Добрый день!
Прошу помощи вот в чем:
имеется рабочий squid3.4. Прокся работает в обычном, не прозрачном режиме. Необходимо отследить пользователей, которые подключаются через прокси (тот же squid, но версия неизвестна, 2.7, 3.0, 3.1 и.т.д) и, соответственно, запретить им доступ.

Кто-нибудь подскажет как это сделать и возможно ли это?
Спасибо...

Добрый день день, уважаемые специалисты.
Есть FreeBSD 10.2 со Squid 3.5.12 на борту. При сборке Squid поставил галочки напротив SSL и SSL_CRTD.

Настроил прозрачный прокси:

    visible_hostname test_squid

    acl localnet src 10.0.0.0/24    # RFC1918 possible internal network

    acl SSL_ports port 443
    acl Safe_ports port 80        # http
    acl Safe_ports port 21        # ftp
    acl Safe_ports port 443        # https
    acl Safe_ports port 70        # gopher
    acl Safe_ports port 210        # wais
    acl Safe_ports port 1025-65535    # unregistered ports
    acl Safe_ports port 280        # http-mgmt
    acl Safe_ports port 488        # gss-http
    acl Safe_ports port 591        # filemaker
    acl Safe_ports port 777        # multiling http
    acl CONNECT method CONNECT

    http_access deny !Safe_ports

    http_access deny CONNECT !SSL_ports

    http_access allow localhost manager
    http_access deny manager

    http_access allow localnet
    http_access allow localhost

    http_access deny all

    http_port 3130
    http_port 3128 transparent
    http_port 3128 transparent ssl-bump generate-host-certificates=on dynamic_cert_mem_cache_size=4MB cert=/root/keys/squid.pem key=/root/keys/squid.key

    sslproxy_flags DONT_VERIFY_PEER
    sslproxy_cert_error allow all
    always_direct allow all
    ssl_bump client-first all
    ssl_bump none all
    sslcrtd_program /usr/local/libexec/squid/ssl_crtd -s /var/lib/ssl_db -M 4MB

    coredump_dir /var/squid/cache

    #
    # Add any of your own refresh_pattern entries above these.
    #
    refresh_pattern ^ftp:        1440    20%    10080
    refresh_pattern ^gopher:    1440    0%    1440
    refresh_pattern -i (/cgi-bin/|\?) 0    0%    0
    refresh_pattern .        0    20%    4320

Заворачиваю https трафик на порт 3128, http на 3129. Http робит, а вот https нет. В access.log пишет: TAG_NONE/400 4378 NONE error:invalid-request - HIER_NONE/- text/html

Если смотреть сниффером, то получается следующее: Клиент отправляет ClientHellow, но Squid обрабатывает его как http, соответственно отвечает что ему послали некорректный http заголовок.

С конфигом бился по разному, где у меня ошикба не пойму.

Буду рад помощи.
С уважением, Алексей.

Здравствуйте!

я уже весь изваялся.

хочу прикрутить squid 3.4.8 минимум, к sams2 с работающим редиректором(желателньо от sams). только не ветка squid3.5, с ней не работает, пробовал уже.
чтоб белые списки работали при превышения лимит, временные диапазоны и т.д. по стандарту

Есть у кого либо опыт уже в этом?
или как достать этот порт хотя бы?

и черные списки по категориям (порно, соц сети и т.д.), ну это не к чему, но в идеали, если можно и это прикрутить. то как?)

и еще попутно, у меня на связке sams2+squid33 при блокировки пользователя, выдает текст - все гуд, но не показывает картинку и посмотрел путь через отладчик-все гуд. и взял полный путь до картинки, прям с отладчика и вбил в браузер, то кажет ее.

Добрый день.

Имеем Squid 3.4.4 на OpenSuSE 13.2, домен на Active Directory. Настроена сквозная аутентификация на Squid по Kerberos. Задача - для машин (учетных записей, телефонов, планшетов, etc), которые не в домене, использовать Basic-аутентификацию.

Секция настроек аутентификации (реальные имена заменены на вымышленные):

# Настройки аутентификации - Kerberos only
auth_param negotiate program /usr/sbin/negotiate_kerberos_auth -r -s HTTP/proxy.domain.ru@DOMAIN.RU
auth_param negotiate children 100
auth_param negotiate keep_alive on

# Настройки аутентификации - Basic (если не проходит остальное (для недоменных машин))
auth_param basic program /usr/sbin/basic_ldap_auth -R -D proxy@domain.ru -W /etc/squid/ad_user_pass.txt -b "dc=domain,dc=ru" -f "sAMAccountName=%s" dc.domain.ru
auth_param basic children 20
auth_param basic realm Corporate proxy server
auth_param basic credentialsttl 10 hour

Проблема следующая. Если с недоменной учетной записи ломиться в интернет через прокси, то выскакивает окно для ввода логина-пароля. Это, в принципе, правильно, но это окно не является окном секции Basic-аутентификации, т.к. в нем не содержится содержимое директивы auth_param basic realm. Другими словами, если бы это окно было вызвано Basic-схемой, то в нем было бы написано "Corporate proxy server", а в нашем случае написано "Выполняется подключение к серверу <доменное имя сервера>. Вводим логин-пароль, прокси отфутболивает. В логах при этом видно, что производится попытка аутентификации по Kerberos. Если подождать минуту-две и снова пихнуть логин-пароль, то прокси успешно пропускает и в логах видно, что запущен процесс Basic-аутентификации.

Внимание, вопрос. Что в Squid отвечает за согласование процессов аутентификации? Как его заставить предлагать пользователю Basic, если не проходит Kerberos?

P.S. Конфиг, который я выложил, успешно работал до вчерашнего дня. Абсолютно ничего в нем не трогали и не меняли, проблема появилась, как ни странно, сама по себе. Может, какой-то доп. процесс в Squid есть, который валится?

Добрый день.
Стоит сервер SLES 11 SP4. Подключен один конец в инет, другой в локальную сеть. На сервере установлена Zimbra. Если подключаться из локальной сети или из инета напрямую все хорошо. Но нужна LDAP авторизация из инета, поэтому решил установить на эту же машину Squid 3.5.10 и настроить его как Reverse Proxy.
Настроил сквид как реверсивный для https. Пробовал разные варианты настроек. Как экcперимент пробрасывал на другой компьютер в локальной сети на webmin все прекрасно. Никак не получается пробросить запросы на zimbra ругается на сертификат.
Вот тестовый конфиг сквида без авторизации и с мусором.
visible_hostname mail.external.ru
https_port 444 accel key=/etc/squid/server.key cert=/etc/squid/server.crt defaultsite=mail.external.ru vhost
cache_peer 192.168.100.10 parent 8443 0 proxy-only no-query originserver ssl sslflags=NO_DEFAULT_CA sslflags=DONT_VERIFY_PEER name=webmin1
acl localnet src 10.0.0.0/8    # RFC1918 possible internal network
acl localnet src 172.16.0.0/12    # RFC1918 possible internal network
acl localnet src 192.168.0.0/16    # RFC1918 possible internal network
acl localnet src fc00::/7       # RFC 4193 local private network range
acl localnet src fe80::/10      # RFC 4291 link-local (directly plugged) machines
acl officesite dstdomain mail.external.ru
acl officeip dst 192.168.100.10
acl SSL_ports port 443 8443
acl Safe_ports port 80        # http
acl Safe_ports port 21        # ftp
acl Safe_ports port 443    8443    # https
acl Safe_ports port 70        # gopher
acl Safe_ports port 210        # wais
acl Safe_ports port 1025-65535    # unregistered ports
acl Safe_ports port 280        # http-mgmt
acl Safe_ports port 488        # gss-http
acl Safe_ports port 591        # filemaker
acl Safe_ports port 777        # multiling http
acl CONNECT method CONNECT
cache_peer_access webmin1 allow officesite
sslproxy_cert_error allow officesite
sslproxy_cert_error allow localhost
sslproxy_cert_error allow officeip
sslproxy_cert_error deny all
http_access allow officesite
http_access allow officeip
http_access deny !Safe_ports
http_access deny CONNECT !SSL_ports
http_access allow localhost manager
http_access deny manager
http_access allow localnet
http_access allow localhost
http_access deny all
icp_port 0
coredump_dir /var/cache/squid
refresh_pattern ^ftp:        1440    20%    10080
refresh_pattern ^gopher:    1440    0%    1440
refresh_pattern -i (/cgi-bin/|\?) 0    0%    0
refresh_pattern .        0    20%    4320

Ошибка в браузере
При получении URL https://mail.external.ru/ произошла следующая ошибка
Не удалось установить безопасное соединение с 192.168.100.10
The system returned:
(71) Protocol error (TLS code: SQUID_ERR_SSL_HANDSHAKE)
Handshake with SSL server failed: [No Error]
Для выполнения Вашего запроса этот кэш и удаленный узел не смогли согласовать взаимоприемлемые параметры безопасности. Возможно, удаленный узел не поддерживает безопасные соединения или кэш не удовлетворён удостоверением безопасности узла.

