Имеется
ubuntu server
squid3 установленyый из портов

но вот по пути /usr/lib/squid3 отсутствует ncsa_auth

ответов вразумительных я так и не нашел.
что-то говорят об сборке вручную с параметрами...

Здравствуйте! перерыл весь инет, ничего путного не нашел. Кроме как нет полных прав на папку кэш, но с этим все хорошо.

связка связка squid33 + mysql51 + sams2 + apache2.2
Когда через прокси сидишь иногда долго грузят сайты, мимо прокси все гуд.
логи squid -

Starting new redirector helpers...
2015/04/13 14:46:14 kid1| helperOpenServers: Starting 1/20 'sams2redir' processes
2015/04/13 14:46:14 kid1| Starting new redirector helpers...
2015/04/13 14:46:14 kid1| helperOpenServers: Starting 1/20 'sams2redir' processes

логи messegen -

18:56:42 newmail samsdaemon[1858]: +++WARNING: Unknown cache result TCP_MISS_ABORTED
Apr 10 18:56:42 newmail samsdaemon[1858]: ***ERROR: squidlogparser.cpp:445 Unknown cache result

К сведению - при настройки веб-интерфейса sams в браузере уже. ругался на
нет прав на  каталог ./data
так же не установлен php safe_mod
Но нажал просто далее и установил.

работал корректно около 3 месяцев.

Предпринятые папытки, перезагрузка редеректа и чистка кэш.

Добрый день.

На виртуальной машине стоит сквид, была авторизация по керберосу, все работало хорошо, но сегодня каким то образом все сломалось.

В cache.log пишется:

ERROR: Negotiate Authentication validating user. Result: {result=BH, notes={message: gss_acquire_cred() failed: Unspecified GSS failure.  Minor code may provide more information. ; }}

пересоздал на сервере кейтаб, проверил на машине

root@vs-nvo01-prx01:/usr/local/squid/var/logs# kinit -V -k -t /etc/squid.keytab  HTTP/prx01.domain.com@domain.COM
Using default cache: /tmp/krb5cc_0
Using principal: HTTP/vs-nvo01-prx01.domain.com@domain.COM
Using keytab: /etc/squid.keytab
Authenticated to Kerberos v5

Конфиг сквида не менял, вот кусок, где описана авторизация:

auth_param negotiate program /usr/local/squid/libexec/squid_kerb_auth -s HTTP/prx01.domain.com@DOMAIN.COM
auth_param negotiate children 70
auth_param negotiate keep_alive on

Вот часть krb5.conf

[libdefaults]
default_realm = YLRUS.COM
ticket_lifetieme = 24h
dns_lookup_realm = false
dns_lookup_kdc = false
kdc_timesync = 1
ccache_type = 4
forwardable = yes
rdns = no
# proxiable = true
default_keytab_name = /etc/squid.keytab
default_tgs_enctypes = rc4-hmac aes256-cts-hmac-sha1-96 aes128-cts-hmac-sha1-96
default_tkt_enctypes = rc4-hmac aes256-cts-hmac-sha1-96 aes128-cts-hmac-sha1-96
permitted_enctypes = rc4-hmac aes256-cts-hmac-sha1-96 aes128-cts-hmac-sha1-96
clock_skew = 300
[realms]
YLRUS.COM = {
kdc = S-MSK00-GDC01.YLRUS.COM
kdc = S-NVO01-DC01.YLRUS.COM
admin_server = S-MSK00-GDC01.YLRUS.COM
admin_server = S-NVO01-DC01.YLRUS.COM
default_domain = YLRUS.COM
}
[domain_realm]
.ylrus.com = YLRUS.COM
ylrus.com = YLRUS.COM

так же вот описания скрипта, который запускает сквид

NAME=squid3
DESC="Squid HTTP Proxy 3.x"
KBR5_KTNAME=/etc/squid.keytab
export KRB5_KTNAME
DAEMON=/usr/local/squid/sbin/squid
PIDFILE=/var/run/$NAME.pid
CONFIG=/usr/local/squid/etc/squid.conf

Подскажи в чем может быть дело, куда копать?

Всем привет.
На freebsd10.1 стоит непрозрачный squid 3.3.13 с авторизаций ntlm через винбинд(smb4). Не могу разрешить метод connect для группы (nt_groups) - блочит.

auth_param ntlm program /usr/local/bin/ntlm_auth --helper-protocol=squid-2.5-ntlmssp
auth_param ntlm children 500
auth_param ntlm keep_alive on
external_acl_type nt_group ttl=600 %LOGIN /usr/local/squid33/libexec/squid/ext_wbinfo_group_acl
...
acl     inet_users      external nt_group inet_users
acl     ncsa_users              proxy_auth      REQUIRED
acl     CONNECT                 method          CONNECT
acl     SSL_ports               port            443 8443
...

