Помогите с настройкой прокси-сервера

[Darth Emil]

Так... А как сделать так чтобы пользователи группы level1 помимо авторизации по ip-адресу должны были заходить по паролю?

[Maikll]

Мне думается так не получится. Авторизация должна быть либо по ip, либо по паролю, но не вместе. Как вариант, настроить общую авторизацию по паролю и прописать исключения по ip.

[Darth Emil]

Maikll: ок, как сделать только по паролю?

[Maikll]

Darth Emil:

Оффтоп

Я полагаю, настройки сквида ты должен знать лучше меня, ведь я так и не довёл свои ковыряния в нем до стадии практического внедрения. ;)

Похоже, так все-таки можно извернутся. На руборде нашел такой пример:

acl LAN src x.y.z.t/255.255.255.0acl myip src x.y.z.k/255.255.255.255acl allowedusers proxy_auth REQUIREDhttp_access allow myip /*First, this rule works so this machine doesn't see any password prompt*/http_access LAN allowedusershttp_access deny all 

[Darth Emil]

Так, а как сделать конкретно с моим конфигом? Нужно чтобы с 192.168.0.2 доступ в инет был по паролю, а с остальных адресов просто по айпишнику.

[Maikll]

acl local_107 src "C:\squid\etc\cabinets\107.txt"...acl vip src "C:\squid\etc\vip.txt"acl pasw src 192.168.0.2/24acl allowedusers proxy_auth REQUIRED...http_access allow vip...http_access pasw allowedusershttp_access deny all

как-то так.

[Darth Emil]

Ругается на это:

acl pasw src 192.168.0.2/24

Меняю на

acl pasw src 192.168.0.2/255.255.255.255

Потом ругается на

http_access pasw allowedusers

Меняю на

http_access allow pasw allowedusers

После этого работает, пароль запрашивает, много раз запрашивает, не пускает, а потом сквид на шлюзе отваливается.

[Maikll]

После этого работает, пароль запрашивает, много раз запрашивает, не пускает, а потом сквид на шлюзе отваливается.

А ты указал сквиду откуда откуда он этот пароль должен узнать?

в конф-файл добавляем в начало строки

auth_param basic program c:\squid\libexec\ncsa_auth.exe c:\squid\libexec\passwdauth_param basic children 5auth_param basic realm Squid proxy-caching web serverauth_param basic credentialsttl 2 hoursauth_param basic casesensitive off 

Эти строки, последовательно, определяют тип используемой программы для авторизации, количество запущенных экземпляров программы проверки авторизации, время жизни авторизации и реагирование на регистр вводимых символов. В первой строке определяется так же файл который содержит логины и пароли на доступ к проксе. Во всех мануалах указано, что пароли создаются с помощью htpasswd из пакета Apache, аналога под windows я, увы, не знаю.

[Darth Emil]

Абсолютно тоже самое

[Maikll]

Darth Emil: специально сегодня запустил на виртуалке сквид чтобы попробовать продублировать твою ситуацию. Странно, но у меня все работает как надо. Брал бинарники из выложенного тобой архива.

Сквид работал с таким конфигом:

» Нажмите, чтобы показать/скрыть оффтоп «

#ставим свой адрес или оставляем только порт, если хотите чтобы сквид крутился на #всех интерфесах

http_port 808

hierarchy_stoplist cgi-bin

#visible_hostname "inet"

acl QUERY urlpath_regex cgi-bin \?

