forum.opennet.ru


Форум Настройка Squid, Tor и прокси серверов

Определить, что клиент подключается через прокси,

romaninfo01, (ACL, блокировки) 21-Дек-15, 20:21 [⋘ | ☳ | ⋙ | ⚟ ] [линейный вид] [смотреть все] [раскрыть новое]

Подключаются куда , name (??), 09:21 , 22-Дек-15 (1)

Из локальной сети, конечно Подключился сотрудник к прокси-серверу, мне нужно отс, romaninfo01 (ok), 09:30 , 22-Дек-15 (2)

В общем случае задача решения не имеет Всегда найдётся способ замаскироваться и, Etch (?), 14:13 , 22-Дек-15 (6)

спасибо за совет, но в моем случае это не выполнимо, romaninfo01 (ok), 05:58 , 23-Дек-15 (9)

вланы , Square1 (?), 15:28 , 23-Дек-15 (12)
> спасибо за совет, но в моем случае это не выполнимо
вланы?
сообщить модератору +/– ответить

icp_access deny localnetне помогает , mcduck (??), 12:05 , 22-Дек-15 (3)

не пробовал, проверю, romaninfo01 (ok), 13:40 , 22-Дек-15 (4)

у squid по умолчанию данная опция стоит как icp_access deny all, romaninfo01 (ok), 13:43 , 22-Дек-15 (5)

если в сети есть сотрудник который у себя поднимает сквид, а теюя это вызыват пр, дима (??), 17:01 , 22-Дек-15 (7)

Благодарю вас за душевные слова, правда не понял смысла данной тирады, да и дума, romaninfo01 (ok), 05:57 , 23-Дек-15 (8)

Зачем ему это вообще делать Это что общага или колхоз Вообще тупо будет в логах , name (??), 09:16 , 23-Дек-15 (10)

Корпоративный браузер У всех один , Square1 (?), 15:29 , 23-Дек-15 (13)
>> Вы серьезно считаете, что поднять сквид и начать раздавать интернет это так
>> сложно?
> Зачем ему это вообще делать?
> Это что общага или колхоз.
> Вообще тупо будет в логах видно, что один юзер разными браузерами одновременно
> открывает разные сайты.
> Настройте расширенный лог,
> Делайте парсер лог файлов.
Корпоративный браузер? У всех один?
сообщить модератору +/– ответить

У нормального админа - да Корпоративная политика безопасности Отсутствие админс, Square1 (?), 15:47 , 23-Дек-15 (15)
>> если в сети есть сотрудник который у себя поднимает сквид, а теюя
>> это вызыват проблемы, , то тебя надо выгнать, а тому сотруднику
>> добавить зарплату.
> Благодарю вас за душевные слова, правда не понял смысла данной тирады, да
> и думаю смысла в ней нет.
> Вы серьезно считаете, что поднять сквид и начать раздавать интернет это так
> сложно?
У нормального админа - да.
Корпоративная политика безопасности. Отсутствие админских полномочий у пользователя.
Настройка ОС по правилам групповых политик.
Авторизация на прокси с контролем приложения которое пытается осуществить выход в интернет (сквид не умеет такого. Добро пожаловать в энтэрпрайз решения :) ).
сообщить модератору +/– ответить
Вот как раз потому что вы не смогли увидеть смысла в этой тираде - вас надо выгн, Square1 (?), 16:04 , 23-Дек-15 (17) +1
>> если в сети есть сотрудник который у себя поднимает сквид, а теюя
>> это вызыват проблемы, , то тебя надо выгнать, а тому сотруднику
>> добавить зарплату.
> Благодарю вас за душевные слова, правда не понял смысла данной тирады, да
> и думаю смысла в ней нет.
Вот как раз потому что вы не смогли увидеть смысла в этой тираде - вас надо выгнать а тому сотруднику добавить зарплаты :)
Вы, как человек ответственный за сетевые технологии в вашей компании- подошли к своей работе безответственнно. Вы не контролируете сеть. Не контролируете компьютеры пользователей. Любой человек в вашей сети может делать все что угодно. Вы не способны аргументировать перед начальством необходимость установки и настройки управляемого оборудования. Вы не понимаете как работают современные сетевые технологии. Вы не разбираетесь в системах защиты сети.
В общем вы как сисадмин - профнепрегодны.
Так что все правильно в той тираде :)
сообщить модератору +1 +/– ответить

Для этого существуют управляемые коммутаторы , PavelR (??), 12:46 , 23-Дек-15 (11)
Вы крайний оптимист Проксей которые могут поставить себе пользователи - как с, Square1 (?), 15:42 , 23-Дек-15 (14)
> имеется рабочий squid3.4. Прокся работает в обычном, не прозрачном режиме. Необходимо отследить
> пользователей, которые подключаются через прокси (тот же squid, но версия неизвестна,
Вы крайний оптимист. "Проксей" которые могут поставить себе пользователи - как собак нерезанных. OpenVPN, Polipo, 3proxy, различные сокс-прокси и т.д.
И вот вы со своим сквидом собираетесь бороться.. с чем?
Правильный вариант - поставить управляемое оборудование, разбить сеть на вланы, вынести пользователей которым разрешен выход в инет от тех которым не разрешен в отдельные вланы.
Что касается невозможности сделать то что вам советуют - это знаете ли..детский лепет. Чтобы ездить на машине надо иметь машину. Если вы не можете иметь машину, а имеете только самокат - вы не сможете ездить на машине хоть усрись на своем самокате.
В общем случае у вас нет технической возможности с помощью сквида отделить пользователей "честных" от "через прокси".
Есть разные варианты мелкой пакости для владельцев прокси:
ограничить число коннектов с одного адреса
ограничить объем трафика с одного адреса
контролировать запущенные на компьютере пользователя приложения
контролировать настройки файрвола на компьютере пользователя, раздавая их через корпоративную политику
и так далее...
сообщить модератору +/– ответить
А вот теперь внимание Первый вопрос который вы, как человек отвечающий вероятно , Square1 (?), 15:55 , 23-Дек-15 (16)
> Добрый день!
> Прошу помощи вот в чем:
А вот теперь внимание:
Первый вопрос который вы, как человек отвечающий вероятно за информационную безопасность компании должны себе задать, должен быть не про сквид и глупые идеи с прокси, а про то, что именно помешает пользователю поставить себе на комп 3Gмодем с анлимитом и натащить к вам в сеть всего чего только можно ВООБЩЕ В ОБХОД ВАШЕГО СКВИДА?
Глубину проблемы понимаете? :)
сообщить модератору +/– ответить

Ну что-же, можно подвести итог 1 У Square1 какая-то навязчивая идея насчет ув, romaninfo01 (ok), 07:00 , 24-Дек-15 (18) –2
Ну что-же, можно подвести итог:
1. У "Square1" какая-то навязчивая идея насчет увольнения и добавления зарплаты работнику - явная психологическая травма... лечитесь... особенно порадовала фраза "В общем вы как сисадмин - профнепрегодны." к незнакомому человеку... так же утверждение, что я отвечаю за сетевые технологии, что не является верным - не отвечаю я за сетевые технологии.
2. советы по поводу Vlan и управляемых маршрутизаторов: уважаемые коллеги, в организации дорогостоящая сети со своими особенностями, используются VPN и.т.д - никто не даст просто так что-то менять
3. Так же "Square1" открыл мне Америку про 3G модемы: ну что же спасибо, просветили...
В общем наслушался...
Господа-товарищи, давайте быть добрее.
сообщить модератору –2 +/– ответить

Я правильно понял, что вы поставили свой сквид, но таких умных нашлось чуть боль, PavelR (??), 10:04 , 24-Дек-15 (19)
>не отвечаю я за сетевые технологии.
Я правильно понял, что вы поставили свой сквид, но таких умных нашлось чуть больше чем один, и ваш сквид стал "не последним в цепочке", что вас сильно обидело?
> дорогостоящая сети ... никто не даст просто так что-то менять
Не боитесь, что по шапке прилетит за самодеятельность?
сообщить модератору +/– ответить
Всё правильно Square1 вам сказал У вас проблема не в том что у кого-то стоит скв, asavah (ok), 15:05 , 24-Дек-15 (20)
Всё правильно Square1 вам сказал.
У вас проблема не в том что у кого-то стоит сквид, а в том у пользователей вообще есть _возможность_ поставить себе что им в голову взбредёт.
Из чего можно сделать вывод что вы не контролируете ни сеть в общем, ни компы пользователей в частности.
> Господа-товарищи, давайте быть добрее.
А с какого нам быть добрее с непрофессионалами которые не могут даже элементарный анализ ситуации на вверенном им объекте сделать?
Посему или начинайте решать вопросы сначала на административном, а потом на техническом уровне. Ну или идите в грузчики.
сообщить модератору +/– ответить

Может в запросе с другого прокси уже есть заголовокъ X_FORWARDED_FOR Ещё можно н, Филимон Новогодний (?), 21:54 , 25-Дек-15 (21)
Может в запросе с другого прокси уже есть заголовокъ X_FORWARDED_FOR
Ещё можно на новогоднем корпоративе насобирать компромата и потом шантажировать народ, чтобы не раздавали чё кому не надо

сообщить модератору +/– ответить

squid3.4 + sams2 + работающий редирект нужен,

Alecsandr19912015, (Squid) 18-Сен-15, 13:51 [⋘ | ☳ | ⋙ | ⚟ ] [линейный вид] [смотреть все] [раскрыть новое]

ftp ftp fu-berlin de unix www squid squid squid-3 4 14 tar bz2ставить из исход, eRIC (ok), 14:30 , 18-Сен-15 (1)

ставил я, но блин, в rc d его нету и приходилось через sbin запускать pkgng не , Alecsandr19912015 (ok), 14:50 , 18-Сен-15 (2)

насчет картинки выяснил я, если например по выражению закрыть доступ, то картинк, Alecsandr19912015 (ok), 15:03 , 18-Сен-15 (3)

пробую интеграцию с rejicom и не рубит пользователя бан листы все гуд с этим, н, Alecsandr1991 (ok), 18:30 , 20-Сен-15 (4)

можно из любой версии взять и поправить под свою версию, заускаемый init скрипт , eRIC (ok), 08:29 , 21-Сен-15 (5)

Насчет версии squid3 4 насколько я разобрался, то начиная с этой версии в squid, BAnAn (?), 09:46 , 21-Сен-15 (6)

а как установить squid 3 3 13 я на 9 3 пробовал, там же есть из портов squid33, Alecsandr19912015 (ok), 12:55 , 21-Сен-15 (7)

все работает дошаманил так сказать вопрос, насчет ограничение скорости почему н, Alecsandr19912015 (ok), 13:17 , 21-Сен-15 (8)
все работает) дошаманил так сказать)
вопрос, насчет ограничение скорости)почему не работает настройка в самс2
ТЭГ deplay pools вписываю в сквид) и ноль реакции

если без тэга, то получаеться.
но блин мне надо разграничение сделать по двум группам.
а в сквиде, самс2, я как понял он добавляет так
acl Sams2Template1 src 192.168.0.10
acl Sams2Template1 src 192.168.0.113
acl Sams2Template1 src 192.168.0.115
acl Sams2Template2 src 192.168.0.116
acl Sams2Template2 src 192.168.0.121
acl Sams2Template2 src 192.168.0.123
а не с*** по группам, как в самсе1. не удобно блин.
и как рулить вот.
или ТЭГ может не правильный ставлю или че.
хотя в под ТЭГ deplay pools, я писал
acl delay_access 1 allow Sams2Template1
и он мне, стерал значение Sams2Template1, после реконфига
а если
delay_access 1 allow localnet
то не трогает его.
сообщить модератору +/– ответить

acl Sams2Template1 src 192 168 0 10acl Sams2Template1 src 192 168 0 113acl Sams2, Alecsandr19912015 (ok), 13:36 , 21-Сен-15 (9)
acl Sams2Template1 src 192.168.0.10
acl Sams2Template1 src 192.168.0.113
acl Sams2Template1 src 192.168.0.115
acl Sams2Template1 src 192.168.0.116
acl Sams2Template1 src 192.168.0.121
acl Sams2Template1 src 192.168.0.122
acl Sams2Template1 src 192.168.0.123
acl Sams2Template1 src 192.168.0.19
acl Sams2Template1 src 192.168.0.192
acl Sams2BlockedUsers src 192.168.0.193
acl Sams2Template1 src 192.168.0.199
acl Sams2Template1 src 192.168.0.202
acl Sams2Template1 src 192.168.0.25
acl Sams2Template1 src 192.168.0.26
acl Sams2Template1 src 192.168.0.5
acl Sams2Template1 src 192.168.0.6
блин реально) если самс2, он так в конфиг сквида писать будет? можно как то дело облегчить?
сообщить модератору +/– ответить

где-то я форумах задавали по этому поводу вопрос разрабам - сказали будет так, BAnAn (?), 13:49 , 21-Сен-15 (11)
>.....
> acl Sams2Template1 src 192.168.0.5
> acl Sams2Template1 src 192.168.0.6
> блин реально) если самс2, он так в конфиг сквида писать будет? можно
> как то дело облегчить?
)) где-то я форумах задавали по этому поводу вопрос разрабам - сказали будет так и баста!

