День добрый. Ситуация следующая.
Есть отдельно стоящий компьютер, ip 10.10.0.3/24, gateway 10.10.0.2. Больше на нем ничего не настроено, ни dns, ни proxy, только эти параметры.
Этим интерфейсом он смотрит на сервер с установленным Squid. У Squid две сетевые карты - одна ip 10.10.0.2/24, вторая 192.168.1.222/22, смотрит в локальную сеть с интернетом и вторым Squid в ней.
Вот squid.conf

dns_nameservers 192.168.0.122 192.168.0.10
dns_v4_first on
shutdown_lifetime 10 seconds
coredump_dir /usr/local/squid
visible_hostname serv.altest.net
tcp_outgoing_address 192.168.1.222
cache_peer 192.168.0.162 parent 3128 0 proxy-only no-query default
never_direct allow all
#ICAP SECTION
icap_enable on
icap_service_failure_limit 500
icap_service_revival_delay 30
icap_service Zgate_ICAP_Proxy reqmod_precache bypass=0 icap://192.168.0.231:1344/reqmod
icap_service Zgate_ICAP_Logger respmod_precache routing=1 icap://192.168.0.231:1344/respmod
icap_send_client_ip on
icap_send_client_username on
adaptation_service_set class_proxy Zgate_ICAP_Proxy
adaptation_service_set class_logger Zgate_ICAP_Logger
adaptation_access class_proxy allow all
adaptation_access class_logger allow all
#HTTPS SECTION
http_port 3128 ssl-bump cert=/usr/local/etc/squid/root.cer key=/usr/local/etc/squid/root.key generate-host-certificates=on
ssl_bump client-first all
always_direct allow all
sslproxy_cert_error allow all
#CACHE SETTINGS
acl QUERY urlpath_regex cgi-bin \\?
no_cache deny !QUERY
cache_dir ufs /usr/local/squid/cache 3000 16 256
maximum_object_size 320 MB
quick_abort_min 5 MB
#ACCESS CONTROL LISTS!
acl localnet src 192.168.0.0/22
acl localnet src 10.10.0.0/24
acl CONNECT method CONNECT
acl BlockSite dstdomain .woman.ru
acl BlockSite dstdomain .odnoklassniki.ru
http_access allow manager localhost
http_access deny to_localhost
http_access deny all BlockSite
http_access allow localnet
http_reply_access allow all
debug_options 93,5
refresh_pattern -i (/cgi-bin/|\?) 0     0%      0
refresh_pattern .               0       20%     4320

Если я не ошибаюсь, опции cache_peer и never_direct должны перенаправлять на второй squid (192.168.0.162). Для проверки на втором Squid заблокировал сайт rbc.ru. К сожалению, клиентский хост на rbc пускает, следовательно, он идет не через второй Squid, а напрямую. Подскажите пожалуйста, что я делаю не так.

Народ выручайте.Есть прокси сервер, связь с ним через putty. Так же есть пользователи которые получают данные от меня, логин и пароль. Нужно сделать так чтобы один логин можно было использовать только на одном компьютере, и чтобы логин не действовал если по пытаться ввести его на другом компе. Расскажите что нужно изменить в squid.config чтобы работала такая штука.

Всем доброго утра.

Уважаемые форумчане, пожалуйста выручайте.

Знаю, тема избитая, но ответа для себя я так и не нашел.
Есть микротик в качестве шлюза в интернет, за ним стоит убунта со сквидом3 на борту. Сквид3 должен работать как прозрачный прокси. На микротике есть правило которое должно заворачивать трафик по 80 порту на порт 3128 убунты-сквида3.

Из конфига сквида3:

http_port 192.168.1.10:3128 transparent

Правило на микротике

ip firewall nat add chain=dstnat action=dst-nat protocol=tcp src-address=192.168.1.0/24 dst-port=80 to-addresses=192.168.1.10 to-ports=3128

Все вроде должно работать. Но ничего не работает. Интернет-странички не открываются.
На убунте в iptables никаких дополнительных правил нет.

Помогите разобраться. Спасибо.

Добрый день. Прошу вашей помощи в решение следующего вопроса:
есть сквид, версия 3.1.20 с керберос аунтефикацией.
Есть портал на IIS, который требует авторизацию по логину и паролю. Когда пользователи туда заходят, вводят данные и нажимают ок, авторизация не проходит и по итогу они получают "Страница недоступна"
посмотрев логи сквида обнаружил там ошибку TCP_MISS/401. Нашел эту проблемы в гугле, но решения нигде нет.
попробовал дописать в конфиг сквида

http_port 80  connection-auth=on

результат тот же.
Кто нибудь с таким сталкивался, как это дело лечить?

Всем привет!
Имеется проблема следующего характера:
Имеется локалка и сеть Интернет, работающая через прозрачный squid.
Если ПК включать напрямую через squid, то определенные приложения нормально работают через интернет.
Если необходимость сеть интернет и локалку объединить в одну сеть, но тогда для этих приложений закрывается доступ в интернет. При этом серфинг по интернету возможен.

