> Что я делаю не так? O_O

1) Не смотришь в логи.
2) Неправильно задаешь вопросы. http://citforum.ru/howto/smart-questions-ru.shtml

> Адрес прокси: 188.117.22.22

А меня что-то тоже не пускает... Что я делаю не так?

> Если у клиента в настройках прокси не ставить галочку  "Не использовать
> прокси-сервер для локальных адресов", то все локальные сайты буду идти через
> squid, но они работать конечно же не будут.

Почему не будут? Им какая разница кому отдавать контент - вашему пк или серверу сквида?

Возможные причины на сервере:
1. в сквиде есть опция tcp_outgoing_address, она установлена?
2. различные косяки со списками доступа
3. Разные варианты косяков с настройкой фаервола/маршрутизации

> Если у клиента в настройках прокси не ставить галочку  "Не использовать
> прокси-сервер для локальных адресов", то все локальные сайты буду идти через
> squid, но они работать конечно же не будут. А можно ли
>  прописать что-нибуть в конфиге squid чтобы эти локальные сайты работали?

Если на сайты будешь ходить по IP адресам, то ничего прописывать не нужно.
Вот тебе пример из лога
1416573291.634      1 10.16.56.49 TCP_MISS/304 261 GET http://10.222.2.22:3000/LookOut/icon.ico? - HIER_DIRECT/10.131.2.11 text/html
Если по именам, то тебе нужно иметь свой нэймсервер, который будет резолвить эти имена и отдавать сквиду.

p.s.
Какой смысл ходить на локальные сайты через сквид? - лишний тормоз имхо.

> Доброго времени.
> Здесь, вроде, не по теме обсуждать DNS, но по ним раздела не
> нашёл..... хочу обратиться к сообществу за консультацией.
> По существу.
> Стоит Unbound Version 1.4.19, всем доволен, только вот после ребута шлюза кэш,
> естественно уничтожается. Может быть есть идеи, как его (кэш) сохранить и
> после запуска скормить Unbound. Интересует сама идея, скрипт напишу сам.
> Спасибо.

unbound сам, вроде, сохраняться и восстанавливаться не умеет.

1. это умеет, вроде, pdnsd.

2. Засунь unbound в контейнер-винтуалку и чекпоинти его вместо останова и рестарти вместо запускаю %)

или

3. и джедайский путь - патчить исходники до реализации необходимого.

> Здравствуйте! На сквиде настроена прозрачная аунтефикация с AD, те если компьютер в
> домене пользователю пароль и логин вводить не нужно, но если компьютер
> не в домене, то приходится вводить имя пользователя в виде DOMEN\USER.
> Вопрос как убрать имя домена в имени пользователя (те строчку DOMEN\).
> Если это возможно прощу дать ответ как можно подробнее, ибо я
> не очень силен в сквиде.

\username

> Здравствуйте! Squid с прозрачной доменной  аунтефикацией.  Все работает у админа
> нет ни каких ограничений!

Ну так это у админа нет ограничений, а у вас есть.

> 1415781043.198      0 10.250.236.249 TCP_DENIED/407 2071 GET http://dl.zaycev.net/91493/3031073/sia_-_chandelier_(zaycev.net).mp3
> - NONE/- text/html

TCP_DENIED - Значит есть правила, запрещающие скачку mp3. Показывай конфиг сквида или сам смотри.

С таким отношением к вашей работе, я вам искренне рекомендую пересмотреть область деятельности.
Говорят шахтеры тоже неплохо денег получают.

> Объясните нубу, как настроить прокси авторизацию (аутентификацию) в squid (Логин:пароль)

Как установить этот хелпер на centos ?
http://www.squid-cache.org/Versions/v3/3.HEAD/manuals/basic_...

> Объясните нубу, как настроить прокси авторизацию (аутентификацию) в squid (Логин:пароль)

А в чем проблема ? В гугле по поиску куча how to . Или вам за вознаграждение настроить ?

> acl normal_reply http_status 0-599
> 407, например, но с кодом 200 почему то игнорируется.
> Подскажите, пожалуйста, где я затупил?

Наверное, у HTTPS _в _сквиде _нет HTTP статуса, поэтому любая его проверка неуспешна. Независимо от того, что колонка в логе есть и число в ней есть.

+++Суслика видишь? А он есть.

Вам нужно довести до сведения начальства, что вы не можете работать из-за новой политики доступа к интернету.

Если же интернет вам нужен не для работы, то не стоит идти против батьки - поймают (а это случится обязательно) и мало не покажется.

> Спасибо всем, кто откликнется и поможет советом, ссылкой, мануалом.