сообщить модератору +/– ответить

gt оверквотинг удален да, так и ставил хотел сделать красиво через порты ти, BAnAn (?), 13:37 , 21-Сен-15 (10)

>[оверквотинг удален]
> а как установить squid 3.3.13 ?
> я на 9.3 пробовал, там же есть из портов squid33, но он
> ругался на установку.
> в дист файле один тип архива был, а качал другой. ну я
> подшаманил.
> изменил в дисте тип архива и кэш суммы подправил.
> скачался\установился\но не зарегистрировался.
> нету этого файла только - basic_db_auth
> думаю щас как это исправить.
> а вы как ставили? из исходников?
да, так и ставил..хотел сделать красиво через порты...типа так - portdowngrade www/squid...не хватило терпения разбираться, в итоге поставил из исходников, что остались у меня в /usr/ports/distfiles. так как я ставил с год назад 3.3.13 а потом вот вдруг решил обновиться до 3.5.5...
ставил cd /usr/ports/distfiles/squid/squid3.3/squid3.3.13
./configure --enable-delay-pools
make all
make install clean
При такой установке он у меня целиком установился в каталог /usr/local/squid
скрипта для запуска в /usr/local/etc/rc.d не оказалось...поэтому запускаю /usr/local/squid/sbin/squid.
Будете ставить попробуйте все-таки версию 3.3.14...а то в у меня в 3.3.13 в cache.log
сыплет WARNING: no_suid: setuid(0): (1) Operation not permitted (http://bugs.squid-cache.org/show_bug.cgi?id=3785), так вродь все работает...но не приятно) мож в 3.3.14 пофиксили..
сообщить модератору +/– ответить

Привет Я собрал связку из актуального на этот момент Squid 3 5 9 и Sams2 с порт, NiXoN (?), 12:11 , 25-Сен-15 (12)
Привет) Я собрал связку из актуального на этот момент Squid 3.5.9 и Sams2 с портов! Измаялся. Да, если устанавливать по хорошему с портов, то нужно скачать исходники, разархивировать, переписать там редиректор, снова заархивировать, положить полученный файл в distfiles и собирать порт, только при этом в make.conf должна присутствовать запись по поводу самса NO_CHEKSUM=yes, сумма то уже не совпадет) Да и хрен с ней) Главное, что собралось всё и работает, да только вот есть одно но... Который день бьюсь, никак не пойму в чем проблема - IE на WinXP никак не хочет проходить ntlm!( Firefox работает, Chrome тоже, а вот "осёл" никак( Путём анализа логов сквида и wireshark обнаружил, что IE не передает имя пользователя и пароль!!! Из за этого обшибка
При получении URL http://mail.ru/ произошла следующая ошибка
Доступ к кэшу запрещён.
Извините, Вы не можете запросить http://mail.ru/ из этого кэша до тех пор, пока не пройдёте аутентификацию.
Please contact the cache administrator if you have difficulties authenticating yourself.
Как победить не знаю...
сообщить модератору +/– ответить

Да, блин, забыл IE начинает работать с ntlm только тогда когда ему галочку в на, NiXoN (?), 12:19 , 25-Сен-15 (13)
Да, блин, забыл! IE начинает работать с ntlm только тогда когда ему галочку в настройка ставить "Использовать HTTP1.1 через прокси соединения. Но, блин, никогда не ставили ничего, а тут на тебе. Это, конечно, выход, но не хороший, нужно другое решение искать.
P/S/ Если кто хочет, я могу выложить архив с самсом кудой-нибудь. Установите у себя тоже с актуальным сквидом, может заработает...
сообщить модератору +/– ответить

Ураааааа Победа Решено Чтоб и IE нтлм нормально проходил собирайте, NiXoN (?), 15:54 , 25-Сен-15 (14)
Ураааааа!!!! Победа!!!!!)))) Решено. Чтоб и IE нтлм нормально проходил собирайте сrвид с опцией LAX_HTTP!
сообщить модератору +/– ответить

кинь файл с нормальным самсом2и опиши ход действия, что ты именно там изменил , Alecsandr19912015 (ok), 17:13 , 28-Сен-15 (15)
> Ураааааа!!!! Победа!!!!!)))) Решено. Чтоб и IE нтлм нормально проходил собирайте сrвид
> с опцией LAX_HTTP!
кинь файл с нормальным самсом2
и опиши ход действия, что ты именно там изменил?
сообщить модератору +/– ответить

Круть Я б хотел попробовать можно на почту или куда вам удобно , BAnAN (?), 09:42 , 30-Сен-15 (16)

> P/S/ Если кто хочет, я могу выложить архив с самсом кудой-нибудь. Установите
> у себя тоже с актуальным сквидом, может заработает...
Круть!
Я б хотел попробовать...можно на почту..или куда вам удобно..

сообщить модератору +/– ответить

плиз, может кто подсказать как реализовать squid3 5 sams2 правильно , Alecsandr1991 (ok), 16:28 , 18-Дек-15 (17)
плиз, может кто подсказать как реализовать squid3.5+sams2 правильно?
сообщить модератору +/– ответить

Squid как обратный прокси,

Валерий, (Squid) 04-Дек-15, 16:07 [⋘ | ☳ | ⋙ | ⚟ ] [линейный вид] [смотреть все] [раскрыть новое]

автоген- ж па- гландыgoogle nginx proxy_pass https, omnomnim (?), 16:30 , 04-Дек-15 (1) +2
автоген->ж*па->гланды
google:// nginx proxy_pass https
сообщить модератору +2 +/– ответить
Подождите, а почему ldap-авторизация невозможна сейчас И по каким критериям был, keir (ok), 20:22 , 05-Дек-15 (2)
> Добрый день.
> Стоит сервер SLES 11 SP4. Подключен один конец в инет, другой в
> локальную сеть. На сервере установлена Zimbra. Если подключаться из локальной сети
> или из инета напрямую все хорошо. Но нужна LDAP авторизация из
> инета
Подождите, а почему ldap-авторизация невозможна сейчас? И по каким критериям было решено, что squid поможет ldap-авторизации?
сообщить модератору +/– ответить

В zimra авторизация через ldap есть и настроена Планируется использование исклю, Sandman_VO (ok), 07:09 , 07-Дек-15 (3)
>> Добрый день.
>> Стоит сервер SLES 11 SP4. Подключен один конец в инет, другой в
>> локальную сеть. На сервере установлена Zimbra. Если подключаться из локальной сети
>> или из инета напрямую все хорошо. Но нужна LDAP авторизация из
>> инета
> Подождите, а почему ldap-авторизация невозможна сейчас? И по каким критериям было решено,
> что squid поможет ldap-авторизации?
В zimra авторизация через ldap есть и настроена. Планируется использование исключительно web интерфейса для почты. Проблема в том, что в zimbra можно либо включить, либо выключить web интерфес. А нужно ограничить доступ с внешки до zimbra. Поэтому и возникла идея обратного прокси. В составе zimbra есть обратный прокси на базе nginx. Беглый просмотр документации показал, что nginx (из коробки) не поддерживает ldap авторизацию, только через внешний модуль, поэтому и возникла идея использовать для этих целей squid.
сообщить модератору +/– ответить

щас у вас тупо со Squid 444 https порта трафик заворачивается на Zimbra порт 844, eRIC (ok), 21:14 , 09-Дек-15 (6)
щас у вас тупо со Squid 444 https порта трафик заворачивается на Zimbra порт 8443(это и есть вебмайл интерфейс Zimbra). вы дальше собираетесь на Squid вешать LDAP авторизацию?
сообщить модератору +/– ответить

И так наковырял кучу информации Мозг кипит, но немного прояснилось 1 Разобралс, Sandman_VO (ok), 14:38 , 07-Дек-15 (4)
И так наковырял кучу информации. Мозг кипит, но немного прояснилось.
1. Разобрался с OpenSSL оказывается стояла версия 0.9.8, которая не поддерживает TLS 1.2 Обновил. Теперь команда openssl s_client - connect ip:8443 отрабатывает нормально и ошибку не дает.
2. В системе продолжает работать также старая версия OpenSSL и удалить ее не могу.
3. Squid 3.5.10 упорно использует библиотеку из старой версии, т.е. libcrypto.so.0.9.8
Ну и вопрос как заставить squid использовать для ssl более новую библиотеку.
сообщить модератору +/– ответить

то что вы обновляли, вы обновляли openssl и только касательно библиотеки openss, eRIC (ok), 21:05 , 09-Дек-15 (5)
> И так наковырял кучу информации. Мозг кипит, но немного прояснилось.
> 1. Разобрался с OpenSSL оказывается стояла версия 0.9.8, которая не поддерживает TLS
> 1.2 Обновил. Теперь команда openssl s_client - connect ip:8443 отрабатывает нормально
> и ошибку не дает.
> 2. В системе продолжает работать также старая версия OpenSSL и удалить ее
> не могу.
> 3. Squid 3.5.10 упорно использует библиотеку из старой версии, т.е. libcrypto.so.0.9.8
> Ну и вопрос как заставить squid использовать для ssl более новую библиотеку.
то что вы обновляли, вы обновляли openssl и только. касательно библиотеки openssl, то нужно обновлять libopenssl1(или openssl1) чтобы приложения могли пользоваться библиотеками openssl
в SLES да используется 0.9.8j если не ошибаюсь версия. если у вас есть SUSE Linux Enterprise Server subscription то можете воспользоваться официальным методом по установки 1.0.X версии этих библиотек: https://www.suse.com/communities/blog/introducing-the-suse-l.../
ну или по крайней мере собирать из исходников squid с нужными всеми опциями
сообщить модератору +/– ответить

Добрый день Всем спасибо Разобрался Основная проблема все таки была в OpenSSL , Sandman_VO (ok), 07:40 , 11-Дек-15 (7)
Добрый день.
Всем спасибо. Разобрался. Основная проблема все таки была в OpenSSL. Обновил все библиотеки и squid (пакет rpm) сам подцепил нужную версию, а дальше просто правила в squid правильно настроил и все заработало как надо. Сейчас сначала запрашивается пароль при обращении к сайту, а дальше идет перенаправление на соответствующий этому сайту внутренний сервер, включая zimbra.
Остался только 1 вопрос(не столь важный, но для самообразования интересно):
В директиве cache-peer есть опция login=PASS. Добиться ее работы мне не удалось. Возможно причина опять же в шифровании. Схема получилась следующая.
https://mail.examle.ru -> запрос пароля squid -> если все хорошо, проброс на https://localnetip:8443 -> страница с авторизацией zimbra.
Т.е. сейчас необходимо 2 раза вводить свои учетные данные. Можно ли как то это подправить, чтобы данные первой авторизации пробрасывались дальше?
сообщить модератору +/– ответить

я ранее и спрашивал про авторизацию на SQUID, вы на нее хотели повесить авториза, eRIC (ok), 19:00 , 12-Дек-15 (8)
> Т.е. сейчас необходимо 2 раза вводить свои учетные данные. Можно ли как
> то это подправить, чтобы данные первой авторизации пробрасывались дальше?
я ранее и спрашивал про авторизацию на SQUID, вы на нее хотели повесить авторизацию?. да в итоге по вашей выбранной схеме у вас две разные независимые точки авторизации, то что хотели то и получили= типа некая двух-факторная авторизация :) :)
в Zimbra можно настроить Preauth или внедрять решения типа SSO/SAML Service Provider/IdP для SQUID и Zimbra
можно было так же поднять nginx для проксирования и передавать нужные ZM_AUTH_TOKEN заголовки для Zimbra. смотрите в сторону Zimbra Proxy
>В директиве cache-peer есть опция login=PASS. Добиться ее работы мне не удалось.
не знаю какая версия у вас Zimbra и были ли изменения авторизации в последних версиях Zimbra, если обычная Bacid Form авторизация то нужно использовать в cache_peer login=PASSTHRU
>Проблема в том, что в zimbra можно либо включить, либо выключить web интерфес. А нужно >ограничить доступ с внешки до zimbra. Поэтому и возникла идея обратного прокси.
опять таки вопрос: зачем нужен был тогда этот каламбур со SQUID если все равно предоставляется доступ до Zimbra? SQUID как файрвольчик :)
сообщить модератору +/– ответить

AD Server 2008 R2 + kerberos + squid-3.5.3 (FreeBSD 86x64 10.0),

ach2ach, (Аутентификация) 23-Ноя-15, 18:01 [⋘ | ☳ | ⋙ | ⚟ ] [линейный вид] [смотреть все] [раскрыть новое]

ошибки в squid при этом регистрируется external_acl_type в squid как прописан i, eRIC (ok), 18:44 , 23-Ноя-15 (1)
ошибки в squid при этом регистрируется?
external_acl_type в squid как прописан? ipv6 используется?
сообщить модератору +/– ответить

ошибок в squid нет, ipv6 не используется dns_v4_first on external_acl_type ldap, ach2ach (ok), 09:34 , 24-Ноя-15 (2) –1
> ошибки в squid при этом регистрируется?
> external_acl_type в squid как прописан? ipv6 используется?
ошибок в squid нет, ipv6 не используется (dns_v4_first on)
external_acl_type ldap_group children-max=30 children-startup=10 children-idle=5 %LOGIN \
    /usr/local/libexec/squid/ext_ldap_group_acl -b "OU=myusr,DC=ad,DC=mydomain,DC=ru" \
    -D "CN=squid_ldap,OU=Proxy,OU=SpecialUsers,DC=ad,DC=mydomain,DC=ru" -W /usr/local/etc/squid/ldap.passwd \
    -f "(&(sAMAccountType=805306368)(sAMAccountName=%u)(memberOf=CN=%a,OU=Proxy,OU=SpecialUsers,DC=ad,DC=mydomain,DC=ru))" \
    -R -K -p 3268 -h ad.mydomain.ru
сообщить модератору –1 +/– ответить

могу посоветовать добавить ttl 120 значение в секундах после ldap_group, для т, eRIC (ok), 07:58 , 26-Ноя-15 (3)
могу посоветовать добавить ttl=120 (значение в секундах) после ldap_group, для того чтобы долго не хранил результат отработки внешнего ACL. попробуйте
сообщить модератору +/– ответить