no_cache deny QUERY

#hosts_file c:\WINDOWS\system32\drivers\etc\hosts

cache_mem 64 MB

cache_swap_high 95

cache_swap_low 90

maximum_object_size 8192 KB

minimum_object_size 0 KB

maximum_object_size_in_memory 16 KB

ipcache_size 1024

incoming_dns_average 4

ftp_user squid@

error_directory c:/squid/share/errors/Russian-1251

auth_param basic program c:/squid/libexec/ncsa_auth.exe c:/squid/libexec/passwd

auth_param basic children 5

auth_param basic realm Squid proxy-caching web server

auth_param basic credentialsttl 2 hours

auth_param basic casesensitive off

#Может это и не надо:

cache_access_log c:/squid/var/logs/access.log (журнализируется каждый запрос к кешу)

cache_log c:/squid/var/logs/cache.log (журнал запусков процессов)

cache_store_log c:/squid/var/logs/store.log

#

dns_nameservers 192.168.1.1

#включаем squidGuard

#redirect_program /usr/bin/squidGuard

redirect_children 10 #ставим больше 10 для высоко нагруженного

redirector_bypass on

#Suggested default:

refresh_pattern ^ftp: 1440 20% 10080

refresh_pattern ^gopher: 1440 0% 1440

refresh_pattern . 0 20% 4320

#Тут настраиваем аккаунты и порты

acl all src 0.0.0.0/0.0.0.0

#acl localhost src 127.0.0.1/255.255.255.255

#acl manager proto cache_object

#acl to_localhost dst 127.0.0.0/8

acl SSL_ports port 443 563 # https, snews

acl SSL_ports port 873 # rsync

acl Safe_ports port 80 # http

acl Safe_ports port 21 # ftp

acl Safe_ports port 443 563 # https, snews

acl Safe_ports port 70 # gopher

acl Safe_ports port 210 # wais

acl Safe_ports port 1025 -65535 # unregistered ports

acl Safe_ports port 280 # http-mgmt

acl Safe_ports port 488 # gss-http

acl Safe_ports port 591 # filemaker

acl Safe_ports port 777 # multiling http

acl Safe_ports port 631 # cups

acl Safe_ports port 873 # rsync

acl Safe_ports port 901 # SWAT

acl Safe_ports port 110 # POP3

acl Safe_ports port 25 # SMTP

acl Safe_ports port 2593 # Proxifire

acl Safe_ports port 2809 # SONO

acl Safe_ports port 9401 # SONO

acl Safe_ports port 9402 # SONO

acl Safe_ports port 9403 # SONO

acl Safe_ports port 9900 # SONO

acl Safe_ports port 9100 # SONO

acl Safe_ports port 9101 # SONO

acl Safe_ports port 9102 # SONO

acl Safe_ports port 9103 # SONO

acl Safe_ports port 9104 # SONO

acl Safe_ports port 9105 # SONO

acl Safe_ports port 9106 # SONO

acl Safe_ports port 9107 # SONO

acl Safe_ports port 9108 # SONO

acl Safe_ports port 9109 # SONO

acl Safe_ports port 9110 # SONO

#acl Safe_ports port 3724 2255 2261 2262 8085 3306 # WOW

#acl Safe_ports port 7777 7778 7799 # UT

acl purge method PURGE

acl CONNECT method CONNECT

#http_access allow manager localhost

#http_access deny manager

# Only allow purge requests from localhost

#http_access allow purge localhost

#http_access deny purge

# Deny requests to unknown ports

http_access deny !Safe_ports

# Deny CONNECT to other than SSL ports

#http_access deny CONNECT !SSL_ports #нужно чтобы Proxifire работал

# ------------============ описание сети ================------------

# ================ Кафедры и прочее =====================

acl all_local src 192.168.1.0/24

# ------------- Аудитории ---------------------

# ============= =====================

#acl local_107 src "C:\squid\etc\cabinets\107.txt"

#acl local_201 src "C:\squid\etc\cabinets\201.txt"

#acl local_203 src "C:\squid\etc\cabinets\203.txt"

#acl local_206 src "C:\squid\etc\cabinets\206.txt"

#acl local_207 src "C:\squid\etc\cabinets\207.txt"

#acl local_210 src "C:\squid\etc\cabinets\210.txt"

#acl local_302 src "C:\squid\etc\cabinets\302.txt"

#acl local_303 src "C:\squid\etc\cabinets\303.txt"