Помогите решить данную проблему? В каком направлении мне двигаться?

  Приветствую.

Hекоторое время назад перестала срабатывать блокировка по HTTPS (при прозрачном проксировании, с использованием ssl_bump). Сначала грешил на сквид (давно обновился на 3.3). После изучения логов, я увидел, что по https-запросам в строке CONNECT, вместо домена всегда висит IP, при этом, от пользователей, сидящих на Win XP и IE 8 - я продолжаю видеть запросы по домену.

=== выдержка из документации сквида ===
Примерный перевод:
Hекоторые браузеры отправляют IP-адреса в запросы на подключение, даже если пользователь ввел имя сервера (url - не ip) в адресной строке. Hичего не можем с этим поделать, т.к мы не отвечаем за исходный код браузеров.

Оригинал:
Some browsers (e.g., Rekonq browser v0.7.x) send IP addresses in CONNECT requests even when the user typed a host name in the address bar. Squid cannot handle both such browsers and URLs with IP addresses instead of host names because Squid cannot distinguish one case from another. There is nothing we can do about it until somebody contributes code to reliably detect CONNECT requests from those  browsers.
=== выдержка из документации сквида ===

И эти <некоторые браузеры> - это все современные (хром, ie11 и прочие) просто перестали обращатся в сайтам по доменному имени, передавая в строке не URL, а исключительно IP :(

Соответственно, если мы хотим запретить, например, вход на mail.ru по домену - то мы можем это сделать только для пользователей с Win XP, и максимально IE8.

Пример из лога сквида (вырезка 1 строчки из входа на mail.ru):
=== https-запрос от пользователя на XP с IE8 ===
1409725807.296 317 192.168.21.6 TCP_MISS/200 341 CONNECT rs.mail.ru:443 -
HIER_DIRECT/94.100.181.196 -
=== https-запрос от пользователя на XP с IE8 ===

=== https-запрос от пользователя на Win7 с IE11 ===
1409733165.939 2034 192.168.21.77 TCP_MISS/200 1392 CONNECT 94.100.181.196:443
- HIER_DIRECT/94.100.181.196 -
=== https-запрос от пользователя на Win7 с IE11 ===

Кто-нибудь по URL (не по IP) фильтрует трафик? Что посоветуете?

p.s: пока придумали только кривокостыль: регулярно резолвим банлисты, преобразуем их в список ip. Блокируем эти ip по https, в отдельных секциях.

Так же запросил тут: http://rejik.ru/bb_rus/viewtopic.php?f=1&t=1323

upd: это наблюдается только при прозрачном проксировании https, с ssl_bump. Похоже не в браузерах дело.
Вообщем, кто сталкивался, кто наблюдал такое?

Добрый день.
Имеется freebsd, Squid+Squidguard.
В Squidguard имеются access list, если сайт попадает в запрет то производится редирект на мой ресурс.
Все работает кроме сайтов https://. точнее доступ к сайтам закрыт, но вот редирект не отрабатывает.
Подскажите как решить.
Вот пример:
http:
http://vk.com/ - HIER_DIRECT/127.0.0.1 image/png
https:
vk.com:443 - HIER_NONE/- -

Всем добра!
Итак есть Squid Version 3.3.8 на Ubuntu 13.10
пользователей прокси 100+, NTLM авторизация, разграничение прав доступа по доменным группам.

Все работало как часы, все всем устраивало, но возникла необходимость более серьезно ограничивать доступ в интернет, а точнее блокировка мультимедийного трафика, и ограничение скачивания по расширению.
Написал ACLки, подоткнул в конфиг ограничения, все правила отрабатывают на ура, именно так как было нужно. Но после введения этих ACL спустя минут 30-60, начинает тормозить у пользователей инетрнет, каждая страница грузится около минуты, в общем работать становится невозможно. Отключаешь http_reply_access и спустя минут 15 скорость открытия страниц возвращается в норму.
В логах одно время сыпались варнинги про недостаток процессов wbinfo_group.pl
дописал ttl=120 children=15 ошибки из лога ушли, стало чуть чуть легче. но всетаки далеко от удовлетворительного.
при активной работе загрзка процессора не поднимается выше 20% оперативной памяти занимается не больше 2.5 гиг.

Ворос: Куда смотреть, что менять?

