Перейти из форума на сайт.

НовостиФайловые архивы
ПоискАктивные темыТоп лист
ПравилаКто в on-line?
Вход Забыли пароль? Первый раз на этом сайте? Регистрация
Компьютерный форум Ru.Board » Компьютеры » В помощь системному администратору » SQUID (только под *nix)

Модерирует : lynx, Crash_Master, dg, emx, ShriEkeR

 Версия для печати • ПодписатьсяДобавить в закладки
Страницы: 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131 132 133 134 135 136 137 138 139 140

Открыть новую тему     Написать ответ в эту тему

Zmey



Strangled by Lynx
Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
Я думаю удобнее сделать будет один топик по Squid и все вопросы касательно него постить сюда. :)
У меня вопрос такого характера: как настроить резку трафика squid и как настроить замену баннеров или просто их вырезку.


SQUID - HTTP/HTTPS прокси под *nix

 
В первом посте собираем полезные ссылки, преимущественно на русском по Squid.
 
Официальный сайт: www.squid-cache.org
Squid (кеширующий прокси для http): установка, настройка и использование
Squid Web Proxy Cache: получение, компилляция, настройка (архивная версия)
Squid Proxy Server 3.1 Beginners Guide,  Packtpub, 2011, PDF (см. также и другие источники)
 
About Squid Web Proxy Cache (архивная версия)
Зона особого внимания: Squid (архивная версия)
Как не получать рекламы через Internet  
FAQ по Squid (архивная версия)
Авторизация squid в домене Windows 2003 Server
Статьи по Squid на Opennet.ru  
Как заставить Squid быть только прокси, без кэширования чего-либо?
 
Также смотрите фильтр по squid
 
В отдельных темах обсуждается

Squid и ограничение доступа по времени
Squid: ограничить трафик для отдельного юзера: ширина канала
Squid и вырезание баннеров
Анализаторы логов для Squid
 

// текущий бэкап шапки..

Всего записей: 303 | Зарегистр. 07-12-2001 | Отправлено: 14:56 10-05-2002 | Исправлено: TheBarmaley TMP, 15:33 23-03-2016
MAGNet



Silver Member
Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
MadMas
забейте уже на эту самбу и ntlm! - это способы авторизации образца 1812-го года.
для корректности действий нужно понимать, что делаешь.
Механизм авторизации должен быть Kerberos, для этого нужно создать в домене соответствующий объект - Компьютер. Не нужно вводить компьютер в домен при помощи самбы и устанавливать её не нужно! У нас ведь не файл-сервер, верно?
Внимательно изучаем теорию работы с Kerberos, убеждаемся, что всё понятно и продолжаем..
..предположим, что минимальные настройки сети и времени у нас сделаны - устанавливаем и настраиваем Kerberos auth...
Установка Kerberos:

Код:
# apt-get install krb5-admin-server krb5-config krb5-kdc krb5-user

Установка модулей авторизации в AD:

Код:
# apt-get install libsasl2-modules-gssapi-mit

Настраиваем Kerberos.
/etc/krb5.conf:

Код:
[libdefaults]
    default_realm = DOMAIN.LOCAL
 
[realms]
    DOMAIN.LOCAL = {
        kdc = dc.domain.local
    }

На контроллере домена генерим новый кейтаб для нашего прокси. Он, прокси, уже должен быть создан в AD руками, как я уже писал выше.

Код:
ktpass.exe /princ HTTP/proxy.domain.local@DOMAIN.LOCAL /mapuser proxy$@DOMAIN.LOCAL /crypto ALL /ptype KRB5_NT_PRINCIPAL /pass +rndpass /out %TEMP%\proxy.keytab

Далее, самое главное - сгенерированный кейтаб нужно положить на сервер и "скормить" его Сквиду. Скопировать, например, при помощи WinSCP в /etc/squid3 и уведомить об этом Squid отредактировав скрипт или дефолтный конфиг запуска. Для Debian-like это файл /etc/default/squid3:

Код:
export KRB5_KTNAME=/etc/squid3/proxy.keytab

 
Заключительный момент - это настройка хелперов авторизации в Сквиде. Ничего мудрого, просто вместо auth_param ntlm program ... пишем следующее:

Код:
# Аутентификация в Active Directory
auth_param negotiate program /usr/lib/squid3/negotiate_kerberos_auth -s HTTP/proxy.domain.local@DOMAIN.LOCAL
auth_param negotiate children 10
auth_param negotiate keep_alive on

 
Если что-то не работает, то читаем логи и неистово гуглим до обретения дзен.
Сюда пишем только с конфигами под спойлером и ругательствами из логов (тоже под спойлером)

Всего записей: 2074 | Зарегистр. 31-03-2004 | Отправлено: 08:06 27-03-2015 | Исправлено: MAGNet, 08:10 27-03-2015
MadMas



Junior Member
Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
О великий ALL, кто-нибудь откликнитесь!
 