проблема, по видимому, именно в самой учетной записи в AD т к тестирую так roo, ach2ach (ok), 11:44 , 26-Ноя-15 (4)
> могу посоветовать добавить ttl=120 (значение в секундах) после ldap_group, для того чтобы
> долго не хранил результат отработки внешнего ACL. попробуйте
проблема, по видимому, именно в самой учетной записи в AD. т.к. тестирую так:
root@proxy1:~ # /usr/local/libexec/squid/ext_ldap_group_acl -b "OU=myusr,DC=ad,DC=mydomain,DC=ru" -D "CN=squid_ldap,OU=Proxy,OU=SpecialUsers,DC=ad,DC=mydomain,DC=ru" -W /usr/local/etc/squid/ldap.passwd -f "(&(sAMAccountType=805306368)(sAMAccountName=%u)(memberOf=CN=%a,OU=Proxy,OU=SpecialUsers,DC=ad,DC=mydomain,DC=ru))" -R -K -p 3268 -h ad.mydomain.ru
ввожу соответственно пользователя и группу и получаю ОК
для проблемного пользователя результат ERR, причем создаю другую группу, добавляю в нее проблемного пользователя и результат тот же. ext_ldap_group_acl не видит групп вообще у этого поьзователя.
сообщить модератору +/– ответить

ldapsearch хоть находит ненормального пользователя этими фильтрами в чем разница, eRIC (ok), 12:41 , 26-Ноя-15 (5)
ldapsearch хоть находит ненормального пользователя этими фильтрами?
в чем разница между проблемным пользователем и не проблемным? может учетка expired(или требует сменить пароль и так далее) или какие-то другие свойства учетной записи отличаются от нормальных
сообщить модератору +/– ответить

вроде как ldapsearch не может искать пользователя с условием, что он в определен, ach2ach (ok), 15:35 , 30-Ноя-15 (6)
> ldapsearch хоть находит ненормального пользователя этими фильтрами?
> в чем разница между проблемным пользователем и не проблемным? может учетка expired(или
> требует сменить пароль и так далее) или какие-то другие свойства учетной
> записи отличаются от нормальных
вроде как ldapsearch не может искать пользователя с условием, что он в определенной группе?
сообщить модератору +/– ответить

чего , eRIC (ok), 18:54 , 09-Дек-15 (7)
> вроде как ldapsearch не может искать пользователя с условием, что он в
> определенной группе?
чего?

сообщить модератору +/– ответить

squid 2е авторизации в одной сети,

alanq, (Аутентификация) 29-Ноя-15, 14:34 [⋘ | ☳ | ⋙ | ⚟ ] [линейный вид] [смотреть все] [раскрыть новое]

Я бы не делал на уровне mac, я бы сделална уровне ip Раздать статические ip и п, Павел Самсонов (?), 19:50 , 29-Ноя-15 (1)
> Доброго времени. есть сквид и т.п. все настраивалось через webmin squid работает
> с авторизацией (Внешняя аутентификация ACL External Auth логин+пароль). Возникла потребность
> авторизовать некоторые машины по MAC без запроса логина+пароля. Когда делаю (Ethernet
> Address) и помещаю привило выше первой авторизации, все работает но спустя
> пару мину все начинает дико тормозить, любая страница открывается в течении
> нескольких минут. Скажите как правильно сделать такой вид авторизации? все машины
> находятся в одной сети 192.168.0/24. Сильно не ругайтесь я только учусь
> ). Требуемые логи и т.п. предоставлю, скажите какие. За ранее всем
> спасибо.
Я бы не делал на уровне mac, я бы сделална уровне ip. Раздать статические ip и пустить их без авториации.
сообщить модератору +/– ответить

хорошо, совместить с авторизацией логин пароль для одних пользователей и по ip б, alanq (ok), 20:35 , 29-Ноя-15 (2)

> Я бы не делал на уровне mac, я бы сделална уровне ip.
> Раздать статические ip и пустить их без авториации.
хорошо, совместить с авторизацией логин+пароль для одних пользователей и по ip без пароля и логина других возможно? и как это сделать?
сообщить модератору +/– ответить

поставить разрешающие аксели по IP или MAC выше правил с авторизацией логин паро, ipmanyak (??), 08:50 , 01-Дек-15 (3)
>> Я бы не делал на уровне mac, я бы сделална уровне ip.
>> Раздать статические ip и пустить их без авториации.
> хорошо, совместить с авторизацией логин+пароль для одних пользователей и по ip без
> пароля и логина других возможно? и как это сделать?
поставить разрешающие аксели по IP или MAC выше правил с авторизацией логин+пароль

сообщить модератору +/– ответить

так и сделал после чего спустя некоторое время появляются жуткие тормоза С чем , alanq (ok), 13:16 , 01-Дек-15 (4)

> поставить разрешающие аксели по IP или MAC выше правил с авторизацией логин+пароль
так и сделал после чего спустя некоторое время появляются жуткие тормоза. С чем это может быть связано?

сообщить модератору +/– ответить

Тормоза у вас по другой причине Какого размера кэш на диске выделил Приведи кон, ipmanyak (??), 14:18 , 01-Дек-15 (5)
>> поставить разрешающие аксели по IP или MAC выше правил с авторизацией логин+пароль
> так и сделал после чего спустя некоторое время появляются жуткие тормоза. С
> чем это может быть связано?
Тормоза у вас по другой причине. Какого размера кэш на диске выделил?
Приведи конфиг сквида сюда, но только без каментов.
убрать камменты
grep -v "^#" squid.conf | uniq > squid.conf.txt
squid.conf.txt - сюда

сообщить модератору +/– ответить

auth_param basic program etc webmin squid squid-auth pl etc webmin squid users, alanq (ok), 15:15 , 01-Дек-15 (6)
> Тормоза у вас по другой причине. Какого размера кэш на диске выделил?
> Приведи конфиг сквида сюда, но только без каментов.
> убрать камменты
> grep -v "^#" squid.conf | uniq > squid.conf.txt
> squid.conf.txt  - сюда
auth_param basic program /etc/webmin/squid/squid-auth.pl /etc/webmin/squid/users
auth_param basic children 1500
acl SSL_ports port 443
acl Safe_ports port 80 # http
acl Safe_ports port 21 # ftp
acl Safe_ports port 443 # https
acl Safe_ports port 70 # gopher
acl Safe_ports port 210 # wais
acl Safe_ports port 1025-65535 # unregistered ports
acl Safe_ports port 280 # http-mgmt
acl Safe_ports port 488 # gss-http
acl Safe_ports port 591 # filemaker
acl Safe_ports port 777 # multiling http
acl CONNECT method CONNECT
acl auth proxy_auth REQUIRED
acl mactest arp 00:E0:4D:55:7C:6E 00:E0:4D:55:7A:75
http_access allow localhost manager
http_access deny manager
http_access deny !Safe_ports
http_access deny CONNECT !SSL_ports
http_access allow mactest
http_access allow auth
http_access allow localhost
http_access deny all
http_port 192.168.0.1:3128
http_port 192.168.0.1:3127
cache_mem 1 GB
cache_dir ufs /var/spool/squid3 15000 64 256
coredump_dir /var/spool/squid3
refresh_pattern ^ftp:        1440    20%    10080
refresh_pattern ^gopher:    1440    0%    1440
refresh_pattern -i (/cgi-bin/|\?) 0    0%    0
refresh_pattern (Release|Packages(.gz)*)$      0       20%     2880
refresh_pattern .        0    20%    4320
cache_effective_user proxy
forwarded_for off
cache_effective_group proxy
redirect_program /usr/bin/squidGuard -c /etc/squidguard/squidGuard.conf
сообщить модератору +/– ответить

на всякий вывел grep -v 124 etc squid squid conf 124 grep dns TA, alanq (ok), 18:05 , 01-Дек-15 (7)
на всякий вывел grep -v "^#|^$" /etc/squid*/squid.conf | grep dns
#  TAG: dns_v4_fallback
#  TAG: dns_testnames
#  TAG: positive_dns_ttl    time-units
#    larger than negative_dns_ttl.
# positive_dns_ttl 6 hours
#  TAG: negative_dns_ttl    time-units
# negative_dns_ttl 1 minutes
#  TAG: incoming_dns_average
# incoming_dns_average 4
#  TAG: min_dns_poll_cnt
# min_dns_poll_cnt 8
#  TAG: cache_dns_program
#       --disable-internal-dns
#    Specify the location of the executable for dnslookup process.
# cache_dns_program /usr/lib/squid3/dnsserver
#  TAG: dns_children
#       --disable-internal-dns
# dns_children 32 startup=1 idle=1
#  TAG: dns_retransmit_interval
# dns_retransmit_interval 5 seconds
#  TAG: dns_timeout
# dns_timeout 30 seconds
#  TAG: dns_packet_max
#  TAG: dns_defnames    on|off
#  TAG: dns_nameservers
#    Example: dns_nameservers 10.0.0.1 192.172.0.4 95.154.128.32 78.46.36.8
#dns_nameservers 8.8.8.8 8.8.4.4
#  TAG: dns_v4_first
# dns_v4_first off
#        dns
но что тут не понимаю сори(
сообщить модератору +/– ответить
acl auth_ips src 192 168 0 10 192 168 0 11acl notauth_ips src 192 168 0 20 192 1, eRIC (ok), 12:38 , 04-Дек-15 (8) +1
acl auth_ips src 192.168.0.10 192.168.0.11
acl notauth_ips src 192.168.0.20 192.168.0.30
http_access allow notauth_ips
http_access allow auth auth_ips
notauth_ips - IP адреса для которых не запрашивается логин и пароль
auth_ips - IP адреса для которыx запрашивается пароль.
так же можно не указывая IP адреса в ACL сделать чтобы запрашивался у всех логин и пароль. Для этого сперва в начале списка указываем ACL и https_access которым не нужно запрашивать логин и пароль(auth) и уже потом идет другое правило ACL и https_access c auth для остальных.
http://wiki.squid-cache.org/SquidFaq/SquidAcl читайте как работать с ACL листами
сообщить модератору +1 +/– ответить

а вы не ставили squid 3 5 sams2 редирект-sams на freebsd если ставили, то подел, Alecsandr19912015 (ok), 13:41 , 04-Дек-15 (9)
а вы не ставили squid 3.5+sams2+редирект-sams на freebsd ?
если ставили, то поделитесь пожалуйста информацие, что нужно в портах меняли. чтоб после установки, у него корректно работал редирект-sams.
сообщить модератору +/– ответить

Не режется контент Facebook и некоторые другие сайты,

Ph0b1us, (ACL, блокировки) 10-Ноя-15, 16:05 [⋘ | ☳ | ⋙ | ⚟ ] [линейный вид] [смотреть все] [раскрыть новое]

Полагаю дело в том что данные идут по https, stalker37 (?), 00:19 , 11-Ноя-15 (1)
Полагаю дело в том что данные идут по https
сообщить модератору +/– ответить

Было такое предположение Выходит да, как пишут ниже 2 ipmanyak спасибо, вон о, Ph0b1us (ok), 14:51 , 11-Ноя-15 (5)
> Полагаю дело в том что данные идут по https
Было такое предположение... Выходит да, как пишут ниже.
2 ipmanyak спасибо, вон оказывается что можно поставить свежее версию правда не так просто но реально.

Возвращаясь к теме, встала проблема с картинками в вконтакте, ссылки там имею вид вот такие

http://cs623116.vk.me/v623116349/31707/QlcWen1uNIM.jpg
пробовал прописывать запрет на vk.me не срабатывает,
прописывал через url_regex тоже не режет , точнее он режет если ему указать прям точную ссылку то да, а как прописать диапазон этого хостинга cs.vk.me?
сообщить модератору +/– ответить

даже без учета https никак,встроенные средства, а именно regexpы никак не помогу, fail (?), 19:05 , 11-Ноя-15 (6)
> Возвращаясь к теме, встала проблема с картинками в вконтакте, ссылки там имею
> вид вот такие
> http://cs623116.vk.me/v623116349/31707/QlcWen1uNIM.jpg
> пробовал прописывать запрет на vk.me не срабатывает,
> прописывал через url_regex тоже не режет , точнее он режет если ему
> указать прям точную ссылку то да, а как прописать диапазон этого
> хостинга cs.vk.me?
даже без учета https никак,
встроенные средства, а именно regexpы никак не помогут
поясню на пальцах для сферического урла: http://cs623116.company.tld/v623116349/31707/QlcWen1uNIM.jpg
- cs623116.company.tld => может означать, что для данного диапазона[X0-n] PHPSISSIONID, JPSSESSIONID, etc ресурс для бокового меню (например только - jpg) надо забирать с поддомена cs623116.company.tld
- /v623116349/ => здесь видно некое совпадение спредыдущим пунктом, кроме '349' оно же '0x15D' (чсисло ранее не состояло, не привлекалось и т.д.) => [предсказамус] по числам в неделю, месяц, кол-во недель в году неподхoдит, но по верхней границе меньше числа дней в году, нехай это будет день года[/предсказамус]
- /31707/ - возможно версия(номер ревизии) набора ресурсов из репозитария
- QlcWen1uNIM.jpg => расширение(.jpg) не трогаем, кол-во букв в латинском алфавите 25, умножаем на 2 для двух регистров и добавляем 10 - это будет 60-ричная система исчисления
- допутсим из нек-рых источников известно, что в company.tld все графические материалы(в том числе рекламные) хранятся на дисках в формате departament-productname-id-idskin.jpg, а урлы на них генерируются динамически
- нужно найти такую хэш-функцию (в 60-ричной системе исчисления), которая для departament = advertisment, выдавала имена всех картинок этого департамента

P.S.:
в вышеизложенном сознательно допущены нек-рые опечатки и ошибки, для самостоятельных "копаний и раздумий"
сообщить модератору +/– ответить

gt оверквотинг удален спасибо за столь подробный ответ, поверхностно понималос, Ph0b1us (ok), 22:27 , 11-Ноя-15 (7)
>[оверквотинг удален]
> умножаем на 2 для двух регистров и добавляем 10 - это
> будет 60-ричная система исчисления
> - допутсим из нек-рых источников известно, что в company.tld все графические материалы(в
> том числе рекламные) хранятся на дисках в формате departament-productname-id-idskin.jpg,
> а урлы на них генерируются динамически
> - нужно найти такую хэш-функцию (в 60-ричной системе исчисления), которая для departament
> = advertisment, выдавала имена всех картинок этого департамента
> P.S.:
> в вышеизложенном сознательно допущены нек-рые опечатки и ошибки, для самостоятельных "копаний
> и раздумий"
спасибо за столь подробный ответ, поверхностно понималось что идет генерация этих названий и ссылок...
изначально вообще попробовал сделать так acl vk rep_mime_type -i ^image
да оно вроде стало резать картинки , но оно стало резать не только в vk, а на некоторых других сайтах.
сообщить модератору +/– ответить

ИМО, в нынешние времена проще блокировать по другим критериям - SOURCE ACL LOC, fail (?), 00:50 , 12-Ноя-15 (8)
> изначально вообще попробовал сделать так acl vk rep_mime_type -i ^image
> да оно вроде стало резать картинки , но оно стало резать не
> только в vk, а на некоторых других сайтах.
ИМО,
в нынешние времена проще блокировать по другим критериям:
- SOURCE: ACL LOCAL_VIP 192.168.0.12
- DESTINATION: company.com
- SIZE: по размеру скачиваемого(и то под вопросом ?)

