Zmey Strangled by Lynx Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору Я думаю удобнее сделать будет один топик по Squid и все вопросы касательно него постить сюда. :) У меня вопрос такого характера: как настроить резку трафика squid и как настроить замену баннеров или просто их вырезку. SQUID - HTTP/HTTPS прокси под *nix   В первом посте собираем полезные ссылки, преимущественно на русском по Squid.   Официальный сайт: www.squid-cache.org Squid (кеширующий прокси для http): установка, настройка и использование Squid Web Proxy Cache: получение, компилляция, настройка (архивная версия) Squid Proxy Server 3.1 Beginners Guide,  Packtpub, 2011, PDF (см. также и другие источники)   About Squid Web Proxy Cache (архивная версия) Зона особого внимания: Squid (архивная версия) Как не получать рекламы через Internet   FAQ по Squid (архивная версия) Авторизация squid в домене Windows 2003 Server Статьи по Squid на Opennet.ru   Как заставить Squid быть только прокси, без кэширования чего-либо?   Также смотрите фильтр по squid   В отдельных темах обсуждается Squid и ограничение доступа по времени Squid: ограничить трафик для отдельного юзера: ширина канала Squid и вырезание баннеров Анализаторы логов для Squid   // текущий бэкап шапки.. Всего записей: 303 | Зарегистр. 07-12-2001 | Отправлено: 14:56 10-05-2002 | Исправлено: TheBarmaley TMP, 15:33 23-03-2016

