple_ip on
request_entities off
high_response_time_warning 0
high_page_fault_warning 0
high_memory_warning 0  
 

 
везде авторизация NTLM проходит ок)  
а вот когда на mail.yandex.ru заходят - вылетает окно авторизации...
 
в логах:

Код:
 
1348032391.254    282 192.168.2.21 TCP_MISS/204 698 GET http://ad.adriver.ru/cgi-bin/rle.cgi? kimsar\bdm DIRECT/217.170.78.23 -
1348032397.723      0 192.168.2.21 TCP_DENIED/407 1770 CONNECT xiva-daria.mail.yandex.net:443 - NONE/- text/html
1348032397.785     31 192.168.2.21 TCP_DENIED/407 1933 CONNECT xiva-daria.mail.yandex.net:443 - NONE/- text/html
1348032397.832     31 192.168.2.21 TCP_DENIED/407 1770 CONNECT xiva-daria.mail.yandex.net:443 - NONE/- text/html
1348032400.019      0 192.168.2.21 TCP_DENIED/407 1770 CONNECT xiva-daria.mail.yandex.net:443 - NONE/- text/html
1348032400.066     31 192.168.2.21 TCP_DENIED/407 1933 CONNECT xiva-daria.mail.yandex.net:443 - NONE/- text/html
1348032400.113     31 192.168.2.21 TCP_DENIED/407 1770 CONNECT xiva-daria.mail.yandex.net:443 - NONE/- text/html
1348032410.207      0 192.168.2.21 TCP_DENIED/407 1770 CONNECT xiva-daria.mail.yandex.net:443 - NONE/- text/html
1348032410.254     31 192.168.2.21 TCP_DENIED/407 1933 CONNECT xiva-daria.mail.yandex.net:443 - NONE/- text/html
1348032410.301     31 192.168.2.21 TCP_DENIED/407 1770 CONNECT xiva-daria.mail.yandex.net:443 - NONE/- text/html
1348032429.067      0 192.168.2.21 TCP_DENIED/407 1770 CONNECT xiva-daria.mail.yandex.net:443 - NONE/- text/html
1348032429.114     31 192.168.2.21 TCP_DENIED/407 1933 CONNECT xiva-daria.mail.yandex.net:443 - NONE/- text/html
1348032429.161     31 192.168.2.21 TCP_DENIED/407 1770 CONNECT xiva-daria.mail.yandex.net:443 - NONE/- text/html
1348032436.130  60893 192.168.2.21 TCP_MISS/200 4573 CONNECT favicon.yandex.net:443 kimsar\bdm DIRECT/77.88.21.36 -
 

 
на голом ФФ и IE:
ругается на xiva-daria.mail.yandex.net:443
на Chrome - ок, вроде...
что - попробовал отключил - редиректор (может конфликтует) - тоже самое....
с включенным редиректором - пробовал заблокировать домен этот - не выходит.
порт 443 открыт... куда копать - фиг знает

Всего записей: 36 | Зарегистр. 03-12-2010 | Отправлено: 10:18 19-09-2012
Alukardd



Gold Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
repon
Цитата:
http_port 192.168.2.5:8888 transparent  
а как у вас в кальмара трафик попадает? Если transparent, то Вы должны его туда redirect'ить. Или в браузерах жёстко прописан адрес прокси, тогда зачем transparent? Если всё же трафик туда заворачивается с обычных портов firewall'ом, то с SSL вообще такое не прокатит.
 
Правила у Вас, конечно, ужасно написаны. Вместо того что бы в каждом правиле указывать, что пользователь должен быть авторизован, проще в начале запретить не авторизованных одни раз и всё — http_access deny !password

----------
Microsoft gives you windows, linuх gives you the whole house...
I've been using Vim for about 4 years now, mostly because I can't figure out how to exit it.