и в принципе все эти потуги с acl и mime
легко обходятся java-script`om и прочими маневрами..
сообщить модератору +/– ответить

Если сайты HTTPS, то это шифрованный туннель и сквид 2 7 не может в нем копаться, ipmanyak (??), 08:22 , 11-Ноя-15 (2)
Если сайты HTTPS, то это шифрованный туннель и сквид 2.7 не может в нем копаться. Чтобы работало то, что вы хотите, то вам нужен сквид новых версий, не ниже, чем 3.1, с поддержкой ssl_bump
http://www.squid-cache.org/Doc/config/ssl_bump/
http://wiki.squid-cache.org/ConfigExamples/Intercept/SslBump...
сообщить модератору +/– ответить

How to Install Squid 3 5 on Windows 64 bithttp squid diladele com , ipmanyak (??), 08:42 , 11-Ноя-15 (3)
How to Install Squid 3.5 on Windows 64 bit
http://squid.diladele.com/ &nbs...
http://docs.diladele.com/tutorials/installing_squid_windows/...
how to install squid 3.3 on windows ( 32 или 64 бит через CYGWIN)
http://wiki.squid-cache.org/SquidFaq/BinaryPackages#Knowledg...
http://superuser.com/questions/622582/how-to-install-squid-3...

сообщить модератору +/– ответить

ссылка нерпвилаьная выше - http squid diladele com https cygwin com index ht, ipmanyak (??), 08:44 , 11-Ноя-15 (4)
ссылка нерпвилаьная выше - http://squid.diladele.com/
https://cygwin.com/index.html
сообщить модератору +/– ответить

SQUID в режиме каскад и мультикаст,

vfp7, (Squid) 27-Окт-15, 13:59 [⋘ | ☳ | ⋙ | ⚟ ] [линейный вид] [смотреть все] [раскрыть новое]

Очень сомневаюсь, что этими параметрами вы решите свою проблему Лично я бы посту, ipmanyak (??), 14:47 , 28-Окт-15 (1)
> Как я думаю нужно подобрать директивы cache_peer, never_direct и т.п. с правильными
> параметрами.
Очень сомневаюсь, что этими параметрами вы решите свою проблему.
Лично я бы поступил так. В "Офис" сквид с двумя/тремя конфигами, которые различаются только тэгом tcp_outgoing_address, в котором указываете IP адреса ЕГО интерфейсов через которые он должен слать пакеты.
Каким-либо скриптом по крону проверяете пингом доступность прова и перезапускаете сквид с другим конфигом, что то типа:
squid -f /etc/squid/my_squid2.conf
сообщить модератору +/– ответить
Можно решить вопрос и по другому без сквида, резервированием каналов через iporo, ipmanyak (??), 14:51 , 28-Окт-15 (2)
Можно решить вопрос и по другому без сквида, резервированием каналов через iporoute2, маршрутизация по источнику.
сообщить модератору +/– ответить
Два канала в InternetКак организовать избыточные соединения с двумя провайдерами, ipmanyak (??), 14:55 , 28-Окт-15 (3)
Два канала в Internet
Как организовать избыточные соединения с двумя провайдерами Internet по разным каналам с помощью Linux. Синн Хердеюрген
http://www.osp.ru/lan/2002/05/136078/
2 и более провайдера
Тонкости настройки Linux при подключении к двум и более провайдерам
http://www.opennet.dev/tips/2009_policy_route_linux.shtml
Два провайдера скрипт
http://forum.ru-board.com/topic.cgi?forum=65&topic=2349&star...
сообщить модератору +/– ответить

Скрипт переключения на резервный канал интернетаhttp serkas pp ru index php pa, ipmanyak (??), 14:57 , 28-Окт-15 (4)
> Два канала в Internet
> Как организовать избыточные соединения с двумя провайдерами Internet по разным каналам
> с помощью Linux. Синн Хердеюрген
> http://www.osp.ru/lan/2002/05/136078/
> 2 и более провайдера
> Тонкости настройки Linux при подключении к двум и более провайдерам
> http://www.opennet.dev/tips/2009_policy_route_linux.shtml
> Два провайдера скрипт
> http://forum.ru-board.com/topic.cgi?forum=65&topic=2349&star...
Скрипт переключения на резервный канал интернета
http://serkas.pp.ru/index.php/pamyatki-zapiski-poleznyie-ssy.../

сообщить модератору +/– ответить

Разные подсети на Proxy,

sdi, (Разное) 10-Сен-15, 10:41 [⋘ | ☳ | ⋙ | ⚟ ] [линейный вид] [смотреть все] [раскрыть новое]

ответьте на вопрос как вы два филиала 192 168 128 1 19 и 192 168 130 193 26 сое, eRIC (ok), 11:17 , 10-Сен-15 (1)
> Может надо какое то правило в iptables добавить?
> Помогите разобраться...
ответьте на вопрос как вы два филиала 192.168.128.1/19 и 192.168.130.193/26 соединили? как вы говорите "роутер" это ваш мост между сетями? этот ваш промежуточный роутер имеет доступ в обе сети?
правильно будет валится, потому что он его на шлюз по умолчанию отправляет, а там такой сети нет.
прокси сервер должен знать о наличии 192.168.130.193/26 сети и отправлять пакет на ваш "роутер"(т.е. мост который соединяет две сети)
сообщить модератору +/– ответить
gt оверквотинг удален Для начала добейтесь что бы компьютеры из филиала увидел, vfp7 (ok), 14:08 , 27-Окт-15 (2)
>[оверквотинг удален]
> eth0 - смотрит в инет
> eth1 - в локалку. имеет адрес 192.168.128.1/19
> Появилась необходимость пускать через прокси других людей из другого филиала.
> Так вот, поставили там роутер, на роутере ip 192.168.130.193/26
> Проблема в следующем, с роутера из филиала я пингую 192.168.128.1, а вот
> с прокси адрес 192.168.130.193 не проходит.
> Делаю с proxy traceroute 192.168.130.193 завершается на первом шаге и дальше ничего
> не показывает.
> Может надо какое то правило в iptables добавить?
> Помогите разобраться...
Для начала добейтесь что бы компьютеры из филиала увидели сервер где крутится SQUID.
Судя по всему Вы пытаетесь сквозь два роутера пробиться к SQUID.
Если так, то настройте проброс порта 3128 (по умолчанию) на роутере где стоит SQUID с WAN на LAN на ip адрес сервера SQUID.
И в SQUID пропишите правило разрешающее доступ с ip роутера филиала.
(Не забудьте прописать правила firewall на роутере где будет проброс порта, для исключения присосавшихся пиявок, а в идеале и порт проброски со стороны WAN сделайте отличным от популярных, для исключения сканов портов)
сообщить модератору +/– ответить

Squid не открывает страницы,

Алексей, (Squid) 13-Окт-15, 11:44 [⋘ | ☳ | ⋙ | ⚟ ] [линейный вид] [смотреть все] [раскрыть новое]

access логах squid есть данные что коннекты поступали да может мешать работать,, eRIC (ok), 11:56 , 13-Окт-15 (1)
> На этом же сервере установлена еще одна прокся, TrafficInspector, но настроен он
> на другой порт, 3128.
> может ли он мешать работе? (хотя когда то настраивал squid совместно с
> usergate и нормально работало)
access логах squid есть данные что коннекты поступали?
да. может мешать работать, потому что TI может работать как прозрачный прокси тоже и рубит все коннекты. там есть понятие авторизованные пользователи и не авторизованные пользователи, кратко говоря, не заведенные в TI пользователи(IP, MAC и т.д. и т.п.)
так как squid настроен 8080 порт, в TI вам нужно разрешить/правило для вашей сети обращаться на сервер TI, чтобы они могли пользоваться 8080 портом на нем, где squid прокси уже будет рулить

сообщить модератору +/– ответить

Разобрался с ТИ, оказывается он слушал порт 8080 и отвечал Проблема теперь друга, Алексей (??), 13:21 , 13-Окт-15 (2)
Разобрался с ТИ, оказывается он слушал порт 8080 и отвечал.
Проблема теперь другая, запускаю службу, squid какое то время (минут 5-10) работает и перестает внезапно отвечать на запросы. перезапуск службы не помогает, только перезапуск сервера.
сообщить модератору +/– ответить

скорее всего падает squid, а открытый им порт остается в системе, потому и прихо, eRIC (ok), 13:30 , 13-Окт-15 (3)
> Разобрался с ТИ, оказывается он слушал порт 8080 и отвечал.
> Проблема теперь другая, запускаю службу, squid какое то время (минут 5-10) работает
> и перестает внезапно отвечать на запросы. перезапуск службы не помогает, только
> перезапуск сервера.
скорее всего падает squid, а открытый им порт остается в системе, потому и приходится перезагружаться. логи squid и Event логи системы что говорят по этому поводу?

сообщить модератору +/– ответить

В логах ничего нет сервер продолжает работать, но отвечает только на запросы ло, Алексей (??), 15:02 , 13-Окт-15 (4)
>> Разобрался с ТИ, оказывается он слушал порт 8080 и отвечал.
>> Проблема теперь другая, запускаю службу, squid какое то время (минут 5-10) работает
>> и перестает внезапно отвечать на запросы. перезапуск службы не помогает, только
>> перезапуск сервера.
> скорее всего падает squid, а открытый им порт остается в системе, потому
> и приходится перезагружаться. логи squid и Event логи системы что говорят
> по этому поводу?
В логах ничего нет. сервер продолжает работать, но отвечает только на запросы локального компа, где установлен. служба работает, логи пишутся.
пробовал запустить не службой, а приложением реакция та же, приложение работает, браузер гуляет по инету, но только на самом серваке. внешние не получают ответа от сервера.
сообщить модератору +/– ответить

TI не блокирует их для чистоты эксперимента, в TI нужно выставить в настройках , eRIC (ok), 06:36 , 14-Окт-15 (5)
> В логах ничего нет. сервер продолжает работать, но отвечает только на запросы
> локального компа, где установлен. служба работает, логи пишутся.
> пробовал запустить не службой, а приложением реакция та же, приложение работает, браузер
> гуляет по инету, но только на самом серваке. внешние не получают
> ответа от сервера.
TI не блокирует их? для чистоты эксперимента, в TI нужно выставить в настройках "Блокировать внешнюю сеть при остановке службы программы" и остановить сервис TI. Далее проверить как работает squid

сообщить модератору +/– ответить

Нашел У ТИ есть функция блокирования пользователя если он пускает трафик по друг, Алексей (??), 07:39 , 15-Окт-15 (6)
>> В логах ничего нет. сервер продолжает работать, но отвечает только на запросы
>> локального компа, где установлен. служба работает, логи пишутся.
>> пробовал запустить не службой, а приложением реакция та же, приложение работает, браузер
>> гуляет по инету, но только на самом серваке. внешние не получают
>> ответа от сервера.
> TI не блокирует их? для чистоты эксперимента, в TI нужно выставить в
> настройках "Блокировать внешнюю сеть при остановке службы программы" и остановить сервис
> TI. Далее проверить как работает squid
Нашел!
У ТИ есть функция блокирования пользователя если он пускает трафик по другому порту в обход ТИ, т.е. он не просто авторизирует пользователей и пускает их в интернет, но и следит за ними все остальное время, чтоб они не ушли на сторону. кароч разрешил ходить в обход прокси и все заработало.
сообщить модератору +/– ответить

а вы что думали, ТИ позволит пройти мимо его если в ТИ нет никаких настроек и, eRIC (ok), 08:49 , 15-Окт-15 (7)
> Нашел!
> У ТИ есть функция блокирования пользователя если он пускает трафик по другому
> порту в обход ТИ, т.е. он не просто авторизирует пользователей и
> пускает их в интернет, но и следит за ними все остальное
> время, чтоб они не ушли на сторону. кароч разрешил ходить в
> обход прокси и все заработало.
а вы что думали, ТИ позволит пройти мимо его :) если в ТИ нет никаких настроек и данных о компьютере, комп на лево не уйдет :))

сообщить модератору +/– ответить

SquidNT 2.7 не работает аутентификация,

Kudrin, (Аутентификация) 01-Окт-15, 14:04 [⋘ | ☳ | ⋙ | ⚟ ] [линейный вид] [смотреть все] [раскрыть новое]