#acl local_burn src "C:\squid\etc\cabinets\burn.txt"

#acl local_lab src "C:\squid\etc\cabinets\lab.txt"

#acl local_libra src "C:\squid\etc\cabinets\libra.txt"

#acl local_singles src "C:\squid\etc\cabinets\singles.txt"

#acl level1 src "C:\squid\etc\level1.txt"

acl vip src "C:\squid\etc\vip.txt"

#acl hamach src 5.134.138.8

acl pasw src 192.168.1.51

acl nopasw src 192.168.1.50

acl allowedusers proxy_auth REQUIRED

#---------------------------------SqStat 1.20

acl manager proto cache_object

acl webserver src 192.168.0.1/255.255.255.255

http_access allow manager webserver

http_access deny manager

#---------------------------------описание правил

#запрет сайтов по словосочетанию в ссылке

acl porn url_regex "c:\squid\etc\porno.txt"

#запрет файлообмеников

acl rapids url_regex "c:\squid\etc\rapids.txt"

#запрет доменов

acl Deny_domain dstdom_regex "c:\squid\etc\deny_domain.txt"

#Файлы. Фильтр по словосочетанию в ссылке.

acl files urlpath_regex -i "c:\squid\etc\felis_urlpath.txt"

# Файлы. Фильтр по заголовку Content-Length

acl mime_files rep_mime_type "c:\squid\etc\felis_mime.txt"

# Мультимедиа. Фильтр по словосочетанию в ссылке.

acl media urlpath_regex -i "c:\squid\etc\media_content.txt"

acl mime_media rep_mime_type "c:\squid\etc\media_mime.txt"

# запретить баннеры

acl banners urlpath_regex -i "c:\squid\etc\baner1.txt"

# Запрет на мультимедийные файлы

acl multimedia urlpath_regex -i "c:\squid\etc\multimedia.txt"

#acl url_level2 url_regex -i "C:\squid\etc\cabinets\deny_url.txt"

# Белые сайты

acl white url_regex "c:\squid\etc\white.txt"

acl eko url_regex "c:\squid\etc\eko.txt"

#acl eko_kz dstdom_regex -i eko.edu.kz test3.ru

acl all_dom dstdom_regex -i .*

http_access allow nopasw

http_access allow pasw allowedusers

http_access deny all

#---------------------DELAY POOLS

delay_pools 1

delay_class 1 3

delay_access 1 allow files

delay_parameters 1 200000/200000 -1/-1 1024/640000

#Разрешения. Блок 1

#http_access deny !eko_kz

#Открыть доступ только к сайту колледжа

http_access allow eko

#Отрубить инет нафиг вообще

http_access allow vip

#http_access deny all

#http_access allow hamach

http_access allow white

http_access deny banners

http_access deny porn

http_access deny media

http_access deny rapids

#http_access allow level1

http_access deny files

http_access deny deny_domain

#deny_info ERR_DENY_DOMAIN deny_domain

#Разрешения. Блок 1 конец

#Разрешения. Блок 2

#http_access deny url_level2

#http_access allow

#http_access allow local_107

#http_access allow local_201

#http_access allow local_203

#http_access allow local_206

#http_access allow local_207

#http_access allow local_210

#http_access allow local_302

#http_access allow local_303

#http_access allow local_burn

#http_access allow local_lab

#http_access allow local_libra

#http_access allow local_singles

#Разрешения. Блок 2 конец

#Разрешения. Блок 3

http_access deny all_dom

http_access allow all_local

#Разрешения. Блок 3 конец

#Запретить всем остальным

http_access deny all

#Под каким юзером будет работать сквид

cache_effective_user proxy

cache_effective_group proxy

visible_hostname www.eko.edu.kz

coredump_dir /var/spool/squid

cache_mgr eko_semsk@mail.ru

сразу оговорюсь, что конфиг был варварски обкоцан, кучу строк я закоментировал т.к. мне было нужно, чтобы сабж просто запустился.