свои же потом и заложат.

купи планшет и юзай инет сколько влезет

> Подскажите, куда копать, пожалуйста, и можно ли вообще средствами кальмара ограничить https траффик?
> http_port 3128 transparent

Прозрачный сквид и отсутствие всяческих ssl bump-ов. Наверное, клиентский https ходит мимо сквида, через NAT, блокировать в iptables.

Насчёт, можно ли, вариантов 2: непрозрачный сквид (_надо настраивать прокси во всех клиентах и _не пускать их "через NAT") и см.про CONNECT+https+squid, либо ssl bump (и, вроде, тоже непрозрачный сквид нужен? не знаю) + либо "не доверенный сертификат" на все сайты, либо загрузка своего ЦА на клиентах.

...и тут снова два варианта.

Закройте домен vk.com в сквиде или всего его ip адреса, которые можно узнать по nslookup
acl vk dstdomain .vk.com
http_access deny vk
если очень хочется только по HTTPS добавьте ssl порт
acl vk dstdomain .vk.com
http_access deny vk SSL_ports
Если по HTTPS не банит, бань по IP

----- по IP
acl  vk  dst  87.240.131.120  87.240.131.119  87.240.131.118
http_access deny vk
или
http_access deny vk SSL_ports
---------
правила http_access  поставить в нужное место.
==============================================
Через Iptables  как-то так:

iptables -t filter -I INPUT -s vk.com -p tcp -m tcp --sport 443 -j DROP
iptables -t filter -I OUTPUT -d vk.com -p tcp -m tcp --dport 443 -j DROP
iptables -t filter -I FORWARD -d vk.com -p tcp -m tcp --dport 443 -j DROP

Чтоб не плодить темы напишу тут.
Использую:
  ОС - openSuSE 13.2
  Squid - 3.4.4
  браузер у клиентов - firefox, opera, ie и т.д.
содержание squid.conf:
#===============================================================
visible_hostname af-server

acl a_localnet src "/srv/squid/allow/ip_allow.acl"    # разрешенная сеть для прокси
acl d_localnet src "/srv/squid/deny/ip_stud.acl"    # сеть с ограничениями
acl soc_domain dstdomain "/srv/squid/deny/soc_domain.acl"
acl stud_domain dstdomain "/srv/squid/allow/stud_domain.acl"
acl ip_server dst 192.168.3.1

acl SSL_ports port 443
acl Safe_ports port 80        # http
acl Safe_ports port 21        # ftp
acl Safe_ports port 443        # https
acl Safe_ports port 70        # gopher
acl Safe_ports port 210        # wais
acl Safe_ports port 1025-65535    # unregistered ports
acl Safe_ports port 280        # http-mgmt
acl Safe_ports port 488        # gss-http
acl Safe_ports port 591        # filemaker
acl Safe_ports port 777        # multiling http
acl CONNECT method CONNECT

# Запрещены все порты, кроме как из списка
http_access deny !Safe_ports

# Запрещены все коннекты по портам, кроме как из списка
http_access deny CONNECT !SSL_ports

# Разрешен доступ к кешу только для localhost
http_access allow localhost manager
http_access deny manager

http_access allow a_localnet !soc_domain
http_access allow d_localnet ip_server
http_access deny d_localnet !stud_domain

# Allow localhost always proxy functionality
http_access allow localhost

# And finally deny all other access to this proxy
http_access deny all

http_port 192.168.3.1:3128 transparent
https_port 192.168.3.1:3129 transparent ssl-bump generate-host-certificates=on dynamic_cert_mem_cache_size=4MB cert=/etc/squid/ssl/squid.pem key=/etc/squid/ssl/squid.pem
sslproxy_flags DONT_VERIFY_PEER
sslproxy_cert_error allow all
always_direct allow all

ssl_bump client-first all
ssl_bump server-first all
ssl_bump none all
sslcrtd_program /usr/sbin/ssl_crtd -s /srv/squid/ssl_db -M 4MB

# Leave coredumps in the first cache dir
coredump_dir /srv/squid/cache

refresh_pattern ^ftp:        1440    20%    10080
refresh_pattern ^gopher:    1440    0%    1440
refresh_pattern -i (/cgi-bin/|\?) 0    0%    0
refresh_pattern .        0    20%    4320
#=============================================================================
сертификат и ключ создавал так:
openssl req -new -newkey rsa:1024 -days 365 -nodes -x509 -keyout squid.pem -out squid.pem

Все работает отлично, кроме одного неудобства. В списке "stud_domain.acl" есть ".google.ru". Так вот при открытии "https://www.google.ru" каждый раз приходится подтверждать исключение безопасности. Как сделать, чтоб пользователь только однажды подтвердил, и больше этот вопрос в браузере не возникал?