собственно листинг конфига (практически без изменений)

# OPTIONS FOR AUTHENTICATION
# -----------------------------------------------------------------------------

#  TAG: auth_param

auth_param ntlm program /usr/bin/ntlm_auth --helper-protocol=squid-2.5-ntlmssp --domain=domain.LOCAL
auth_param ntlm children 50
auth_param ntlm keep_alive on

authenticate_cache_garbage_interval 1 hour

authenticate_ttl 1 hour

acl domain proxy_auth REQUIRED
# -----------------------------------------------------------------------------

#  TAG: external_acl_type
external_acl_type nt_group ttl=120 children=15 %LOGIN /usr/lib/squid3/wbinfo_group.pl

#  TAG: acl
#================================================================================
acl     l-inet-MD    external nt_group g-inet-MD
acl     l-inet-test         external nt_group l-inet-test
acl     l-inet-LD        external nt_group g-inet-L
acl     l-inet-BD        external nt_group g-inet-BD
acl     l-inet-GS        external nt_group g-inet-GS
acl     l-inet-FD        external nt_group g-inet-FD
acl     l-inet-ID        external nt_group g-inet-ID
acl     l-inet-HD        external nt_group g-inet-HD
acl     l-inet-HC        external nt_group g-inet-HC
acl     l-inet-AIM        external nt_group g-inet-AIM
acl     l-inet-ADM        external nt_group g-inet-ADM
acl     l-inet-admin        external nt_group g-inet-admin
acl     l-inet-1C        external nt_group g-inet-1C
acl     l-inet-UD        external nt_group g-inet-UD
acl     l-inet-vk        external nt_group g-inet-vk
acl     l-inet-DIR        external nt_group g-inet-DIR
acl     l-inet-piter        external nt_group g-inet-piter

#=================================================================================
#acl manager proto cache_object
#acl localhost src 127.0.0.1/32 ::1
#acl to_localhost dst 127.0.0.0/8 0.0.0.0/32 ::1
acl localnet src 172.16.0.0/16
acl term_srv src 172.16.1.220 172.16.3.4
acl everyone src all

#=================================================================================
acl SSL_ports port 443
acl Safe_ports port 80        # http
acl Safe_ports port 21        # ftp
acl Safe_ports port 443        # https
acl Safe_ports port 70        # gopher
acl Safe_ports port 210        # wais
acl Safe_ports port 1025-65535    # unregistered ports
acl Safe_ports port 280        # http-mgmt
acl Safe_ports port 488        # gss-http
acl Safe_ports port 591        # filemaker
acl Safe_ports port 777        # multiling http
acl ICQ_ports  port 5190      # ICQ

#================================================================================
acl CONNECT method CONNECT

#=============================================================================
acl zabbix  url_regex ^http://zabbix     
acl srvcis  url_regex ^http://srvcis  
acl otrs    url_regex ^http://otrs
acl domain_local url_regex ^https://.domain.local
#acl time_socnet_evning time 18:00-20:00
## The videos come from several domains

acl noftp proto FTP
#=============================================================================
#    DENY LTS

acl     anonim        dstdomain    \
        "/usr/local/etc/squid/access/anonimaizers"

acl     deny_services        dstdomain    \
       "/usr/local/etc/squid/access/deny_services"

acl     deny_sites          dstdomain        \
      "/usr/local/etc/squid/access/deny_sites"

acl     deny_socnet          dstdomain        \
      "/usr/local/etc/squid/access/deny_socnet"

acl     job_socnet          dstdomain    \
      "/usr/local/etc/squid/access/job_socnet"

acl     porno          dstdomain        \
      "/usr/local/etc/squid/access/porno"

acl     deny_url          dstdomain        \
      "/usr/local/etc/squid/access/deny_url"

acl     dot_domain          dstdomain        \
      "/usr/local/etc/squid/access/dot_domain"

acl     top          dstdomain        \
      "/usr/local/etc/squid/access/users_top"

acl     allow_sites          dstdomain        \
      "/usr/local/etc/squid/access/allow_sites"

acl     allow_GS          dstdomain        \
      "/usr/local/etc/squid/access/allow_GD"

acl     allow_AIM          dstdomain        \
      "/usr/local/etc/squid/access/allow_AIM"

#acl     vk          dstdomain        \
#      "/usr/local/etc/squid/access/vk"

acl     L_deny          dstdomain        \
      "/usr/local/etc/squid/access/L_deny"

acl     term_allow          dstdomain        \
      "/usr/local/etc/squid/access/term_allow"

#acl     deny_AIM          dstdomain        \
#      "/usr/local/etc/squid/access/deny_AIM"

#acl блокировка скаивания по расширению файла
acl extension_files urlpath_regex -i "/usr/local/etc/squid/access/download_access/extension_files"

#блокировка скачивания файлов для приложений по типу файла (mp3, tar, torrent Блокировка мультимедийного флеш)
acl tipe_application rep_mime_type -i "/usr/local/etc/squid/access/download_access/tipe_application"

#Блокировка потокового аудио
acl tipe_audio rep_mime_type -i "/usr/local/etc/squid/access/download_access/tipe_audio"

#Блокировка потокового видео
acl tipe_video rep_mime_type -i "/usr/local/etc/squid/access/download_access/tipe_video"