Всего записей: 6562 | Зарегистр. 28-08-2008 | Отправлено: 10:59 19-09-2012
repon



Junior Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору

Цитата:
а как у вас в кальмара трафик попадает? Если transparent, то Вы должны его туда redirect'ить. Или в браузерах жёстко прописан адрес прокси, тогда зачем transparent? Если всё же трафик туда заворачивается с обычных портов firewall'ом, то с SSL вообще такое не прокатит.
 
Правила у Вас, конечно, ужасно написаны. Вместо того что бы в каждом правиле указывать, что пользователь должен быть авторизован, проще в начале запретить не авторизованных одни раз и всё — http_access deny !password

 
под редиректором я подразумевал - режика
 
 
1)в браузерах прописаны прокси, удалил transparent.
2)
 
Добавлено:
если добавлю правило
http_access deny !password
 
то эти удалять

Код:
http_access deny to_localhost
http_access allow password CONNECT SquidProxyUsers SSL_ports
http_access allow password CONNECT SquidProxyICQUsers icq_servers SSL_ports
http_access allow password CONNECT DomainUsers tlt_ip SSL_ports
http_access allow password CONNECT DomainUsers local_ip SSL_ports
http_access deny all CONNECT
# запрещены все, кроме этих портов
http_access deny !Safe_ports
http_access allow password DomainUsers tlt_ip
http_access allow password DomainUsers local_ip
http_access allow password SquidProxyUsers  
http_access deny all

или из них удалить "password " ?
 
Добавлено:

Код:
# squid 2.7
http_port 192.168.2.5:8888
icp_port 0
htcp_port 0
 
dns_nameservers 217.23.80.2 217.23.80.4
 
# OPTIONS WHICH AFFECT THE NEIGHBOR SELECTION ALGORITHM
# -----------------------------------------------------------------------------
 
#  TAG: no_cache
#We recommend you to use the following two lines.
acl QUERY urlpath_regex cgi-bin \?
acl icq urlpath_regex login.icq.com
no_cache deny QUERY
no_cache deny icq
acl apache rep_header Server ^Apache
broken_vary_encoding allow apache
 
 
# OPTIONS WHICH AFFECT THE CACHE SIZE
# -----------------------------------------------------------------------------
cache_mem 128 MB
cache_swap_low 90
cache_swap_high 95
maximum_object_size 8192 KB
minimum_object_size 0 KB
maximum_object_size_in_memory 8 KB
ipcache_size 4096
ipcache_low 90
ipcache_high 95
fqdncache_size 4096
cache_replacement_policy lru
memory_replacement_policy lru
 
 
# LOGFILE PATHNAMES AND CACHE DIRECTORIES
# -----------------------------------------------------------------------------
cache_dir ufs c:/squid/var/cache 4096 16 256
access_log c:/squid/var/logs/access.log
 
cache_log none
cache_store_log none
emulate_httpd_log off
log_ip_on_direct on
mime_table c:/squid/etc/mime.conf
log_mime_hdrs off
pid_filename c:/squid/var/logs/squid.pid
debug_options ALL,1
log_fqdn off
 
# OPTIONS FOR EXTERNAL SUPPORT PROGRAMS
# -----------------------------------------------------------------------------
unlinkd_program c:/squid/libexec/unlinkd.exe
 
authenticate_cache_garbage_interval 30 minutes
authenticate_ttl 30 minutes
 
auth_param ntlm program c:/squid/libexec/mswin_ntlm_auth.exe --helper-protocol=squid-2.7-ntlmssp
 
auth_param ntlm children 5
auth_param ntlm keep_alive on
 
auth_param basic program c:/squid/libexec/mswin_auth.exe -O kimsar
auth_param basic children 5
auth_param basic realm Autosphere Squid proxy-server
auth_param basic credentialsttl 2 hours
auth_param basic casesensitive on
 
external_acl_type NT_global_group %LOGIN c:/squid/libexec/mswin_check_lm_group.exe -G
 