на ваш acl _sams_543e75aaf1cf2 src "/etc/squid/543e75aaf1cf2.sams"
делаете  разрешение для него
http_access allow acl _sams_543e75aaf1cf2
разрешение ставите выше разрешающих правил правил для SAMS
оно у вас стоит вроде в правильном месте. Не работает что ли?
P.S.
В файле IP адреса можете писать по одному в строке без маски, если это не группа адресов. Да и группу по-моему  можно писать без маски в виде:
10.18.123.2-10.18.123.122

>[оверквотинг удален]
> может стоить убрать строчки
>

 
> acl DHCP src 172.18.1.0/24 # ip adresses 
> http_access allow DHCP 
> 

> и расскоментировать строчки
>

 
> #acl AuthorizedUsers proxy_auth REQUIRED 
> #http_access allow CONNECT AuthorizedUsers 
> 

посмотрел в acces.log пишется ip, дальше TCP/MISS 200 GET далее url, а после url стоит -
а если кто то ломиться на Https, то вместо знака "-" пишется username@DOMAIN.COM
из за чего может быть такая штука?

> Прописываю в браузер настройки proxy
> IP сервера: 3129
> Работает!

Это что за IP сервера такой 3129 да еще и работает ?!

> Обращаемся к http://google.ru, который сразу форвардит на https, потом к https://mail.ru.
> 1412764239.120      3 192.168.1.2 TCP_MISS/404 0 CONNECT mail.ru:443
> username DIRECT/- -
> В /tmp/out.txt например так
> e.mail.ru:443 192.168.1.2/- username CONNECT myip=192.168.1.1 myport=3128

Представь себе, https - это шифрованный http, и именно _для _того, чтобы ты и твой сквид не "видели" того, что скрыто.

Проверил на своём squidGuard-е, на эту строку отвечает
_пустой _строкой, то есть не переписывать. https у меня работает...

> Обойти это дело можно через
> url_rewrite_access deny SSL_ports
> Но это очень некрасиво. Кто-нибудь сталкивался с таким? Может быть результирующий url
> надо в каком-то особом виде отдавать? Что-то гуголь не дает ответа.

Ну, полюбуйся вот этой "красотой": http://wiki.squid-cache.org/Features/SslBump

> Доброго времени суток.
> Столкнулся со следующей проблемой: имеем прокси-сервер:

...
> P.P.S. Проблема появилась достаточно давно. Обновление сквида до последней версии ее не
> решило.

Подтверждаю, аналогичная ситуация. и не только с Гугловскими сайтами. Еще и vk.com раздражает.

А не связано ли это с SPDY? Отключать его в браузере не пробовали?

IPV6 отключить не помогает?

> Подскажите пожалуйста, что я делаю не так.

В логи не смотрите.

> tcp_outgoing_address 192.168.1.222

С этого интерфейса Squid отправляет запросы
> cache_peer 192.168.0.162 parent 3128 0 proxy-only no-query default

Как у вас пакеты из х.х.1.х попадают в х.х.0.х?

> Есть прокси сервер, связь с ним через putty.

... можете не продолжать.

>Расскажите что нужно изменить в squid.config чтобы работала такая штука.

Менять надо прокладку между стулом и putty.

> Народ выручайте.Есть прокси сервер, связь с ним через putty. Так же есть
> пользователи которые получают данные от меня, логин и пароль. Нужно сделать
> так чтобы один логин можно было использовать только на одном компьютере,
> и чтобы логин не действовал если по пытаться ввести его на
> другом компе. Расскажите что нужно изменить в squid.config чтобы работала такая
> штука.

насколько я знаю - никак. ИМХО конечно. ибо давно такая задача была. не побороли.
если сеть маленькая, то делать acl'и
далее привязки на предмет ip - user или mac - user... но по мне - нафиг такой гемор

Почему forwarding раньше divert ?
Давайте от простого к сложному.