#^application/x-shockwave-flash$
#acl not_media rep_mime_type content-type video

#  TAG: http_access
# INSERT YOUR OWN RULE(S) HERE TO ALLOW ACCESS FROM YOUR CLIENTS
#===============================================================================

#http_access deny localnet
#http_access allow localnet
#http_access allow localhost
#http_access allow manager localhost
#http_access deny to_localhost
#http_access deny manager
http_access deny !Safe_ports
http_access deny CONNECT !SSL_ports
#http_replay_access deny not_media
#+++++++++++++++++++++++++++++++++++++++
http_access         deny         term_srv         !term_allow
#+++++++++++++++++++++++++++++++++++++++
#+++ Иcключения из запрещающего списка для всех авторизованных пользователей
http_access        allow       domain         allow_sites

#+++ Разрешения по групам (Приоритет выше запрещений по спискам)

      

http_access        deny        l-inet-ID    job_socnet

http_access        allow        l-inet-MD
http_reply_access    allow         l-inet-MD tipe_audio
http_reply_access    allow         l-inet-MD tipe_video

http_access        allow        l-inet-BD
          
http_access        allow        l-inet-DIR

http_access        deny        l-inet-LD         LD_deny

http_access        allow        l-inet-ADM          job_socnet

http_access        allow        l-inet-vk        job_socnet

http_access        allow        l-inet-GD          allow_GS
http_access        allow        l-inet-GD        job_socnet

http_access        allow        l-inet-admin

http_access        allow        l-inet-AIM        
http_reply_access    allow         l-inet-AIM tipe_video

# +++    Запретить пользователям домена ниже приведенные списки    +++

http_access       deny       domain deny_socnet
http_access       deny       domain deny_services  
http_access       deny       domain dot_domain  
http_access       deny       domain deny_url
http_access       deny       domain anonim
http_access       deny       domain deny_url  
http_access       deny       domain porno
http_access       deny       domain job_socnet

# запрет на скачивание по расширению и по типу
http_access       deny       domain extension_files
http_reply_access    deny         domain tipe_application
http_reply_access    deny         domain tipe_video
http_reply_access    deny         domain tipe_audio

# +++    Разрешить пользователям домена все что не вошло в списки выше    +++
http_access        allow       domain

#---Запретить вообще все
#http_access       deny       domain

#=====DENY ALL======
# Запретить все не авторизованным пользователям
http_access         deny         everyone
http_access         deny         noftp

#================================================================================

# NETWORK OPTIONS
# -----------------------------------------------------------------------------

http_port 3128

# MEMORY CACHE OPTIONS
# -----------------------------------------------------------------------------
cache_mem 256 MB

maximum_object_size_in_memory 512 KB

# DISK CACHE OPTIONS
# -----------------------------------------------------------------------------
cache_dir ufs /var/spool/squid3 2048 16 256

cache_swap_low 90

cache_swap_high 95

# LOGFILE OPTIONS
# -----------------------------------------------------------------------------
access_log /var/log/squid3/access.log squid

cache_store_log none

logfile_rotate 2

# OPTIONS FOR TROUBLESHOOTING
# -----------------------------------------------------------------------------
cache_log /var/log/squid3/cache.log

debug_options ALL,1

coredump_dir /var/spool/squid3

# OPTIONS FOR TUNING THE CACHE
# -----------------------------------------------------------------------------

refresh_pattern ^ftp:        1440    20%    10080
refresh_pattern ^gopher:    1440    0%    1440
refresh_pattern -i (/cgi-bin/|\?) 0    0%    0
refresh_pattern (Release|Packages(.gz)*)$      0       20%     2880

refresh_pattern .        0    20%    4320

quick_abort_min 16 KB

quick_abort_max 16 KB

quick_abort_pct 95

# ADMINISTRATIVE PARAMETERS
# -----------------------------------------------------------------------------
cache_effective_user proxy

visible_hostname proxy.domain.local

# ERROR PAGE OPTIONS
# -----------------------------------------------------------------------------
error_directory /usr/share/squid-langpack/ru

# ICAP OPTIONS
# -----------------------------------------------------------------------------
icap_enable on

icap_preview_enable on

icap_preview_size 128

icap_send_client_ip on

icap_send_client_username on

icap_client_username_header X-Client-Username

icap_service service_req reqmod_precache bypass=1 icap://127.0.0.1:1344/squidclamav
adaptation_access service_req allow all
icap_service service_resp respmod_precache bypass=1 icap://127.0.0.1:1344/squidclamav
adaptation_access service_resp allow all

# DNS OPTIONS
# -----------------------------------------------------------------------------
dns_retransmit_interval 5 seconds

dns_timeout 2 minutes

dns_nameservers 172.16.1.1 172.16.1.11 8.8.8.8

hosts_file /etc/hosts

Приветствую!

На данный момент тестирую связку WinServer 2012 (в роли АД) + Ubuntu Server 14 со squid3 и керберос авторизацией на виртуальной машине.