Добавлено:
MAGNet, сорри, не заметил вашего сообщения, не обновил страницу.
 
Да как бы меня ntlm устраивает полностью, может быть это и старомодно уже не спорю.
Хотя вы наверное правы, попробую kerberos.

Всего записей: 94 | Зарегистр. 02-06-2006 | Отправлено: 08:11 27-03-2015
MAGNet



Silver Member
Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
MadMas
попробуйте. вы даже не представляете на сколько это проще. помню давным давно пробовал именно вашу схему, занимался с ней сексом недели две, но так и не достиг единения с самбой.
вдумчиво изучив механизмы kerberos смог всё настроить за пол дня, дерзайте.

Всего записей: 2074 | Зарегистр. 31-03-2004 | Отправлено: 09:03 27-03-2015
MadMas



Junior Member
Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
Я пока не совсем четко представляю себе механизм работы kerberos, а как на счет разделения по группам. Сейчас у меня в домене три группы, которым на squid'e соответствует разный уровень доступа. В случае с kerberos у меня будет такая же возможность?

Всего записей: 94 | Зарегистр. 02-06-2006 | Отправлено: 09:59 27-03-2015
yakostik

Full Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
С группами все ок не переживайте работает так же.

Всего записей: 408 | Зарегистр. 30-03-2006 | Отправлено: 22:19 27-03-2015
MadMas



Junior Member
Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
Вроде все настроил, но ситуация ровно такая-же - постоянный запрос логина/пароля. В логах /var/log/kadmin.log:
Mar 28 15:17:04 www-3 kadmind[7078](Error): No such file or directory while initializing, aborting
 
В логах /var/log/krb5kdc.log:
krb5kdc: No such file or directory - while initializing database for realm MYDOMAIN.LOCAL
 
При запуске демона /etc/init.d/krb5-kdc:
Starting Kerberos KDC: krb5kdckrb5kdc: cannot initialize realm MYDOMAIN.LOCAL - see log file for details
 
При запуске демона /etc/init.d/krb5-admin-server:
Starting Kerberos administrative servers: kadmindkadmind: No such file or directory while initializing, aborting
 
Логи у кербероса всегда такие информативные?

Всего записей: 94 | Зарегистр. 02-06-2006 | Отправлено: 13:42 28-03-2015
MAGNet



Silver Member
Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору

Цитата:
krb5kdc: No such file or directory - while initializing database for realm MYDOMAIN.LOCAL  

проверить файл /etc/krb5kdc/kdc.conf привести к нужному виду.
скорее всего postinstall криво отработал или был проигнорирован.
у меня он выглядит вот так:

Код:
# cat /etc/krb5kdc/kdc.conf
[kdcdefaults]
    kdc_ports = 750,88
 
[realms]
    GELTD.LOCAL = {
        database_name = /var/lib/krb5kdc/principal
        admin_keytab = FILE:/etc/krb5kdc/kadm5.keytab
        acl_file = /etc/krb5kdc/kadm5.acl
        key_stash_file = /etc/krb5kdc/stash
        kdc_ports = 750,88
        max_life = 10h 0m 0s
        max_renewable_life = 7d 0h 0m 0s
        master_key_type = des3-hmac-sha1
        supported_enctypes = aes256-cts:normal arcfour-hmac:normal des3-hmac-sha1:normal des-cbc-crc:normal des:normal des:v4 des:norealm des:onlyrealm des:afs3
        default_principal_flags = +preauth
    }
 

GELTD.LOCAL - это мой домен. у вас должен быть ваш. и проверьте наличие файлов, указанных в конфиге.
 
