vlary Platinum Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору prestigo Цитата: могут быть два динамических IP от двух разных провайдеров-подключений Тогда не прокатит. Либо конфиг нужно будет править при каждом переподключении. А если имеются несколько статических айпи от одного или разных провайдеров, то с помощью акцесс-листов можно настроить, кому из локальной сетки под каким айпи выходить наружу.   ---------- Заслуженный SCOтовод, почетный SUNтехник и любитель Кошек Всего записей: 17282 | Зарегистр. 13-06-2007 | Отправлено: 11:22 27-01-2011

vlary Platinum Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору bagol В данном случае мы имеем два взаимоисключающих желания: Цитата: нельзя никак избавиться от ввода аусвайса? Цитата: внутри конфига различать юзеров чтобы можно было ими разруливать пулами? Сквид не умеет различать юзеров по радужной оболочке, генетическому коду и т.д. У него только два критерия: айпи клиента и логин пользователя. Поскольку речь идет о терминальном сервере, первый отпадает. Остается второй, который Сквид получает только при аутентификации юзера через форму ввода логина и пароля. Опции "запомнить логин и пароль" в браузерах нет, но в форме остаются прежние значения логина и пароля, так что юзерам остается только нажать кнопку, и не сходить с ума. Цитата: для ведения логов есть трёхбайтные програмулины с графиками-рюшечками-цветочками и не нужно заморачиваться со Сквидом.   Это программы не для ведения логов, а для их обработки. Но если у вас действительно есть такая программа из трех байтов, которая позволяет обеспечивать юзерам прозрачный доступ в интернет с полным контролем доступа, вести логи их активности и показывать результат с графиками-рюшечками-цветочками, тогда вообще непонятен предмет разговора.   ---------- Заслуженный SCOтовод, почетный SUNтехник и любитель Кошек Всего записей: 17282 | Зарегистр. 13-06-2007 | Отправлено: 10:47 07-02-2011 | Исправлено: vlary, 10:53 07-02-2011

vlary Platinum Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору bagol   acl group1 proxy_auth venya petya acl group2 proxy_auth masha vasya  delay_access 1 allow group1  delay_access 1 deny all  delay_access 2 allow group2    delay_access 2 deny all Определяешь пулы класса 1 и 2, и распределяешь юзеров по пулам через акцесс листы ---------- Заслуженный SCOтовод, почетный SUNтехник и любитель Кошек Всего записей: 17282 | Зарегистр. 13-06-2007 | Отправлено: 11:40 07-02-2011

vlary Platinum Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору bagol Сквид обрабатывает акцесс листы по мере их просмотра. Как только он находит подходящее правило, он его выполняет и дальнейшее не рассматривает. http_access allow ProxyUsers выполняется раньше, чем   delay_access 1 allow ProxyUsers посему до него просто не доходит очередь. Поэтому нужно тщательно настраивать акцесс листы. ---------- Заслуженный SCOтовод, почетный SUNтехник и любитель Кошек Всего записей: 17282 | Зарегистр. 13-06-2007 | Отправлено: 17:07 07-02-2011

Ruza Gold Member Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору vlary Цитата: http_access allow ProxyUsers выполняется раньше, чем   delay_access 1 allow ProxyUsers посему до него просто не доходит очередь.   Это ты несколько перегнул палку, не? Вроде как разные вещи...   bagol Покажи разделы на настоящий момент. auth_param   acl http_access/deny delay_pools ---------- Fools rush in where angels fear to tread. Всего записей: 5480 | Зарегистр. 10-09-2003 | Отправлено: 21:55 07-02-2011