Вот cache.log
2015/12/04 15:59:55 kid1| storeDirWriteCleanLogs: Starting...
2015/12/04 15:59:55 kid1|   Finished.  Wrote 0 entries.
2015/12/04 15:59:55 kid1|   Took 0.00 seconds (  0.00 entries/sec).
CPU Usage: 0.300 seconds = 0.232 user + 0.068 sys
Maximum Resident Size: 61280 KB
Page faults with physical i/o: 0
2015/12/04 15:59:55 kid1| Logfile: closing log daemon:/var/log/squid/access.log
2015/12/04 15:59:55 kid1| Logfile Daemon: closing log daemon:/var/log/squid/access.log
2015/12/04 15:59:55 kid1| Open FD READ/WRITE    8 DNS Socket IPv4
2015/12/04 15:59:55 kid1| Open FD UNSTARTED    10 IPC UNIX STREAM Parent
2015/12/04 15:59:55 kid1| Squid Cache (Version 3.5.10): Exiting normally.
2015/12/04 15:59:55 kid1| Set Current Directory to /var/cache/squid
2015/12/04 15:59:55 kid1| Starting Squid Cache version 3.5.10 for x86_64-suse-linux-gnu...
2015/12/04 15:59:55 kid1| Service Name: squid
2015/12/04 15:59:55 kid1| Process ID 10957
2015/12/04 15:59:55 kid1| Process Roles: worker
2015/12/04 15:59:55 kid1| With 4096 file descriptors available
2015/12/04 15:59:55 kid1| Initializing IP Cache...
2015/12/04 15:59:55 kid1| DNS Socket created at 0.0.0.0, FD 8
2015/12/04 15:59:55 kid1| Adding domain mkcons.ru from /etc/resolv.conf
2015/12/04 15:59:55 kid1| Adding nameserver 192.168.100.5 from /etc/resolv.conf
2015/12/04 15:59:55 kid1| Logfile: opening log daemon:/var/log/squid/access.log
2015/12/04 15:59:55 kid1| Logfile Daemon: opening log /var/log/squid/access.log
2015/12/04 15:59:55 kid1| Local cache digest enabled; rebuild/rewrite every 3600/3600 sec
2015/12/04 15:59:55 kid1| Store logging disabled
2015/12/04 15:59:55 kid1| Swap maxSize 0 + 262144 KB, estimated 20164 objects
2015/12/04 15:59:55 kid1| Target number of buckets: 1008
2015/12/04 15:59:55 kid1| Using 8192 Store buckets
2015/12/04 15:59:55 kid1| Max Mem  size: 262144 KB
2015/12/04 15:59:55 kid1| Max Swap size: 0 KB
2015/12/04 15:59:55 kid1| Using Least Load store dir selection
2015/12/04 15:59:55 kid1| Set Current Directory to /var/cache/squid
2015/12/04 15:59:56 kid1| Finished loading MIME types and icons.
2015/12/04 15:59:56 kid1| HTCP Disabled.
2015/12/04 15:59:56 kid1| Pinger socket opened on FD 14
2015/12/04 15:59:56 kid1| Configuring Parent 192.168.100.10/8443/0
2015/12/04 15:59:56 kid1| Squid plugin modules loaded: 0
2015/12/04 15:59:56 kid1| Adaptation support is off.
2015/12/04 15:59:56 kid1| Accepting reverse-proxy HTTPS Socket connections at local=0.0.0.0:444 remote=[::] FD 12 flags=9
2015/12/04 15:59:56| pinger: Initialising ICMP pinger ...
2015/12/04 15:59:56|  icmp_sock: (1) Operation not permitted
2015/12/04 15:59:56| pinger: Unable to start ICMP pinger.
2015/12/04 15:59:56|  icmp_sock: (97) Address family not supported by protocol
2015/12/04 15:59:56| pinger: Unable to start ICMPv6 pinger.
2015/12/04 15:59:56| FATAL: pinger: Unable to open any ICMP sockets.
2015/12/04 15:59:56 kid1| storeLateRelease: released 0 objects
2015/12/04 16:00:16 kid1| recv: (111) Connection refused
2015/12/04 16:00:16 kid1| Closing Pinger socket on FD 14
2015/12/04 16:01:32 kid1| Error negotiating SSL on FD 13: error:00000000:lib(0):func(0):reason(0) (5/0/0)
2015/12/04 16:01:32 kid1| TCP connection to 192.168.100.10/8443 failed
2015/12/04 16:01:32 kid1| temporary disabling (Bad Gateway) digest from 192.168.100.10

Может кто сталкивался с таким? Куда копать и чего читать?

иногда (очень редко) случается что-то с учеткой в AD и ext_ldap_group_acl перестает видеть группы в которых состоит пользователь. помогает только пересоздание учетки в AD. сталкивался ли кто-нибудь с подобной проблемой? может есть возможность кк-то починить учетку. не удаляя ее?

Доброго времени. есть сквид и т.п. все настраивалось через webmin squid работает с авторизацией (Внешняя аутентификация ACL External Auth логин+пароль). Возникла потребность авторизовать некоторые машины по MAC без запроса логина+пароля. Когда делаю (Ethernet Address) и помещаю привило выше первой авторизации, все работает но спустя пару мину все начинает дико тормозить, любая страница открывается в течении нескольких минут. Скажите как правильно сделать такой вид авторизации? все машины находятся в одной сети 192.168.0/24. Сильно не ругайтесь я только учусь ). Требуемые логи и т.п. предоставлю, скажите какие. За ранее всем спасибо.

Допустим, в целях безопасности есть необходимость в фильтрации ssl трафика и мы решаем использовать ssl_bump на Сквиде. Генерим ключевую пару с самоподписанным сертификатом и добавляем наш CA сертификат во всё что можно на юзерских машинах. При этом, при заходе на HTTPS ресурсы, пользовательские браузеры не будут ругаться на наши левые сертификаты и строка адреса всегда будет "зелёной". И тут наш пользователь заходит на фишинговый HTTPS ресурс с левым сертификатом...
Вопрос в том, как себя поведёт при этом Squid - он сгенерит ключевую пару для запрашиваемого домена с помощью своей ключевой пары и пользователь увидит "зелёный замочек", подумает, что всё ОК и попытается расплатится на нём своей платёжной картой (со всеми вытекающими) или всё-таки есть возможность, к примеру подключить к ssl_bump CAbundle (например https://raw.githubusercontent.com/bagder/ca-bundle/master/ca...), настроить запросы к CRL/OCSP, включить проверку валидности сертификата сайта и, в случае невозможности проверки, допустим передавать конечному пользователю оригинальный сертификат или подсовывать просроченный, на который браузер будет ругаться? Иначе теряется весь смысл в использовании PKI и вместо повышения безопасности мы получаем прямо противоположный эффект.

Стоит Squid 2.7 на Windows Server 2003

Столкнулся с проблемой что не могу порезать картинки и видео на фейсбуке, а вот вк, ютуб,одноклассники без проблем. Но есть и прочие другие сайты например vimeo.com на которых почему то правила не срабатывают.

acl not_media rep_mime_type -i ^audio
acl not_media rep_mime_type -i ^video

http_reply_access deny not_media test

Хочу порезать для вк и одноклассников картинки

acl vk rep_mime_type -i ^image
acl ok rep_mime_type -i ^image

http_reply_access deny vk test
http_reply_access deny ok test

Работает, картинки и контент не отображаются!

На Фейскбуке все до сих работает контент, прописываю принудительно

acl facebook rep_mime_type -i ^image
acl facebook rep_mime_type -i ^video
acl facebook rep_mime_type -i ^audio

http_reply_access deny facebook test

Не работает!
Начинаю смотреть логи выясняется что контент имеет вот такие ссылки:

Картинки
https://fbcdn-profile-a.akamaihd.net/hprofile-ak-xaf1/v/t1.0...

https://scontent.xx.fbcdn.net/hphotos-xap1/t31.0-8/c0.0.851....

Видео
https://video.xx.fbcdn.net/hvideo-xft1/v/t42.1790-2/12205596...

Пробовал прописать вот так на примере картинки:

acl fbcdn rep_mime_type -i ^image

и так

acl facebook rep_mime_type -i ^image/hphotos-xap1

не получается, подскажите кто по-опытнее в чем дело? и как надо правильно указывать что резать в таких случаях?

Всем доброго времени суток! Никак не получается настроить ICQ через SQUID. Выкурил много манов в инете, но безрезультатно. Как в анекдоте, или свисток без дырки или акула глухая, так и у меня, у всех работает у меня нет.
Дано: Сеть, например: Пров -> Маршрутизатор -> Вся остальная сеть+CentOS (Squid+SquidGuard), на Squid 80 и 443 порты заруливаю маршрутизатором.
конфиг squid.conf

redirect_program /usr/bin/squidGuard -c /etc/squid/squidGuard.conf
redirect_children 30
redirector_bypass on

acl localnet src 192.168.2.0/24 # RFC1918 possible internal network

acl SSL_ports port 443
acl Safe_ports port 80 # http
acl Safe_ports port 21 # ftp
acl Safe_ports port 443 # https
acl Safe_ports port 70 # gopher
acl Safe_ports port 210 # wais
acl Safe_ports port 1025-65535 # unregistered ports
acl Safe_ports port 280 # http-mgmt
acl Safe_ports port 488 # gss-http
acl Safe_ports port 591 # filemaker
acl Safe_ports port 777 # multiling http
acl CONNECT method CONNECT

http_access allow localhost manager
http_access deny manager

http_access deny !Safe_ports

http_access deny CONNECT !SSL_ports

http_access allow localnet
http_access allow localhost

http_access deny all

http_port 192.168.0.5:3128 transparent
https_port 192.168.0.5:3129 transparent ssl-bump generate-host-certificates=on dynamic_cert_mem_cache_size=4MB cert=/etc/squid/ssl/squid.pem key=/etc/squid/ssl/squid.key
sslproxy_flags DONT_VERIFY_PEER
sslproxy_cert_error allow all
always_direct allow all

cache_dir ufs /var/spool/squid 1024 16 256

coredump_dir /var/spool/squid

cache_access_log /var/log/squid/access.log
cache_log /var/log/squid/cache.log
cache_store_log /var/log/squid/store.log

visible_hostname Test

cache_effective_user squid
cache_effective_group squid

refresh_pattern ^ftp: 1440 20% 10080
refresh_pattern ^gopher: 1440 0% 1440
refresh_pattern -i (/cgi-bin/|\?) 0 0% 0
refresh_pattern . 0 20% 4320    

iptables

Таблица: nat
Chain PREROUTING (policy ACCEPT)
num target prot opt source destination
1 REDIRECT tcp -- 0.0.0.0/0 0.0.0.0/0 source IP range 192.168.0.120-192.168.0.239 tcp dpt:80 redir ports 3128
2 REDIRECT tcp -- 0.0.0.0/0 0.0.0.0/0 source IP range 192.168.0.120-192.168.0.239 tcp dpt:443 redir ports 3129

Chain POSTROUTING (policy ACCEPT)
num target prot opt source destination

Chain OUTPUT (policy ACCEPT)
num target prot opt source destination

Таблица: filter
Chain INPUT (policy ACCEPT)
num target prot opt source destination

Chain FORWARD (policy ACCEPT)
num target prot opt source destination

Chain OUTPUT (policy ACCEPT)
num target prot opt source destination

Всем доброго

Имеется:

Филиал1 с выходом в интернет на 1 Мбит/с
Филиал2 с выходом в интернет на 1 Мбит/с
Офис с выходом в интернет на 100 Мбит/с

Между всеми тремя точками для локальной сети используется оптика.
В каждой из трех точек установлен сервер с SQUID.