В результате с ip 192.168.0.51 вход по паролю, с 192.168.0.50 авторизация по ip, с остальных - нет доступа. Описанную тобой ситуацию с паролями я получить не смог, возможно какие-то проблемы с файлом passwd, ты его чем создавал?

[Darth Emil]

Проблема со squid. Есть несколько ip-адресов с привилегированным уровнем доступа.

Некоторые личности меняют свой ip с урезанным доступом на "виповские".

Вопрос: как это пресечь?

Я вижу два варианта:

1. По vip-адресам авторизация по ip+mac

2. По vip-адресам авторизация по ip+пароль.

Вопрос в том как правильно это сделать?

Вот конфиг.

#ставим свой адрес или оставляем только порт, если хотите чтобы сквид крутился на #всех интерфесахhttp_port 192.168.0.1 80hierarchy_stoplist cgi-bin #visible_hostname "inet"acl QUERY urlpath_regex cgi-bin \?no_cache deny QUERY#hosts_file c:\WINDOWS\system32\drivers\etc\hostscache_mem 64 MB cache_swap_high 95cache_swap_low 90maximum_object_size 8192 KB minimum_object_size 0 KBmaximum_object_size_in_memory 16 KB ipcache_size 1024 incoming_dns_average 10ftp_user squid@ error_directory c:/squid/share/errors/Russian-1251#Может это и не надо:cache_access_log c:/squid/var/logs/access.log (журнализируется каждый запрос к кешу)cache_log c:/squid/var/logs/cache.log (журнал запусков процессов)cache_store_log c:/squid/var/logs/store.log dns_nameservers 212.154.163.162, 95.56.237.24#включаем squidGuard#redirect_program	  /usr/bin/squidGuardauth_param basic program c:/squid/libexec/ncsa_auth.exe c:\squid\etc\passwdauth_param basic children 5auth_param basic realm Squid proxy-caching web serverauth_param basic credentialsttl 2 hoursauth_param basic casesensitive offredirect_children 10  #ставим больше 10 для высоко нагруженногоredirector_bypass on #Suggested default:refresh_pattern ^ftp:		1440	20%	10080refresh_pattern ^gopher:	1440	0%	1440refresh_pattern .		0	20%	4320#Тут настраиваем аккаунты и портыacl all src 0.0.0.0/0.0.0.0acl localhost src 192.168.0.1/255.255.255.255acl manager proto cache_objectacl to_localhost dst 127.0.0.0/8acl SSL_ports port 443 563			# https, snewsacl SSL_ports port 873				# rsyncacl Safe_ports port 80				  # httpacl Safe_ports port 21				  # ftpacl Safe_ports port 443 563		  # https, snewsacl Safe_ports port 70		 		# gopheracl Safe_ports port 210			  # waisacl Safe_ports port 1025 -65535	# unregistered portsacl Safe_ports port 280			  # http-mgmtacl Safe_ports port 488			  # gss-httpacl Safe_ports port 591			  # filemakeracl Safe_ports port 777			  # multiling httpacl Safe_ports port 631			  # cupsacl Safe_ports port 873			  # rsyncacl Safe_ports port 901			  # SWATacl Safe_ports port 110			  # POP3acl Safe_ports port 25				  # SMTPacl Safe_ports port 2525				  # SMTPacl Safe_ports port 2593			  # Proxifireacl Safe_ports port 2809	  # SONOacl Safe_ports port 9401	  # SONOacl Safe_ports port 9402	  # SONOacl Safe_ports port 9403	  # SONOacl Safe_ports port 9900	  # SONOacl Safe_ports port 9100	  # SONOacl Safe_ports port 9101	  # SONOacl Safe_ports port 9102	  # SONOacl Safe_ports port 9103	  # SONOacl Safe_ports port 9104	  # SONOacl Safe_ports port 9105	  # SONOacl Safe_ports port 9106	  # SONOacl Safe_ports port 9107	  # SONOacl Safe_ports port 9108	  # SONOacl Safe_ports port 9109	  # SONOacl Safe_ports port 9110	  # SONOacl Safe_ports port 8081	  # SONOacl Safe_ports port 8083	  # SONOacl Safe_ports port 3724 2255 2261 2262 8085 3306 8087	# WOWacl Safe_ports port 7777 7778 7799	  # UTacl purge method PURGEacl CONNECT method CONNECThttp_access allow manager localhosthttp_access deny manager# Only allow purge requests from localhosthttp_access allow purge localhosthttp_access deny purge# Deny requests to unknown portshttp_access deny !Safe_ports# Deny CONNECT to other than SSL ports#http_access deny CONNECT !SSL_ports	#нужно чтобы Proxifire работал#-----------------------------Описание сетиacl all_local src 192.168.0.0/24#-----------------------------Аудиторииacl local_105 src "C:\squid\etc\cabinets\105.txt"acl local_107 src "C:\squid\etc\cabinets\107.txt"acl local_109 src "C:\squid\etc\cabinets\109.txt"acl