# OPTIONS FOR TUNING THE CACHE
# -----------------------------------------------------------------------------
 
request_header_max_size 20 KB
request_body_max_size 0 KB
 
#  TAG: refresh_pattern
#Suggested default:
refresh_pattern ^ftp:      1440   20%   10080
refresh_pattern ^gopher:   1440   0%   1440
refresh_pattern .      0   20%   4320
quick_abort_min 16 KB
quick_abort_max 16 KB
quick_abort_pct 95
negative_ttl 1 minute
positive_dns_ttl 6 hours
negative_dns_ttl 5 minutes
range_offset_limit 0 KB
 
 
# TIMEOUTS
# -----------------------------------------------------------------------------
connect_timeout 2 minutes
read_timeout 15 minutes
request_timeout 5 minutes
persistent_request_timeout 1 minute
client_lifetime 8 hours
half_closed_clients off
pconn_timeout 120 seconds
ident_timeout 10 seconds
shutdown_lifetime 30 seconds
 
 
# ACCESS CONTROLS
# -----------------------------------------------------------------------------
acl all src 0.0.0.0/0.0.0.0
acl localhost src 127.0.0.1/255.255.255.255
acl to_localhost dst 127.0.0.0/8
 
acl SSL_ports port 443 563 5190 15100
acl Safe_ports port 8332      # bitcoin
acl Safe_ports port 80      # http
acl Safe_ports port 110 21 25 3389       # smtp, udal rab stol
acl Safe_ports port 21      # ftp
acl Safe_ports port 443 563   # https, snews
acl Safe_ports port 70      # gopher
acl Safe_ports port 210      # wais
acl Safe_ports port 1025-65535   # unregistered ports
acl Safe_ports port 280      # http-mgmt
acl Safe_ports port 488      # gss-http
acl Safe_ports port 591      # filemaker
acl Safe_ports port 777      # multiling http
acl CONNECT method CONNECT
acl icq_proto proto HTTPS
 
acl DomainUsers external NT_global_group "c:/squid/etc/Domain_Users.list"      #список групп "Domain Users"
acl SquidProxyUsers external NT_global_group squid_proxy      # группа squid_proxy в домене с доступом
acl SquidProxyICQUsers external NT_global_group squid_proxy      # группа в домене с доступом только к аське
 
acl tlt_ip dst "c:/squid/etc/tlt_ip.list"
acl local_ip dst "c:/squid/etc/local_ip.list"
acl icq_servers dst "c:/squid/etc/icq_servers.list"
acl password proxy_auth REQUIRED
 
#  TAG: http_access
#  Allowing or Denying access based on defined access lists
http_access deny !password
 
http_access deny to_localhost
http_access allow CONNECT SquidProxyUsers SSL_ports
http_access allow CONNECT SquidProxyICQUsers icq_servers SSL_ports
http_access allow CONNECT DomainUsers tlt_ip SSL_ports
http_access allow CONNECT DomainUsers local_ip SSL_ports
http_access deny all CONNECT
 
http_access deny !Safe_ports
http_access allow DomainUsers tlt_ip
http_access allow DomainUsers local_ip
http_access allow SquidProxyUsers  
 
http_access deny all
 
#  TAG: http_reply_access
#        Allow replies to client requests. This is complementary to http_access.
http_reply_access allow all
 
icp_access deny all
miss_access allow all
 
# ADMINISTRATIVE PARAMETERS
# ----------------------------------------------------------------------------
cache_mgr repon06@ya.ru
cache_effective_user nobody
cache_effective_group none
visible_hostname Autosphere Proxy Server
 
 
# OPTIONS FOR THE CACHE REGISTRATION SERVICE
# -----------------------------------------------------------------------------
announce_period 0
 
 
# MISCELLANEOUS
# -----------------------------------------------------------------------------
memory_pools off
forwarded_for on
log_icp_queries off
 
cachemgr_passwd lesssssssecret shutdown
cachemgr_passwd lesssssssecret info stats/objects
cachemgr_passwd disable all
 
store_avg_object_size 9 KB
client_db on
reload_into_ims off
 
icon_directory c:/squid/share/icons
short_icon_urls off
error_directory c:/squid/share/errors/Russian-1251
maximum_single_addr_tries 1
 
snmp_port 0
 
offline_mode off
 
uri_whitespace strip
strip_query_terms on
coredump_dir c:/squid/var/cache
redirector_bypass off
ignore_unknown_nameservers on
client_persistent_connections on
server_persistent_connections on
balance_on_multiple_ip on
request_entities off
high_response_time_warning 0
high_page_fault_warning 0
high_memory_warning 0  