Задача:

По умолчанию выход в интернет через SQUID для всех трех точек происходит сквозь "Офис".
В случае обрыва выхода в интернет через "Офис" автоматически трафик с этой точки отправлять на "Филиал1", если же он так же без выхода в интернет то через "Филиал2"
"Филиал-ы" при этом трафик отправляют через себя.

То есть по умолчанию весь трафик идет через "Офис", в случае же недоступности выхода в интернет через "Офис" трафик должен выходить локально в "Филиал-ах" и "Офис" должен переподключиться через доступный "Филиал".

- Смысл в том что бы добиться максимальной надежности доступа в интернет, так как предприятие критически зависимо от доступа в интернет, но при этом скоростной безлимитный доступ только в "Офис".
На текущий момент этот алгоритм решается методом ручной правки конфига при сбое у провайдеров, но это приводит к зависимости от "человеческого фактора", а сбои у провайдеров происходят слишком часто.
Как я думаю нужно подобрать директивы cache_peer, never_direct и т.п. с правильными параметрами.

Заранее спасибо

Доброго времени суток!

Люди, помогите разобраться в проблеме.
Есть proxy на Ubuntu 12/04/
eth0 - смотрит в инет
eth1 - в локалку. имеет адрес 192.168.128.1/19

Появилась необходимость пускать через прокси других людей из другого филиала.
Так вот, поставили там роутер, на роутере ip 192.168.130.193/26
Проблема в следующем, с роутера из филиала я пингую 192.168.128.1, а вот с прокси адрес 192.168.130.193 не проходит.
Делаю с proxy traceroute 192.168.130.193 завершается на первом шаге и дальше ничего не показывает.

Может надо какое то правило в iptables добавить?
Помогите разобраться...

Добрый день, коллеги!

Помогите побороть Squid. Пытаюсь его настроить в прозрачном режиме. Сам он вполне успешно работает в обычном режиме. Сначала запускал второй экземпляр только с прозрачным режимом, потом дополнил конфиг экземпляра с обычным режимом, что бы работал в обоих. Результат один и тот же. Обычный режим работает, прозрачный - нет.

Схема такая:

Клиент -> WifiPoint -> WifiController(NAT) -> Firewall -> Squid -> Интернет

На контроллере wifi (Zyxel NXC2500), с помощью встроенного NAT у пакетов меняется адрес получателя на сервер squid и порт с 80 на 8080. Дальше все роутится через firewall на сервер со squid.

Squid.conf:
http_port 3128
http_port 8080 intercept

squid -v
Squid Cache: Version 3.3.13
configure options:  '--host=i586-suse-linux-gnu' '--build=i586-suse-linux-gnu' '--program-prefix=' '--prefix=/usr' '--exec-prefix=/usr' '--bindir=/usr/bin' '--sbindir=/usr/sbin' '--sysconfdir=/etc' '--datadir=/usr/share' '--includedir=/usr/include' '--libdir=/usr/lib' '--libexecdir=/usr/lib' '--localstatedir=/var' '--sharedstatedir=/usr/com' '--mandir=/usr/share/man' '--infodir=/usr/share/info' '--disable-dependency-tracking' '--disable-strict-error-checking' '--sysconfdir=/etc/squid' '--libexecdir=/usr/sbin' '--datadir=/usr/share/squid' '--sharedstatedir=/var/squid' '--with-logdir=/var/log/squid' '--with-pidfile=/run/squid.pid' '--with-dl' '--enable-disk-io' '--enable-storeio' '--enable-removal-policies=heap,lru' '--enable-icmp' '--enable-delay-pools' '--enable-esi' '--enable-icap-client' '--enable-useragent-log' '--enable-referer-log' '--enable-kill-parent-hack' '--enable-arp-acl' '--enable-ssl' '--enable-forw-via-db' '--enable-cache-digests' '--enable-linux-netfilter' '--with-large-files' '--enable-underscores' '--enable-auth' '--enable-auth-basic' '--enable-auth-ntlm' '--enable-auth-negotiate' '--enable-auth-digest' '--enable-external-acl-helpers=LDAP_group,eDirectory_userip,file_userip,kerberos_ldap_group,session,unix_group,wbinfo_group' '--enable-ntlm-fail-open' '--enable-stacktraces' '--enable-x-accelerator-vary' '--with-default-user=squid' '--disable-ident-lookups' '--enable-follow-x-forwarded-for' '--disable-arch-native' 'build_alias=i586-suse-linux-gnu' 'host_alias=i586-suse-linux-gnu' 'CFLAGS=-fomit-frame-pointer -fmessage-length=0 -grecord-gcc-switches -fstack-protector -O2 -Wall -D_FORTIFY_SOURCE=2 -funwind-tables -fasynchronous-unwind-tables -g -fPIE -fPIC -DOPENSSL_LOAD_CONF' 'LDFLAGS=-Wl,-z,relro,-z,now -pie' 'CXXFLAGS=-fomit-frame-pointer -fmessage-length=0 -grecord-gcc-switches -fstack-protector -O2 -Wall -D_FORTIFY_SOURCE=2 -funwind-tables -fasynchronous-unwind-tables -g -fPIE -fPIC -DOPENSSL_LOAD_CONF' 'PKG_CONFIG_PATH=%{_PKG_CONFIG_PATH}:/usr/lib/pkgconfig:/usr/share/pkgconfig'

Система opensuse 13.2

cache.log на любой запрос по http
2015/10/16 16:50:34 kid1|  NF getsockopt(SO_ORIGINAL_DST) failed on local=192.168.29.1:8080 remote=192.168.29.1:58508 FD 70 flags=33: (2) No such file or directory

Такие записи на любой запрос.
В access.log на этот запрос пишет 502 ошибку:
16/Oct/2015:16:49:36 +0300      1 192.168.10.10 TCP_MISS/502 4399 GET http://www.yandex.ru/ - HIER_DIRECT/192.168.29.1 text/html

Клиент видит только ответ с ошибкой (то что прокси получил ответ нулевой длинны)

Я начал грешить на NAT от Zyxel, но потом параллельно со squid поставил privoxy, отдал ему порт 8080 на прозрачный режим, все остальное осталось без изменений. И все заработало!  Я уже был готов сделать проброс от privoxy к squid, как к родительскому прокси, но privoxy, как оказалось, не умеет https траффик в прозрачном режиме.

Помогите решить эту проблему.

Squid3 на ubuntu 14.04, контроллер домена на Windows Server2012R2.
Механизмами аутентификации пользователей прокси-сервера Squid 3 по протоколам Kerberos и NTLM в среде домена Active Directory.
Проблема с системой LIGHTSQUID анализатора логов Squid.
Некоторые учетки (большинство) содержат русские имена и пробелы - вида Иванов И И.
В логах /var/log/squid3/access.log - п≤п╡п╟п╫п╬п╡ п≤ п≤ (url кодировка через пробелы).
В отчетах Lightsquid последняя буква И.

Шустрил интернет, никакие способы не помогли.
Может кто поможет???

Доброго всем дня!
В теме полный профан, но делать и учиться надо.
запустил squid 2.7 stable8 на win2012
служба стартовала, все нормально. но при попытке подключиться через него страницы не открываются, а скачивается бинарный файлик. IE открывает страницу с двумя спецсимволами и на этом останавливается.
не могу понять в чем проблема, в логах отказа нет, все вроде работает.
конфиг брал из многочисленных мануалов в сети и ничего кроме порта не менял

acl all src all
acl manager proto cache_object
acl localhost src 127.0.0.1/32
acl to_localhost dst 127.0.0.0/8 0.0.0.0/32
# Оставляем ниже одну из записей для своей локальной сети, если прокси-сервер  используется
# только на одной машине, на которой он и установлен, то эти записи нужно закомментировать
acl localnet src 10.0.0.0/8             # RFC1918 possible internal network
acl localnet src 172.16.0.0/12      # RFC1918 possible internal network
acl localnet src 192.168.0.0/16   # RFC1918 possible internal network
#
acl SSL_ports port 443
acl Safe_ports port 80                   # http
acl Safe_ports port 21                   # ftp
acl Safe_ports port 443                # https
acl Safe_ports port 70                   # gopher
acl Safe_ports port 210                # wais
acl Safe_ports port 1025-65535 # unregistered ports
acl Safe_ports port 280                # http-mgmt
acl Safe_ports port 488                # gss-http
acl Safe_ports port 591                # filemaker
acl Safe_ports port 777                # multiling http
acl CONNECT method CONNECT
# Only allow cachemgr access from localhost
http_access allow manager localhost
http_access deny manager
# Deny requests to unknown ports
http_access deny !Safe_ports
# Deny CONNECT to other than SSL ports
http_access deny CONNECT !SSL_ports
http_access allow localnet
# And finally deny all other access to this proxy
http_access deny all
#Allow ICP queries from local networks only
icp_access allow localnet
icp_access deny all
# Прописываем порт, на который сквид будет ожидать соединения от клиентов.
http_port 8080
#We recommend you to use at least the following line.
hierarchy_stoplist cgi-bin ?
Default:
cache_replacement_policy lru
# Прописываем расположение директории, в которой будет хранится наш кэш:
cache_dir ufs c:/squid/var/cache 100 16 256
store_dir_select_algorithm least-load
max_open_disk_fds 0
minimum_object_size 0 KB
maximum_object_size 4096 KB
cache_swap_low 90
cache_swap_high 95
update_headers on
access_log c:/squid/var/logs/access.log squid
logfile_daemon c:/squid/libexec/logfile-daemon.exe
cache_log c:/squid/var/logs/cache.log
cache_store_log c:/squid/var/logs/store.log
logfile_rotate 10
emulate_httpd_log off
log_ip_on_direct on
mime_table c:/squid/etc/mime.conf
log_mime_hdrs off
pid_filename c:/squid/var/logs/squid.pid
log_fqdn off
strip_query_terms on
buffered_logs off