Alukardd Gold Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору Цитата: Это ты несколько перегнул палку, не? Вроде как разные вещи...   да видно у vlary был тяжёлый понедельник)))   bagol из прозрачной авторизации максимум, что можно выжать это что бы клиенты IE ходили через ntlm а остальные через basic. Лучше в тэг more выложите полный конфиг без коментов. ---------- Microsoft gives you windows, linuх gives you the whole house... I've been using Vim for about 4 years now, mostly because I can't figure out how to exit it. Всего записей: 6585 | Зарегистр. 28-08-2008 | Отправлено: 22:04 07-02-2011

vlary Platinum Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору Ruza Цитата: Это ты несколько перегнул палку, не? Вроде как разные вещи...   Почему же? Сквид получил запрос, начал смотреть правила, встретил   http_access allow ProxyUsers и выполнил его. До delay_access 1 allow ProxyUsers  дело просто не дойдет. Вот если его поместить раньше, как я написал выше двумя постами, то Сквид загонит юзеров venya и  petya , отвечающих правилу, в delay_pool, а остальных пропустит без оного. У меня Сквид нормально работал с delay_pool, так что я знаю, что пишу. Правда, сейчас в связи с безлимитом я их убрал.   ---------- Заслуженный SCOтовод, почетный SUNтехник и любитель Кошек Всего записей: 17282 | Зарегистр. 13-06-2007 | Отправлено: 22:05 07-02-2011 | Исправлено: vlary, 22:12 07-02-2011

Alukardd Gold Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору vlary oO неужто мы заблуждаемся и эти секции действительно рассматриваются в одном контексте?   Добавлено: И как в таком случае описать пул для белого списка сайтов? ---------- Microsoft gives you windows, linuх gives you the whole house... I've been using Vim for about 4 years now, mostly because I can't figure out how to exit it. Всего записей: 6585 | Зарегистр. 28-08-2008 | Отправлено: 22:11 07-02-2011

vlary Platinum Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору Alukardd Цитата: неужто мы заблуждаемся и эти секции действительно рассматриваются в одном контексте?   Почему бы и нет? Если есть delay_access пулы, совершенно не обязательно, что все туда будут загоняться. Поставьте первым правило http_access allow all и проверьте. ---------- Заслуженный SCOтовод, почетный SUNтехник и любитель Кошек Всего записей: 17282 | Зарегистр. 13-06-2007 | Отправлено: 22:18 07-02-2011

Alukardd Gold Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору после совпадения с delay_access дальше по всей логике проверка не пойдет, а если у нас в фирме действует правило запрещено всё что не разрешено (whitelist), то  как тогда задать разрешение и пул? Ведь срабатывать будет что-то одно и дальше проверка правил не пойдет...   p.s. ток заметил, грац с голдом) ---------- Microsoft gives you windows, linuх gives you the whole house... I've been using Vim for about 4 years now, mostly because I can't figure out how to exit it. Всего записей: 6585 | Зарегистр. 28-08-2008 | Отправлено: 22:21 07-02-2011 | Исправлено: Alukardd, 22:22 07-02-2011

vlary Platinum Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору Alukardd Цитата: если у нас в фирме действует правило запрещено всё что не разрешено (whitelist), то  как тогда задать разрешение и пул? Да это как раз элементарно. Определяем, что разрешено: acl good dstdomain "/var/gooddomains" Запрещаем все, чего там нет: http_access deny !good А дальше разбрасываем юзеров по delay_pools Цитата: p.s. ток заметил, грац с голдом) Сенкс!     ---------- Заслуженный SCOтовод, почетный SUNтехник и любитель Кошек Всего записей: 17282 | Зарегистр. 13-06-2007 | Отправлено: 23:01 07-02-2011

Alukardd Gold Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору vlary я так и не нарыл где об этом написано в документации что ли или в wiki хотя бы... но мысль пока уяснил, проверить возможности нету( ---------- Microsoft gives you windows, linuх gives you the whole house... I've been using Vim for about 4 years now, mostly because I can't figure out how to exit it. Всего записей: 6585 | Зарегистр. 28-08-2008 | Отправлено: 23:06 07-02-2011

vlary Platinum Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору Alukardd Цитата: я так и не нарыл где об этом написано   Вот тут есть кое что: Ссылка   ---------- Заслуженный SCOтовод, почетный SUNтехник и любитель Кошек Всего записей: 17282 | Зарегистр. 13-06-2007 | Отправлено: 23:39 07-02-2011