На винде настроил ДНС + АД, на убунте указал использование АДшного ДНСа + синхронизацию времени и настроил krb5.

ДНС преобразование в обе стороны идет верно - доменное имя прокси сервера разрешается.

Тикеты керберос получает и в варианте запроса с паролем, и в варианте запроса через кейтаб файл. Прокси запускается, парс ошибок не находит. Однако, при попытке открытия какой-либо веб-страницы в браузере, настроенном на использование прокси (по доменному имени, а не ип), появляется ошибка, сообщающая о том, что мы не авторизованы. В то время как на прокси в логах вылезает еррор: "ERROR: Negotiate Authentication validating user. Error returned 'BH received type 1 NTLM token'"

Гугление сообщает, что данная ошибка решается задачей прокси сервера в виде доменного имени, вместо айпи адреса. Но у меня-то он итак задан в виде доменного имени! Подскажите, почему браузер пытается авторизоваться НТЛМом вместо кербероса (вхожу в учетку прям на контроллере домена фаерфоксом). Куда рыть?

Добрый день товарищи.
Столкнулся вот с такой проблемой.
Есть машина Debian 7.5, squid 3.1.20 + ntlm аунтефикация + squidguard + ldap
Через сквид работают 5 пользователей, страницы открываются с задержкой,  выяснил что проблема в NTLM аунтефикации, так же вычитал что для протокол HTTP вначале использует Basic и Digest авторизацию и лишь потом NTLM. По этому и происходят задержки.
ТАк же в cache.log постояно сыпиться

got NTLMSSP command 3, expected 1
got NTLMSSP command 3, expected 1
got NTLMSSP command 3, expected 1
got NTLMSSP command 3, expected 1
got NTLMSSP command 3, expected 1
got NTLMSSP command 3, expected 1

На этих 5 клиентах выставил Lan Manager authentication level : Send LM&NTLM - use NTLMv2 session security if possible, но записи сыпяться.
Есть ли другой вариант авторизации кроме Basic? например керберос? и будет ли при авторизации керберос запрашиваться у пользователя логин и пароль при доступен в интернет?

Всем привет!
Помогите решить такой вопрос:
Использую squid. Решил поставить SAMS для упрощения работы с squid. Поставил.
Объясните как уже существующие данные в squid (группы, пользователи, правила) привязать к SAMSу.

Всем доброго времени суток.
стоит задача настроить прозрачный прокси server на freebsd с целью контроля интернет трафика. На предприятии имеется 300 рабочих мест, контроллер домена на windows 2008 server r2.

Для реализации данной задачи нам понадобятся следующие пакеты:

samba - необходима для аутентификации пользователей в AD.
squid - кэширующий прокси-сервер.

Исходные данные
Контроллер домена - Windows 2008 server r2
FreeBSD 9.1 - шлюз, на котором мы и буду настраивать прокси-сервер.
10.93.0.0/16 - наша локальная сеть.
10.93.1.250 - IP контроллера домена.
10.93.1.1 - внутренний IP шлюза.

если уже пробовал сам устанавливать samba, squid, но постоянно лезут какие то непонятные ошибки, хочется увидеть более конкретный алгоритм действий, начиная с момента установки samba, squid и тд. могу скинуть конфиги любых файлов. Еще в целом не представляю картины как система работает в целом.

Есть прокси/фаервол/NAT на Debian 7 (7.4). Два сетевых интерфейса (eth0 - WAN; eth1 - LAN (сеть 172.16.1.0/24)). Установлен SQUID (Version 2.7.STABLE9)+ iptables. Интернет есть у всех, канал 8 Mbit.
Этот канал хочу порезать при помощи сквида. До этого никогда такого не делал. Задача: отделить тех, кто качает и ходит в соцсети от всех остальных. Первым (качкам и вконтактникам) порезать скорость, вторым дать "равные" доли от канала. Оставив при этом запаса ~2 Mbit от канала. Нашел несколько инструкций по настройке squid и delay_pool в частности, в итоге получился следующий конфиг:

acl all src all
acl manager proto cache_object
acl localhost src 127.0.0.1/32
acl to_localhost dst 127.0.0.0/8 172.16.1.0/24
acl localnet src 172.16.1.0/24    # RFC1918 possible internal network
acl vip src "/etc/squid/lists/vip"
acl file_bad urlpath_regex -i \.mp3$ \.asf$ \.wma$ \.flv$
acl bad_url dst "/etc/squid/lists/bad_url"
acl SSL_ports port 443        # https
acl SSL_ports port 563        # snews
acl SSL_ports port 873        # rsync
acl Safe_ports port 80        # http
acl Safe_ports port 21        # ftp
acl Safe_ports port 443        # https
acl Safe_ports port 70        # gopher
acl Safe_ports port 210        # wais
acl Safe_ports port 1025-65535    # unregistered ports
acl Safe_ports port 280        # http-mgmt
acl Safe_ports port 488        # gss-http
acl Safe_ports port 591        # filemaker
acl Safe_ports port 777        # multiling http
acl Safe_ports port 631        # cups
acl Safe_ports port 873        # rsync
acl Safe_ports port 901        # SWAT
acl purge method PURGE
acl CONNECT method CONNECT