kot488 Advanced Member Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору Цитата: "Определенный порт" для SSH - это 22, обычно пол умолчанию он уже открыт в iptables. Но поскольку ты хозяин сервера, можешь повесить sshd на любой другой незанятый порт.     Это я знаю, я iptables вообще пока отключил изза него почему squid не стартовал но не пускает достучаться   вот настройки squid   Код: acl manager proto cache_object acl localhost src 127.0.0.1/32 ::1 acl to_localhost dst 127.0.0.0/8 0.0.0.0/32 ::1   # Example rule allowing access from your local networks. # Adapt to list your (internal) IP networks from where browsing # should be allowed acl localnet src 10.0.0.0/8    # RFC1918 possible internal network acl localnet src 172.16.0.0/12    # RFC1918 possible internal network acl localnet src 192.168.5.0/24    # RFC1918 possible internal network acl localnet src fc00::/7       # RFC 4193 local private network range acl localnet src fe80::/10      # RFC 4291 link-local (directly plugged) machines   acl SSL_ports port 443 acl Safe_ports port 80        # http acl Safe_ports port 21        # ftp acl Safe_ports port 443        # https acl Safe_ports port 70        # gopher acl Safe_ports port 210        # wais acl Safe_ports port 1025-65535    # unregistered ports acl Safe_ports port 280        # http-mgmt acl Safe_ports port 488        # gss-http acl Safe_ports port 591        # filemaker acl Safe_ports port 777        # multiling http acl Safe_ports port 9081    #edbo acl SSl_ports port 9081        #edbo acl SSL_ports port 443 65023     #SSH acl SSL_ports port 22         #SSH acl CONNECT method CONNECT   # # Recommended minimum Access Permission configuration: # # Only allow cachemgr access from localhost http_access allow manager localhost http_access deny manager   # Deny requests to certain unsafe ports http_access allow !Safe_ports   # Deny CONNECT to other than secure SSL ports http_access allow CONNECT !SSL_ports   # We strongly recommend the following be uncommented to protect innocent # web applications running on the proxy server who think the only # one who can access services on "localhost" is a local user #http_access deny to_localhost   # # INSERT YOUR OWN RULE(S) HERE TO ALLOW ACCESS FROM YOUR CLIENTS #   # Example rule allowing access from your local networks. # Adapt localnet in the ACL section to list your (internal) IP networks # from where browsing should be allowed http_access allow localnet http_access allow localhost   # And finally deny all other access to this proxy http_access deny all   # Squid normally listens to port 3128 http_port 8080   # We recommend you to use at least the following line. hierarchy_stoplist cgi-bin ?   # Uncomment and adjust the following to add a disk cache directory. #cache_dir ufs /var/spool/squid 100 16 256   # Leave coredumps in the first cache dir coredump_dir /var/spool/squid   # Add any of your own refresh_pattern entries above these. refresh_pattern ^ftp:        1440    20%    10080 refresh_pattern ^gopher:    1440    0%    1440 refresh_pattern -i (/cgi-bin/|\?) 0    0%    0 refresh_pattern .        0    20%    4320   Добавлено: вот еще файл настроек     #!/bin/bash       #Очистка всех цепочек       iptables -F     iptables -F -t nat     iptables -F -t mangle       iptables -X     iptables -X -t nat     iptables -X -t mangle       #Политика по умолчанию - запретить все, что не разрешено     iptables -P INPUT DROP     iptables -P OUTPUT DROP     iptables -P FORWARD DROP       #Разрешаем обращение к lo интерфейсу     iptables -A INPUT -i lo -p all -j ACCEPT     iptables -A INPUT -i eth1 -j ACCEPT     iptables -A OUTPUT -o lo -p all -j ACCEPT     iptables -A OUTPUT -o eth1 -j ACCEPT       #Пропускать уже инициорванные, а также их дочерние     iptables -A INPUT -p all -m state --state ESTABLISHED,RELATED -j ACCEPT       #Пропускать новые, инициированные, а также их дочерние     iptables -A OUTPUT -p all -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT       #Разрешить пересылку для новых, инициированных, а также их дочерних     iptables -A FORWARD -p all -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT       #Разрешаем обращение к почтовым, ssh, ftp серверам из нашей локалки     iptables -A FORWARD -i eth0 -o eth1 -s 192.168.5.0/24 -p tcp -m multiport --dports 22,21,25,110,443       #Разрешаем обращение к почтовым, ssh, ftp серверам из нашей локалки     iptables -A FORWARD -i eth1 -o eth0 -s 192.168.5.0/24 -p tcp -m multiport --dports 22,21,25,110,443       #Разрешаем DNS запросы из нашей локальной сети       iptables -A FORWARD -i eth1 -o eth0 -s 192.168.5.0/24 -p udp -m multiport --dports 53       #Разрешаем пинги с внутреннего интерфейса     iptables -A INPUT -i eth1 -p ICMP -j ACCEPT     iptables -A OUTPUT -o eth1 -p ICMP -j ACCEPT           #Разрешаем пинги с внешнего интерфейса     iptables -A INPUT -i eth0 -p ICMP -j ACCEPT     iptables -A OUTPUT -o eth0 -p ICMP -j ACCEPT       #Настройка NAT и редирект на прокси сервер Squid     iptables -t nat -A PREROUTING -p tcp --dport 80 -j REDIRECT --to-ports 8080     iptables -t nat -A POSTROUTING -s 192.168.5.0/255.255.255.0 -j SNAT --to-source ***.***.***.*** Всего записей: 1614 | Зарегистр. 31-10-2006 | Отправлено: 18:05 09-10-2013

kot488 Advanced Member Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору Люди помогие с доступом с мира к железу(((( пожалуйста Всего записей: 1614 | Зарегистр. 31-10-2006 | Отправлено: 18:16 10-10-2013