Загрузите минимальный набор правил.
После, добавляйте/усложняйте по вкусу.

add 50 divert natd all from any to any via bge1
add 100 allow all from any to any via lo0
add 200 deny all from any to 127.0.0.0/8
add 300 deny all from 127.0.0.0/8 to any
add 400 fwd 127.0.0.1,3128 tcp from any to any 80 in recv bge0
add 500 allow all from any to any

>[оверквотинг удален]
> есть правило которое должно заворачивать трафик по 80 порту на порт
> 3128 убунты-сквида3.
> Из конфига сквида3:
> http_port 192.168.1.10:3128 transparent
> Правило на микротике
> ip firewall nat add chain=dstnat action=dst-nat protocol=tcp src-address=192.168.1.0/24
> dst-port=80 to-addresses=192.168.1.10 to-ports=3128
> Все вроде должно работать. Но ничего не работает. Интернет-странички не открываются.
> На убунте в iptables никаких дополнительных правил нет.
> Помогите разобраться. Спасибо.

Видео
http://www.youtube.com/watch?v=fROLH_sfTDc
статья
http://srijit.com/how-to-setup-squid-as-transparent-proxy-in.../

Попробуй сначала так:
http://network.24sport.info/mikrotik/howto-redirect-http-tra.../

дайте адрес портала для проверки

> Всем привет!
> Имеется проблема следующего характера:
> Имеется локалка и сеть Интернет, работающая через прозрачный squid.
> Если ПК включать напрямую через squid, то определенные приложения нормально работают через
> интернет.
> Если необходимость сеть интернет и локалку объединить в одну сеть, но тогда
> для этих приложений закрывается доступ в интернет. При этом серфинг по
> интернету возможен.
> Помогите решить данную проблему? В каком направлении мне двигаться?

привет! а как авторизация происходит в сквиде? куда ломятся эти приложения?
можно прописать адреса, по которму ломятся эти приложения поверх авторизации в сквиде

0. Советую почитать теорию как работает TLS/HTTPS
1. На прозрачных прокси наблюдается, потому что хост сам определяет IP сервера через свой DNS, и обращается напрямую без имен. Хост не в курсе, что он ходит через прокси.
Вам нужно либо переходить на обычный прокси (не транспарентный), либо вечно резолвить свои блэклисты и подсовывать сквиду. При выборе второго варианта вы заблокируете кучу ресурсов дополнительно

>[оверквотинг удален]
> В Squidguard имеются access list, если сайт попадает в запрет то производится
> редирект на мой ресурс.
> Все работает кроме сайтов https://. точнее доступ к сайтам закрыт, но вот
> редирект не отрабатывает.
> Подскажите как решить.
> Вот пример:
>  http:
>  http://vk.com/ - HIER_DIRECT/127.0.0.1 image/png
>  https:
>  vk.com:443 - HIER_NONE/- -

никак ибо https,
новый скид (3.3+) умеет и c https кое как работать,
но всем клиентам надо устанавливать свой сертификат как доверенный.

> http_reply_access    allow         l-inet-AIM tipe_video

Эта группа не забивает канал видео-трафиком? Канал какой ширины?
P.S
Если у вас  трафик в Инет безлимитный, то я бы советовал отключить дисковый кэш (шерстить индексы на ваши 2 гига - явно скорости не добавит, кстати реальный размер дискового кэга какой? Не превышает 2 гига ?) и ОЗУ сквиду (cache_mem 256 MB)дать побольше, если есть такая возможность.

Уже разобрался.

Проблема была в неправильно созданном кейтабе (хотя, который и авторизовывался отдельно, без сквида).

> Всем привет!
> Помогите решить такой вопрос:
> Использую squid. Решил поставить SAMS для упрощения работы с squid. Поставил.
> Объясните как уже существующие данные в squid (группы, пользователи, правила) привязать
> к SAMSу.

оно генерит правила для squida из базы, по сему только ручками вбить в морду всех пользователей итп.

мой вам совет - если уже юзали "голый" squid -> пошлите в лес SAMS, оно уже 100 лет как не поддерживается и не развивается (а жаль).
только лишний гимор себе наживёте.

>[оверквотинг удален]
>   /----------\|          
>  |
>  / squid.     |    
>       |
> <  transparent|          
>  |
>  \proxy.      |    
>       |/-----\
>   \----------/|___________|\-----/ parent proxy
> </pre>

Источник проблемы выявлен на "парент прокси" разрешен для SSL только CONNECT.
каким образом https GET/POST можно завернуть в CONNECT как это делает броузер?

> ... как добиться выполнения поставленной задачи?