На этом же сервере установлена еще одна прокся, TrafficInspector, но настроен он на другой порт, 3128.
может ли он мешать работе? (хотя когда то настраивал squid совместно с usergate и нормально работало)

Настраиваю скид с ntlm аутентификацией. Всё срабатывает замечательно, всё запрещается и разрешается как надо. Но как только у пользователя, у которого разрешён только белый список начинает грузить сайт, на котором какой то компонент не разрешён к загрузке - браузер начинает как бешеный перезапрашивать авторизацию, IE11 может раз 5-10 перезапросить, Chrome спрашивает только один раз. Подскажите пожалуйста что нужно подправить в моём конфиге, чтобы такого не было?
__________________________________
Конфиг squid.conf

auth_param ntlm program /usr/bin/ntlm_auth --helper-protocol=squid-2.5-ntlmssp
#подключаем хелпер, производит авторизацию по группе
auth_param ntlm children 25
auth_param ntlm keep_alive on

auth_param basic program /usr/bin/ntlm_auth --helper-protocol=squid-2.5-basic
#подключаем хелпер, производит авторизацию по группе
auth_param basic children 5
auth_param basic realm Proxy Autentification Required
auth_param basic credentialsttl 2 hours
auth_param basic casesensitive off
external_acl_type nt_group %LOGIN /usr/lib/squid3/wbinfo_group.pl
#подключаем хелпер, производит авторизацию по пользователю

acl manager proto cache_object
acl localhost src 127.0.0.1/32 ::1
acl to_localhost dst 127.0.0.0/8 0.0.0.0/32 ::1
acl localnet src 192.168.20.0/32 # RFC1918 possible internal network

#Список доступных портов
acl SSL_ports port 443
acl SSL_ports port 9443
acl SSL_ports port 4443
acl SSL_ports port 4453 4005
acl SSL_ports port 5222
acl Safe_ports port 80          # http
acl Safe_ports port 21          # ftp
acl Safe_ports port 443         # https
acl Safe_ports port 70          # gopher
acl Safe_ports port 210         # wais
acl Safe_ports port 1025-65535  # unregistered ports
acl Safe_ports port 280         # http-mgmt
acl Safe_ports port 488         # gss-http
acl Safe_ports port 591         # filemaker
acl Safe_ports port 777         # multiling http
acl CONNECT method CONNECT

acl AUTH proxy_auth REQUIRED
# обязательная авторизация

acl urls-bad url_regex -i "/etc/squid3/blacklist"
# Плохие сайты http/https
acl urls-ok url_regex -i "/etc/squid3/whitelist"
# Хорошие сайты

acl inet_allow external nt_group internet_allow
# авторизация по группе (им будет всё можно, кроме чёрного списка)
acl inet_close external nt_group internet_deny
# авторизация по группе (им всё запретим, кроме хороших сайтов)

#acl test proxy_auth accept_user_internet
# авторизация по пользователю

# Разрешаем/запрещаем порты

http_access allow manager localhost
http_access deny manager
http_access deny !Safe_ports
http_access deny CONNECT !SSL_ports
http_access allow localhost

http_access deny inet_allow urls-bad
# запрещаем все плохие сайты
http_access allow inet_allow
# разрешаем остальные сайты

http_access allow inet_close urls-ok
# Разрешаем белый список группе internet_deny
http_access deny inet_close
# Запрещаем всё остальное группе inetrnet_deny

http_port 3128

access_log /etc/squid3/log/access.log

__________________________________
cat /etc/squid3/blacklist
vk.com
mail.ru

__________________________________
cat /etc/squid3/whitelist
drive.ru
img.drive.ru
tns-counter.ru
st.top100.ru
google-analytics.com
b.scorecardresearch.com
ads.adfox.ru
cstatic.weborama.fr
matchid.adfox.yandex.ru
counter.yadro.ru
ctldl.windowsupdate.com

Есть прокси сервер squidnt 2.7 не могу настроить авторизацию через группы в AD? гляньте пожалуйста, что не так?
#===Адрес прокси===
http_port 3128

dns_nameservers 192.168.1.13  192.168.1.14

#===Отображаемое имя прокси===
visible_hostname test_proxy

auth_param ntlm program c:/squid/libexec/mswin_ntlm_auth.exe -v
auth_param ntlm children 25
auth_param ntlm keep_alive on
external_acl_type NT_global_group children=25 negative_ttl=1800 %LOGIN c:/squid/libexec/mswin_check_lm_group.exe -G -d -c

acl CONNECT method CONNECT
acl all src 0.0.0.0/0.0.0.0
acl localnet proxy_auth ReQUIRED src 10.9.8.0
acl InetUsers external NT_global_group InternetUsers
acl white url_regex "C:\squid\etc\acls\white.txt"
http_access allow InetUsers
http_access allow localnet white
http_access deny CONNECT
http_access deny all

Привет всем, у меня такая проблема в сети есть cisco proxy и есть клиент на котором установлен cisco NAC agent, есть комы у которых нету cisco NAC agent. Задача сделать доступ в интернет компам у которых нет cisco NAC. Т.е я хочу поставить squid на тачку на которой стоит NAC agent. Я ставлю проксю, навастриваю ее, но служба не запускается, по 1067 ошибке, в папке sbin/ файл лога пустой без ошибок. ОС: Windows 7, squid 2.7 for windows. Можно ли вообще такую схему реализовать? поставить свкид на тачку с циско агентом чтобы компы у которые будут подключатся к сквид могли выйти в инет?
Вот мои действия и конфиги:
#name
http_port 3131
#acl
acl all src 0.0.0.0/0.0.0.0
acl USER src 10.200.11.0/255.255.255.0
acl PORT port 80 443
#acl access
http_access allow USER PORT
#acl deny
http_access deny all
#cache memory
cache_meme 64 MB
cache_dir ufs c:/squid/var/cache 1000 16 256

далее в cmd пишем SQUID_HOME\sbin\squid -z
далее в cmd пишем SQUID_HOME\sbin\squid -i
далее в cmd пишем net start squid

Вся эта штука работает в СПД компании, я штатный сотрудник, а не админ. Поэтому как настроен циско агент и прокси я не знаю.

Привет)

не могу понять правильную настройку ограничение пулов через sams2, у кого вышло?помогите плиз

я смог ограничить только через squid в ручную, без тэгов,на всю подсеть.

но мне нужно сделать ограничением по шаблонам в sams2

Подскажите, squid работает на hyper-v. Останвил виртуалку, забэкапил виртуальный диск, запустил виртуалку. После этих действий squid при авторизации в ad пользователей стал добавлять ко всем символы "5c". Выглядит это вот так:
...sAMAccountName=DOMAIN\5cUser...
С чем это может быть связано.

Добрый вечер.
Возникла проблема с тормозами squid'а.
При более 400 одновременных соединений открытие страниц через squid становится медленным (начинает притормаживать), если пускать в обход squid'а - всё летает. Процессор почти не загружен и Память только на 3%.
Что делать? Куда дальше крутить настройки?

Выкладываю свой squid.conf:
tcp_outgoing_address ххх.ххх.ххх.ххх
http_port ххх.ххх.ххх.ххх:3128 transparent

acl manager proto cache_object
acl localhost src 127.0.0.1/32
acl to_localhost dst 127.0.0.0/8

acl localnet src 10.0.0.0/8    # RFC1918 possible internal network
acl to_localnet dst 10.0.0.0/8

acl direct dstdomain ххх
acl direct dstdomain ххх.ru
always_direct allow direct

acl SSL_ports port 443
acl Safe_ports port 80        # http
acl Safe_ports port 81        # http2
acl Safe_ports port 21        # ftp
acl Safe_ports port 443        # https
acl Safe_ports port 70        # gopher
acl Safe_ports port 210        # wais
acl Safe_ports port 1025-65535    # unregistered ports
acl Safe_ports port 280        # http-mgmt
acl Safe_ports port 488        # gss-http
acl Safe_ports port 591        # filemaker
acl Safe_ports port 777        # multiling http
acl CONNECT method CONNECT

http_access allow manager localhost
http_access deny manager
http_access deny !Safe_ports
http_access deny CONNECT !SSL_ports

http_access allow localnet
http_access allow localhost
http_access deny all

positive_dns_ttl 2 minute
negative_dns_ttl 30 second
shutdown_lifetime 1 seconds
icp_port 0
dns_nameservers 127.0.0.1
dns_v4_first on

cache_mem 8 GB
maximum_object_size_in_memory 512 KB
memory_replacement_policy heap GDSF
cache_dir ufs /var/spool/squid 10000 16 256
maximum_object_size 512 KB

# Add any of your own refresh_pattern entries above these.
refresh_pattern ^ftp:        1440    20%    10080
refresh_pattern ^gopher:    1440    0%    1440
refresh_pattern -i (/cgi-bin/|\?) 0    0%    0
refresh_pattern .        0    20%    4320
visible_hostname proxy

Заранее всем спасибо :-)

Помогите настроить, есть ПК1 с WIN XP и 2 сетевух

1 карта подключена к роутеру
2 карта должна раздавать инет на ПК2.
мне нужен прозрачный прокси на карте 2 ПК1, который весь траффик, причем любой с абсолютно всех портов перекидывал бы на другую программу, на ее порт. в т.ч. и HTTP, HTTPS, DNS и не только tcp но и UDP запросы, вообщем все, что идет с сетевухи ПК1_2 шло через прозрачный проксик, например squid а этот squid кидал бы все на другую программу, которая является сокс-сервером
если это на WIN XP не возможно, то помогите тогда настроить линукс, если-что и ее поставлю, не проблема.