http_access allow manager
http_access allow localnet vip
http_access deny manager
http_access deny !Safe_ports
http_access deny CONNECT !SSL_ports
http_access allow localnet
http_access allow localhost
http_access deny all
cachemgr_passwd ghjcnjq all
http_port 172.16.1.1:3128 transparent
hierarchy_stoplist cgi-bin ?
access_log /var/log/squid/access.log squid
log_fqdn on
refresh_pattern ^ftp:        1440    20%    10080
refresh_pattern ^gopher:    1440    0%    1440
refresh_pattern -i (/cgi-bin/|\?) 0    0%    0
refresh_pattern (Release|Packages(.gz)*)$    0    20%    2880
refresh_pattern .        0    20%    4320
acl shoutcast rep_header X-HTTP09-First-Line ^ICY.[0-9]
upgrade_http0.9 deny shoutcast
acl apache rep_header Server ^Apache
broken_vary_encoding allow apache
extension_methods REPORT MERGE MKACTIVITY CHECKOUT
hosts_file /etc/hosts
coredump_dir /var/spool/squid
cache_dir ufs /var/spool/squid 5000 16 256
minimum_object_size 2 KB
maximum_object_size 61440 KB
via off
forwarded_for delete

delay_pools 4

delay_class 1 1
delay_parameters 1 768000/768000
delay_access 1 allow vip
delay_access 1 deny all

delay_class 2 2
delay_parameters 2 64000/5000000 8000/1024000
delay_access 2 allow file_bad
delay_access 2 deny all

delay_class 3 2
delay_parameters 2 64000/5000000 16000/2048000
delay_access 3 allow bad_url
delay_access 3 deny all

delay_class 4 3
delay_parameters 4 704000/50000000 -1/-1 38000/10000000
delay_access 4 allow localnet

Сквид ошибок не находит в конфиге, нормально стартует. Но при этом ВСЕ пользователи у меня в классе 4. Вторым и третьим классом никто не стал... Что неправильно в конфиге и как добиться выполнения поставленной задачи?

Добрый день.

Снова проблема со сквидом. Сейчас работает связка squid + ntlm. В логах acces.log

1405939794.775      0 172.18.2.34 TCP_DENIED/407 3928 GET http://crl.microsoft.com/pki/crl/products/microsoftrootcert.crl - NONE/- text/html [Cache-Control:$
1405939794.791      0 172.18.2.34 TCP_DENIED/407 4288 GET http://crl.microsoft.com/pki/crl/products/microsoftrootcert.crl - NONE/- text/html [Cache-Control:$
1405939794.807      0 172.18.2.34 TCP_DENIED/407 4214 GET http://crl.microsoft.com/pki/crl/products/microsoftrootcert.crl - NONE/- text/html [Cache-Control:$
1405939794.830      0 172.18.2.34 TCP_DENIED/407 3953 GET http://crl.microsoft.com/pki/crl/products/MicCodSigPCA_08-31... - NONE/- text/html [Cache-Co$
1405939794.846      0 172.18.2.34 TCP_DENIED/407 4313 GET http://crl.microsoft.com/pki/crl/products/MicCodSigPCA_08-31... - NONE/- text/html [Cache-Co$
1405939794.861      0 172.18.2.34 TCP_DENIED/407 4239 GET http://crl.microsoft.com/pki/crl/products/MicCodSigPCA_08-31... - NONE/- text/html [Cache-Co$
1405939794.884      0 172.18.2.34 TCP_DENIED/407 3901 GET http://crl.microsoft.com/pki/crl/products/CodeSigPCA.crl - NONE/- text/html [Cache-Control: max-ag$
1405939794.900      0 172.18.2.34 TCP_DENIED/407 4261 GET http://crl.microsoft.com/pki/crl/products/CodeSigPCA.crl - NONE/- text/html [Cache-Control: max-ag$
1405939794.916      0 172.18.2.34 TCP_DENIED/407 4191 GET http://crl.microsoft.com/pki/crl/products/CodeSigPCA.crl - NONE/- text/html [Cache-Control: max-ag$
1405939795.159      0 172.18.2.34 TCP_DENIED/407 3734 CONNECT ssl.google-analytics.com:443 - NONE/- text/html [Host: ssl.google-analytics.com\r\nProxy-Conne$
1405939795.179      0 172.18.2.34 TCP_DENIED/407 4094 CONNECT ssl.google-analytics.com:443 - NONE/- text/html [Host: ssl.google-analytics.com\r\nProxy-Conne$ 