А теперь внимание: вот такое правило работает как надо:

http_access     allow   CONNECT    SSL_ports    !chat_url !porn

А как его применить для группы inet_users?
Пробовал очень много различных вариантов,

http_access     allow   inet_users CONNECT    SSL_ports    !chat_url !porn
http_access     allow   CONNECT    SSL_ports  inet_users  !chat_url !porn
...

комбинируя строку и добавляя в разные места inet_users, но в итоге получаем TCP_DENIED.
В сети видел немало примеров, но ни один не подходит. Может у кого-то есть рабочая строка для моего случая?

У меня есть работающий сквид, который фиксирует траффик только по юраузеру. А скайп, терминалы и другие проходят через НАТ. Вот как прикрепить нат к сквиду? Можно подробнее? НАТ настроен через iptables.

Здравствуйте!
Имеем: ubuntu 14.04 LTS, squid3.
Прокси прозрачный.
Цель: показать страничку(1 раз) с инфой пользователю, по нажатию "продолжить" он может работать дальше.
Суть: имеется большая сеть, подсетей и сетей подсетей, куча натов и т.п.
Основной маршрутизатор заворачивает определённые сайты: vk.vom, twitter.com и т.п. на squid. Squid должен показать страничку что типа нечего лазить тут и внизу продолжить. По нажатию на "продолжить" squid даст возможность лазить в соц сетях свободно.

Возможно ли это??

Есть Ubuntu 10.04.4 server+squid,sarg и sams. Прокси не прозрачная .В последние время заметил, что стали оч долго прогружаться инет страницы, без разнице через какой браузер. Помогает перезагрузка прокси,но только временно.Места на жестком диске достаточно, оперативки 3 гига.Не могу понять ,из за чего так резко падает скорость интернета. Если кто сталкивался с подобной проблемой ,то как ее можно решить ?

Добрый день!

Ситуация следующая:

есть несколько виртуальных машин, на которых стоит squid

Squid Cache: Version 3.5.2
Service Name: squid

Авторизация через керберос, все замечательно работает. Но есть один интранетовский сайт, на котором есть несколько js скриптов. На 2х виртуальных машинах сайт открывается и js скрипты срабатывают хорошо, но на 3 машине, сайт открывается, но js скрипт не срабатывает, такое чувство, что просто не запускается и отваливается по таймауту.
В логах пишется следующие:

1425967164.168    266 172.18.2.34 TCP_MISS/200 533 GET http://intranet.ylrus.com/treasury/json_vacation.php? - HIER_DIRECT/172.18.1.42 text/html [Host: intr$
1425967164.185    227 172.18.2.34 TCP_MISS/200 536 POST http://intranet.ylrus.com/treasury/ajax_details.php - HIER_DIRECT/172.18.1.42 text/html [Host: intra$
1425967164.203    246 172.18.2.34 TCP_MISS/200 939 POST http://intranet.ylrus.com/treasury/ajax_details.php - HIER_DIRECT/172.18.1.42 text/html [Host: intra$
1425967164.324     76 172.18.2.34 TCP_MISS/200 465 GET http://intranet.ylrus.com/treasury/ajax_employee_photo.php? - HIER_DIRECT/172.18.1.42 text/html [Host$
1425967165.523    176 172.18.2.34 TCP_MISS/200 512 HEAD http://intranet.ylrus.com/treasury/vacation_form.php? - HIER_DIRECT/172.18.1.42 text/html [Host: int$
1425967165.640    293 172.18.2.34 TCP_MISS/200 512 HEAD http://intranet.ylrus.com/treasury/vacation_form.php? - HIER_DIRECT/172.18.1.42 text/html [Host: int$
1425967179.056    162 172.18.2.34 TCP_MISS/200 512 HEAD http://intranet.ylrus.com/treasury/vacation_form.php? - HIER_DIRECT/172.18.1.42 text/html [Host: int$
1425967179.139    244 172.18.2.34 TCP_MISS/200 512 HEAD http://intranet.ylrus.com/treasury/vacation_form.php? - HIER_DIRECT/172.18.1.42 text/html [Host: int$t: intranet.ylrus.com\r\nProxy-Connection: keep-alive\r\nContent-Length: 0\r\nAccept: */*\r\nX-Requested-With: XMLHttpRequest\r\nUser-Agent: Mozilla/5.0 (W$(Windows NT 6.1; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/40.0.2214.115 Safari/537.36\r\nReferer: http://intranet.ylrus.com/treasury/vacation_form.php\r&...: gzip, deflate, sdch\r\nAccept-Language: ru-RU,ru;q=0.8,en-US;q=0.6,en;q=0.4\r\nCookie: strLocal=Local; PageNoAuth=%25$252Ftreasury%252Findex.php; last_succesfull_usrID=username; __gads=ID=7a21ff72f9ef49b6:T=1418130576:S=ALNI_MaKsap2b32xjrE1hbagytu-UJqRCQ; phpbb3_3rx53_$=1; phpbb3_3rx53_k=; phpbb3_3rx53_sid=53ff0fce399508950c7f323551e83a8b; style_cookie=null; PHPSESSID=cf7029f1b1e3008bab7b6863697c2433\r\n] [HTTP/1.1$1.1 200 OK\r\nDate: Tue, 10 Mar 2015 05:59:40 GMT\r\nServer: Apache/2.2.20 (Win32) PHP/5.2.17\r\nX-Powered-By: PHP/5.2.17\r\nExpires: Thu, 19 Nov 1981 0$