local_201 src "C:\squid\etc\cabinets\201.txt"acl local_203 src "C:\squid\etc\cabinets\203.txt"acl local_206 src "C:\squid\etc\cabinets\206.txt"acl local_207 src "C:\squid\etc\cabinets\207.txt"acl local_210 src "C:\squid\etc\cabinets\210.txt"acl local_302 src "C:\squid\etc\cabinets\302.txt"acl local_304 src "C:\squid\etc\cabinets\304.txt"acl local_burn src "C:\squid\etc\cabinets\burn.txt"acl local_libra src "C:\squid\etc\cabinets\libra.txt"acl level1 src "C:\squid\etc\level1.txt"acl level2 src "C:\squid\etc\level2.txt"acl vip src "C:\squid\etc\vip.txt"#------------Е@ля с маками#acl user1_arp arp 00:24:1D:8F:FF:4F#acl user1 proxy_auth user1 #acl emil src 192.168.0.37#acl emil_mac arp 00:24:1D:8F:FF:4F#------------Е@ля с паролями#acl pasw src 192.168.0.2/192.168.0.2#acl allowedusers proxy_auth REQUIREDacl hamach src 5.134.138.8#---------------------------------SqStat 1.20acl manager proto cache_objectacl webserver src 192.168.0.1/255.255.255.255http_access allow manager webserverhttp_access deny manager#---------------------------------Описание правил#запрет сайтов по словосочетанию в ссылкеacl porn url_regex "c:\squid\etc\content\porno.txt"#запрет социальных сетейacl soclan url_regex "c:\squid\etc\content\soclan.txt"#запрет Mail.ru Agentacl magent url_regex "c:\squid\etc\content\magent.txt"#запрет файлообмениковacl rapids url_regex "c:\squid\etc\content\rapids.txt"#запрет доменовacl Deny_domain dstdom_regex "c:\squid\etc\content\deny_domain.txt"#Файлы. Фильтр по словосочетанию в ссылке.acl files urlpath_regex -i "c:\squid\etc\content\felis_urlpath.txt"# Файлы. Фильтр по заголовку Content-Lengthacl mime_files rep_mime_type "c:\squid\etc\content\felis_mime.txt"# Мультимедиа. Фильтр по словосочетанию в ссылке.acl media urlpath_regex -i "c:\squid\etc\content\media_content.txt"acl mime_media rep_mime_type "c:\squid\etc\content\media_mime.txt"# запретить баннерыacl banners urlpath_regex -i "c:\squid\etc\content\banners.txt"acl ads urlpath_regex -i "c:\squid\etc\content\ads.txt"# Запрет на мультимедийные файлыacl multimedia urlpath_regex -i "c:\squid\etc\content\multimedia.txt"# Белые сайтыacl white url_regex "c:\squid\etc\content\white.txt"acl eko url_regex "c:\squid\etc\content\eko.txt"# WOWacl wow url_regex "c:\squid\etc\content\wow.txt"#acl eko_kz dstdom_regex -i eko.edu.kz test3.ruacl all_dom dstdom_regex -i .* #---------------------------------DELAY POOLSdelay_pools 2delay_class 1 3delay_access 1 allow filesdelay_parameters 1 200000/200000 -1/-1 1024/640000#delay_class 2 3#delay_access 2 allow soclan#delay_parameters 2 64000/640000 -1/-1 1024/204800#Разрешения. Блок 1#http_access deny !eko_kz #Открыть доступ только к сайту колледжаhttp_access allow ekohttp_access allow vip#http_access allow user1 user1_arp #http_access allow emil emil_machttp_access allow local_105http_access allow hamach#Обрезка баннеровhttp_access deny bannershttp_access deny ads#deny_info http://test1.ru:8080/empty.gif ads#Отрубить инет нафиг вообще#http_access deny all#http_access deny wowhttp_access allow wowhttp_access allow whitehttp_access deny porn #deny_info http://eko.edu.kz pornhttp_access deny mediahttp_access deny rapids#http_access allow pasw allowedusershttp_access allow level1http_access deny soclanhttp_access allow level2http_access deny magenthttp_access deny fileshttp_access deny deny_domain #deny_info ERR_DENY_DOMAIN deny_domain#Разрешения. Блок 2#http_access deny url_level2#http_access allow #http_access allow local_105http_access allow local_107http_access allow local_109http_access allow local_201http_access allow local_203http_access allow local_206http_access allow local_207http_access allow local_210http_access allow local_302http_access allow local_304http_access allow local_libra#http_access allow local_burn#Разрешения. Блок 3 http_access deny all_dom http_access allow all_local#Запретить всем остальнымhttp_access deny all#Под каким юзером будет работать сквидcache_effective_user proxycache_effective_group proxyvisible_hostname www.eko.edu.kzcoredump_dir /var/spool/squidcache_mgr eko_semsk@mail.ru