 
переписал.... проблема с xiva-daria.mail.yandex.net:443 осталась (((

Код:
1348044937.126    156 192.168.2.21 TCP_MISS/200 569 POST http://www.google-analytics.com/p/__utm.gif kimsar\bdm DIRECT/74.125.143.102 image/gif
1348044942.314      0 192.168.2.21 TCP_DENIED/407 1770 CONNECT xiva-daria.mail.yandex.net:443 - NONE/- text/html
1348044942.360     31 192.168.2.21 TCP_DENIED/407 1933 CONNECT xiva-daria.mail.yandex.net:443 - NONE/- text/html
1348044942.407     31 192.168.2.21 TCP_DENIED/407 1770 CONNECT xiva-daria.mail.yandex.net:443 - NONE/- text/html
1348044946.439 117880 192.168.2.21 TCP_MISS/200 68552 CONNECT webattach.mail.yandex.net:443 kimsar\bdm DIRECT/213.180.193.64 -

Всего записей: 36 | Зарегистр. 03-12-2010 | Отправлено: 12:04 19-09-2012
Alukardd



Gold Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
repon
Дык махинации с !password и не должны были её решить, это просто конфиг упрощает и приводит к более читабельному виду.
А другие SSL сайт корректно работают при этом?
А вообще https://xiva-daria.mail.yandex.net/ возвращает 403 Forbidden, так что...
 
p.s. Пожалуйста прячьте Ваши конфиги нереальных размеров в тэг [more=тут мой конфиг][/more]

----------
Microsoft gives you windows, linuх gives you the whole house...
I've been using Vim for about 4 years now, mostly because I can't figure out how to exit it.

Всего записей: 6562 | Зарегистр. 28-08-2008 | Отправлено: 19:49 19-09-2012 | Исправлено: Alukardd, 19:58 19-09-2012
repon



Junior Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору

Цитата:
А другие SSL сайт корректно работают при этом?  
А вообще https://xiva-daria.mail.yandex.net/ возвращает 403 Forbidden, так что...  
 
p.s. Пожалуйста прячьте Ваши конфиги нереальных размеров в тэг [more=тут мой конфиг][/more]

сорри. искал тег типа "spoler", не нашел((
 
больше окно авторизации ни на каких сайтах не выходит и ошибки этой не наблюдается(((
сайты https все корретно работают) пробовал на госуслугах и тп
 
попытка заблокировать https://xiva-daria.mail.yandex.net режиком - не дает результата..

Всего записей: 36 | Зарегистр. 03-12-2010 | Отправлено: 21:32 19-09-2012
Alukardd



Gold Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
repon
Ну хз...
Включайте отладочную информацию.
debug_option ALL,1 28,9
После запятой уровень дебага, перед — номер секции.
И пробуйте войти, лог если сами не прочитаете, в студию.

----------
Microsoft gives you windows, linuх gives you the whole house...
I've been using Vim for about 4 years now, mostly because I can't figure out how to exit it.

Всего записей: 6562 | Зарегистр. 28-08-2008 | Отправлено: 21:47 19-09-2012
Открыть новую тему     Написать ответ в эту тему

Страницы: 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28

Компьютерный форум Ru.Board » Компьютеры » В помощь системному администратору » Проблема с squidNT


Реклама на форуме Ru.Board.

Powered by Ikonboard "v2.1.7b" © 2000 Ikonboard.com
Modified by Ru.B0ard
© Ru.B0ard 2000-2024

BitCoin: 1NGG1chHtUvrtEqjeerQCKDMUi6S6CG4iC

Рейтинг.ru