Всем доброго времени суток.
стоит задача настроить прозрачный прокси server на freebsd с целью контроля интернет трафика. На предприятии имеется 300 рабочих мест, контроллер домена на windows 2008 server r2.

Для реализации данной задачи нам понадобятся следующие пакеты:

samba - необходима для аутентификации пользователей в AD.
squid - кэширующий прокси-сервер.

Исходные данные
Контроллер домена - Windows 2008 server r2
FreeBSD 9.1 - шлюз, на котором мы и буду настраивать прокси-сервер.
10.93.0.0/16 - наша локальная сеть.
10.93.1.250 - IP контроллера домена.
10.93.1.1 - внутренний IP шлюза.

если уже пробовал сам устанавливать samba, squid, но постоянно лезут какие то непонятные ошибки, хочется увидеть более конкретный алгоритм действий, начиная с момента установки samba, squid и тд. могу скинуть конфиги любых файлов. Еще в целом не представляю картины как система работает в целом.

Здравствуйте! Уже несколько дней не могу побороть этот сайт, всё открывается замечательно, один только он упирается. Сайт www.drive.ru открывается, но нет картинок. При этом в логе никаких запретов не обнаружил.
config
cache_mem 32 MB
mime_table /opt/squid/etc/mime.conf

# Заводим в переменные порты
acl SSL_ports port 443
acl Safe_ports port 80        # http
acl Safe_ports port 21        # ftp
acl Safe_ports port 443        # https
acl Safe_ports port 70        # gopher
acl Safe_ports port 210        # wais
acl Safe_ports port 1025-65535    # unregistered ports
acl Safe_ports port 280        # http-mgmt
acl Safe_ports port 488        # gss-http
acl Safe_ports port 591        # filemaker
acl Safe_ports port 777        # multiling http
acl CONNECT method CONNECT

# Обзываем нашу локальную сеть
acl serv src 192.168.20.96      #сам сервер
acl net_admin src 192.168.20.10-192.168.20.30   # админская сеть, где должно быть разрешено всё
acl net_users src 192.168.20.31-192.168.20.60   # пользовательская сеть, где всё запрещено

# Заводим в переменную белым списком сайтов
acl allowed_site dstdomain .drive.ru talkgadget.google.com ads.adfox.ru share.pluso.ru b.scorecardresearch.com .google-analytics.com st.top100.ru counter.yadro.ru .tns-counter.ru cstatic.weborama.fr accounts.google.com talkgadget.google.com counter.rambler.ru drive.solution.weborama.fr kitbit.net t.insigit.com
acl allowed_site dstdomain google.mail.com
acl allowed_site dstdomain .stylest.tk

# Запрещаем подключение всем кроме назначенных Safe_ports
http_access deny !Safe_ports

#Запрещаем метод CONNECT всем кроме указанных SSL портов
http_access deny CONNECT !SSL_ports

# Разрешаем Localhost только cachemgr доступ
http_access allow localhost manager
http_access deny manager

# Разрешаем всё админское сети - net_admin
http_access allow net_admin

# Запрещаем всё кроме разршённых сайтов для пользовательской сети - net_users
http_access allow net_users
http_access allow net_users allowed_site

# Разрешаем всё Localhost
http_access allow localhost

# И запрещаем доступ всем остальным
http_access deny all

# Назначем сквиду ssl сертификат
http_port 3128 ssl-bump generate-host-certificates=on dynamic_cert_mem_cache_size=4MB cert=/opt/squid/etc/squidCA.pem
always_direct allow all
ssl_bump allow all
sslproxy_cert_error allow all
sslproxy_flags DONT_VERIFY_PEER