Всё так , Hammer (ok), 21:56 , 04-Окт-15 (1)
Всё так...
сообщить модератору +/– ответить
строку acl localnet proxy_auth ReQUIRED src 10 9 8 0 измениsrc 10 9 8 0 - э, ipmanyak (??), 15:45 , 08-Окт-15 (2)
строку acl localnet proxy_auth ReQUIRED src 10.9.8.0   # измени
src 10.9.8.0  - это убери
напиши вот так:
acl localnet proxy_auth REQUIRED
# СИНТАКСИС больших и маленьких букв может быть важен, так как в винду портировано из юниксов.
Если не заработает, попробуй явно указать твой домен в акселе:
acl InetUsers external NT_global_group краткое_имя_домена\\InternetUsers
где InternetUsers - это группа в AD
Если снова не работает, копай cache_log, возможно уровень дебага в конфиге сквида надо будет поставить побольше.
У нас доменные группы работают, но сквид под линуксом, и хелпер юзается другой
===============
auth_param ntlm program /usr/bin/ntlm_auth --helper-protocol=squid-2.5-ntlmssp
auth_param ntlm children 30
auth_param ntlm keep_alive on
auth_param basic program /usr/bin/ntlm_auth --helper-protocol=squid-2.5-basic
auth_param basic children 5
auth_param basic realm Squid proxy-caching web server
auth_param basic credentialsttl 2 hours
auth_param basic casesensitive off
authenticate_ttl 1 hour
external_acl_type NT_Group children=12 %LOGIN /usr/lib64/squid/wbinfo_group.pl
# TRANS - трастовый домен, для соседей
acl FastInternet external NT_Group TRANS\\fast_internet
acl SlowInternet external NT_Group TRANS\\slow_internet
#  это для нашего домена
acl FastInternetME external NT_Group fast_internet
acl SlowInternetME external NT_Group slow_internet

=========================
сообщить модератору +/– ответить

хотя нет, хелпер вроде тот же - ntlm_auth, ipmanyak (??), 15:51 , 08-Окт-15 (3)
хотя нет, хелпер вроде тот же - ntlm_auth
сообщить модератору +/– ответить

спасибо за помошь, получилось настроить самому вот конфигурация Адрес прок, Kudrin (ok), 11:38 , 12-Окт-15 (4)
> хотя нет, хелпер вроде тот же - ntlm_auth
спасибо за помошь, получилось настроить самому))) вот конфигурация

#===Адрес прокси===
http_port 3128
dns_nameservers 192.168.1.13 192.168.1.14
#===Отображаемое имя прокси===
visible_hostname proxy
auth_param ntlm program c:/squid/libexec/mswin_ntlm_auth.exe
auth_param ntlm children 5
auth_param ntlm keep_alive on
external_acl_type AD_global_group %LOGIN c:/squid/libexec/mswin_check_ad_group.exe -G
external_acl_type NT_local_group %LOGIN c:/squid/libexec/mswin_check_ad_group.exe
#Группы доступа из AD
#С полным доступом
acl Full_access external AD_global_group squid_access_full
#С обычным доступом
acl Normal_access external AD_global_group squid_access_normal
#Без доступа в интернет
acl Deny_access external AD_global_group squid_access_deny

acl all src 0.0.0.0/0.0.0.0
#Черный список сайтов
acl Black_list url_regex "c:/squid/etc/acl/Black.sites.acl"
#Локальная сеть
acl LAN src 192.168.1.0/24
acl trusted proxy_auth REQUIRED
#Доступ в интернет закрыт
http_access deny trusted Deny_access
#Доступ c ограниченным списком сайтов
http_access deny trusted Normal_access Black_list
http_access allow trusted Normal_access
#Полный доступ в интернет
http_access allow trusted Full_access
http_access deny all
cache_mem 50 MB
cache_store_log none
сообщить модератору +/– ответить

Squid and 1067 error,

BoJIbtpoH, (Squid) 27-Сен-15, 17:37 [⋘ | ☳ | ⋙ | ⚟ ] [линейный вид] [смотреть все] [раскрыть новое]

gt оверквотинг удален создай log каталог - c squid var log, ipmanyak (??), 08:25 , 28-Сен-15 (1)
>[оверквотинг удален]
> #acl deny
> http_access deny all
> #cache memory
> cache_meme 64 MB
> cache_dir ufs c:/squid/var/cache 1000 16 256
> далее в cmd пишем SQUID_HOME\sbin\squid -z
> далее в cmd пишем SQUID_HOME\sbin\squid -i
> далее в cmd пишем net start squid
> Вся эта штука работает в СПД компании, я штатный сотрудник, а не
> админ. Поэтому как настроен циско агент и прокси я не знаю.
создай log каталог - c:\squid\var\log

сообщить модератору +/– ответить
сквид как службу установил squid -f путь_к_squid conf -n SquidVERSION , ipmanyak (??), 08:31 , 28-Сен-15 (2)
сквид как службу установил?
squid -f путь_к_squid.conf -n "SquidVERSION"

сообщить модератору +/– ответить

сначала была проблема с DNS2015 09 28 08 52 18 124 Performing DNS Tests FATA, BoJIbtpoH (ok), 10:33 , 28-Сен-15 (3)
сначала была проблема с DNS
2015/09/28 08:52:18| Performing DNS Tests...
FATAL: ipcache_init: DNS name lookup tests failed.
net start squid -D не помогал я написал в конфиге dns_testnames localhost
служба запустилась, только выхода в сеть у меня всеравно нет. Я напомню на компе стоит cisco NAC agent.
вот сетевые настройки этого компа
бва®©Є Їа®в®Є®« IP ¤«п Windows
   DNS-бгддЁЄб Ї®¤Є«озҐЁп . . . . . :
   IPv4- ¤аҐб. . . . . . . . . . . . : 10.200.3.184(Ћб®ў®©)
   Њ бЄ Ї®¤бҐвЁ . . . . . . . . . . : 255.255.254.0
   ЂаҐ¤ Ї®«гзҐ . . . . . . . . . . : 28 бҐвпЎап 2015 Ј. 8:43:00
   ‘а®Є аҐ¤л ЁбвҐЄ Ґв. . . . . . . . . . : 8 ®ЄвпЎап 2015 Ј. 8:42:59
   Ћб®ў®© и«о§. . . . . . . . . : 10.200.3.250
   DHCP-бҐаўҐа. . . . . . . . . . . : 10.200.1.82
   DNS-бҐаўҐал. . . . . . . . . . . : 10.200.1.106
                                       10.200.1.107
   Ћб®ў®© WINS-бҐаўҐа. . . . . . . : 10.200.1.126
   „®Ї®«ЁвҐ«мл© WINS-бҐаўҐа. . . . . . : 10.200.1.124
   NetBios зҐаҐ§ TCP/IP. . . . . . . . : ‚Є«озҐ
вот конфиг:
http_port 3128
visible_hostname localhost
acl user src 10.200.11.0/24
acl all src 0.0.0.0/0.0.0.0
#cache_peer 195.64.212.133 parent 1324 0 proxy-only #прокс провайдера
#cache_peer_access 195.64.212.133 allow localhost
#cache_peer_access 195.64.212.133 deny all
#prefer_direct off
http_access allow user
http_access deny all
#mime_table C:/squid/etc/mime.conf
#unlinkd_program C:/squid/libexec/unlinkd.exe
#icon_directory C:/squid/share/icons
#error_directory C:/squid/share/errors/English
#dns_nameservers 10.77.48.33 10.77.48.49
#cache_meme 64 MB
#cache_dir ufs c:/squid/var/cache 1000 16 256
#cache_access_log C:/squid/var/logs/access.log
#cache_log C:/squid/var/logs/cache.log
#cache_store_log C:/squid/var/logs/store.log
dns_testnames localhost
далее в сетевых настроек браузера стоит галка использовать сценарий автоматической настройки и там адресс прокси cisco.
вот лог acsecc:
1443423779.781      2 10.200.11.149 TCP_MISS/504 1496 GET http://yandex.ru/ - DIRECT/yandex.ru text/html
1443423779.855      2 10.200.11.149 TCP_MISS/504 1518 GET http://yandex.ru/favicon.ico - DIRECT/yandex.ru text/html
1443423780.604      1 10.200.11.149 TCP_MISS/504 1496 GET http://yandex.ru/ - DIRECT/yandex.ru text/html
1443423780.719      2 10.200.11.149 TCP_MISS/504 1518 GET http://yandex.ru/favicon.ico - DIRECT/yandex.ru text/html
1443423781.058      1 10.200.11.149 TCP_MISS/504 1496 GET http://yandex.ru/ - DIRECT/yandex.ru text/html
1443423781.133      2 10.200.11.149 TCP_MISS/504 1518 GET http://yandex.ru/favicon.ico - DIRECT/yandex.ru text/html
1443423781.302      1 10.200.11.149 TCP_MISS/504 1496 GET http://yandex.ru/ - DIRECT/yandex.ru text/html
1443423781.361      1 10.200.11.149 TCP_MISS/504 1518 GET http://yandex.ru/favicon.ico - DIRECT/yandex.ru text/html
1443423781.485      1 10.200.11.149 TCP_MISS/504 1496 GET http://yandex.ru/ - DIRECT/yandex.ru text/html
1443423781.568      2 10.200.11.149 TCP_MISS/504 1518 GET http://yandex.ru/favicon.ico - DIRECT/yandex.ru text/html
1443423781.652      1 10.200.11.149 TCP_MISS/504 1496 GET http://yandex.ru/ - DIRECT/yandex.ru text/html
1443423781.714      2 10.200.11.149 TCP_MISS/504 1518 GET http://yandex.ru/favicon.ico - DIRECT/yandex.ru text/html
1443423781.784      1 10.200.11.149 TCP_MISS/504 1496 GET http://yandex.ru/ - DIRECT/yandex.ru text/html
1443423781.859      2 10.200.11.149 TCP_MISS/504 1518 GET http://yandex.ru/favicon.ico - DIRECT/yandex.ru text/html
1443423782.081      0 10.200.11.149 TCP_MISS/504 1496 GET http://yandex.ru/ - DIRECT/yandex.ru text/html
1443423782.158      1 10.200.11.149 TCP_MISS/504 1518 GET http://yandex.ru/favicon.ico - DIRECT/yandex.ru text/html
1443423782.221      1 10.200.11.149 TCP_MISS/504 1496 GET http://yandex.ru/ - DIRECT/yandex.ru text/html
1443423782.277      2 10.200.11.149 TCP_MISS/504 1518 GET http://yandex.ru/favicon.ico - DIRECT/yandex.ru text/html
1443423782.353      1 10.200.11.149 TCP_MISS/504 1496 GET http://yandex.ru/ - DIRECT/yandex.ru text/html
1443423782.447      2 10.200.11.149 TCP_MISS/504 1518 GET http://yandex.ru/favicon.ico - DIRECT/yandex.ru text/html
1443423782.519      1 10.200.11.149 TCP_MISS/504 1496 GET http://yandex.ru/ - DIRECT/yandex.ru text/html
1443423782.578      2 10.200.11.149 TCP_MISS/504 1518 GET http://yandex.ru/favicon.ico - DIRECT/yandex.ru text/html
1443423782.674      1 10.200.11.149 TCP_MISS/504 1496 GET http://yandex.ru/ - DIRECT/yandex.ru text/html
1443423782.757      2 10.200.11.149 TCP_MISS/504 1518 GET http://yandex.ru/favicon.ico - DIRECT/yandex.ru text/html
1443423782.809      1 10.200.11.149 TCP_MISS/504 1496 GET http://yandex.ru/ - DIRECT/yandex.ru text/html
1443423782.935      2 10.200.11.149 TCP_MISS/504 1518 GET http://yandex.ru/favicon.ico - DIRECT/yandex.ru text/html
1443423782.960      1 10.200.11.149 TCP_MISS/504 1496 GET http://yandex.ru/ - DIRECT/yandex.ru text/html
1443423783.044      2 10.200.11.149 TCP_MISS/504 1518 GET http://yandex.ru/favicon.ico - DIRECT/yandex.ru text/html
1443423783.110      1 10.200.11.149 TCP_MISS/504 1496 GET http://yandex.ru/ - DIRECT/yandex.ru text/html
1443423783.188      2 10.200.11.149 TCP_MISS/504 1518 GET http://yandex.ru/favicon.ico - DIRECT/yandex.ru text/html
1443423783.270      1 10.200.11.149 TCP_MISS/504 1496 GET http://yandex.ru/ - DIRECT/yandex.ru text/html
1443423783.351      2 10.200.11.149 TCP_MISS/504 1518 GET http://yandex.ru/favicon.ico - DIRECT/yandex.ru text/html
1443423783.437      1 10.200.11.149 TCP_MISS/504 1496 GET http://yandex.ru/ - DIRECT/yandex.ru text/html
1443423783.509      2 10.200.11.149 TCP_MISS/504 1518 GET http://yandex.ru/favicon.ico - DIRECT/yandex.ru text/html
1443423783.548      1 10.200.11.149 TCP_MISS/504 1496 GET http://yandex.ru/ - DIRECT/yandex.ru text/html
1443423783.625      2 10.200.11.149 TCP_MISS/504 1518 GET http://yandex.ru/favicon.ico - DIRECT/yandex.ru text/html
1443423783.930      1 10.200.11.149 TCP_MISS/504 1496 GET http://yandex.ru/ - DIRECT/yandex.ru text/html
1443423783.977      2 10.200.11.149 TCP_MISS/504 1518 GET http://yandex.ru/favicon.ico - DIRECT/yandex.ru text/html
1443423784.097      1 10.200.11.149 TCP_MISS/504 1496 GET http://yandex.ru/ - DIRECT/yandex.ru text/html
1443423784.150      1 10.200.11.149 TCP_MISS/504 1518 GET http://yandex.ru/favicon.ico - DIRECT/yandex.ru text/html
1443423784.381      1 10.200.11.149 TCP_MISS/504 1496 GET http://yandex.ru/ - DIRECT/yandex.ru text/html
1443423784.500      2 10.200.11.149 TCP_MISS/504 1518 GET http://yandex.ru/favicon.ico - DIRECT/yandex.ru text/html
1443423784.543      1 10.200.11.149 TCP_MISS/504 1496 GET http://yandex.ru/ - DIRECT/yandex.ru text/html
1443423784.624      2 10.200.11.149 TCP_MISS/504 1518 GET http://yandex.ru/favicon.ico - DIRECT/yandex.ru text/html
1443423784.732      1 10.200.11.149 TCP_MISS/504 1496 GET http://yandex.ru/ - DIRECT/yandex.ru text/html
1443423784.818      2 10.200.11.149 TCP_MISS/504 1518 GET http://yandex.ru/favicon.ico - DIRECT/yandex.ru text/html
1443423784.856      1 10.200.11.149 TCP_MISS/504 1496 GET http://yandex.ru/ - DIRECT/yandex.ru text/html
1443423784.937      1 10.200.11.149 TCP_MISS/504 1518 GET http://yandex.ru/favicon.ico - DIRECT/yandex.ru text/html
1443423785.003      1 10.200.11.149 TCP_MISS/504 1496 GET http://yandex.ru/ - DIRECT/yandex.ru text/html
1443423785.082      2 10.200.11.149 TCP_MISS/504 1518 GET http://yandex.ru/favicon.ico - DIRECT/yandex.ru text/html
1443423785.156      1 10.200.11.149 TCP_MISS/504 1496 GET http://yandex.ru/ - DIRECT/yandex.ru text/html
1443423785.199      1 10.200.11.149 TCP_MISS/504 1518 GET http://yandex.ru/favicon.ico - DIRECT/yandex.ru text/html
1443423785.313      1 10.200.11.149 TCP_MISS/504 1496 GET http://yandex.ru/ - DIRECT/yandex.ru text/html
1443423785.390      2 10.200.11.149 TCP_MISS/504 1518 GET http://yandex.ru/favicon.ico - DIRECT/yandex.ru text/html
1443423785.442      1 10.200.11.149 TCP_MISS/504 1496 GET http://yandex.ru/ - DIRECT/yandex.ru text/html
1443423785.497      2 10.200.11.149 TCP_MISS/504 1518 GET http://yandex.ru/favicon.ico - DIRECT/yandex.ru text/html
1443423785.562      1 10.200.11.149 TCP_MISS/504 1496 GET http://yandex.ru/ - DIRECT/yandex.ru text/html
1443423785.608      2 10.200.11.149 TCP_MISS/504 1518 GET http://yandex.ru/favicon.ico - DIRECT/yandex.ru text/html
1443423785.694      1 10.200.11.149 TCP_MISS/504 1496 GET http://yandex.ru/ - DIRECT/yandex.ru text/html
1443423785.753      2 10.200.11.149 TCP_MISS/504 1518 GET http://yandex.ru/favicon.ico - DIRECT/yandex.ru text/html
1443423827.069      1 10.200.11.149 TCP_MISS/504 1496 GET http://yandex.ru/ - DIRECT/yandex.ru text/html
это то как я пытаюсь ломиться с др компа на котором нет прокси на проксю которая стоит там же где cisco agent. Соответсво настроено на стороне клиента все верно. Вообще можно такую штуку сделать или нет? есть смысл пробовать? или же если не знать как устроен циско прокси нет смысла пробовать?
сообщить модератору +/– ответить