Конфиги совершенно одинаковые.
Подскажите пожалуйста, из за чего может быть такая штука и в какую сторону копать?

Привет.
За последние пару дней несколько раз попал в спамлист Spamhaus.org,
там пишут:
This was detected by a TCP/IP connection from $myexpip on port 64631 going to IP address 192.42.116.41 (the sinkhole) on port 80.

The botnet command and control domain for this connection was "fusdsssufsd3.com".

Я так понимаю, кто-то подцепил вирусню.
Гейтом стоит Ubuntu, часть пользователей идет через сквид, некоторые напрямую просто за натом. Как вычислить от какого компа в сети идет какашка?

Тут же второй вопрос.
За тем же натом есть почта на Exchange. Как сделать правила проброса портов так, чтобы почтовик в отправителе видел ip отправителя, а не ip моего гейта?
Сейчас проброс делается вот такими правилами:
iptables -t nat -A PREROUTING -i eth1 -p tcp -d $EXTIP --dport 25 -j DNAT --to-destination $MAILIP:25
iptables -t nat -A POSTROUTING -o eth0 -p tcp -d $MAILIP --dport 25 -j SNAT --to-source $EXTIP

Добрый день! Имеется сервер CentOs 6.6 c тремя сетевыми картами:
eth0 (192.168.0.2 - смотрит в Интернет через роутер);
eth1 (192.168.10.1 - смотрит в локалку);
eth2 (172.30.68.2 - смотрит в Интернет через криптошлюз).
На сервере поднят DHCP, DNS, Squid.
Задача такая: необходимо с локалки от пользователей отслеживать запросы URL адресов и перенаправлять их на нужные сетевые интерфейсы (eth0, eth2), например, если от пользователя идет запрос https://rmis.orb.ru - то такой запрос отправлять через криптошлюз - eth2, а все остальные запросы отправлять через обычный роутер eth0.
Подскажите, возможно ли это организовать с помощью squid (и как, если вам не трудно).
На данный момент вопрос решается очень "криво" отключением одной из сетевых карт, в зависимости от потребности.

   Привет, хочу настроить squid так, чтобы он обслуживал интернет юзеров. Такое возможно? На сервере разумеется есть иртернет и имеется белый IP. Если даже squid такое не сможет, а тогда каким образом это можно осуществлять? Может другие прокси сервера имеют такую опцию или надо дополнительно каких-то программ установить и настраивать? Пожалуйста дайте варианты, заранее всем спасибо.
P.S.
Нужно чтобы пользователи обращались через интернет со своих реальных интернет адресов(без VPN'a, набрав не LAN, VPN, а Internet IP прокси сервера в своих браузерах). Хочется узнать как работают платные, бесплатные интернет прокси сервера(прописываешь IP и порт прокси сервера в браузер и всё!).

Добрый день!