ipmanyak Platinum Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору kot488 Чем вам помочь, если вы речь ведете о консоли, а вопросы задаете в ветку про прокси? Чтобы достучаться к железу по ssh или telnet делайте правила в iptables, сейчас у вас их там нет. И сквид тут вообще не при делах. Я вам уже говорил, что тут топик по сквиду, а не по фаерволу. Вы видимо не понимаете, что такое прокси SQUID - это HTTP прокси и более ничего. Кроме http трафика он ничего не знает и не должен знать, ни про ssh ни про telnet ни про pop и smtp !!!   P.S. Сходите сюда http://easyfwgen.morizot.net/gen/ по мере заполнения полей и жмаканья каждый раз кнопы Generate firewall получите в конце готовый текстовик с правилами фаервола. Изначально отметьте птицу - Allow Inbound Services, после жмаканья кнопы Generate firewall появятся новые поля для входящих сервисов, отмечайте нужные, SSH там уже будет отмечен. Дерзайте и больше про фаер, не касательно сквида, в эту ветку не пишите. ---------- В сортире лучше быть юзером, чем админом... Всего записей: 11735 | Зарегистр. 10-12-2003 | Отправлено: 19:21 10-10-2013 | Исправлено: ipmanyak, 19:23 10-10-2013

k3NGuru Junior Member Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору Приветствую коллеги Подскажите такую штуку, есть локальная сеть DC - WS2008R2 и прокся Squid (NTLM+Sams) на FreeBSD. Так вот, настроили наши коллеги у себя RDWEB и теперь мы подключаемся к московским коллегам через RemoteApp. Но дело в том, если в IE стоит галка "Автоматическое определение параметров" http://d.pr/i/LLHG то выкидывает такую ошибку http://d.pr/i/uigP и как ее победить я не понимаю. Убираешь галочку, все подключается и работает.   Уже начал изучать wpad.dat, но не помогает. Куда копать и что можете посоветовать? Всего записей: 166 | Зарегистр. 07-02-2008 | Отправлено: 16:22 16-10-2013 | Исправлено: k3NGuru, 16:24 16-10-2013

Alukardd Gold Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору k3NGuru В настройках squid сделать так что бы на сервер RemoteApp он не требовал аутентификацию. ---------- Microsoft gives you windows, linuх gives you the whole house... I've been using Vim for about 4 years now, mostly because I can't figure out how to exit it. Всего записей: 6563 | Зарегистр. 28-08-2008 | Отправлено: 21:22 16-10-2013

k3NGuru Junior Member Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору Alukardd а как это сделать? Каким образом? Всего записей: 166 | Зарегистр. 07-02-2008 | Отправлено: 04:44 17-10-2013

Alukardd Gold Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору k3NGuru Код: auth_param ntlm ... . . . acl authorized proxy_auth REQUIRED acl RemoteApp dst 11.22.33.44/32 . . . http_access allow RemoteApp http_access deny !authorized видимо, как-то так ---------- Microsoft gives you windows, linuх gives you the whole house... I've been using Vim for about 4 years now, mostly because I can't figure out how to exit it. Всего записей: 6563 | Зарегистр. 28-08-2008 | Отправлено: 10:06 17-10-2013

DieMaN Junior Member Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору Прошу сильно не ругаться, но возможно ли средствами Squid запретить доступ к конкретному url, а не к целому домену? В частности нужно запретить к просмотру на youtube ряд роликов которые на сайте Минюста причислены к экстремистским. Сейчас в конфигурации прописано следующее: acl banurl url_regex -i "c:/squid/etc/tr.url" http_access deny banurl Содержимое banurl (кусок): .youtube.com/watch?v=46uPyOhX5bQ .www.youtube.com/watch?v=46uPyOhX5bQ .infokavkaz.com .djamagat.wordpress.com Такой вариант с ютубом не работает. Если поменять содержимое banurl на .youtube.com .www.youtube.com .infokavkaz.com .djamagat.wordpress.com то закрывается весь домен. Заранее спасибо. Всего записей: 169 | Зарегистр. 28-12-2003 | Отправлено: 13:35 17-10-2013