Alukardd Gold Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору vlary Цитата: Вот тут есть кое что: Ссылка ну ни чего не нашёл что бы говорило о том, что delay_access длжен разбавлять http_access (в плане порядка). *коменты я не читал* Так же открыл оригинальный squid.conf вот кусок Код: #  TAG: delay_access #    This is used to determine which delay pool a request falls into. # #    delay_access is sorted per pool and the matching starts with pool 1, #    then pool 2, ..., and finally pool N. The first delay pool where the #    request is allowed is selected for the request. If it does not allow #    the request to any pool then the request is not delayed (default). ---------- Microsoft gives you windows, linuх gives you the whole house... I've been using Vim for about 4 years now, mostly because I can't figure out how to exit it. Всего записей: 6585 | Зарегистр. 28-08-2008 | Отправлено: 00:12 08-02-2011

vlary Platinum Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору Alukardd Цитата: ну ни чего не нашёл что бы говорило о том, что delay_access длжен разбавлять http_access (в плане порядка). Ну там написано вот такое: Цитата: Тут в дело вступает порядок просмотра ACL - они просматриваются в порядке обьявления, и если сработало одно правило, то другие уже не просматриваются.   Правила для delay_access ничем не лучше http_access, потому выполняется первое сработавшее. Так там и написано: Цитата: В первый пул попадают только машины, описываемые ACL vasya. Остальные ходят как им положенно - ведь им доступ к 1му пулу заказан.   В твоем куске из конфига написано то же самое: If it does not allow  the request to any pool then the request is not delayed (default) Но чтобы они ходили как положено, после правил для delay_access им должно встретиться правило http_access allow office. Иначе Цитата: Если не одно правило не сработало, то за основу берется последнее.   А последним должно стоять http_access deny all ---------- Заслуженный SCOтовод, почетный SUNтехник и любитель Кошек Всего записей: 17282 | Зарегистр. 13-06-2007 | Отправлено: 00:41 08-02-2011 | Исправлено: vlary, 00:46 08-02-2011

Alukardd Gold Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору Мы либо не понимаем друг друга, либо я не понимаю вашу логику... Моя мысль о том что порядок имеет значение в squid.conf - это априори, но он применяется внутри секций (TAG), т.е. порядок для http_access сам по себе а порядок delay_access сам по себе, и они могут располагаться в конфиге друг относительно друга как угодно. Вот я и пытаюсь, понять что вы мне тут пытаетесь сказать и где этому документальное подтверждение. Я уже почти решился на опыты над живой сеткой, просто щас на работе занят другими проблемами... ---------- Microsoft gives you windows, linuх gives you the whole house... I've been using Vim for about 4 years now, mostly because I can't figure out how to exit it. Всего записей: 6585 | Зарегистр. 28-08-2008 | Отправлено: 00:59 08-02-2011

vlary Platinum Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору Alukardd Ну вот здесь чуть более подробно и чуть более понятно как раз по сути сомнений: Ссылка bagol Наткнулся на штуку, о которой слышал, но никогда не пользовался, посему она у меня в голове в качестве возможного решения и не крутилась. Это доступ по ident. Цитата: acl aclname ident username - ACL описывает имя пользователя, от которого запущена программа на клиентской машине. Имя узнается с помощью ident-сервера.   Вот в этом случае сквид будет знать имя юзера, а тому не придется вводить логин/пароль. Попробуй копать в эту сторону.   ---------- Заслуженный SCOтовод, почетный SUNтехник и любитель Кошек Всего записей: 17282 | Зарегистр. 13-06-2007 | Отправлено: 01:29 08-02-2011

Страницы: 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28

Компьютерный форум Ru.Board » Компьютеры » В помощь системному администратору » Проблема с squidNT

Переход по форумам  Закладки   » Компьютеры Цифровое изображение Программы Microsoft Windows UNIX Другие OS Hardware В помощь сисадмину Прикладное программирование Игры Форумные игры   » Интернет Web-программирование В помощь вебмастеру Графика Хостинг Зацените-ка!   » Тематические Ikonboard v.2 Ikonboard v.3 Invision Board Другие форумы PHP-Nuke и другие порталы Мобила   » Общие Спорт Флейм Темы по региональным встречам Музыка и Кино Юмор Литература и Живопись   » Ru.Board Новости Помощь по форуму   » Андеграунд eBookz Варезник Раздачи и акции Мобильный варезник Андеграунд Игры и фильмы   » Специальные Тестирование