Прошу Вас помочь разобраться в следующей проблеме:

есть виртуальная машина следующей конфигурации:

Processor    Intel(R) Xeon(R) CPU E5-2640 0 @ 2.50GHz, 2494 Mhz, 4 ядря
6 GB RAM
Жесткий диск 60Gb, подключен по Isci 

на ней сквид, работающий по керберос аунтефикации:

root@vs-msk00-prx05:/home/manage# /usr/local/squid/sbin/squid -v
Squid Cache: Version 3.4.7
auth_param negotiate program /usr/lib/squid3/squid_kerb_auth   -s HTTP/vs-msk00-prx05.ylrus.com@YLRUS.COM
auth_param negotiate children 70
auth_param negotiate keep_alive on

сейчас в тестовом режиме через сквид ходят 4-5 пользователей, все происходит относительно нормально, но через некоторое время сквид начинает забивать весь процессор виртуальной машины:

21709 proxy     20   0  415m 343m 4572 R  98.1  5.7  20:47.55 squid
21727 proxy     20   0 26840 2024 1448 S   0.7  0.0   0:24.24 squid_kerb_auth
21726 proxy     20   0 26836 2028 1448 S   0.3  0.0   1:00.22 squid_kerb_auth
21739 proxy     20   0 26888 2072 1444 S   0.3  0.0   0:05.57 squid_kerb_auth
21740 proxy     20   0 26888 2072 1444 S   0.3  0.0   0:03.84 squid_kerb_auth

потом через какое то время это пропадает, но через минут 10-15 снова возникает такая же ситуации.

Как можно это исправить?

Здравствуйте!
Помогите решить задачу.
Есть сервер с OpenSuse. На нем установлено 3 сетевых карты: eth1, eth2 eth3.
Первая карта - 194.11.х.х - провайдер 1.
Вторая карта - 172.16.х.х - провайдер 2.
Третья карта - 192.168.3.1 - локальная сеть.
С карты 1 в локальную сеть раздается интернет через Squid (прозрачный прокси).
Нужно дать доступ в интернет 1 компьютеру в локальной сети (к примеру 192.168.3.30) в обход Squid (tcp и udp трафик).
Редирект трафика на Squid:
-A PREROUTING -s 192.168.3.0/24 -p tcp -m tcp --dport 80 -j REDIRECT --to-ports 3128
-A PREROUTING -s 192.168.3.0/24 -p tcp -m tcp --dport 443 -j REDIRECT --to-ports 3129

Всем привет!!! У меня такая вот беда. Никогда не работал с squid. А тут попалось предприятие где он установлен. И тут у меня пропал интернет. Я перезагрузил прокси-сервер и ничего не получил. Начал разбираться с squid, результаты есть но не великие.
Первый самый вопрос, как мне узнать в какую папку установлен squid. На самом серваке такой бардак и куча папок со squid-ом, что я даже не пойму куда он установлен.
Помогите плизы!!!

Есть сеть 192.168.168.0/24. Адреса раздает микротик (192.168.168.1), он же шлюз. Встала необходимость логировать сеть, на микротике созданы правила:
ip firewall nat add chain=dstnat action=accept protocol=tcp src-address-list=192.168.168.254 dst-port=80
ip firewall nat add chain=dstnat action=dst-nat protocol=tcp src-address-list=clients dst-port=80 to-addresses=192.168.168.254 to-ports=3128

Где 192.168.168.254 - адрес сквида
clients - клиентская сеть.

Также на микротике создан маршрут:
/ip route
add check-gateway=ping distance=1 gateway=192.168.168.254 routing-mark=web

Есть мангл:
/ip firewall mangle add action=mark-routing chain=prerouting comment="proxy" dst-port=80 new-routing-mark=web protocol=tcp src-address=!192.168.168.254

На машинке со сквидом (он транспарент) есть правила в rc.local
iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 80 -j DNAT --to 192.168.168.254:3128
route add -net 192.168.168.0 netmask 255.255.255.0 gw 192.168.168.1 dev eth0

В результате в логах сквида адрес только микротика (192.168.168.1). Подскажите где косячу, люди добрые.

В общем, есть комп который раздает интернет через squid 2.6. После некоторого времени работы   интернет начинает жутко глючить. В логах squid такие сообщения: (10053) WSAECONNABORTED, Software caused connection abort. ОС: Windows XP.