# Uncomment and adjust the following to add a disk cache directory.
#cache_dir ufs /opt/squid/var/cache/squid 100 16 256

# Leave coredumps in the first cache dir
coredump_dir /opt/squid/var/cache/squid

log
1440748107.170    173 192.168.20.33 TCP_MISS/200 10119 GET http://www.drive.ru/ - HIER_DIRECT/146.255.192.78 text/html
1440748107.187      0 192.168.20.33 TAG_NONE/200 0 CONNECT img.drive.ru:443 - HIER_NONE/- -
1440748107.187      0 192.168.20.33 TAG_NONE/200 0 CONNECT img.drive.ru:443 - HIER_NONE/- -
1440748107.188      0 192.168.20.33 TAG_NONE/200 0 CONNECT img.drive.ru:443 - HIER_NONE/- -
1440748107.188      0 192.168.20.33 TAG_NONE/200 0 CONNECT img.drive.ru:443 - HIER_NONE/- -
1440748107.189      0 192.168.20.33 TAG_NONE/200 0 CONNECT img.drive.ru:443 - HIER_NONE/- -
1440748107.190      1 192.168.20.33 TAG_NONE/200 0 CONNECT img.drive.ru:443 - HIER_NONE/- -
1440748107.213      0 192.168.20.33 TAG_NONE/200 0 CONNECT img.youtube.com:443 - HIER_NONE/- -
1440748107.214      0 192.168.20.33 TAG_NONE/200 0 CONNECT img.youtube.com:443 - HIER_NONE/- -
1440748107.214      0 192.168.20.33 TAG_NONE/200 0 CONNECT img.youtube.com:443 - HIER_NONE/- -
1440748107.222      0 192.168.20.33 TAG_NONE/200 0 CONNECT img.drive.ru:443 - HIER_NONE/- -
1440748107.223      0 192.168.20.33 TAG_NONE/200 0 CONNECT img.youtube.com:443 - HIER_NONE/- -
1440748107.223      0 192.168.20.33 TAG_NONE/200 0 CONNECT img.drive.ru:443 - HIER_NONE/- -
1440748107.228      0 192.168.20.33 TAG_NONE/200 0 CONNECT img.drive.ru:443 - HIER_NONE/- -
1440748107.228      0 192.168.20.33 TAG_NONE/200 0 CONNECT img.drive.ru:443 - HIER_NONE/- -
1440748107.231     55 192.168.20.33 TCP_CLIENT_REFRESH_MISS/304 272 GET http://www.drive.ru/css/global.css? - HIER_DIRECT/146.255.192.78 -
1440748107.240      0 192.168.20.33 TAG_NONE/200 0 CONNECT img.drive.ru:443 - HIER_NONE/- -
1440748107.241      0 192.168.20.33 TAG_NONE/200 0 CONNECT img.drive.ru:443 - HIER_NONE/- -
1440748107.244      3 192.168.20.33 TAG_NONE/200 0 CONNECT img.drive.ru:443 - HIER_NONE/- -
1440748107.246      0 192.168.20.33 TAG_NONE/200 0 CONNECT img.drive.ru:443 - HIER_NONE/- -
1440748107.248      0 192.168.20.33 TAG_NONE/200 0 CONNECT img.drive.ru:443 - HIER_NONE/- -
1440748107.252      0 192.168.20.33 TAG_NONE/200 0 CONNECT img.drive.ru:443 - HIER_NONE/- -
1440748107.266      0 192.168.20.33 TAG_NONE/200 0 CONNECT img.drive.ru:443 - HIER_NONE/- -
1440748107.266      0 192.168.20.33 TAG_NONE/200 0 CONNECT img.drive.ru:443 - HIER_NONE/- -
1440748107.268      0 192.168.20.33 TAG_NONE/200 0 CONNECT img.drive.ru:443 - HIER_NONE/- -
1440748107.276      0 192.168.20.33 TAG_NONE/200 0 CONNECT img.drive.ru:443 - HIER_NONE/- -
1440748107.276      0 192.168.20.33 TAG_NONE/200 0 CONNECT img.drive.ru:443 - HIER_NONE/- -
1440748107.276      0 192.168.20.33 TAG_NONE/200 0 CONNECT img.drive.ru:443 - HIER_NONE/- -
1440748107.288      3 192.168.20.33 TAG_NONE/200 0 CONNECT img.drive.ru:443 - HIER_NONE/- -
1440748107.289      1 192.168.20.33 TAG_NONE/200 0 CONNECT img.drive.ru:443 - HIER_NONE/- -
1440748107.291      0 192.168.20.33 TAG_NONE/200 0 CONNECT img.drive.ru:443 - HIER_NONE/- -
1440748107.293      2 192.168.20.33 TAG_NONE/200 0 CONNECT img.drive.ru:443 - HIER_NONE/- -
1440748107.294      1 192.168.20.33 TAG_NONE/200 0 CONNECT img.drive.ru:443 - HIER_NONE/- -
1440748107.295    116 192.168.20.33 TCP_CLIENT_REFRESH_MISS/304 271 GET http://www.drive.ru/css/index.css? - HIER_DIRECT/146.255.192.78 -
1440748107.295    113 192.168.20.33 TCP_CLIENT_REFRESH_MISS/304 271 GET http://www.drive.ru/js/adfox.asyn.code.ver3.js - HIER_DIRECT/146.255.192.78 -
1440748107.298    121 192.168.20.33 TCP_CLIENT_REFRESH_MISS/304 272 GET http://www.drive.ru/css/form.css? - HIER_DIRECT/146.255.192.78 -
1440748107.298    118 192.168.20.33 TCP_CLIENT_REFRESH_MISS/304 273 GET http://www.drive.ru/js/core.js? - HIER_DIRECT/146.255.192.78 -
1440748107.304      0 192.168.20.33 TAG_NONE/200 0 CONNECT img.youtube.com:443 - HIER_NONE/- -
1440748107.305      0 192.168.20.33 TAG_NONE/200 0 CONNECT img.youtube.com:443 - HIER_NONE/- -
1440748107.306      0 192.168.20.33 TAG_NONE/200 0 CONNECT img.youtube.com:443 - HIER_NONE/- -
1440748107.307      1 192.168.20.33 TAG_NONE/200 0 CONNECT img.youtube.com:443 - HIER_NONE/- -
1440748107.308      1 192.168.20.33 TAG_NONE/200 0 CONNECT img.drive.ru:443 - HIER_NONE/- -
1440748107.321     59 192.168.20.33 TCP_CLIENT_REFRESH_MISS/304 272 GET http://www.drive.ru/images/bg.jpg - HIER_DIRECT/146.255.192.78 -
1440748107.323      2 192.168.20.33 TAG_NONE/200 0 CONNECT img.drive.ru:443 - HIER_NONE/- -
1440748107.330      6 192.168.20.33 TAG_NONE/200 0 CONNECT img.drive.ru:443 - HIER_NONE/- -
1440748107.332      0 192.168.20.33 TAG_NONE/200 0 CONNECT img.drive.ru:443 - HIER_NONE/- -
1440748107.332    149 192.168.20.33 TCP_CLIENT_REFRESH_MISS/304 271 GET http://www.drive.ru/js/adfox.asyn.code.scroll.js - HIER_DIRECT/146.255.192.78 -
1440748107.332      0 192.168.20.33 TAG_NONE/200 0 CONNECT img.drive.ru:443 - HIER_NONE/- -
1440748107.334      1 192.168.20.33 TAG_NONE/200 0 CONNECT img.drive.ru:443 - HIER_NONE/- -
1440748107.336      1 192.168.20.33 TAG_NONE/200 0 CONNECT img.drive.ru:443 - HIER_NONE/- -
1440748107.345      8 192.168.20.33 TAG_NONE/200 0 CONNECT img.drive.ru:443 - HIER_NONE/- -
1440748107.350      1 192.168.20.33 TAG_NONE/200 0 CONNECT img.drive.ru:443 - HIER_NONE/- -
1440748107.354      3 192.168.20.33 TAG_NONE/200 0 CONNECT img.drive.ru:443 - HIER_NONE/- -
1440748107.362      0 192.168.20.33 TAG_NONE/200 0 CONNECT img.drive.ru:443 - HIER_NONE/- -
1440748107.363      0 192.168.20.33 TAG_NONE/200 0 CONNECT img.drive.ru:443 - HIER_NONE/- -
1440748107.382      0 192.168.20.33 TAG_NONE/200 0 CONNECT img.drive.ru:443 - HIER_NONE/- -
1440748107.382      0 192.168.20.33 TAG_NONE/200 0 CONNECT img.drive.ru:443 - HIER_NONE/- -
1440748107.383      0 192.168.20.33 TAG_NONE/200 0 CONNECT img.drive.ru:443 - HIER_NONE/- -
1440748107.438     60 192.168.20.33 TCP_CLIENT_REFRESH_MISS/304 272 GET http://www.drive.ru/images/sprites.png? - HIER_DIRECT/146.255.192.78 -
1440748107.497    133 192.168.20.33 TCP_MISS/200 681 GET http://ads.adfox.ru/59610/prepareCode? - HIER_DIRECT/213.180.204.92 application/x-javascript
1440748107.623     70 192.168.20.33 TCP_MISS/200 681 GET http://ads.adfox.ru/59610/prepareCode? - HIER_DIRECT/213.180.204.92 application/x-javascript
1440748107.641      9 192.168.20.33 TCP_MISS/304 216 GET http://www.google-analytics.com/ga.js - HIER_DIRECT/79.136.239.53 -
1440748107.643     15 192.168.20.33 TCP_MISS/200 1482 GET http://b.scorecardresearch.com/beacon.js - HIER_DIRECT/188.43.74.10 application/x-javascript
1440748107.675    121 192.168.20.33 TCP_CLIENT_REFRESH_MISS/304 271 GET http://www.drive.ru/images/logo.png? - HIER_DIRECT/146.255.192.78 -
1440748107.676    119 192.168.20.33 TCP_CLIENT_REFRESH_MISS/304 271 GET http://www.drive.ru/images/open-page-shadow.png - HIER_DIRECT/146.255.192.78 -
1440748107.676    119 192.168.20.33 TCP_CLIENT_REFRESH_MISS/304 272 GET http://www.drive.ru/images/vgr.png? - HIER_DIRECT/146.255.192.78 -
1440748107.676    120 192.168.20.33 TCP_CLIENT_REFRESH_MISS/304 272 GET http://www.drive.ru/images/brands-19.png - HIER_DIRECT/146.255.192.78 -
1440748107.677    121 192.168.20.33 TCP_CLIENT_REFRESH_MISS/304 271 GET http://www.drive.ru/images/hgr.png - HIER_DIRECT/146.255.192.78 -
1440748107.725      7 192.168.20.33 TCP_MISS/204 306 GET http://b.scorecardresearch.com/b? - HIER_DIRECT/188.43.74.10 -
1440748107.747    114 192.168.20.33 TCP_CLIENT_REFRESH_MISS/304 238 GET http://st.top100.ru/pack/pack.min.js - HIER_DIRECT/81.19.88.116 -
1440748107.763    125 192.168.20.33 TCP_CLIENT_REFRESH_MISS/304 461 GET http://cstatic.weborama.fr/js/products.js - HIER_DIRECT/93.184.221.133 -
1440748107.782     74 192.168.20.33 TCP_MISS/200 455 GET http://www.google-analytics.com/r/__utm.gif? - HIER_DIRECT/79.136.239.53 image/gif
1440748107.782    148 192.168.20.33 TCP_MISS/200 326 GET http://counter.yadro.ru/hit;DRIVE? - HIER_DIRECT/88.212.201.193 image/gif
1440748107.839     62 192.168.20.33 TCP_CLIENT_REFRESH_MISS/304 461 GET http://cstatic.weborama.fr/iframe/external_all.html - HIER_DIRECT/93.184.221.133 -
1440748107.841    204 192.168.20.33 TCP_MISS/302 686 GET http://www.tns-counter.ru/V13a***R>http://www.drive.ru/video/audi/volkswagen/55bb660f95a65685aa...*drive_ru/ru/UTF-8/tmsec=drive_total/953312640 - HIER_DIRECT/194.226.130.228 image/gif
1440748107.884    122 192.168.20.33 TCP_MISS/200 538 GET http://counter.rambler.ru/top100.scn? - HIER_DIRECT/81.19.88.81 image/gif
1440748107.990    220 192.168.20.33 TCP_MISS/200 1003 GET http://drive.solution.weborama.fr/fcgi-bin/comptage_wreport....? - HIER_DIRECT/195.54.48.9 image/gif
1440748108.045    203 192.168.20.33 TCP_MISS/200 492 GET http://www.tns-counter.ru/V13b***R>http://www.drive.ru/video/audi/volkswagen/55bb660f95a65685aa...*drive_ru/ru/UTF-8/tmsec=drive_total/953312640 - HIER_DIRECT/194.226.130.228 image/gif

Доброго времени суток.
Нужно оргнанизовать прозрачное проксирование https трафика.
Выполнял следующие шаги:
-скачал с оф. сайта исходники.
-сделал ./configure со след опциями --prefix=/usr --includedir=${prefix}/include --localstatedir=/var --libexecdir=${prefix}/lib/squid3 --srcdir=. --datadir=${prefix}/share/squid3 --sysconfdir=/etc/squid3 --with-default-user=proxy --with-logdir=/var/log/squid3 --with-pidfile=/var/run/squid3.pid --bindir=/usr/sbin --enable-delay-pools --enable-ssl --enable-ssl-crtd --enable-linux-netfilter --enable-eui --enable-snmp --enable-gnuregex
- далее make && sudo checkinstall
- поставил все зависимости sudo apt-get build-dep squid
- в настройках сквида прописал
https_port 192.168.56.100:3130 transparent ssl-bump generate-host-certificates=on dynamic_cert_mem_cache_size=4MB key=/home/mut/squid.key cert=/home/mut/squid.pem
always_direct allow all
ssl_bump client-first all (и server-first пробовал)

Во время запуска (sudo squid) никаких сообщений.
ps -A | grep squid показывает 1 процесс(должно быть 2) и чуть позже пропадает и он.
если отключить ssl-bump, то браузер говорит, что не может получить запрошеный URL.

UPD. падает дочерний процесс со следующим сообщением "The ssl_crtd helpers are crashing too rapidly, need help". запись об этом в /var/log/syslog
Заранее благодарен за ответы.

Здравствуйте, подскажите пожалуйста как настроить squid + ubuntu + mikrotik

Все ветки облазил проблема не решилась, понимаю что много однотипного и похожего но нужен взгляд со стороны (делал по видео, и по другим инструкциям ошибка одна итаже).