HTB, SFQ, ipset  

>[оверквотинг удален]
> delay_class 1 1
> delay_parameters 1 768000/768000
> delay_access 1 allow vip
> delay_access 1 deny all
> delay_class 2 2
> delay_parameters 2 64000/5000000 8000/1024000
> delay_access 2 allow file_bad
> delay_access 2 deny all
> delay_class 3 2
> delay_parameters 2 64000/5000000 16000/2048000

ошибка,  пул номер 3, а delay_parameters  указан для пула c номером 2
> delay_access 3 allow bad_url

пробуй вот так
delay_access 3 allow localnet bad_url
> delay_access 3 deny all
> delay_class 4 3
> delay_parameters 4 704000/50000000 -1/-1 38000/10000000
> delay_access 4 allow localnet
> Сквид ошибок не находит в конфиге, нормально стартует. Но при этом ВСЕ
> пользователи у меня в классе 4. Вторым и третьим классом никто
> не стал... Что неправильно в конфиге и как добиться выполнения поставленной
> задачи?

в 4 пуле  -1/-1 советую убрать, этим  вы сняли все ограничения и лучше сделать его  пулом второго класса.

>[оверквотинг удален]
> acl bad_url dst "/etc/squid/lists/bad_url"
> delay_access 2 allow file_bad
> delay_parameters 2 64000/5000000 16000/2048000
> delay_access 3 allow bad_url
> delay_parameters 4 704000/50000000 -1/-1 38000/10000000
> delay_access 4 allow localnet
> Сквид ошибок не находит в конфиге, нормально стартует. Но при этом ВСЕ
> пользователи у меня в классе 4. Вторым и третьим классом никто
> не стал... Что неправильно в конфиге и как добиться выполнения поставленной
> задачи?

В пулы попадают не "кто-то", а конкретные http-запросы, но да несколько запросов с одного ip в одном пуле получат одно ограничение.

По этим правилам, например, 1 пользователь (=ip) может качать .mp3 на 8kBs, "bad url" на 16-ти, и, скажем какой-нибудь .pdf на 38kBs, всего - до 52kBs. Никаким из 3ёх классов _он, "ip", при этом не становится.

Ещё попытка.

> acl vip src "/etc/squid/lists/vip"
> acl file_bad urlpath_regex -i \.mp3$ \.asf$ \.wma$ \.flv$
> acl bad_url dst "/etc/squid/lists/bad_url"

1. Стеснялся спросить, а _vip_ работает?

2. http://wiki.squid-cache.org/SquidFaq/SquidAcl#Fast_and_Slow_...
Как то: dst, пишут, - slow, но delay_access - fast, поэтому пул bad_url не работает.

Заменить url_regex-пом, переписав список, например.

Но urlpath_regex - fast, тот пул дожен, вроде работать.

>[оверквотинг удален]
> delay_class 2 2
> delay_parameters 2 64000/5000000 8000/1024000
> delay_access 2 allow file_bad
> delay_access 2 deny all
> delay_class 3 2
> delay_parameters 2 64000/5000000 16000/2048000
> delay_access 3 allow bad_url
> delay_access 3 deny all
> delay_class 4 3
> delay_access 4 allow localnet

3. Порядок директив - и deny-и _везде.... Я как-то с этим морочался, припоминаю.

-> добавь для последнего пула deny all в конце, или даже переписать в виде

deny vip
deny file_bad
deny bad_url
allow all

И так, проблему решил сам. Всё было просто, дело в моём непонимании некоторых моментов и невнимательности:

Было:
> acl file_bad urlpath_regex -i \.mp3$ \.asf$ \.wma$ \.flv$
> acl bad_url dst "/etc/squid/lists/bad_url"

Стало:
acl file_bad urlpath_regex -i mp3$ asf$ wma$ flv$
acl bad_url dstdomain "/etc/squid/lists/bad_url"

Было:
>[оверквотинг удален]
> delay_parameters 2 64000/5000000 8000/1024000
> delay_access 2 allow file_bad
> delay_access 2 deny all
> delay_class 3 2
> delay_parameters 2 64000/5000000 16000/2048000
> delay_access 3 allow bad_url
> delay_access 3 deny all
> delay_class 4 3
> delay_parameters 4 704000/50000000 -1/-1 38000/10000000
> delay_access 4 allow localnet

Стало:
delay_pools 4

delay_class 1 1
delay_parameters 1 768000/768000
delay_access 1 allow vip
delay_access 1 deny all

delay_class 2 2
delay_parameters 2 64000/5000000 8000/1024000
delay_access 2 allow file_bad
delay_access 2 deny all

delay_class 3 2
delay_parameters 3 64000/5000000 16000/2048000
delay_access 3 allow bad_url
delay_access 3 deny all

delay_class 4 2
delay_parameters 4 704000/50000000 38000/10000000
delay_access 4 allow localnet
delay_access 4 deny all

Теперь это хозяйство работает нормально. Все попадают в нужные пулы с нужной скоростью. Всем принявшим участие в обсуждении большое спасибо за помощь!