Перейти из форума на сайт.

НовостиФайловые архивы
ПоискАктивные темыТоп лист
ПравилаКто в on-line?
Вход Забыли пароль? Первый раз на этом сайте? Регистрация
Компьютерный форум Ru.Board » Компьютеры » В помощь системному администратору » Проблема с squidNT

Модерирует : lynx, Crash_Master, dg, emx, ShriEkeR

 Версия для печати • ПодписатьсяДобавить в закладки
Страницы: 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28

Открыть новую тему     Написать ответ в эту тему

spawel

Newbie
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Бинарники squid/2.7.STABLE8 от 13.03.2010 :
2.7.STABLE8 или тоже самое
2.7.STABLE8-bin-DELAYP
 
"минимальный" конфиг
 
 
Первое сообщение

Всего записей: 4 | Зарегистр. 02-01-2006 | Отправлено: 19:56 21-01-2006 | Исправлено: ndch, 09:53 14-09-2013
repon



Junior Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
2 Alukardd
спасибо. можно на "ты")
 
включил отлад. информацию... debug_option ALL,1 28,9
//section 28 Access Control , а "9" - что значит?
я так понял, ее надо смотреть в cache_store_log.log ???
 
ошибки  cache_store_log.log
 
ошибки  access.log
 
сам лог access.log не изменился) т.е. такие же ошибки выдает
 
Добавлено:
понял) это номера секций через зпт)

Всего записей: 36 | Зарегистр. 03-12-2010 | Отправлено: 10:50 20-09-2012
Alukardd



Gold Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
repon
Цитата:
После запятой уровень дебага, перед — номер секции.  

 
Добавлено:
Не-ту секцию я подсказал.
Надо промониторить 33, а не 28. уровень можно опустить до 2, вроде имя вывалится, хотя можно и 9 оставить.

----------
Microsoft gives you windows, linuх gives you the whole house...
I've been using Vim for about 4 years now, mostly because I can't figure out how to exit it.

Всего записей: 6562 | Зарегистр. 28-08-2008 | Отправлено: 10:57 20-09-2012
repon



Junior Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
а я Вас обманул...
https закупкиговру тоже отваливаются...
 
отваливается все ssl, что попадает под: ****:403 или https://***
 
буду копать в эту сторону

Всего записей: 36 | Зарегистр. 03-12-2010 | Отправлено: 11:14 20-09-2012
GnomS



Junior Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Привет всем жителям. Вопросик возник такого плана.
Можно ли в Скуиде настроить авторизацию пользователей по паре IP+MAC?

Всего записей: 68 | Зарегистр. 11-03-2005 | Отправлено: 14:20 19-11-2012
vlary



Platinum Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
GnomS
Цитата:
Можно ли в Скуиде настроить авторизацию пользователей по паре IP+MAC?
Ну, если очень хочется потрахаццо, то все можно...
В Сквиде есть возможность  External ACLs. Пишешь свою программу-хелпер, скажем, machelper
Прописываешь в конфиге
external_acl_type IPMAC %SRC machelper
А в программе этой проверяешь айпи, который Сквид будет передавать ей на вход,
определяешь текущий MAC адрес, соответствующий этому айпи, сравниваешь по базе или предварительно загруженной таблицей на соответствие, если все ОК, отвечаешь ОК, если нет - то ERR. Вот и вся делов.
Только спрашивается: нахрена?

----------
Заслуженный SCOтовод, почетный SUNтехник и любитель Кошек

Всего записей: 17274 | Зарегистр. 13-06-2007 | Отправлено: 15:40 19-11-2012 | Исправлено: vlary, 15:40 19-11-2012
ipmanyak



Platinum Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
GnomS Можно, и без хелперов,читаем факи сквида:

Код:
 
10.20 Can I set up ACL's based on MAC address rather than IP?  
Yes, for some operating systes. Squid calls these ``ARP ACLs'' and they are supported on Linux, Solaris, and probably BSD variants.  
NOTE: Squid can only determine the MAC address for clients that are on the same subnet. If the client is on a different subnet, then Squid can not find out its MAC address.  
To use ARP (MAC) access controls, you first need to compile in the optional code. Do this with the --enable-arp-acl configure option:  
% ./configure --enable-arp-acl ...
% make clean
% make
If src/acl.c doesn't compile, then ARP ACLs are probably not supported on your system.  
If everything compiles, then you can add some ARP ACL lines to your squid.conf:  
acl M1 arp 01:02:03:04:05:06
acl M2 arp 11:12:13:14:15:16
http_access allow M1
http_access allow M2
http_access deny all
 