ipmanyak Platinum Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору В манах и в примерах же есть описание. acl aclname url_regex [-i] ^http:// ... # regex matching on whole URL в твоем случае acl banyoutube1  url_regex ^http://youtube.com/watch?v=46uPyOhX5bQ   а этот www.youtube.com/watch?v=46uPyOhX5bQ  и так забанен на самом ютьюбе Код:   Этот контент недоступен в вашей стране: в данный момент мы рассматриваем связанную с ним юридическую претензию.       ---------- В сортире лучше быть юзером, чем админом... Всего записей: 11735 | Зарегистр. 10-12-2003 | Отправлено: 14:03 17-10-2013 | Исправлено: ipmanyak, 14:12 17-10-2013

vlary Platinum Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору DieMaN Цитата: возможно ли средствами Squid запретить доступ к конкретному url, а не к целому домену? Да Цитата: Содержимое banurl (кусок):   .youtube.com/watch?v=46uPyOhX5bQ Внимательно составляй регулярные выражения для запретов. Например, ? означает любой единичный символ, кроме самого ?. Чтобы совпадало именно с вопросительным знаком, его надо эскейпить обратной косой: .youtube.com/watch\?v=46uPyOhX5bQ   ---------- Заслуженный SCOтовод, почетный SUNтехник и любитель Кошек Всего записей: 17278 | Зарегистр. 13-06-2007 | Отправлено: 14:07 17-10-2013 | Исправлено: vlary, 14:12 17-10-2013

DieMaN Junior Member Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору vlary ipmanyak Спасибо! Всего записей: 169 | Зарегистр. 28-12-2003 | Отправлено: 14:38 17-10-2013

kot488 Advanced Member Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору Народ срочно нужна ваша помощь, нужно выпустить в мир пару телефоном, но у меня пользователь может выйти в интернет только указав в браузере адрес прокси сервера. Как можно сделать что бы при попытке выйти в мир с определенного IP не нужно было бы указывать адрес прокси?   Вот что выдает при попытке зайти без указания прокси   acl allowed_hosts src 192.168.1.0/255.255.255.0     Всего записей: 1614 | Зарегистр. 31-10-2006 | Отправлено: 18:19 22-10-2013 | Исправлено: kot488, 18:32 22-10-2013

golychev Advanced Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору kot488 чтобы "выпустить" наружу чтото кроме веб и всего сопутствующего, тебе нужен НАТ.   Добавлено: м кальмар тут непричем. Всего записей: 634 | Зарегистр. 09-02-2005 | Отправлено: 18:59 22-10-2013

vlary Platinum Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору kot488  Чтобы не надо было указывать прокси в браузере, прокси должен быть прозрачным. Гугли transparent squid либо ищи в этой теме, обсуждалось неоднократно. ---------- Заслуженный SCOтовод, почетный SUNтехник и любитель Кошек Всего записей: 17278 | Зарегистр. 13-06-2007 | Отправлено: 22:17 22-10-2013

kot488 Advanced Member Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору vlary   Указал вот так http_port 192.168.5.1:8080 transparent  и вроде работает Всего записей: 1614 | Зарегистр. 31-10-2006 | Отправлено: 10:11 23-10-2013