Добавлено:
Попробуйте снести Kerberos полностью, вместе с конфигами и установить по новой  

Код:
# apt-get purge krb5-admin-server krb5-kdc krb5-user && apt-get install krb5-admin-server krb5-kdc krb5-user

он должен спросить default realm и перегенерить все кейтабы.
после приведите конфиг к нормальному виду, порезав там всякую бяку.
Мой случай:

Код:
# cat /etc/krb5.conf  
[libdefaults]
        default_realm = GELTD.LOCAL
 
[realms]
        GELTD.LOCAL = {
                kdc = sr-dc0.geltd.local
        }

 
Добавлено:
Про группы напишу позже, когда заработает авторизация.
 
Добавлено:

Цитата:
Логи у кербероса всегда такие информативные?

man kdc.conf
Нужно в секции logging настроить параметр default = SYSLOG:DEBUG:DAEMON

Всего записей: 2074 | Зарегистр. 31-03-2004 | Отправлено: 06:30 29-03-2015 | Исправлено: MAGNet, 06:31 29-03-2015
MadMas



Junior Member
Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
У меня вопрос. Если у меня на контроллере домена уже работает служба керберос, т.е. эта служба уже представляет собой TGS и TGT. Зачем тогда нужно на прокси-сервере устанавливать krb5-admin-server?
 
Добавлено:
У меня /etc/krb5kdc/kdc.conf выглядит точно также, за исключением имени домена.
Файлов admin_keytab = FILE:/etc/krb5kdc/kadm5.keytab, acl_file = /etc/krb5kdc/kadm5.acl и key_stash_file = /etc/krb5kdc/stash у меня нет. Скорее всего при запуске демоны на них и ругаются. Я так понимаю нужно запустить krb5_newrealm. Когда я его запускаю, он мне выдает:
This script should be run on the master KDC/admin server to initialize
a Kerberos realm.  It will ask you to type in a master key password.
This password will be used to generate a key that is stored in
/etc/krb5kdc/stash.  You should try to remember this password, but it
is much more important that it be a strong password than that it be
remembered.  However, if you lose the password and /etc/krb5kdc/stash,
you cannot decrypt your Kerberos database.
Loading random data

 
и чего-то ждет или что-то делает я не пойму.
 

Цитата:
Код:
# apt-get purge krb5-admin-server krb5-kdc krb5-user && apt-get install krb5-admin-server krb5-kdc krb5-user
 

 
Пробовал, но про default realm не спрашивает а пишет Ссылка

Всего записей: 94 | Зарегистр. 02-06-2006 | Отправлено: 07:24 30-03-2015
MAGNet



Silver Member
Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
MadMas
по всей видимости ты прав. скорее всего нужен только krb5-user, он тянет за собой все нужные либы https://packages.debian.org/ru/sid/krb5-user
практически все мануалы, которые я находил в сети, рекомендуют ставить кдц и админ-сервер, сам не знаю для чего. у меня, кстати, эти службы не запущены:

Код:
# service --status-all|grep krb5
 [ - ]  krb5-admin-server
 [ - ]  krb5-kdc

и конфигурационных файлов, соответственно, тоже нет.
попробуй снести эти сервисы у себя или остановить, если без них не взлетит.

Всего записей: 2074 | Зарегистр. 31-03-2004 | Отправлено: 13:55 30-03-2015
yakostik

Full Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Народ вопрос наверное покажется странным но все таки.
Сегодня  одного из пользователей перестало пускать в инет по билету кербероса, по basic аутентификации тоже не работало. После того как стали выяснять что же произошло узнали что пользователь сменил себе пасс на учетке и занес его в русской раскладке.
Собственно вопрос может кто такое встречал, и как это побороть?

Всего записей: 408 | Зарегистр. 30-03-2006 | Отправлено: 20:41 01-04-2015
vlary



Platinum Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
yakostik
Цитата:
Собственно вопрос может кто такое встречал, и как это побороть?
Как же, встречалось. А нефиг логины и пароли русскими буквами делать.
Что, английских уже не достаточно?
Вот когда перейдем а исконно российские ОС и софт, тогда это можно будет без
опасения словить на свою zhopa приключений.


----------
Заслуженный SCOтовод, почетный SUNтехник и любитель Кошек

Всего записей: 17274 | Зарегистр. 13-06-2007 | Отправлено: 22:53 01-04-2015
MAGNet



Silver Member
Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору

Цитата:
Вот когда перейдем а исконно российские ОС и софт

1Ass?