Изменено 29 сентября, 2010 пользователем Darth Emil

[Darth Emil]

Так, авторизацию по паролю сделал. Вопрос в том как сделать авторизацию по mac?

[Darth Emil]

Сделал авторизацию по mac-у. Но после первого же обращения сквид ложится. Как лечить?

Есть другая мысль. Как сделать так чтобы на одной машине крутилось два сквида разных версий на разных портах?

Стоит 2.5, ставлю на другой раздел 2.7. - работает что-то одно, вдвоем работать не хочет.

[Darth Emil]

Читая эту тему создается впечатление монолога. Конечно я люблю поговорить с умным человеком, но помощь иногда всё-таки нужна :sly:

Суть вот в чем. В конец охреневшие рожи на работе нашли лазейку как лазить на свои любимые одноклассники и вконтакте - через сайты-анонимайзеры.

Вопрос: как можно легко и изящно перекрыть им кислород средствами squid, не занося все анонимайзеры в блеклист?

[Andrey_al]

SquidGuard + блэк-листы, например с Shalla Secure Services (разделы - proxy, redirector, socialnet) блокирует большинство анонимайзеров и редиректоров, полировка уже вручную, возможно придется добавить свои записи в блэк-листы, но немного...

Изменено 18 ноября, 2010 пользователем Andrey_al

[Darth Emil]

Итак, задачка немного изменилась.

Надо настроить delay pools так чтобы при скачивании архивов до 2 Мб скорость была максимальная, а после 2 Мб скорость падала до 128 кб/с. Вот что есть сейчас:

delay_pools 2delay_class 1 1delay_parameters 1 10000/10000delay_access 1 allow practdelay_access 1 deny alldelay_class 2 2delay_parameters 2 -1/-1 256000/256000delay_access 2 allow ukcnetdelay_access 2 allow oonetdelay_access 2 allow sh1netdelay_access 2 allow sh28netdelay_access 2 deny all