Доброго утра всем.
Мож кто-то сталкивался с такой проблеммной, настроен сквид с авторизацией в Домене Win Server 2008 R2. (по группам)
Вроде и авторизация проходит нормально пользователей вижу. Но ситуация такова, по логам видно что с одного и того же АйПи идет пользователей через раз авторизирован (

Цитировать (выделенное)
192.168.20. - - [27/Nov/2014:09:03:34 +0200] "GET http://www.squid-cache.org/mail-archive/squid-users/200103/0... HTTP/1.1" 407 2873 TCP_DENIED:NONE
192.168.20 - - [27/Nov/2014:09:03:34 +0200] "GET http://www.squid-cache.org/mail-archive/squid-users/200103/0... HTTP/1.1" 407 2873 TCP_DENIED:NONE
192.168.20 - - [27/Nov/2014:09:03:34 +0200] "CONNECT client20.dropbox.com:443 HTTP/1.1" 407 2061 TCP_DENIED:NONE
192.168.20 - - [27/Nov/2014:09:03:34 +0200] "CONNECT client20.dropbox.com:443 HTTP/1.1" 407 2061 TCP_DENIED:NONE
192.168.20 - user [27/Nov/2014:09:03:34 +0200] "GET http://www.squid-cache.org/mail-archive/squid-users/200103/0... HTTP/1.1" 200 5325 TCP_MISS:DIRECT
192.168.20 - user [27/Nov/2014:09:03:34 +0200] "GET http://www.squid-cache.org/mail-archive/squid-users/200103/0... HTTP/1.1" 200 5325 TCP_MISS:DIRECT
192.168.20 - user [27/Nov/2014:09:03:34 +0200] "GET http://www.squid-cache.org/favicon.ico HTTP/1.1" 200 1859 TCP_MISS:DIRECT
192.168.20 - user [27/Nov/2014:09:03:34 +0200] "GET http://www.squid-cache.org/favicon.ico HTTP/1.1" 200 1859 TCP_MISS:DIRECT
Конфиги могу выложить.

Добрый день.
Мне нужно написать правило, которое бы подменяло адрес 192.168.1.1 на test.ru, то есть если прокси видит, что пользователь обращается к 192.168.1.1 , то он бы выдавал в test.ru.
Надо сказать что и на 192.168.1.1, и на test.ru одно и тоже содержание.

прописываю в squid.conf

acl denied_url dst 192.168.1.1
deny_info http://test.ru/ denied_url
http_access deny denied_url

но в браузере так и остается IPшник.
Помещаю в самый верх. до всех http_access. результат тот же.

Если бы причина была в файерволе(не пропущен test.ru), выдавалась бы при запросе 192.168.1.1 сразу ошибка, правильно ли я понимаю?

Для хождения по сайтам понадобилось замаскировать/подменить свой IP.
Задача вроде простейшая, поэтому купил на дешевом хостинге VPN за $1 и поднял на нем SQUID, который завелся с пол-оборота, а в браузере прописал его IP и порт 3128.

Поначалу казалось, что скорость прокси замечательная, а сайты открываются с пол-пинка.
Однако быстро выяснилось, что грубо говоря половина сайтов вообще не открываются, хотя пингуются с того же хоста - на ура.

Что я делаю не так? O_O

Адрес прокси: 188.117.22.22

acl manager proto cache_object
acl localhost src 127.0.0.1/32 ::1
acl to_localhost dst 127.0.0.0/8 0.0.0.0/32 ::1
acl localnet src 95.132.99.99   # Мой десктоп

acl SSL_ports port 443
acl Safe_ports port 80   # http
acl Safe_ports port 21   # ftp
acl Safe_ports port 443  # https
acl Safe_ports port 70   # gopher
acl Safe_ports port 210  # wais
acl Safe_ports port 1025-65535  # unregistered ports
acl Safe_ports port 280  # http-mgmt
acl Safe_ports port 488  # gss-http
acl Safe_ports port 591  # filemaker
acl Safe_ports port 777  # multiling http
acl CONNECT method CONNECT

http_access allow manager localhost
http_access deny manager
http_access deny !Safe_ports
http_access deny CONNECT !SSL_ports

http_access allow localnet
http_access allow localhost
http_access deny all

http_port 3128

hierarchy_stoplist cgi-bin ?

coredump_dir /var/spool/squid

refresh_pattern ^ftp:         &n...
refresh_pattern ^gopher:       1440   0%    1440
refresh_pattern -i (/cgi-bin/|\?) 0   0%       0
refresh_pattern .                 0  20%    4320

Если у клиента в настройках прокси не ставить галочку  "Не использовать прокси-сервер для локальных адресов", то все локальные сайты буду идти через squid, но они работать конечно же не будут. А можно ли  прописать что-нибуть в конфиге squid чтобы эти локальные сайты работали?

Здравствуйте! На сквиде настроена прозрачная аунтефикация с AD, те если компьютер в домене пользователю пароль и логин вводить не нужно, но если компьютер не в домене, то приходится вводить имя пользователя в виде DOMEN\USER. Вопрос как убрать имя домена в имени пользователя (те строчку DOMEN\). Если это возможно прощу дать ответ как можно подробнее, ибо я не очень силен в сквиде.