squid добавляет символ при авторизации,

VladimirM, (Аутентификация) 17-Сен-15, 09:31 [⋘ | ☳ | ⋙ | ⚟ ] [линейный вид] [смотреть все] [раскрыть новое]

чем бекап производили конфиги squid а проверяли получается что когда squid работ, eRIC (ok), 13:53 , 18-Сен-15 (1)
> Подскажите, squid работает на hyper-v. Останвил виртуалку, забэкапил виртуальный диск,
> запустил виртуалку. После этих действий squid при авторизации в ad пользователей
> стал добавлять ко всем символы "5c". Выглядит это вот так:
> ...sAMAccountName=DOMAIN\5cUser...
> С чем это может быть связано.
чем бекап производили?
конфиги squid'а проверяли?
получается что когда squid работал он работал одним конфигурационным файлов squid.conf, но кто-то конфигурационный файл правил но squid не перегружал(мало ли что, файл открытый остался, нажали нечайно кнопки что вписалось в конфиг), после того как вы заново включили виртуалку, squid запустился и считал эти настройки.
сообщить модератору +/– ответить

gt оверквотинг удален Скорее всего да, на глаз не нашел правок в конфиге, но х, VladimirM (?), 17:54 , 18-Сен-15 (2)
>[оверквотинг удален]
>> стал добавлять ко всем символы "5c". Выглядит это вот так:
>> ...sAMAccountName=DOMAIN\5cUser...
>> С чем это может быть связано.
> чем бекап производили?
> конфиги squid'а проверяли?
> получается что когда squid работал он работал одним конфигурационным файлов squid.conf,
> но кто-то конфигурационный файл правил но squid не перегружал(мало ли что,
> файл открытый остался, нажали нечайно кнопки что вписалось в конфиг), после
> того как вы заново включили виртуалку, squid запустился и считал эти
> настройки.
Скорее всего да, на глаз не нашел правок в конфиге, но хорошо, что был бэкап рабочего конфига, загрузил его, перезагрузил squid восстановилось. Странно, но в строках, отвечающих за авторизацию никаких правок не нашел.
сообщить модератору +/– ответить

Тормоза на squid,

airstom, (Squid) 15-Сен-15, 21:23 [⋘ | ☳ | ⋙ | ⚟ ] [линейный вид] [смотреть все] [раскрыть новое]

Вам не кажется, что дисковый кэш в 10 ГБ это многовато Имхо ваш сквид занимаетс, ipmanyak (??), 14:57 , 16-Сен-15 (1)
> cache_dir ufs /var/spool/squid 10000 16 256
Вам не кажется, что дисковый кэш в 10 ГБ это многовато? Имхо ваш сквид занимается вводом-выводом диска вместо отдачи контента, то бишь чтением индексов кэша и самого кэша. Если у вас трафик прова безлимитный, то я бы советовал вообще отключить дисковый кэш. В свое давнее время анализировал эффективность дискового кэша, она была мизерной 3-6%.

сообщить модератору +/– ответить

Пробовал, вот таким макаром cache_mem 8 GBmaximum_object_size_in_memory 512 KBme, airstom (ok), 15:49 , 16-Сен-15 (2)
>> cache_dir ufs /var/spool/squid 10000 16 256
> Вам не кажется, что дисковый кэш в 10 ГБ это многовато? Имхо
> ваш сквид занимается вводом-выводом диска вместо отдачи контента, то бишь чтением
> индексов кэша и самого кэша. Если у вас трафик прова безлимитный,
> то я бы советовал вообще отключить дисковый кэш. В свое давнее
> время анализировал эффективность дискового кэша, она была мизерной 3-6%.
Пробовал, вот таким макаром:
cache_mem 8 GB
maximum_object_size_in_memory 512 KB
memory_replacement_policy heap GDSF
cache_dir ufs /var/spool/squid 10000 16 256
cache deny all
maximum_object_size 512 KB
Но результатов - никаких.
сообщить модератору +/– ответить

gt оверквотинг удален Попробуй строчку cache_dir null dev nullза место этой , Ano (?), 17:01 , 16-Сен-15 (3)
>[оверквотинг удален]
>> то я бы советовал вообще отключить дисковый кэш. В свое давнее
>> время анализировал эффективность дискового кэша, она была мизерной 3-6%.
> Пробовал, вот таким макаром:
> cache_mem 8 GB
> maximum_object_size_in_memory 512 KB
> memory_replacement_policy heap GDSF
> cache_dir ufs /var/spool/squid 10000 16 256
> cache deny all
> maximum_object_size 512 KB
> Но результатов - никаких.
Попробуй строчку: cache_dir null /dev/null
за место этой: cache_dir ufs /var/spool/squid 10000 16 256
сообщить модератору +/– ответить

Спасибо за идею, но я squid ставил с базового репозитория То есть не пересобира, airstom (ok), 19:14 , 16-Сен-15 (4)
> Попробуй строчку: cache_dir null /dev/null
> за место этой: cache_dir ufs /var/spool/squid 10000 16 256
Спасибо за идею, но я squid ставил с базового репозитория. То есть не пересобирал его.
На строку cache_dir null /dev/null ругается. Надо пересобирать squid.
:-)
сообщить модератору +/– ответить

попробуй сменить тип формата дискового кэша, ufs старый формат, почитай про друг, ipmanyak (??), 07:04 , 17-Сен-15 (5)
>> Попробуй строчку: cache_dir null /dev/null
>> за место этой: cache_dir ufs /var/spool/squid 10000 16 256
> Спасибо за идею, но я squid ставил с базового репозитория. То есть
> не пересобирал его.
> На строку cache_dir null /dev/null ругается. Надо пересобирать squid.
> :-)
попробуй сменить тип формата дискового кэша, ufs старый формат, почитай про другие форматы:
http://www.squid-cache.org/Doc/config/cache_dir/
сообщить модератору +/– ответить
What sort of things impact the performance of my Squid Squid will start sufferi, ipmanyak (??), 07:09 , 17-Сен-15 (6)
>> Попробуй строчку: cache_dir null /dev/null
>> за место этой: cache_dir ufs /var/spool/squid 10000 16 256
> Спасибо за идею, но я squid ставил с базового репозитория. То есть
> не пересобирал его.
> На строку cache_dir null /dev/null ругается. Надо пересобирать squid.
> :-)
What sort of things impact the performance of my Squid ?
Squid will start suffering if you run out of any of your server resources. There's a few things that frequently occur:
    You just plain run out of CPU. This is where all of your resources are low save your kernel and user CPU usage. This may be because you're still using poll() or select() for your network IO which just don't scale under modern loads.
    Some crappy hardware (such as slow IDE disks and really cheap network cards) aren't that great at shoveling data around and require a lot of hand-holding by the CPU. If you see your interrupt/IOWAIT times up then it might be due to your hardware choices. I've seen this sort of thing happen with desktop-grade hardware pretending to be a server - eg the Sun "Desktop" hardware running Linux and using SATA disks. Lots of disk IO == Lots of time spent in IOWAIT.
    Some hardware allows you to "tune" how much overhead it imposes on the system. Gigabit network cards are a good example of this. You trade off a few ms of latency versus a high interrupt load, but this doesn't matter on a server which is constantly handling packets. Take a look at your hardware documentation and see whats available.
    Linux servers spending a lot of time in IOWAIT can also be because you're overloading your disks with IO. See what your disk IO looks like in vmstat. You could look at moving to the aufs/diskd cache_dir if you're using UFS. COSS also can drastically drop IOWAIT times under heavy disk loads.
    You're swapping! This happens quite often when people wind up cache_mem and don't watch how much RAM Squid is actually using. Watch the output of "vmstat" and see how much free memory is available. If you see your server paging memory in and out of disk then you're in trouble. Either decrease cache_mem or add more physical RAM.
сообщить модератору +/– ответить
поменяй формат кэша с ufs на aufs, надо ли после смены пересоздавать дисковый кэ, ipmanyak (??), 07:19 , 17-Сен-15 (7)
>> Попробуй строчку: cache_dir null /dev/null
>> за место этой: cache_dir ufs /var/spool/squid 10000 16 256
> Спасибо за идею, но я squid ставил с базового репозитория. То есть
> не пересобирал его.
> На строку cache_dir null /dev/null ругается. Надо пересобирать squid.
> :-)
поменяй формат кэша с ufs на aufs, надо ли после смены пересоздавать дисковый кэш не могу сказать, я бы удалил старый кэш и создал заново.
ты написал, что отключал кэширование командой
cache deny all
а надо вроде бы вот так:
no_cache deny all
сообщить модератору +/– ответить

gt оверквотинг удален cache_store_log none - это сделано по дефолту оно так, ipmanyak (??), 07:21 , 17-Сен-15 (8)
>[оверквотинг удален]
>> не пересобирал его.
>> На строку cache_dir null /dev/null ругается. Надо пересобирать squid.
>> :-)
> поменяй формат кэша с ufs на aufs, надо ли после смены пересоздавать
> дисковый кэш не могу сказать, я бы удалил старый кэш
> и создал заново.
> ты написал, что отключал кэширование командой
> cache deny all
> а надо вроде бы вот так:
> no_cache deny all
cache_store_log none - это сделано ? по дефолту оно так должно быть
сообщить модератору +/– ответить

Помогите настроить, есть ПК с WIN XP и 2 сетевух,

Signal, (Squid) 06-Сен-15, 21:44 [⋘ | ☳ | ⋙ | ⚟ ] [линейный вид] [смотреть все] [раскрыть новое]

брысь отсюдаучи матчасть и пары не прогуливай1 squid не умеет tcp udp прозрачно, asavah (ok), 22:11 , 06-Сен-15 (1) +2

мне ненадо учить часами матчасть, чтобы сделать эту мелочьда хоть по марсиански,, Signal (ok), 00:13 , 07-Сен-15 (2) –2
> брысь отсюда
> учи матчасть и пары не прогуливай
> 1) squid не умеет tcp/udp прозрачно , только http(s)
> 2) winxp (любая винда) это по челеовечески не сделает
мне ненадо учить часами матчасть, чтобы сделать эту мелочь
да хоть по марсиански, но чтоб работало
сообщить модератору –2 +/– ответить