ип микротика 192.168.88.1 (включен дхцп)
ип сервера с прокси 192.168.88.2 (одна сетевая)

конфиг squid:
------------------------------------------------------
http_port 3128 transparent

refresh_pattern ^ftp:         &n... 1440    20%     10080
refresh_pattern ^gopher:        1440    0%      1440
refresh_pattern -i (/cgi-bin/|\?) 0     0%      0
refresh_pattern .               0       20%     4320

acl manager url_regex -i ^cache_object:// +i ^https?://[^/]+/squid-internal-mgr/

#acl localhost src 127.0.0.1/32 ::1
#acl to_localhost dst 127.0.0.0/8 0.0.0.0/32 ::1
acl localnet src 192.168.88.0/24 # RFC 1918 possible internal network
#acl localnet src 10.0.0.0/8     # RFC 1918 possible internal network
#acl localnet src 172.16.0.0/12  # RFC 1918 possible internal network
#acl localnet src fc00::/7       # RFC 4193 local private network range
#acl localnet src fe80::/10      # RFC 4291 link-local (directly plugged) machines

acl SSL_ports port 443
acl Safe_ports port 80          # http
acl Safe_ports port 21          # ftp
acl Safe_ports port 443         # https
acl Safe_ports port 70          # gopher
acl Safe_ports port 210         # wais
acl Safe_ports port 1025-65535  # unregistered ports
acl Safe_ports port 280         # http-mgmt
acl Safe_ports port 488         # gss-http
acl Safe_ports port 591         # filemaker
acl Safe_ports port 777         # multiling http
acl CONNECT method CONNECT

http_access allow manager localhost
http_access deny manager
http_access deny !Safe_ports
http_access deny CONNECT !SSL_ports
http_access allow localhost
http_access allow localnet
http_access deny all

cache_access_log /var/log/squid3/access.log
-------------------------------------------------------------------

содержимое файла /etc/rc.local

iptables -t nat -A PREROUTING -p tcp -m tcp -s 192.168.88.0/28 --dport 80 -j DNAT --to-destination 192.168.88.2:3128
-------------------------------------------------------------------

конфиг на микротике:

1) chain=dnsnat src.adr=192.168.88.2 protocol=tcp dst.port=80 action=accept

2) chain=dnsnat protocol=tcp src.adress list=test action=dns-nat to-adress=192.168.88.2:3128

всписке test находятся ип кому идти через проксю
-------------------------------------------------------------------

содержимое файла /etc/network/interfaces

# interfaces(5) file used by ifup(8) and ifdown(8)
auto lo
iface lo inet loopback
-------------------------------------------------------------------

в результате такого конфига вижу "доступ запрещен"

Добрый день, коллеги. Столкнулся со следующей проблемой в squid 3.5.7(Не работает прозрачное проксирование https):

less +G /var/log/squid/cache.log

2015/08/04 16:24:08 kid1| /var/lib/ssl-db: (2) No such file or directory
2015/08/04 16:24:08 kid1| helperOpenServers: Starting 5/32 'ssl_crtd' processes
(ssl_crtd): Cannot create /var/lib/ssl-db
(ssl_crtd): Cannot create /var/lib/ssl-db
(ssl_crtd)(ssl_crtd): : Cannot create /var/lib/ssl-dbCannot create /var/lib/ssl-db

2015/08/04 16:24:08 kid1| Logfile: opening log /var/log/squid/access.log
2015/08/04 16:24:08 kid1| WARNING: log name now starts with a module name. Use 'stdio:/var/log/squid/access.log'
(ssl_crtd): Cannot create /var/lib/ssl-db
2015/08/04 16:24:08 kid1| Store logging disabled
2015/08/04 16:24:08 kid1| Swap maxSize 0 + 262144 KB, estimated 20164 objects
2015/08/04 16:24:08 kid1| Target number of buckets: 1008
2015/08/04 16:24:08 kid1| Using 8192 Store buckets
2015/08/04 16:24:08 kid1| Max Mem  size: 262144 KB
2015/08/04 16:24:08 kid1| Max Swap size: 0 KB
2015/08/04 16:24:08 kid1| Using Least Load store dir selection
2015/08/04 16:24:08 kid1| Set Current Directory to /var/spool/squid
2015/08/04 16:24:08 kid1| Finished loading MIME types and icons.
2015/08/04 16:24:08 kid1| HTCP Disabled.
2015/08/04 16:24:08 kid1| Squid plugin modules loaded: 0
2015/08/04 16:24:08 kid1| Adaptation support is off.
2015/08/04 16:24:08 kid1| Accepting HTTP Socket connections at local=[::]:3129 remote=[::] FD 21 flags=9
2015/08/04 16:24:08 kid1| Accepting NAT intercepted HTTP Socket connections at local=[::]:3130 remote=[::] FD 22 flags=41
2015/08/04 16:24:08 kid1| Accepting NAT intercepted SSL bumped HTTPS Socket connections at local=[::]:3131 remote=[::] FD 23 flags=41
2015/08/04 16:24:08 kid1| helperHandleRead: unexpected read from ssl_crtd #Hlpr1, 25 bytes 'Initialization SSL db...
'
2015/08/04 16:24:08 kid1| helperHandleRead: unexpected read from ssl_crtd #Hlpr2, 25 bytes 'Initialization SSL db...
'
2015/08/04 16:24:08 kid1| helperHandleRead: unexpected read from ssl_crtd #Hlpr4, 25 bytes 'Initialization SSL db...
'
2015/08/04 16:24:08 kid1| helperHandleRead: unexpected read from ssl_crtd #Hlpr3, 25 bytes 'Initialization SSL db...
'
2015/08/04 16:24:08 kid1| helperHandleRead: unexpected read from ssl_crtd #Hlpr5, 25 bytes 'Initialization SSL db...
'
2015/08/04 16:24:08 kid1| WARNING: ssl_crtd #Hlpr1 exited
2015/08/04 16:24:08 kid1| Too few ssl_crtd processes are running (need 1/32)
2015/08/04 16:24:08 kid1| Closing HTTP port [::]:3129
2015/08/04 16:24:08 kid1| Closing HTTP port [::]:3130
2015/08/04 16:24:08 kid1| Closing HTTPS port [::]:3131
2015/08/04 16:24:08 kid1| storeDirWriteCleanLogs: Starting...
2015/08/04 16:24:08 kid1|   Finished.  Wrote 0 entries.
2015/08/04 16:24:08 kid1|   Took 0.00 seconds (  0.00 entries/sec).
FATAL: The ssl_crtd helpers are crashing too rapidly, need help!

Сборка squid была со следующими параметрами:

squid -v

Squid Cache: Version 3.5.7-20150801-r13880
Service Name: squid
configure options:  '--prefix=/usr' '--includedir=/usr/include' '--datadir=/usr/share' '--bindir=/usr/sbin' '--libexecdir=/usr/lib/squid' '--localstatedir=/var' '--sysconfdir=/etc/squid3' '--enable-delay-pools' '--enable-ssl' '--enable-ssl-crtd' '--enable-linux-netfilter' '--enable-eui' '--enable-snmp' '--with-openssl' --enable-ltdl-convenience

cat /etc/squid3/squid.conf | grep -v "^#"

acl localnet src 10.0.0.0/8    # RFC1918 possible internal network
acl localnet src 172.16.0.0/12    # RFC1918 possible internal network
acl localnet src 192.168.0.0/16    # RFC1918 possible internal network
acl localnet src fc00::/7       # RFC 4193 local private network range
acl localnet src fe80::/10      # RFC 4291 link-local (directly plugged) machines

acl wan src ip/21
acl wan src ip/21

acl url_filtered src ip/21
acl url_filtered src ip/21
acl url_filtered src 10.0.0.0/8

acl blacklist url_regex -i "/etc/squid3/blacklist_test"

acl SSL_ports port 443
acl Safe_ports port 80        # http
acl Safe_ports port 21        # ftp
acl Safe_ports port 443        # https
acl Safe_ports port 70        # gopher
acl Safe_ports port 210        # wais
acl Safe_ports port 1025-65535    # unregistered ports
acl Safe_ports port 280        # http-mgmt
acl Safe_ports port 488        # gss-http
acl Safe_ports port 591        # filemaker
acl Safe_ports port 777        # multiling http
acl CONNECT method CONNECT

http_access allow manager localhost
http_access deny manager

http_access deny !Safe_ports

http_access deny CONNECT !SSL_ports

http_access deny blacklist url_filtered
http_access allow localnet
http_access allow localhost
http_access allow wan

http_access deny all

http_port 3129
http_port 3130 intercept
https_port 3131 intercept ssl-bump generate-host-certificates=on dynamic_cert_mem_cache_size=4MB cert=/etc/squid3/ssl/squid.pem key=/etc/squid3/ssl/squid.pem

always_direct allow all

ssl_bump client-first all
sslproxy_cert_error allow all
sslproxy_flags DONT_VERIFY_PEER
sslcrtd_program /usr/lib/squid/ssl_crtd -c -s /var/lib/ssl-db -M 4MB

coredump_dir /var/spool/squid

refresh_pattern ^ftp:        1440    20%    10080
refresh_pattern ^gopher:    1440    0%    1440
refresh_pattern -i (/cgi-bin/|\?) 0    0%    0
refresh_pattern .        0    20%    4320

cache_access_log /var/log/squid/access.log squid
cache_log /var/log/squid/cache.log squid

cache_effective_user squid
cache_effective_group squid

Генерирование сертификата:

openssl req -new -newkey rsa:1024 -days 365 -nodes -x509 -keyout squid.pem -out squid.pem

Делал rm -rf /var/lib/ssl_db && /usr/lib/squid/ssl_crtd -c -s /var/lib/ssl_db && chown -R squid:squid /var/lib/ssl_db   - не помогло.

C правами вроде бы всё нормально:

ls -lsa ssl/
итого 12
4 drwxrwxrwx 2 squid squid 4096 Авг  4 16:08 .
4 drwxr-xr-x 3 squid squid 4096 Авг  4 16:14 ..
4 -rw-r--r-- 1 squid squid 1783 Авг  4 16:08 squid.pem

Может кто сталкивался с данной проблемой, заранее спасибо за помощь.