в cache.log

got NTLMSSP command 3, expected 1
got NTLMSSP command 3, expected 1
got NTLMSSP command 3, expected 1
got NTLMSSP command 3, expected 1
got NTLMSSP command 3, expected 1
got NTLMSSP command 3, expected 1
got NTLMSSP command 3, expected 1
got NTLMSSP command 3, expected 1
got NTLMSSP command 3, expected 1
got NTLMSSP command 3, expected 1
got NTLMSSP command 3, expected 1
got NTLMSSP command 3, expected 1
got NTLMSSP command 3, expected 1
got NTLMSSP command 3, expected 1
got NTLMSSP command 3, expected 1
got NTLMSSP command 3, expected 1
got NTLMSSP command 3, expected 1
got NTLMSSP command 3, expected 1
got NTLMSSP command 3, expected 1
got NTLMSSP command 3, expected 1
got NTLMSSP command 3, expected 1
got NTLMSSP command 3, expected 1
got NTLMSSP command 3, expected 1
got NTLMSSP command 3, expected 1
got NTLMSSP command 3, expected 1
got NTLMSSP command 3, expected 1
got NTLMSSP command 3, expected 1
got NTLMSSP command 3, expected 1
got NTLMSSP command 3, expected 1
got NTLMSSP command 3, expected 1

в интернетах находил, что стоит пересобирать самбу и править ntlmssp. Если другой не столь кардинальный сбособ дать доступ офису в облако? в самом сквиде все ip облачных сервисов прописаны, в сквидгарде есть отдельный блок для офиса облачном, в котором все domains и urls облачных сервисов прописаны, это все не дает желаемого эффекта. Прошу вашей помощи

Добрый день. Моя борьба со сквидом подошла к финалу. Пытаюсь сделать сквид "прозрачным". Для этого при через gre тунель соеденияю сквид и циску и при помощи wccp хочу весь трафик циски передать сквиду.

Конфиг тунеля:

auto gre1
iface gre1 inet static
address 172.18.0.54
netmask 255.255.255.252
modprobe ip_gre
up ifconfig gre1 multicast
pre-up iptunnel add gre1 mode gre local 172.18.1.49 remote 172.18.1.1 ttl 255
pointopoint 172.18.0.53
post-down iptunnel del gre1

НА этом этапе все замечательно работает. Машина где сквид пингует адрес 0.53, циска пингует адрес 0.54.

Часть конфига сквида:

http_port  3128 transparent
wccp_address 172.18.1.49:3128
wccp2_router 172.18.1.1
wccp2_forwarding_method gre
wccp2_return_method gre
wccp2_service standard 0 password=cisco

Часть конфига циски:

ip wccp version 2
!
ip wccp web-cache group-list 10
!
access-list 10 remark **** Defining SQUID Proxy Servers ****
access-list 10 permit 172.18.1.49
access-list 10 permit 172.18.1.47
!
!
!
ip access-list extended SQUID_PROXY
    deny ip 172.18.0.0 0.0.255.255 any
    deny ip 172.18.0.0 0.0.255.255 172.18.0.0 0.0.255.255
    deny ip 172.18.0.0 0.0.255.255 10.7.0.0 0.0.255.255
    permit ip 172.18.2.32 0.0.0.7 any
Remark **** Deny squid server access WCCP ****
    deny ip host 172.18.1.49 any
!
ip wccp web-cache redirect-list SQUID_PROXY
!
!
int bvi1
ip wccp web-cache redirect in

На этом этапе весь трафик от циски вроде идет к сквиду, но такое чувство, что все таки не идет. Так как ни одно правило сквидгарда не срабатывает. Подскажите пожалуйста, что я забыл или что не так сделал.

Добрый день!
Помогите решить возникшую проблему.

При запуске squid показывает вот такую ошибку:
squid ERROR: Could not send signal to process 1534: (3) No such process

Присутствует также ошибка при вводе команды fsck:
e2fsck: cannot continue, aborting

Добрый день.

Задача следующая использовать сквид, как реверс прокси для пропуска Lync2013 в облако.

Вот мой кусок конфига, подскажите, где я сделал ошибки.

#### Reverse proxy for lync2013########
#http_port 3128 accel defaultsite=squid.domain.com vhost
#cache_peer sipdir.online.lync.com parent 443 0 no-query originserver name=lync2013
#acl lync2013_users dstdomain sipdir.online.lync.com
#http_access allow lync2013_users
#cache_peer_access lync2013 allow lync2013_users
#cache_peer_access lync2013 allow all

Сам сквид запускает, но когда линк запускается требуется пароль для доступа к серверу Localhost

Спасибо за помощь за ранее

Есть настроенный шлюз на дебиан 7.5
На нём рабочий squid3, блокирующий список сайтов, работающий по http кроме группы ip(директора, главбух, я)
Надо заблокировать сайт (конкретно вконтактик), работающий, как известно, по https.