Я конечно извиняюсь и так далее , но меня скоро нервный тик хватит....
мне например нужно прописать эту строку " +hide-referer{forge} " в default.action .
Кууууда её чёрт возьми прописывать , где эти секции , задолбало, простое ункомментироаание вызывает ошибку Fatal error: can't load actions file '/etc/privoxy/default.action': first needed line (280) is invalid и так далее ... то есть эту строку просто так ункоментировать нельзя . надо найти эти чертовы секции, раза три просматривал этот файл, походу это секция "action" или хз...

Короче, большая просьба , тупо скажите мне номер строки этого вот файла http://www.privoxy.org/default.action , куда вставлять эту запись " +hide-referer{forge}".

И если можно, Объясните почему именно туда...

Здравствуйте! Squid с прозрачной доменной  аунтефикацией.  Все работает у админа нет ни каких ограничений! Но например zaycev.net не проигрывает и не качает музыку. Почему?
При попытке скачать пишет, но при этом все остальное работает отлично.
Not Found

The requested URL /ban/mp3.html was not found on this server.

Apache/2.2.22 (Debian) Server at 127.0.0.1 Port 80

access.log
1415781043.195      0 10.250.236.249 TCP_DENIED/407 1865 GET http://dl.zaycev.net/91493/3031073/sia_-_chandelier_(zaycev.net).mp3 - NONE/- text/html
1415781043.198      0 10.250.236.249 TCP_DENIED/407 2071 GET http://dl.zaycev.net/91493/3031073/sia_-_chandelier_(zaycev.net).mp3 - NONE/- text/html

Объясните нубу, как настроить прокси авторизацию (аутентификацию) в squid (Логин:пароль)

Добрый день!

Имею Squid 3.3.13. Хочу что бы в лог писались только скачанный трафик, т.е. по сути с http_status 200-300. Но по сути в моей проблеме даже попытка отделять записи с кодами 0-500 не помогает.

В настройках логов:

acl normal_reply http_status 0-599
access_log /var/log/squid/access_200.log squid normal_reply

Так вот, в моём случае, если пользователь ходит на сайт по https, то в логи не пишутся записи с CONNECT методом и кодом 200.  С этого же сайта пишутся записи CONNECT и кодами 407, например, но с кодом 200 почему то игнорируется.

Если убрать фильтр normal_reply, то пишутся все строки, в том числе и CONNECT/200.

Подскажите, пожалуйста, где я затупил?

В заголовке немного не верно написано, но ладно.

Добрый день, господа!
У нас в организации есть прокси сервер 192.хх.хх.хх, раздающий интернет. Недавно его толи как то урезали, то ли что, сам не понял, но теперь доступ только по логину и паролю с привязкой к ip.

Раньше данную прокси можно было вписать в браузер или тот же антивирус и всё корректно работало на всех компьютерах, однако теперь доступ имеет 1 компьютер из 40, хотя как минимум пятерым он остро нужен.

Вопрос состоит в том, смогу ли я и как сделать свою прокси 168.уу.уу.уу на CentOS 6.4, вписав в систему тот ip который имеет доступ к проси-интернету по логину и паролю. Чтобы вписав например ip настроенный в моём прокси можно было пройти через него в интернет?

Спасибо всем, кто откликнется и поможет советом, ссылкой, мануалом.

Доброго времени суток.
Имеется непрозрачный прокси, с установленным Squid 2.7 и SAMS 1.3. Squid настроен на NTLM-авторизацию. Пользователи берутся из Active Directory. Имеется необходимость добавить IP авторизации, т.к. имеются рабочие станции не входящие в домен. Подскажите пожалуйста, каким образом можно это реализовать, т.к. ранее я со Squid-ом дела не имел. Привожу конфиг Squid (комментарии исключены):