 
Поскольку вы еще хотите и IP привязать, делайте пары акселей
acl M1 arp 01:02:03:04:05:06
acl IP1 src 192.168.1.1  
http_access allow M1 IP1  
http_access deny all
 
 


----------
В сортире лучше быть юзером, чем админом...

Всего записей: 11724 | Зарегистр. 10-12-2003 | Отправлено: 17:49 19-11-2012 | Исправлено: ipmanyak, 17:50 19-11-2012
RMGRuBoard

Junior Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Прошу помощи в борьбе с проблемкой.
 
Используется Squid Cache version 2.7.STABLE8 for i686-pc-winnt.
Система Win XP Prof SP3
 
Проксик установлен, настроен и работает в целом нормально.
Фрагмент работающего конфига, где как мне кажется ошибка:
 

Код:
 
...
 
#=== ACLs =========================================
 
acl CONNECT method CONNECT
acl SSL_ports port 443 556 1025 5190 24554
 
acl Unlims_Ptr src 192.168.x.xx-192.168.x.xx        
 
acl Limits_KlBank src 192.168.x.x                
acl Urls_KlBank dst 111.11.11.111                    
                                                     
acl Enemies src 192.168.yy.yy                
 
 
 
# == ACCESS ===================================================================
 
http_access allow connect ssl_ports
 
http_access allow CONNECT Limits_KlBank Urls_KlBank
http_access deny Limits_KlBank
 
http_access deny Enemies  
#http_access deny connect Enemies
 
http_access allow Unlims_Ptr  
 
http_access deny CONNECT
icp_access deny all
htcp_access deny all
http_access deny all
                     
...
 
 

 
Однако есть проблема... Заключается она в следующем.
 
Требования такие:
   Unlims_Ptr могут ходить везде как по http так и по https.
   Limits_KlBank могут ходить ТОЛЬКО по https и ТОЛЬКО на Urls_KlBank  
      (для программы клиент-банк, работающей по https).
   Остальным в инете делать нечего.
 
В данном варианте конфига Unlims_Ptr ходят везде (http+https). Limits_KlBank ходят
только по https, но ВЕЗДЕ, как и все остальные, прописавшие себе в браузерах  
прокси-сервер. Замечено было на человеке, у которого ВЕСЬ доступ ранее отняли, а он  
продолжает ходить по https. Хоть это и не правильно, был создан АЦЛ Enemies, куда  
планировалось добавить злостных нарушителей. Однако при включении строки  
"http_access deny connect Enemies" доступ по https пропадает у ВСЕХ, даже  
у Unlims_Ptr, не говоря об Limits_KlBank.
 
 
Помогите пожалуйста побороть https.
Заранее благодарен любым идеям.

Всего записей: 68 | Зарегистр. 03-09-2003 | Отправлено: 15:30 03-01-2013
vlary



Platinum Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
RMGRuBoard Акцесс-листы выполняются последовательно, сверху вниз.
http_access allow connect ssl_ports
http_access allow CONNECT Limits_KlBank Urls_KlBank
Выполняется первое правило, и до второго просто дело не доходит.
Правильно будет так:
http_access deny Enemies  
http_access deny CONNECT Enemies
http_access deny CONNECT Limits_KlBank !Urls_KlBank
http_access allow connect ssl_ports
.......

----------
Заслуженный SCOтовод, почетный SUNтехник и любитель Кошек

Всего записей: 17274 | Зарегистр. 13-06-2007 | Отправлено: 17:21 03-01-2013
mdolf



Junior Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору

Цитата:
Через правку шаблона не получается, Squid всё равно дописывает своё "Generated..."