Честно говоря не знаю к какой ветке отнести суть моего вопроса, поэтому указал общий. Извините если что..
Впервые столкнулся с прокси. Для меня эта тема новая, много чего не знаю. Вроде как поставил по различным мануалам (выставляя настройку прокси в браузере, сайты открывает). Пока что ничего не блокировал, просто проверил работоспособность. Открывает. Работает. Столкнулся с вопросом - как сделать, чтобы интернет НЕ РАБОТАЛ если в браузере снять галочку "использование прокси..." ?
Интернет через USB модем МегаФон (IP динамический). ОС Win 8.1
Прокси ставлю для детей (1 локальный ПК). Я конечно не думаю, что они догадаются снять галочку прокси в браузере, но мало ли.. Если защиту можно так легко отключить то какой в ней смысл?))
И пользуясь случаем прошу дать ссылку или просто сказать как это корректно называется, чтобы знать где "копать". Нужно настроить прокси, чтоб он понимал какой локальный пользователь windows зашёл в систему и соответствующе работал (админ или ограниченный режим).

У меня телефон андроид. Чтобы декодить HTTPS трафик надо добавить сертификат из Fiddler надо установить пин на локскрин. Я не хочу этого делать. Хочу перед Fiddler поставить Squid и добавить туда сертификат для того чтобы телефон принимал его за свой. Читал про SSL Bump но не догнал. может кто знает?

Здравствуйте, недавно поднял на Debian8 squid3 -v3.4.8 (система является шлюзом с IPtables и прокси сквид, больше ничего). Проявилась проблема - что сайт сбера не открывается (в IE выдаёт ошибку 500, в хроме и мозилле показывает - This part of the page can't be rendered. Please contact your administrator.). В логах сквида в кеш.лог никаких записей нет по этому поводу, а в access.log такая запись появляется только и больше ничего:

1432272664.391    121 192.168.0.50 TCP_MISS/500 579 GET http://www.sberbank.ru/ru/person p.mokrushin HIER_DIRECT/194.54.14.159 -

Обгуглился весь уже, ничего на ум не приходит, остальные сайты открываются хорошо, с проблемами по крайней мере не обращались, пробовал сайт сбера пускать без авторизации - тоже самое:

1432272926.972    215 192.168.0.50 TCP_MISS/500 582 GET http://www.sberbank.ru/ru/person - HIER_DIRECT/194.54.14.159 -

если сайт пускать в обход сквида через нат напрямую, то всё открывается хорошо.
Куда ещё посмотреть можно? Конечно можно добавить сайт мимо сквида и не париться, но какая вероятность столкнуться с проблемами на других сайтах...

Вот конфиг сквида (адрес прокси прописан в браузерах пользователей)
http_port 192.168.0.9:3128
http_port 192.168.2.9:3128
http_port 10.0.105.204:3128

# Negotiate Kerberos and NTLM authentication
auth_param negotiate program /usr/lib/squid3/negotiate_wrapper_auth --ntlm /usr/bin/ntlm_auth --diagnostics --helper-protocol=squid-2.5-ntlmssp --kerberos /usr/lib/squid3/negotiate_kerberos_auth -r -s HTTP/domail.local
auth_param negotiate children 200 startup=50 idle=10
auth_param negotiate keep_alive off

# LDAP authorization (параметр TTL определяет через сколько секунд обращаться к LDAP об информации о пользователях,
# по умолчанию 3600, частое обращение к AD не очень хорошо)
external_acl_type memberof ttl=3600 ipv4 %LOGIN /usr/lib/squid3/ext_ldap_group_acl -v 3 -P -R -K -b "dc=domain,dc=local" -D s@domain.local -W XXXXXX -f "(&(objectclass=person)(sAMAccountName=%v)(memberOf:1.2.840.113556.1.4.1941:=cn=%g,OU=Groups,OU=Organization,DC=domain,DC=local))" -h dc.domain.local

acl SSL_ports         port 443    # ssl
acl SSL_ports         port 9091    # BKS-bank
acl SSL_ports         port 9443    # sberbank
acl Safe_ports         port 80        # http
acl Safe_ports         port 21     # ftp
acl Safe_ports         port 443     # https
acl Safe_ports         port 70     # gopher
acl Safe_ports         port 210     # wais
acl Safe_ports         port 1025-65535    # unregistered ports
acl Safe_ports         port 280     # http-mgmt
acl Safe_ports         port 488     # gss-http
acl Safe_ports         port 591     # filemaker
acl Safe_ports         port 777     # multiling http
acl CONNECT         method             CONNECT

# Списки доступа клиентов
acl IP_Full_Access    src            "/etc/squid3/Group_ACLs/conf_param_groups_full_access.txt"
acl IP_Restrict_Access    src            "/etc/squid3/Group_ACLs/conf_param_groups_restricted_access.txt"
acl IP_Kadr_Access    src            "/etc/squid3/Group_ACLs/conf_param_groups_kadr_access.txt"
acl IP_Razvlech_Access    src            "/etc/squid3/Group_ACLs/conf_param_groups_razvlecheniya_access.txt"
acl IP_SocSeti_Access    src            "/etc/squid3/Group_ACLs/conf_param_groups_socseti_access.txt"
acl IP_Standard_Access    src            "/etc/squid3/Group_ACLs/conf_param_groups_standard_access.txt"
acl IP_Video_Access    src            "/etc/squid3/Group_ACLs/conf_param_groups_video_access.txt"

acl lan         src            192.168.0.0/24
acl lan2 src            10.0.105.0/24 192.168.2.0/24
acl auth         proxy_auth         REQUIRED
acl Blocked_Access    external memberof     Internet-Blocked
acl Restricted_Access    external memberof     Internet-Restricted
acl Standard_Access    external memberof     Internet-Standard
acl Full_Access        external memberof    Internet-Full
acl Kadr_Access        external memberof    Internet-Kadr
acl Video_Access    external memberof    Internet-Video
acl Razvlech_Access    external memberof    Internet-Razvlecheniya
acl SocSeti_Access    external memberof    Internet-SocSeti
acl Steam_Access    src            192.168.0.50
acl sber        dstdomain        .sberbank.ru

#Списки доступа к сайтам
acl Allowed_Sites    dstdomain        "/etc/squid3/Site_ACLs/conf_param_sites_allowed.txt"
acl Priority_Sites    dstdomain        "/etc/squid3/Site_ACLs/conf_param_sites_priority.txt"
acl Porno_Sites        dstdomain        "/etc/squid3/Site_ACLs/conf_param_sites_porno.txt"
acl Video_Sites        dstdomain        "/etc/squid3/Site_ACLs/conf_param_sites_videohosting.txt"
acl Kadr_Sites        dstdomain        "/etc/squid3/Site_ACLs/conf_param_sites_kadr.txt"
acl Razvlech_Sites    dstdomain        "/etc/squid3/Site_ACLs/conf_param_sites_razvlecheniya.txt"
acl SocSeti_Sites    dstdomain        "/etc/squid3/Site_ACLs/conf_param_sites_socseti.txt"
acl Steam        dstdomain         "/etc/squid3/Site_ACLs/conf_param_sites_steam.txt"
acl SteamRegEx        urlpath_regex -i     serverlist server-status
# Списки доступа серверов WSUS (без авторизации)
acl LocalWU_Servers    src            "/etc/squid3/Group_ACLs/conf_param_computers_wsus.txt"
acl GlobalWU_Sites    dstdomain        "/etc/squid3/Site_ACLs/conf_param_sites_wsus.txt"
http_access    allow    localhost manager
http_access    allow    lan manager
http_access    deny    manager
http_access    deny    !Safe_ports
http_access    deny    CONNECT !SSL_ports
http_access    allow    sber all
#######
# Правила доступа для клиентов по IP
######
# block porno-sites
http_access    deny    Porno_Sites
# Allow unrestricted access to prioritysites
http_access    allow    Priority_Sites
# Allow direct access to Windows Update
http_access    allow    GlobalWU_Sites    LocalWU_Servers
# Allow direct access to steam
http_access    allow    Steam        Steam_Access
http_access    allow    SteamRegEx    Steam_Access
http_access    deny    IP_Restrict_Access    all
http_access    allow    IP_Full_Access
http_access    allow    Video_Sites        IP_Video_Access
http_access    deny    Video_Sites        lan2
http_access    allow    Razvlech_Sites        IP_Razvlech_Access
http_access    deny    Razvlech_Sites        lan2
http_access    allow    Kadr_Sites        IP_Kadr_Access
http_access    deny    Kadr_Sites        lan2
http_access    allow    SocSeti_Sites        IP_SocSeti_Access
http_access    deny    SocSeti_Sites        lan2
http_access    allow    IP_Standard_Access
http_access    deny    lan2 all
# Enforce authentication, order of rules is important for authorization levels
http_access    deny    !auth
######
# Правила доступа для авторизованных пользователей
######
# Prevent access to basic auth prompt for BlockedAccess users
http_access    deny    Blocked_Access        all
http_access    allow    Allowed_Sites                    lan
http_access    deny    Restricted_Access    all
http_access    deny    IP_Restrict_Access    all
http_access    allow    Full_Access                auth    lan
http_access    allow    Video_Sites        Video_Access     auth    lan
http_access    deny    Video_Sites
http_access    allow    Razvlech_Sites        Razvlech_Access    auth    lan
http_access    deny    Razvlech_Sites
http_access    allow    Kadr_Sites        Kadr_Access    auth    lan
http_access    deny    Kadr_Sites
http_access    allow    SocSeti_Sites        SocSeti_Access    auth    lan
http_access    deny    SocSeti_Sites
http_access    allow    Standard_Access                auth    lan
http_access    deny    all