Всего записей: 2074 | Зарегистр. 31-03-2004 | Отправлено: 07:53 02-04-2015
MadMas



Junior Member
Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
MAGNet
 

Цитата:
попробуй снести эти сервисы у себя или остановить, если без них не взлетит.

 
Так ничего и не взлетело .

Всего записей: 94 | Зарегистр. 02-06-2006 | Отправлено: 10:02 02-04-2015
Mac_Sym

Newbie
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Подробнее...
Есть пара вопросов по сквиду:
В связи с частыми сбоями старого сервака, (которому более 15 лет) возникала необходимость перенести сквид на другое железо. Т.к. уже есть VMWare сервер прикрутил к нему FreeBSD 10.1 по аналогии со старым сервером, только версии софта последние...  
Что бы не заморачиваться с конфигом сквида перенёс его со старой версии, было правда пара тройка ошибок из-за разных версий, но всё это легко полечилось. Поставил на тест и тут полезли неприятные вещи: при переходе по ссылке в браузере (любом) выдаёт сообщение:

Цитата:
Прокси-сервер отказывается принимать соединения
после обновления страницы всё появляется, но для пользователя это не есть гуд Нагуглил что ошибка лечится в след версии. Обновил до крайней версии сквида 3.4.12 но воз и ныне там
Вот что пишется в кэш.лог
Подробнее...  
т.е. вот этих ошибок:
Цитата:
 assertion failed: comm.cc:1823: "isOpen(fd) && !commHasHalfClosedMonitor(fd)"  
появляется много. каждый раз после сбоя, и я так понимаю что сквид в этот момент перезапускается?
выкладываю конфиг сквида, может где то там грабли из старой версии тянутся? без ACL
squid.conf
Подробнее...
 
На странице разрабов увидел что 3.4.12 в этой ветке последняя, дальше идёт 3.5
Сквид ставил из портов. Пните в меня ссылкой как 3.5 поставить не из портов? [/more] [/more] [/more]

Всего записей: 3 | Зарегистр. 25-03-2015 | Отправлено: 12:23 02-04-2015 | Исправлено: Mac_Sym, 09:18 03-04-2015
ipmanyak



Platinum Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Mac_Sym
1.
cache_mem 256 MB  
что так пожидил памяти под кэш в ОЗУ?  Нет у тебя что ли памяти совсем на новом серваке? Добавь, если есть.
2.
cache_dir ufs /var/squid/cache/squid 20000 16 256  
тут ты наоборот не пожидил и поставил дохрена - аж 20 Гигов!  Твой сквид будет больше  перебирать индексы  кэша, чем юзеров обслуживать. Больше 1-2 гигов лучше не давать. А если у тебя трафик от прова безлимитный, то дисковый кэш  лучше вообще не юзать !
Имей ввиду, что на каждый гиг дискового кэша, сквид берет 10 мегов в ОЗУ  
3.
cache_store_log daemon:/var/log/squid/store.log
cache_store_log stdio:/var/log/squid/store.log  
это вообще отрубай, оно нафиг никому не нужно, только место на диске будет жрать и производительность уменьшать.  
4.
memory_pools on
memory_pools_limit 5 MB  
про это не помню, нужно читать, лучше оставить по дефолту, то есть убрать лимит
 и сделать memory_pools off
5.
half_closed_clients on  
попробуй сделать off
 
P.S.  
Не привел аксели доступа для юзеров.
Попробуй поработать без squidGuard, может с ним еще какие-то косяки.  
Сквид свежее, если есть желание, можешь поставить, скомпилив из исходников.  
http://www.squid-cache.org/Versions/
А лучше попробуй поставить из портов версию 3.3
 


----------
В сортире лучше быть юзером, чем админом...

Всего записей: 11724 | Зарегистр. 10-12-2003 | Отправлено: 14:35 02-04-2015 | Исправлено: ipmanyak, 06:54 03-04-2015
Mac_Sym

Newbie
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
ipmanyak
Большое спасибо за ответ.
1 увеличил, хотя везде дают разные рекомендации...
2 уменьшил  
3,4,5 убрал.
 