касается squid 2.7.STABLE3 и подобных,
у которых данная строка не меняется в шаблонах, и автоматом добавляется следующий код:
<BR clear="all"><HR noshade size="1px"><ADDRESS>Generated %T by %h (%s)</ADDRESS></BODY></HTML>
 
повлиять на данную ситуацию можем так:
- не отображать версию squid, параметр httpd_suppress_version_string on
- имя хоста назвать как хотим, параметр visible_hostname localhost
- а если в конце шаблонов написать <%s>, то строка "Generated..." вообще исчезнет
- дальше можно по аналогии с убранной строкой вывести дату-время сервера
<BR clear="all"><HR noshade size="1px"><ADDRESS>%t</ADDRESS></BODY></HTML>

Всего записей: 85 | Зарегистр. 01-08-2003 | Отправлено: 18:10 05-01-2013
RMGRuBoard

Junior Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Спасибо за помощь, все получилось.
 
Еще один вопрос.
 
Есть необходимость совмещения в одном конфиге возможности парольного и беспарольного доступа.
 
#=================================================
auth_param basic program C:/squid/libexec/ncsa_auth.exe C:/squid/etc/pass
auth_param basic children 5
auth_param basic realm Proxy Server
auth_param basic credentialsttl 1 hours
 
acl Unlims src 192.168.1.1-192.168.1.9
acl Limits proxy_auth REQUIRED
 
http_access allow Unlims
 
http_access allow Limits
 
http_access deny all
#=================================================
Конфиг работает. Unlims ходят без пароля, а все остальные должны вводить пароль.  
 
Учитывая то, что парольный доступ вводится для доступа из спецпрограмм, где пароль на прокси можно сохранить, очень хотелось бы избежать запроса ввода пароля в браузерах у тех, кому доступ запрещен но проксик в параметрах прописан.
 
Сформулирую вопрос четче: как ограничить перечень АйПи адресов с которых допускается подключение с использованием имени и пароля?
 
Буду рад любым идеям.

Всего записей: 68 | Зарегистр. 03-09-2003 | Отправлено: 15:41 14-01-2013
Alukardd



Gold Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
RMGRuBoard
Цитата:
как ограничить перечень АйПи адресов с которых допускается подключение с использованием имени и пароля?  
acl LimitsIP src 192.168.1.99-192.168.1.108
acl Limits proxy_auth REQUIRED
http_access allow LimitsIP Limits

----------
Microsoft gives you windows, linuх gives you the whole house...
I've been using Vim for about 4 years now, mostly because I can't figure out how to exit it.

Всего записей: 6562 | Зарегистр. 28-08-2008 | Отправлено: 16:08 14-01-2013
RMGRuBoard

Junior Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Alukardd
Спасибо, сработало.
 
И еще один вопрос. среди большого количества пользователей есть один, которому нужен и ограниченый, и неограниченый доступ в инет. Ограниченный - для работы через браузер с одним единственным сайтом, неограниченный - для работы в проге GPS слежения, которая идет на кучу сайтов, включая картографию, сбор данных и т.д. (перечислить в АЦЛ очень проблематично). В проге предусмотрен парольный доступ к прокси, соответственно настроен пароль.
 
========
# =========================== ACL Работы через браузер
acl Limits src 192.168.1.99                      
acl Urls_Lim dstdomain website.com        
 
# =========================== ACL Работы через прогу
auth_param basic program C:/squid/libexec/ncsa_auth.exe C:/squid/etc/pass
auth_param basic children 5
auth_param basic realm Proxy Server
auth_param basic credentialsttl 1 hours
acl GPS_Users proxy_auth REQUIRED
acl Limits_GPS src 192.168.1.99
 
# =========================== правила доступа
http_access allow Limits Urls_Lim  
http_access allow Limits_GPS GPS_Users
=========
 
В данном примере прога (вторая строка правил) работать уже не может, получаю TCP_DENIED/403.
Если поменяю строки правил местами - при работе в браузере требуется авторазация, что тоже неприемлемо. Временно пришлось поднимать дополнительный проксик дабы развести сервисы по портам.
 
Вопрос - можно ли в пределах одного конфига сквида реализовать подобную схему?
Заранее спасибо за любые предложения.

Всего записей: 68 | Зарегистр. 03-09-2003 | Отправлено: 17:50 15-01-2013
aMario



Крокодилас Генас
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору

Удалось ли кому-нить запилить squidNT с лимитами по трафику для пользователей?