MadMas Junior Member Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору Всем привет!   Многоуважаемые гуру, помогите пожалуйста разобраться с одной проблемой.   Сквид настраивал по этому примеру: http://macrodmin.blogspot.com/2012/07/squid-active-directory.html   После настройки 2 проблемы. 1 - Сквид не пускает в инет группу Internet_Low, на стороне клиента постоянно выходит окошко авторизации   2 - Мне нужно чтобы группа Internet_Medium имела доступ к некоторым сайтам только в определенное время: 12:00-14:00 18:00-00:00 00:00-09:00. Список сайтов занесен в файл time_list. Не совсем понимаю как это сделать.   Конфиг сквида: Код:   auth_param ntlm program /usr/bin/ntlm_auth --helper-protocol=squid-2.5-ntlmssp auth_param ntlm children 30   auth_param basic program /usr/bin/ntlm_auth --helper-protocol=squid-2.5-basic auth_param basic children 5   http_port 192.168.10.3:8080   dns_nameservers 0.0.0.0 0.0.0.0   append_domain .kdb.local   acl white_list url_regex -i "/etc/squid/white_list" acl black_list url_regex -i "/etc/squid/black_list" acl time_list url_regex -i "/etc/squid/time_list"   acl videotube dstdomain .rutube.ru acl GET method GET acl videotube_url urlpath_regex -i /player.swf http_access deny GET videotube videotube_url   # TAG: external_acl_type external_acl_type nt_group ttl=60 %LOGIN /usr/lib/squid/wbinfo_group.pl   acl Full external nt_group Internet_Full acl Medium external nt_group Internet_Medium acl Low external nt_group Internet_Low   acl all src 0.0.0.0/0.0.0.0   acl morning time MTWHF 09:00-12:00 acl evening time MTWHF 14:00-18:00   acl nt_group proxy_auth REQUIRED   redirect_program /etc/squid/redirector   http_access allow Full   acl block_extensions url_regex -i "/etc/squid/block_extensions" http_access deny block_extensions   delay_pools 1 delay_class 1 2 delay_parameters 1 1500000/2000000 15000/2000000 delay_access 1 allow Low delay_access 1 allow Medium delay_access 1 deny all   http_access allow Low white_list http_access deny Low http_access deny Medium black_list   access_log /var/log/squid/access.log logfile_rotate 100   Всего записей: 94 | Зарегистр. 02-06-2006 | Отправлено: 14:21 26-10-2013

Alukardd Gold Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору MadMas Я понимаю, что вы взяли пример из статьи, но IMHO, так оно работать не должно. Строка  acl nt_group proxy_auth REQUIRED вовсе не призывает ни кого аутентифицироваться, она лишь создаёт ACL с именем nt_group, что в добавок может запутать Вас (и нас заодно). Типичный пример реализации это: acl authorized proxy_auth REQUIRED ... http_access deny !authorized Цитата: постоянно выходит окошко авторизации   А клиент какой? Цитата: только в определенное время у кальмара есть ACL time Цитата:     acl aclname time [day-abbrevs] [h1:m1-h2:m2]       # [fast]       #  day-abbrevs:       #    S - Sunday       #    M - Monday       #    T - Tuesday       #    W - Wednesday       #    H - Thursday       #    F - Friday       #    A - Saturday       #  h1:m1 must be less than h2:m2 ---------- Microsoft gives you windows, linuх gives you the whole house... I've been using Vim for about 4 years now, mostly because I can't figure out how to exit it. Всего записей: 6563 | Зарегистр. 28-08-2008 | Отправлено: 19:05 26-10-2013

MadMas Junior Member Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору Alukardd Я ничего не могу сказать, т.к. я не спец по сквиду, может быть вы и правы, но по крайней мере при настройке по выше указанному примеру у меня нормально работали 2 группы пользователей, проблема была только с одной (Internet_Low). После внесения указанных вами двух строк, группа Internet_Low стала работать, но не обращая внимание на запреты, т.е. открываются все сайты, а не только те, что указаны в файле white_list. Но и это еще не все. Теперь в интернет могут выходить все пользователи домена, не зависимо от того состоят ли они в какой-либо группе Internet_* или нет. А это совсем никуда не годится.   Цитата: А клиент какой? Клиенты виндовые. Что мозилла, что експлопер требуют авторизацию.   Цитата: у кальмара есть ACL time Это я знаю, если вы обратите внимание на конфиг я их уже описал, но как правильно их применить, чтобы добиться того чего я хочу я не понимаю. Всего записей: 94 | Зарегистр. 02-06-2006 | Отправлено: 12:18 27-10-2013