Аксес листы буду вдумчиво разбирать, потому как достались от предыдущего админа.
Интересно какая версия сейчас считается стабильной?
и буду экспериментировать с версиями сквида, благо есть где

Всего записей: 3 | Зарегистр. 25-03-2015 | Отправлено: 10:11 03-04-2015
MadMas



Junior Member
Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
MAGNet
 
Не прошло и пол года как я как-то настроил этот несчастный керберос. Как и было до этого сказано ни krb5-admin-server, ни krb5-kdc на линуксе не нужен, только krb5-user.
 
Теперь я готов к
 

Цитата:
Добавлено:
Про группы напишу позже, когда заработает авторизация.  

 
Уже перепробовал различные варианты обращения к существующим группам, ничего не получается.

Всего записей: 94 | Зарегистр. 02-06-2006 | Отправлено: 15:23 03-04-2015
MAGNet



Silver Member
Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
MadMas
всё написанное справедливо для debian-like. версия squid 3.3.8
для использования групп есть внешний хелпер ext_kerberos_ldap_group_acl. Проблема в том, что по умолчанию он не устанавливается и даже не собирается, его нужно собрать отдельно. так и поступим:

Код:
# mkdir /usr/src/squid3 && cd /usr/src/squid3
# apt-get source squid3
# apt-get build-dep squid3
# cd ./squid3-3.3.8
# ./configure && make
# cd ./helpers/external_acl/kerberos_ldap_group
# make
# cp ext_kerberos_ldap_group_acl /usr/lib/squid3/

Вот что мы сделали: скачали из репозитория исходники в специально созданный каталог, установили все зависимости для squid3, сконфигурировали и собрали его; далее перешли в каталог с хелпером, собрали его и скопировали в библиотеку модулей squid3.
Надеюсь, что переменная окружения KRB5_KTNAME у вас определена и указывает кейтаб-файл, сгенерированный на контроллере домена.
Тогда этот хелпер можно использовать в конфигурации.
Способы использования можно прочитать здесь же, в каталоге с исходниками модуля:

Код:
# cat /usr/src/squid3/helpers/external_acl/kerberos_ldap_group/README

У меня, например, запрещение интернета через доменную группу с использованием этого хелпера выглядит так (_Internet_Denied - это имя доменной группы):

Код:
...
external_acl_type Internet_Denied ttl=300  negative_ttl=60  %LOGIN /usr/lib/squid3/ext_kerberos_ldap_group_acl -d -g _Internet_Denied@GELTD.LOCAL
acl Users_denied external Internet_Denied
...
http_access deny Users_denied
...

Попробуйте сделать по аналогии.
 
Добавлено:
зы
в хелпере -d обозначает debug, его можно убрать;
если у вас один реалм, то его можно не указывать, примерно так: -g MyGroup@

Всего записей: 2074 | Зарегистр. 31-03-2004 | Отправлено: 15:10 05-04-2015
k3NGuru



Junior Member
Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
MadMas
Можете еще тут посмотреть http://blog.it-kb.ru/2014/06/26/forward-proxy-squid-3-3-on-ubuntu-server-14-04-lts-part-5-squid-conf-settings-for-kerberos-ntlm-basic-and-access-rules/
 
Товарищи подскажите, а а есть у кого список черных сайтов? Типа соцсети, порносайты, развлекательные? Или подскажите где их взять, ибо вручную каждый писать долго.

Всего записей: 166 | Зарегистр. 07-02-2008 | Отправлено: 07:03 15-04-2015
S1NT3Z



Junior Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Здравствуйте. Скажите, существует ли возможность бесплатно получать списки контент фильтров для сквида? Актуальные для России?

Всего записей: 80 | Зарегистр. 23-06-2006 | Отправлено: 13:00 19-04-2015
Открыть новую тему     Написать ответ в эту тему

Страницы: 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131 132 133 134 135 136 137 138 139 140

Компьютерный форум Ru.Board » Компьютеры » В помощь системному администратору » SQUID (только под *nix)


Реклама на форуме Ru.Board.

Powered by Ikonboard "v2.1.7b" © 2000 Ikonboard.com
Modified by Ru.B0ard
© Ru.B0ard 2000-2024

BitCoin: 1NGG1chHtUvrtEqjeerQCKDMUi6S6CG4iC

Рейтинг.ru