Всего записей: 1011 | Зарегистр. 03-09-2001 | Отправлено: 09:00 12-03-2014
vlary



Platinum Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
aMario
Цитата:
Удалось ли кому-нить запилить squidNT с лимитами по трафику для пользователей?
Да вроде как еще лет восемь назад... Ссылка
 


----------
Заслуженный SCOтовод, почетный SUNтехник и любитель Кошек

Всего записей: 17274 | Зарегистр. 13-06-2007 | Отправлено: 12:49 12-03-2014
aMario



Крокодилас Генас
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
vlary
Вы не совсем правильно поняли, имелось ввиду лимит по объёму трафика, а не по урезанию пропускной способности канала.

Всего записей: 1011 | Зарегистр. 03-09-2001 | Отправлено: 13:13 12-03-2014
vlary



Platinum Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
aMario
Цитата:
Вы не совсем правильно поняли, имелось ввиду лимит по объёму трафика
squid никогда не был  в курсе объема трафика, потребленного юзерами вместе или конкретно.
Потому вариантов только три:
1. Установить такую скорость, чтобы юзер при всем своем желании не смог перебрать лимит.
2. На основе лога squid собирать статистику о трафике конкретных юзеров,
на основе этой статистики формировать акцесс-листы либо свой хелпер авторизации.
3. Перейти на безлимитный тарифный план (что уже де-факто в большинстве компаний).
Если объем трафика юзера - отрицательный критерий его профессиональной работы,
применять административные меры.


----------
Заслуженный SCOтовод, почетный SUNтехник и любитель Кошек

Всего записей: 17274 | Зарегистр. 13-06-2007 | Отправлено: 14:37 12-03-2014 | Исправлено: vlary, 14:40 12-03-2014
aMario



Крокодилас Генас
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
vlary
Интерисует именно вот это.

Цитата:
2. На основе лога squid собирать статистику о трафике конкретных юзеров,  
 на основе этой статистики формировать акцесс-листы.

 
Причём смог ли кто запилить это под squidNT на Windows

Всего записей: 1011 | Зарегистр. 03-09-2001 | Отправлено: 14:44 12-03-2014
vlary



Platinum Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
aMario
Цитата:
Интерисует именно вот это.  
SquidLog

----------
Заслуженный SCOтовод, почетный SUNтехник и любитель Кошек

Всего записей: 17274 | Зарегистр. 13-06-2007 | Отправлено: 14:52 12-03-2014
aMario



Крокодилас Генас
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
vlary

Цитата:
SquidLog

Вы им реально смогли воспользоваться для заявленной цели?

Всего записей: 1011 | Зарегистр. 03-09-2001 | Отправлено: 15:41 12-03-2014
vlary



Platinum Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
aMario
Цитата:
Вы им реально смогли воспользоваться для заявленной цели?  
Я squidNT вообще никогда не использовал, у меня squid всегда работал на Unix/Linux.
Была самописная система, которая обрабатывала лог, складывала данные в базу.
В конце дня формировался отчет по общему потребленному трафику, пятерке "чемпионов"
среди юзеров и доменов.  
Он падал в почтовые яшики, мой и начальства. Был сделан веб-интерфейс к базе,
в котором можно было получить дополнительную информацию с выборкой по критериям.
На основе это принималось решение, какие ресурсы поместить под запрет,
каких юзеров "поощрить".
Система работала несколько лет, но после того, как фирма перешла на безлимитный тариф 100 Мбит,
необходимость в ней отпала и я ее похерил.    


----------
Заслуженный SCOтовод, почетный SUNтехник и любитель Кошек

Всего записей: 17274 | Зарегистр. 13-06-2007 | Отправлено: 16:24 12-03-2014
Открыть новую тему     Написать ответ в эту тему

Страницы: 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28

Компьютерный форум Ru.Board » Компьютеры » В помощь системному администратору » Проблема с squidNT


Реклама на форуме Ru.Board.

Powered by Ikonboard "v2.1.7b" © 2000 Ikonboard.com
Modified by Ru.B0ard
© Ru.B0ard 2000-2024

BitCoin: 1NGG1chHtUvrtEqjeerQCKDMUi6S6CG4iC

Рейтинг.ru