Alukardd Gold Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору MadMas Цитата: Теперь в интернет могут выходить все пользователи домена, а где в конце правил доступа http_access deny all? Цитата: группа Internet_Low стала работать, но не обращая внимание на запреты это как это? У вас явно прописано http_access allow Low white_list    http_access deny Low , если ни какое из вышестоящих разрешающих правил не сработало, то эти 2 их не пустят дальше white_list'а. Цитата: я их уже описал действительно не заметил. Тогда просто добавляйте выши ACL morning как 3-е условие к директиве http_access, например http_access allow Low white_list morning, на сколько я помню кальмар не поддерживает условий типа OR, а такое перечисление acl'ей дает условие AND, так что придётся дублировать строки меняя лишь время, т.о. следующая строка будет http_access allow Low white_list evening и т.д., если промежутков больше.   p.s. На самом деле, я ещё совсем не уверен, что такое получение групп работает (правда Вам виднее, т.к. система у вас, а не у меня) external_acl_type nt_group ttl=60 %LOGIN /usr/lib/squid/wbinfo_group.pl . У меня было прописано так: external_acl_type ldap_users %LOGIN /usr/lib/squid3/squid_ldap_group -R -b "dc=company,dc=ru" -f "(&(sAMAccountName=%v)(memberOf=cn=%a,ou=groups,ou=myOU,dc=company,dc=ru))" -D squidreader@company.ru -W /etc/squid3/adpw.txt 192.168.0.1 ---------- Microsoft gives you windows, linuх gives you the whole house... I've been using Vim for about 4 years now, mostly because I can't figure out how to exit it. Всего записей: 6563 | Зарегистр. 28-08-2008 | Отправлено: 15:02 27-10-2013

MadMas Junior Member Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору Alukardd   Методом проб и ошибок, а так же методом тыка заставил таки работать группу Low. Просто убрал http_access deny Low после http_access allow Low white_list. А также в конце дописал http_access deny all (вернее оно у меня там было, только было закоментировано), спасибо за наводку. Осталось разобраться с временными ограничениями.   Цитата: p.s. На самом деле, я ещё совсем не уверен, что такое получение групп работает В том то и дело, что работает, чем мне и понравился этот пример настройки, то что не надо точно указывать местоположение групп в иерархии домена (примерно так я тоже пробовал, но не получалось). А просто закидываешь пользователя в нужную группу а сквид сам понимает кому чего ограничить (при наличии соответствующих правил конечно же).   P.S. Со временем тоже разобрался, все так как вы и сказали добавляем условия друг за другом, у меня получилось так: (может кому пригодится) Код:   acl time_list url_regex -i "/etc/squid/time_list" acl morning time MTWHF 09:00-12:00 acl evening time MTWHF 14:00-18:00 ... http_access deny Medium black_list http_access deny Medium time_list morning http_access deny Medium time_list evening http_access allow Medium ... http_access deny all     Спасибо за помощь! Всего записей: 94 | Зарегистр. 02-06-2006 | Отправлено: 13:07 28-10-2013 | Исправлено: MadMas, 13:53 28-10-2013

Страницы: 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131 132 133 134 135 136 137 138 139 140

Компьютерный форум Ru.Board » Компьютеры » В помощь системному администратору » SQUID (только под *nix)

Переход по форумам  Закладки   » Компьютеры Цифровое изображение Программы Microsoft Windows UNIX Другие OS Hardware В помощь сисадмину Прикладное программирование Игры Форумные игры   » Интернет Web-программирование В помощь вебмастеру Графика Хостинг Зацените-ка!   » Тематические Ikonboard v.2 Ikonboard v.3 Invision Board Другие форумы PHP-Nuke и другие порталы Мобила   » Общие Спорт Флейм Темы по региональным встречам Музыка и Кино Юмор Литература и Живопись   » Ru.Board Новости Помощь по форуму   » Андеграунд eBookz Варезник Раздачи и акции Мобильный варезник Андеграунд Игры и фильмы   » Специальные Тестирование