auth_param ntlm program /usr/bin/ntlm_auth --helper-protocol=squid-2.5-ntlmssp
auth_param ntlm children 300
auth_param ntlm keep_alive on
auth_param basic program /usr/bin/ntlm_auth --helper-protocol=squid-2.5-basic
auth_param basic children 300
auth_param basic realm Proxy Server
auth_param basic credentialsttl 2 hours
auth_param basic casesensitive off
acl _sams_543e75aaf1cf2 src "/etc/squid/543e75aaf1cf2.sams"
acl _sams_5432282885920 proxy_auth "/etc/squid/5432282885920.sams"
acl _sams_543228747c1f2 proxy_auth "/etc/squid/543228747c1f2.sams"
acl _sams_5433bdb7828c1 proxy_auth "/etc/squid/5433bdb7828c1.sams"
acl all src all
acl manager proto cache_object
acl localhost src 127.0.0.1/32
acl to_localhost dst 127.0.0.0/8 0.0.0.0/32
acl ntlm proxy_auth REQUIRED
acl localnet src 10.18.0.0/32
acl localnet src 192.168.0.0/16 # RFC1918 possible internal network
acl SSL_ports port 443          # https
acl SSL_ports port 563          # snews
acl SSL_ports port 873          # rsync
acl Safe_ports port 80          # http
acl Safe_ports port 21          # ftp
acl Safe_ports port 443         # https
acl Safe_ports port 70          # gopher
acl Safe_ports port 210         # wais
acl Safe_ports port 1025-65535  # unregistered ports
acl Safe_ports port 280         # http-mgmt
acl Safe_ports port 488         # gss-http
acl Safe_ports port 591         # filemaker
acl Safe_ports port 777         # multiling http
acl Safe_ports port 631         # cups
acl Safe_ports port 873         # rsync
acl Safe_ports port 901         # SWAT
acl purge method PURGE
acl CONNECT method CONNECT
acl GET method GET
http_access allow _sams_543e75aaf1cf2
http_access allow _sams_5432282885920
http_access allow _sams_543228747c1f2
http_access allow _sams_5433bdb7828c1
http_access allow ntlm
http_access allow manager localhost
http_access deny manager
http_access allow purge localhost
http_access deny purge
http_access allow CONNECT SSL_ports
http_access deny !Safe_ports
http_access deny CONNECT !SSL_ports
http_access allow localhost
http_access deny all
icp_access allow localnet
icp_access deny all
http_port 8080
hierarchy_stoplist cgi-bin ?
cache_dir ufs /var/spool/squid 100 16 256
access_log /var/log/squid/access.log squid
log_fqdn off
url_rewrite_program /usr/bin/samsredir
refresh_pattern ^ftp:         &n... 1440    20%     10080
refresh_pattern ^gopher:        1440    0%      1440
refresh_pattern -i (/cgi-bin/|\?) 0     0%      0
refresh_pattern (Release|Packages(.gz)*)$       0       20%     2880
refresh_pattern .               0       20%     4320
acl shoutcast rep_header X-HTTP09-First-Line ^ICY.[0-9]
upgrade_http0.9 deny shoutcast
acl apache rep_header Server ^Apache
broken_vary_encoding allow apache
extension_methods REPORT MERGE MKACTIVITY CHECKOUT
delay_pools 4
delay_class 1 2
delay_class 2 2
delay_class 3 2
delay_class 4 2
delay_access 1 allow _sams_5432282885920
delay_access 1 deny all
delay_parameters 1 0/0 0/0
delay_access 2 allow _sams_543228747c1f2
delay_access 2 deny all
delay_parameters 2 0/0 0/0
delay_access 3 allow _sams_5433bdb7828c1
delay_access 3 deny all
delay_parameters 3 0/0 0/0
delay_access 4 allow _sams_543e75aaf1cf2
delay_access 4 deny all
delay_parameters 4 0/0 0/0
hosts_file /etc/hosts
coredump_dir /var/spool/squid

В файле /etc/squid/543e75aaf1cf2.sams список IP-адресов c которых разрешен доступ к интернету (на данный момент один - для теста), в остальных файлах, созданных средствами SAMS хранятся списки пользоателей Active Directory по группам.

10.18.123.2/255.255.255.255

Здравствуйте.

url_rewrite_program не хочет работать с соединениями типа connect. Http пролетает на ура, ssl сразу зарубается - не может открыть страницу.

Пример: делаем простейший скрипт

#!/bin/sh
while read LINE; do
    echo ${LINE} >> /tmp/out.txt
done

пишем в сквиде
url_rewrite_program /test.sh

Обращаемся к http://google.ru, который сразу форвардит на https, потом к https://mail.ru.
Имеем на выходе в access.log :
1412764210.059     87 192.168.1.2 TCP_MISS/302 718 GET http://www.google.ru/ username DIRECT/64.233.161.94 text/html
1412764210.072      3 192.168.1.2 TCP_MISS/404 0 CONNECT www.google.ru:443 username DIRECT/- -
1412764239.120      3 192.168.1.2 TCP_MISS/404 0 CONNECT mail.ru:443 username DIRECT/- -

В /tmp/out.txt например так
e.mail.ru:443 192.168.1.2/- username CONNECT myip=192.168.1.1 myport=3128

Обойти это дело можно через
url_rewrite_access deny SSL_ports
Но это очень некрасиво. Кто-нибудь сталкивался с таким? Может быть результирующий url надо в каком-то особом виде отдавать? Что-то гуголь не дает ответа.
Спасибо.