это не мелочьи винда это делать _прозрачно_ не умеетнайми одмина, asavah (ok), 01:16 , 07-Сен-15 (3) +1
>> брысь отсюда
>> учи матчасть и пары не прогуливай
>> 1) squid не умеет tcp/udp прозрачно , только http(s)
>> 2) winxp (любая винда) это по челеовечески не сделает
> мне ненадо учить часами матчасть, чтобы сделать эту мелочь
> да хоть по марсиански, но чтоб работало
это не мелочь
и винда это делать _прозрачно_ не умеет
найми одмина
сообщить модератору +1 +/– ответить
Если вы можете сделать эту мелочь не уча матчасть Ну делайте Мы то тут п, Square1 (?), 07:34 , 07-Сен-15 (4)
>> брысь отсюда
>> учи матчасть и пары не прогуливай
>> 1) squid не умеет tcp/udp прозрачно , только http(s)
>> 2) winxp (любая винда) это по челеовечески не сделает
> мне ненадо учить часами матчасть, чтобы сделать эту мелочь
> да хоть по марсиански, но чтоб работало
Если вы можете сделать "эту мелочь" не уча матчасть... Ну делайте... Мы то тут при чем?
сообщить модератору +/– ответить

gt оверквотинг удален Про прокси забудь Включи на инетовской сетевухе ICS с, ipmanyak (??), 08:35 , 07-Сен-15 (5) –1
>[оверквотинг удален]
> 1 карта подключена к роутеру
> 2 карта должна раздавать инет на ПК2.
> мне нужен прозрачный прокси на карте 2 ПК1, который весь траффик, причем
> любой с абсолютно всех портов перекидывал бы на другую программу, на
> ее порт. в т.ч. и HTTP, HTTPS, DNS и не только
> tcp но и UDP запросы, вообщем все, что идет с сетевухи
> ПК1_2 шло через прозрачный проксик, например squid а этот squid кидал
> бы все на другую программу, которая является сокс-сервером
> если это на WIN XP не возможно, то помогите тогда настроить линукс,
> если-что и ее поставлю, не проблема.
Про прокси забудь. Включи на инетовской сетевухе ICS ( совместный доступ в интернет) - это NAT, все компы подключенные в эту сеть через эту сетевую карту ( хаб или свич)будут выходить в инет.
сообщить модератору –1 +/– ответить

https support microsoft com ru-ru kb 306126http www windowsfaq ru content vi, ipmanyak (??), 08:38 , 07-Сен-15 (6) –1
https://support.microsoft.com/ru-ru/kb/306126
http://www.windowsfaq.ru/content/view/678/46/
сообщить модератору –1 +/– ответить

елы палы народ, у меня все компы дома подключены сразу к роутеру, НО Я ЖЕ НАПИС, Signal (ok), 17:51 , 07-Сен-15 (7) –3
> https://support.microsoft.com/ru-ru/kb/306126
> http://www.windowsfaq.ru/content/view/678/46/
елы палы. народ, у меня все компы дома подключены сразу к роутеру, НО Я ЖЕ НАПИСАЛ МНЕ НУЖНО СДЕЛАТЬ ИМЕННО 2 КОМПЬЮТЕРА ТАК КАК Я ОПИСАЛ ВЫШЕ И ИМЕННО ЧЕРЕЗ ПРОКСИ, ЧТОБЫ ПК2 ДУМАЛ ЧТО РАБОТАЕТ НА ПРЯМУЮ С ИНЕТОМ, А НЕ ЧЕРЕЗ ПРОКСИ, на ПК1 должен стоять прозрачный прокс, хотя бы чтоб http и https траффик, а в свою очередь этот траффик шел уже через сторонний сервис, типа viproxy.
вроде и умный народ, но все почему-то не умеют читать, за что я спрашиваю. все ваши ответы подходят к вопросу, типа как раздать сеть с 1 ПК, я его разве задавал?
сообщить модератору –3 +/– ответить

Как вам уже сказали - средствами выньхп прозрачное проксирование реализовать нел, omnomnim (?), 18:54 , 07-Сен-15 (8)
Как вам уже сказали - средствами выньхп прозрачное проксирование реализовать нельзя.
Может каким-то сторонним софтом вместе со сквидом можно, так что
валите-ка вы на форумы вантузятников пока подальше не послели.
сообщить модератору +/– ответить
ЗЫ к тому же для прозрачного проксирования ПК1 должен быть шлюзом по умолчанию д, omnomnim (?), 18:58 , 07-Сен-15 (9)
ЗЫ к тому же для прозрачного проксирования ПК1 должен быть шлюзом по умолчанию для ПК2,
так что вопрос о раздаче сети через ПК1 как раз уместен.
Короче вы нихрена не понимаете ни в сетях, ни в том что пытаетесь сделать.
Так что извольте пройти нах.

сообщить модератору +/– ответить

А вдруг он мост из XP построит, да прозрачный сквид с заворотом на него трифика , Andrey Mitrofanov (?), 19:23 , 07-Сен-15 (10) +1
> ЗЫ к тому же для прозрачного проксирования ПК1 должен быть шлюзом по
> умолчанию для ПК2,
> так что вопрос о раздаче сети через ПК1 как раз уместен.
А вдруг он мост из XP построит, да прозрачный сквид с заворотом на него трифика на XP же соорудит?! Кто мы такие, что б запрещать, пусть делает, не? B-j
сообщить модератору +1 +/– ответить

да все уже соорудил, соответсвенно сторонними программами и все пашет, так что в, Signal (ok), 15:54 , 10-Сен-15 (12)
>> ЗЫ к тому же для прозрачного проксирования ПК1 должен быть шлюзом по
>> умолчанию для ПК2,
>> так что вопрос о раздаче сети через ПК1 как раз уместен.
> А вдруг он мост из XP построит, да прозрачный сквид с заворотом
> на него трифика на XP же соорудит?! Кто мы такие, что
> б запрещать, пусть делает, не? B-j
да все уже соорудил, соответсвенно сторонними программами и все пашет, так что вы нихера не понимаете в сетях.
сообщить модератору +/– ответить

настройка squid + AD,

adminkzsk, (Прозрачный proxy) 29-Июл-14, 08:23 [⋘ | ☳ | ⋙ | ⚟ ] [линейный вид] [смотреть все] [раскрыть новое]

squid ad2008 kerberos ldap и win7 ie8http www lissyara su id 2101другой метод, ipmanyak (ok), 14:49 , 29-Июл-14 (1)
squid+ad2008\kerberos+ldap и win7\ie8
http://www.lissyara.su/?id=2101
другой метод
http://vipcon.ru/2009/12/squid-ldap-active-directory-squid_l.../
сообщить модератору +/– ответить

Лучше http wiki squid-cache org ConfigExamples Authenticate WindowsActiveDirec, LHC (?), 19:30 , 29-Июл-14 (2)
> squid+ad2008\kerberos+ldap и win7\ie8
> http://www.lissyara.su/?id=2101
> другой метод
> http://vipcon.ru/2009/12/squid-ldap-active-directory-squid_l.../
Лучше http://wiki.squid-cache.org/ConfigExamples/Authenticate/Wind...
сообщить модератору +/– ответить

Аутентификация на прокси и прозрачный прокси не совместимы , Andrey Mitrofanov (?), 09:17 , 30-Июл-14 (3) +1
> стоит задача настроить прозрачный прокси server на freebsd с целью контроля интернет
> samba - необходима для аутентификации пользователей в AD.
Аутентификация на прокси и прозрачный прокси *не* совместимы.
сообщить модератору +1 +/– ответить

подскажите, в чем проблема Connection 0 finished , adminkzsk (ok), 18:16 , 31-Июл-14 (4)
>> стоит задача настроить прозрачный прокси server на freebsd с целью контроля интернет
>> samba - необходима для аутентификации пользователей в AD.
> Аутентификация на прокси и прозрачный прокси *не* совместимы.
подскажите, в чем проблема(((
Connection 0 finished                                                          ]
Downloaded 16.7 kilobytes in 0 seconds. (54.98 KB/s)
===> Fetching all distfiles required by python27-2.7.8 for building
/!\ WARNING /!\
pkg_install EOL is scheduled for 2014-09-01. Please migrate to pkgng
http://blogs.freebsdish.org/portmgr/2014/02/03/time-to-bid-f.../
If you do not want to see this message again set NO_WARNING_PKG_INSTALL_EOL=yes in your make.conf
You are using the following deprecated options: WITHOUT_IPV6
If you added them on the command line, you should replace them by
WITH="" WITHOUT="IPV6"
If they are global options set in your make.conf, you should replace them with:
OPTIONS_UNSET=IPV6
If they are local to this port, you should use:
lang_python27_UNSET=IPV6
===>  License PSFL accepted by the user
===>  Found saved configuration for python27-2.7.8
===> Fetching all distfiles required by python27-2.7.8 for building
=> SHA256 Checksum mismatch for python/Python-2.7.8.tar.xz.
===>  Giving up on fetching files: python/Python-2.7.8.tar.xz
Make sure the Makefile and distinfo file (/usr/ports/lang/python27/distinfo)
are up to date.  If you are absolutely sure you want to override this
check, type "make NO_CHECKSUM=yes [other args]".
*** [checksum] Error code 1
Stop in /usr/ports/lang/python27.
*** [checksum] Error code 1
Stop in /usr/ports/lang/python27.
*** [install] Error code 1
Stop in /usr/ports/lang/python27.
*** [build-depends] Error code 1
Stop in /usr/ports/databases/tdb.
*** [build-depends] Error code 1
Stop in /usr/ports/net/samba35.
root@freebsdkzsk:/usr/ports/net/samba35 #
сообщить модератору +/– ответить

gt оверквотинг удален Чувак, крайне рекомендую конкретизировать свои вопросы, , snake7 (ok), 14:16 , 05-Окт-14 (5)
>[оверквотинг удален]
> Stop in /usr/ports/lang/python27.
> *** [checksum] Error code 1
> Stop in /usr/ports/lang/python27.
> *** [install] Error code 1
> Stop in /usr/ports/lang/python27.
> *** [build-depends] Error code 1
> Stop in /usr/ports/databases/tdb.
> *** [build-depends] Error code 1
> Stop in /usr/ports/net/samba35.
> root@freebsdkzsk:/usr/ports/net/samba35 #
Чувак, крайне рекомендую конкретизировать свои вопросы, иначе люди, что могли бы тебе помочь, просто не смогут догадаться, что же у тебя за затык случился.
Предполагаю, что ты ставишь самбу из портов. Если я прав, то тебе нужно попробовать перезапустить процесс установки, предварив его очисткой директории. Ну и обновить порты, естественно)
sudo portsnap fetch update
cd /usr/ports/lang/python27
sudo make clean
sudo make install clean
После (в случае) успешной установки переходи к сборке самбы
cd /usr/ports/net/samba35
sudo make clean
sudo make config install clean
Также рекомендую забыть про утилиты старой системы установки софта и, последовав совету, который написан в твоём сообщении, перейти на использование новой тулзы pkg. (http://www.opennet.dev/openforum/vsluhforumID15/4177.html#30 сообщение 16, кратко об этом)
сообщить модератору +/– ответить
gt оверквотинг удален Так у тебя контрольные суммы питоновского пакета не сход, Аноним (-), 14:51 , 09-Сен-15 (6)
>[оверквотинг удален]
> Stop in /usr/ports/lang/python27.
> *** [checksum] Error code 1
> Stop in /usr/ports/lang/python27.
> *** [install] Error code 1
> Stop in /usr/ports/lang/python27.
> *** [build-depends] Error code 1
> Stop in /usr/ports/databases/tdb.
> *** [build-depends] Error code 1
> Stop in /usr/ports/net/samba35.
> root@freebsdkzsk:/usr/ports/net/samba35 #
Так у тебя контрольные суммы питоновского пакета не сходятся, перекачай его:
user@freebsd%(cd /usr/ports/lang/python27; sudo make clean config reinstall clean)
в скобочках, чтобы запустить ещё один шелл, который сделает, что тебе нужно и вернётся в ту же директорию, где ты собирал самбу.
сообщить модератору +/– ответить

Падает Squid при прозрачном https,

Mut, (Squid) 01-Окт-13, 16:52 [⋘ | ☳ | ⋙ | ⚟ ] [линейный вид] [смотреть все] [раскрыть новое]

У вас в конфиге должны быть прописаны пути сохранения логов, гляньте их И еще по, alexpaknix (ok), 10:21 , 02-Окт-13 (1)
У вас в конфиге должны быть прописаны пути сохранения логов, гляньте их.
И еще попробуйте запустить сквид с ключём -d и -X
сообщить модератору +/– ответить

Ответ был найден Нужно было вручную запустить ssl_crtd с ключами -s -c, тем сам, Mut (ok), 10:46 , 02-Окт-13 (2)
> У вас в конфиге должны быть прописаны пути сохранения логов, гляньте их.
> И еще попробуйте запустить сквид с ключём -d и -X
Ответ был найден. Нужно было вручную запустить ssl_crtd с ключами -s -c, тем самым инициализируется база для сертификатов. Потом прописать в конфиге сквида путь для ssl_crtd.
сообщить модератору +/– ответить

Нужно было всего лишь маны почитать, верно , Аноним (-), 18:54 , 04-Апр-15 (3)
>> У вас в конфиге должны быть прописаны пути сохранения логов, гляньте их.
>> И еще попробуйте запустить сквид с ключём -d и -X
> Ответ был найден. Нужно было вручную запустить ssl_crtd с ключами -s -c,
> тем самым инициализируется база для сертификатов. Потом прописать в конфиге сквида
> путь для ssl_crtd.
Нужно было всего лишь маны почитать, верно?
сообщить модератору +/– ответить

Просто надо было тебя на послать , test (??), 08:07 , 28-Авг-15 (4)
>>> У вас в конфиге должны быть прописаны пути сохранения логов, гляньте их.
>>> И еще попробуйте запустить сквид с ключём -d и -X
>> Ответ был найден. Нужно было вручную запустить ssl_crtd с ключами -s -c,
>> тем самым инициализируется база для сертификатов. Потом прописать в конфиге сквида
>> путь для ssl_crtd.
> Нужно было всего лишь маны почитать, верно?
Просто надо было тебя на... послать))
сообщить модератору +/– ответить

squid intercept https ,

Alexadm, (Прозрачный proxy) 04-Авг-15, 16:42 [⋘ | ☳ | ⋙ | ⚟ ] [линейный вид] [смотреть все] [раскрыть новое]

http www opennet ru openforum vsluhforumID12 7034 html, aurved (?), 19:12 , 04-Авг-15 (1)
http://www.opennet.dev/openforum/vsluhforumID12/7034.html
сообщить модератору +/– ответить

Спасибо, но я видел уже эту статью И написал, что делал уже rm -rf var lib ssl, Alexadm (ok), 09:59 , 05-Авг-15 (2)
> http://www.opennet.dev/openforum/vsluhforumID12/7034.html
Спасибо, но я видел уже эту статью.
И написал, что делал уже
rm -rf /var/lib/ssl_db && /usr/lib/squid/ssl_crtd -c -s /var/lib/ssl_db && chown -R squid:squid /var/lib/ssl_db
и в squid.conf указано:
sslcrtd_program /usr/lib/squid/ssl_crtd -c -s /var/lib/ssl-db -M 4MB

но в логах вижу всё равно:
2015/08/05 09:46:28 kid1| Adaptation support is off.
2015/08/05 09:46:28 kid1| Accepting HTTP Socket connections at local=[::]:3129 remote=[::] FD 21 flags=9
2015/08/05 09:46:28 kid1| Accepting NAT intercepted HTTP Socket connections at local=[::]:3130 remote=[::] FD 22 flags=41
2015/08/05 09:46:28 kid1| Accepting NAT intercepted SSL bumped HTTPS Socket connections at local=[::]:3131 remote=[::] FD 23 flags=41
2015/08/05 09:46:28 kid1| helperHandleRead: unexpected read from ssl_crtd #Hlpr1, 25 bytes 'Initialization SSL db...
'
2015/08/05 09:46:28 kid1| helperHandleRead: unexpected read from ssl_crtd #Hlpr2, 25 bytes 'Initialization SSL db...
'
2015/08/05 09:46:28 kid1| helperHandleRead: unexpected read from ssl_crtd #Hlpr5, 25 bytes 'Initialization SSL db...
'
2015/08/05 09:46:28 kid1| helperHandleRead: unexpected read from ssl_crtd #Hlpr4, 25 bytes 'Initialization SSL db...
'
2015/08/05 09:46:28 kid1| helperHandleRead: unexpected read from ssl_crtd #Hlpr3, 25 bytes 'Initialization SSL db...
'
2015/08/05 09:46:28 kid1| WARNING: ssl_crtd #Hlpr1 exited
2015/08/05 09:46:28 kid1| Too few ssl_crtd processes are running (need 1/32)
2015/08/05 09:46:28 kid1| Closing HTTP port [::]:3129
2015/08/05 09:46:28 kid1| Closing HTTP port [::]:3130
2015/08/05 09:46:28 kid1| Closing HTTPS port [::]:3131
2015/08/05 09:46:28 kid1| storeDirWriteCleanLogs: Starting...
2015/08/05 09:46:28 kid1| Finished. Wrote 0 entries.
2015/08/05 09:46:28 kid1| Took 0.00 seconds ( 0.00 entries/sec).
FATAL: The ssl_crtd helpers are crashing too rapidly, need help!
Есть ещё идеи?
сообщить модератору +/– ответить

Выглядит как нехватка прав su -m squidcd touch var lib ssl_db testrm var lib , adsh (ok), 22:36 , 05-Авг-15 (3)
> Есть ещё идеи?
Выглядит как нехватка прав.
su -m squid
cd /
touch /var/lib/ssl_db/test
rm /var/lib/ssl_db/test
exit
Проблем нет?
сообщить модератору +/– ответить

Отъезжал в командировку, спасибо за помощь Проблема была в том, что в squid co, Alexadm (ok), 13:06 , 10-Авг-15 (4)
>> Есть ещё идеи?
> Выглядит как нехватка прав.
> su -m squid
> cd /
> touch /var/lib/ssl_db/test
> rm /var/lib/ssl_db/test
> exit
> Проблем нет?
Отъезжал в командировку, спасибо за помощь.. Проблема была в том, что в squid.conf поставил строку sslcrtd_program /usr/lib/squid/ssl_crtd -с -s /cache/lib/ssl-db -M 16MB, надо было убрать параметр -с.
сообщить модератору +/– ответить

Нет прокси - нет инета,

pg0t, (Squid) 06-Авг-15, 00:40 [⋘ | ☳ | ⋙ | ⚟ ] [линейный вид] [смотреть все] [раскрыть новое]

gt оверквотинг удален 1 использовать внешний роутер не все умеют работать с , цц (?), 10:38 , 06-Авг-15 (1)
>[оверквотинг удален]
> работоспособность. Открывает. Работает. Столкнулся с вопросом - как сделать, чтобы интернет
> НЕ РАБОТАЛ если в браузере снять галочку "использование прокси..." ?
> Интернет через USB модем МегаФон (IP динамический). ОС Win 8.1
> Прокси ставлю для детей (1 локальный ПК). Я конечно не думаю, что
> они догадаются снять галочку прокси в браузере, но мало ли.. Если
> защиту можно так легко отключить то какой в ней смысл?))
> И пользуясь случаем прошу дать ссылку или просто сказать как это корректно
> называется, чтобы знать где "копать". Нужно настроить прокси, чтоб он понимал
> какой локальный пользователь windows зашёл в систему и соответствующе работал (админ
> или ограниченный режим).
1. использовать внешний роутер (не все умеют работать с usb-свистками, надо модели смотреть)
2. политики безопасности виндовс - ограничение на использование программ, запрет изменения настроек браузера (это вероятно вам будет сложно)
3. сторонняя программа решающая ваш вопрос. искать по словосочетанию "родительский контроль компьютера" (вероятно лучше всего)
сообщить модератору +/– ответить

Да, я тоже так считаю, нооо Большинство бесплатных программ ставят ограничение, pg0t (ok), 09:40 , 07-Авг-15 (2)
> 3. сторонняя программа решающая ваш вопрос. искать по словосочетанию "родительский контроль компьютера" (вероятно лучше всего)
Да, я тоже так считаю, нооо.. Большинство бесплатных программ ставят ограничение только на IE браузер, что мне не подходит. Другие, более серьезные софты вроде TMetr или Traffic Inspector увы не работают, т.к. не могут установить сетевой драйвер на USB модем. В связи с чем невозможно считывать трафик этого подключения. У мегафона используется что-то своё, отличное от стандартов. Например в компе есть 2 сетевки, TMetr видит их и способен с ними работать, но сетевой драйвер ни в какую не хочет устанавливаться на подключение Мегафона. Вот тут как раз идея Роутера очень актуальна.
Из всего опробованного софта я нашел только 1 программу которая: во первых корректно работает (Даже kaspersky internet security не хочет работать), во вторых: выполняет все те функции, что мне нужно - это ContentWasher. Но программа платная - 1 тыс. на 1 ПК (7 дней триал). Честно говоря "жаба душит")) Вот и пробую сделать всё сам через Squid..
За помощь спасибо, думаю в любом случаи придется приобретать маршрутчик. Если уж не для прокси, то для софта)
сообщить модератору +/– ответить

firewall настроить что бы в инет выпускал только прокси и dns, если dns клиент н, reader (ok), 13:17 , 08-Авг-15 (3)
firewall настроить что бы в инет выпускал только прокси и dns, если dns клиент не в прокси, остальное ПО блокируете.
Получите что кто работает через прокси, получат инет, остальные нет.
что бы прокси понимал какой пользователь, читайте про аутентификацию в прокси
сообщить модератору +/– ответить

Не могли бы посоветовать хороший Firewall , pg0t (ok), 11:35 , 09-Авг-15 (4)
> firewall настроить что бы в инет выпускал только прокси и dns, если
> dns клиент не в прокси, остальное ПО блокируете.
> Получите что кто работает через прокси, получат инет, остальные нет.
> что бы прокси понимал какой пользователь, читайте про аутентификацию в прокси
Не могли бы посоветовать хороший Firewall?
сообщить модератору +/– ответить

это понятие весьма субъективное попробуйте http www comodorus ru free_versions, reader (ok), 17:36 , 09-Авг-15 (5)
>> firewall настроить что бы в инет выпускал только прокси и dns, если
>> dns клиент не в прокси, остальное ПО блокируете.
>> Получите что кто работает через прокси, получат инет, остальные нет.
>> что бы прокси понимал какой пользователь, читайте про аутентификацию в прокси
> Не могли бы посоветовать хороший Firewall?
это понятие весьма субъективное.
попробуйте
http://www.comodorus.ru/free_versions
http://www.agnitum.ru/outpost-security-suite-free.php
сообщить модератору +/– ответить

Squid и сайт sberbank.ru,

Cheburashka, (Squid) 22-Май-15, 08:40 [⋘ | ☳ | ⋙ | ⚟ ] [линейный вид] [смотреть все] [раскрыть новое]

У нас абсолютно такая же проблема с SQUID 3 Напрямую все работает, через прокси, Илья рядовой Ефимов (?), 13:23 , 22-Май-15 (1)
У нас абсолютно такая же проблема с SQUID 3. Напрямую все работает, через прокси - ошибка. Мы решили прописать правила в IP tables - в обход прокси
сообщить модератору +/– ответить
Ихний сервер пучит при получении HTTP-заголовка другие значения не проверял, т , Etch (?), 02:10 , 23-Май-15 (2) +2
Ихний сервер пучит при получении HTTP-заголовка (другие значения не проверял, т.к. мне без надобности):
X-Forwarded-For: unknown
Лечится таким параметром в сквиде:
```
forwarded_for  delete
```
сообщить модератору +2 +/– ответить

Спасибо, данный способ помог, Cheburashka (ok), 11:07 , 25-Май-15 (3)
> Ихний сервер пучит при получении HTTP-заголовка (другие значения не проверял, т.к. мне
> без надобности):
>
X-Forwarded-For: unknown
> Лечится таким параметром в сквиде:
>
forwarded_for delete
Спасибо, данный способ помог
сообщить модератору +/– ответить
Спасибо, супер , athlon128 (ok), 14:21 , 25-Май-15 (4)
> Ихний сервер пучит при получении HTTP-заголовка (другие значения не проверял, т.к. мне
> без надобности):
>
X-Forwarded-For: unknown
> Лечится таким параметром в сквиде:
>
forwarded_for delete
Спасибо, супер.
сообщить модератору +/– ответить

Господа, я понимаю что просьба глупая, но подскажите чайнику, а куда и как именн, dumatel (?), 15:57 , 25-Май-15 (5)
>> Ихний сервер пучит при получении HTTP-заголовка (другие значения не проверял, т.к. мне
>> без надобности):
>>
X-Forwarded-For: unknown
>> Лечится таким параметром в сквиде:
>>
forwarded_for delete
> Спасибо, супер.
Господа, я понимаю что просьба глупая, но подскажите чайнику, а куда и как именно прописывать это параметр?
Пример конфигурации может быть кто покажет?
сообщить модератору +/– ответить

Debian etc squid3 squid conf в новой строке прописать code forwarded_for del, Cheburashka (ok), 15:59 , 25-Май-15 (6)
>>> Ихний сервер пучит при получении HTTP-заголовка (другие значения не проверял, т.к. мне
>>> без надобности):
>>>
X-Forwarded-For: unknown
>>> Лечится таким параметром в сквиде:
>>>
forwarded_for delete
>> Спасибо, супер.
> Господа, я понимаю что просьба глупая, но подскажите чайнику, а куда и
> как именно прописывать это параметр?
> Пример конфигурации может быть кто покажет?
Debian: /etc/squid3/squid.conf в новой строке прописать
```
forwarded_for  delete
```
сообщить модератору +/– ответить

gt оверквотинг удален Огромное спасибо Помогло , dumatel (?), 16:11 , 25-Май-15 (7)
>[оверквотинг удален]
>>>> без надобности):
>>>>
X-Forwarded-For: unknown
>>>> Лечится таким параметром в сквиде:
>>>>
forwarded_for delete
>>> Спасибо, супер.
>> Господа, я понимаю что просьба глупая, но подскажите чайнику, а куда и
>> как именно прописывать это параметр?
>> Пример конфигурации может быть кто покажет?
> Debian: /etc/squid3/squid.conf в новой строке прописать
>
forwarded_for delete
Огромное спасибо!
Помогло!
сообщить модератору +/– ответить

gt оверквотинг удален не помогло чорд , StSocrat (?), 12:57 , 23-Июл-15 (8)
>[оверквотинг удален]
>>>>> Лечится таким параметром в сквиде:
>>>>>
forwarded_for delete
>>>> Спасибо, супер.
>>> Господа, я понимаю что просьба глупая, но подскажите чайнику, а куда и
>>> как именно прописывать это параметр?
>>> Пример конфигурации может быть кто покажет?
>> Debian: /etc/squid3/squid.conf в новой строке прописать
>>
forwarded_for delete
> Огромное спасибо!
> Помогло!
не помогло... чорд...
сообщить модератору +/– ответить


Пометить прочитанным Создать тему	1 \| 2 \| 3 \| 4 \| 5 \| 6 \| 7 \| 8 \| 9 \| 10 \| Архив \| Избранное \| Мое \| Новое \| ☳ \| ☶ \| ⚟