Ситуация такая. Ставлю squid3 на Ubuntu 14.04 x64
Конфиг

visible_hostname pass
acl mynet src МОЙ IP
acl SSL_ports port 443
acl Safe_ports port 80          # http
acl Safe_ports port 21          # ftp
acl Safe_ports port 443         # https
acl Safe_ports port 70          # gopher
acl Safe_ports port 210         # wais
acl Safe_ports port 1025-65535  # unregistered ports
acl Safe_ports port 280         # http-mgmt
acl Safe_ports port 488         # gss-http
acl Safe_ports port 591         # filemaker
acl Safe_ports port 777         # multiling http
acl CONNECT method CONNECT
http_access deny !Safe_ports
http_access deny CONNECT !SSL_ports
http_access allow localhost manager
http_access deny manager
http_access allow localhost
http_access allow mynet
http_access deny all
http_port IP сервера в интернет:3129
coredump_dir /var/spool/squid3
refresh_pattern ^ftp:         &n... 1440    20%     10080
refresh_pattern ^gopher:        1440    0%      1440
refresh_pattern -i (/cgi-bin/|\?) 0     0%      0
refresh_pattern (Release|Packages(.gz)*)$      0       20%     2880
refresh_pattern .               0       20%     4320
cache_dir ufs /var/spool/squid3 4096 32 256
minimum_object_size 2 KB
maximum_object_size 65536 KB
via off
forwarded_for delete

Прописываю в браузер настройки proxy
IP сервера: 3129
Работает!

Прописываю на mikrotik

ip firewall nat add chain=dstnat action=accept protocol=tcp src-address-list=IP сервера dst-port=80
ip firewall nat add chain=dstnat action=dst-nat protocol=tcp src-address-list=clients dst-port=80 to-addresses=IP сервера to-ports=3129

Получаю в браузере:

ERROR
The requested URL could not be retrieved

The following error was encountered while trying to retrieve the URL: /
Invalid URL
Some aspect of the requested URL is incorrect.
Some possible problems are:
Missing or incorrect access protocol (should be http:// or similar)
Missing hostname
Illegal double-escape in the URL-Path
Illegal character in hostname; underscores are not allowed.
Your cache administrator is webmaster.

И браузер упорно не подключается к squid на порту 3128, приходиться менять на 3129

Добрый день!
есть сквид версии 3.4.7 с керберос авторизацией пользователей. все работает замечательно, но заметил такую вещь: Сквид пишет в логах учетные данные клиента лишь при попытке коннекта по https, а если идет запрос на обычный http, то сквид в access.log пишет только айпи клиента.

вот кусок кода с acl и http_access, подскажи пожалуйста, где ошибка:

acl intranet dst 172.18.2.0/24
acl SSL_ports port 443
acl Safe_ports port 80 # http
acl Safe_ports port 21 # ftp
acl Safe_ports port 443 # https
acl Safe_ports port 70 # gopher
acl Safe_ports port 210 # wais
acl Safe_ports port 1025-65535 # unregistered ports
acl Safe_ports port 280 # http-mgmt
acl Safe_ports port 488 # gss-http
acl Safe_ports port 591 # filemaker
acl Safe_ports port 777 # multiling http
acl CONNECT method CONNECT
acl DHCP src 172.18.1.0/24 # ip adresses
#acl password proxy_auth REQUIRED
#acl ntlm     proxy_auth REQUIRED
#acl AuthorizedUsers proxy_auth REQUIRED
#acl YLRUS srcdomain domain.com
http_access allow CONNECT !SSL_ports
#http_access allow CONNECT SSL
#http_access allow CONNECT AuthorizedUsers
#http_access allow password
http_access allow localhost
http_access allow intranet
http_access allow DHCP
#http_access allow manager
#http_access allow manager localhost
http_access allow Safe_ports
http_access deny all

может стоить убрать строчки

acl DHCP src 172.18.1.0/24 # ip adresses 
http_access allow DHCP

и расскоментировать строчки

#acl AuthorizedUsers proxy_auth REQUIRED
#http_access allow CONNECT AuthorizedUsers