Подскажите, куда копать, пожалуйста, и можно ли вообще средствами кальмара ограничить https траффик?

прилагаю конфиг кальмара (подскажите, пожалуйста, как здесь можно спрятать под спойлер объемный текст?)

acl manager proto cache_object
acl localhost src 127.0.0.1/32 ::1
acl to_localhost dst 127.0.0.0/8 0.0.0.0/32 ::1
acl my_network src 192.168.0.0/24
acl SSL_ports port 443
acl Safe_ports port 80 # http
acl Safe_ports port 21 # ftp
acl Safe_ports port 443 # https
acl Safe_ports port 70 # gopher
acl Safe_ports port 210 # wais
acl Safe_ports port 1025-65535 # unregistered ports
acl Safe_ports port 280 # http-mgmt
acl Safe_ports port 488 # gss-http
acl Safe_ports port 591 # filemaker
acl Safe_ports port 777 # multiling http
acl CONNECT method CONNECT
# это я добавил
acl url_no_filtred src 192.168.0.12 192.168.0.53-192.168.0.55
# разрешенные ip
#acl url_no_filtred src 192.168.0.53-192.168.0.55
# подключаем черный список сайтов
acl blacklist url_regex -i "/etc/squid3/blacklist"

# блокировка списка сайтов blacklist для списка ip url_filtred
#http_access deny blacklist url_filtred
http_access deny blacklist !url_no_filtred
http_access allow my_network
http_access allow manager localhost
http_access deny manager
http_access deny !Safe_ports
http_access deny CONNECT !SSL_ports
http_access allow localhost
http_access deny all

http_port 3128 transparent

hierarchy_stoplist cgi-bin ?
coredump_dir /var/spool/squid3
refresh_pattern ^ftp: 1440 20% 10080
refresh_pattern ^gopher: 1440 0% 1440
refresh_pattern -i (/cgi-bin/|\?) 0 0% 0
refresh_pattern . 0 20% 4320

shutdown_lifetime 5.00 second
#cache_dir ufs /var/cache/squid 2048 16 256
maximum_object_size 10024.00 bytes

Доброго времени суток. Имеется шлюз на FreeBSD 9.1 и squid 3.3. Как только запускаю его - он сразу начинает посылать кучу запросов на google.com и тот банит мою сеть. Сквид собирал из портов.

ОС RHEL 6
Squid Cache: Version 3.1.10 configure options: '--build=x86_64-redhat-linux-gnu' '--host=x86_64-redhat-linux-gnu' '--target=x86_64-redhat-linux-gnu' '--program-prefix=' '--prefix=/usr' '--exec-prefix=/usr' '--bindir=/usr/bin' '--sbindir=/usr/sbin' '--sysconfdir=/etc' '--datadir=/usr/share' '--includedir=/usr/include' '--libdir=/usr/lib64' '--libexecdir=/usr/libexec' '--sharedstatedir=/var/lib' '--mandir=/usr/share/man' '--infodir=/usr/share/info' '--enable-internal-dns' '--disable-strict-error-checking' '--exec_prefix=/usr' '--libexecdir=/usr/lib64/squid' '--localstatedir=/var' '--datadir=/usr/share/squid' '--sysconfdir=/etc/squid' '--with-logdir=$(localstatedir)/log/squid' '--with-pidfile=$(localstatedir)/run/squid.pid' '--disable-dependency-tracking' '--enable-arp-acl' '--enable-follow-x-forwarded-for' '--enable-auth=basic,digest,ntlm,negotiate' '--enable-basic-auth-helpers=LDAP,MSNT,NCSA,PAM,SMB,YP,getpwnam,multi-domain-NTLM,SASL,DB,POP3,squid_radius_auth' '--enable-ntlm-auth-helpers=smb_lm,no_check,fakeauth' '--enable-digest-auth-helpers=password,ldap,eDirectory' '--enable-negotiate-auth-helpers=squid_kerb_auth' '--enable-external-acl-helpers=ip_user,ldap_group,session,unix_group,wbinfo_group' '--enable-cache-digests' '--enable-cachemgr-hostname=localhost' '--enable-delay-pools' '--enable-epoll' '--enable-icap-client' '--enable-ident-lookups' '--enable-linux-netfilter' '--enable-referer-log' '--enable-removal-policies=heap,lru' '--enable-snmp' '--enable-ssl' '--enable-storeio=aufs,diskd,ufs' '--enable-useragent-log' '--enable-wccpv2' '--enable-esi' '--with-aio' '--with-default-user=squid' '--with-filedescriptors=16384' '--with-dl' '--with-openssl' '--with-pthreads' 'build_alias=x86_64-redhat-linux-gnu' 'host_alias=x86_64-redhat-linux-gnu' 'target_alias=x86_64-redhat-linux-gnu' 'CFLAGS=-O2 -g -pipe -Wall -Wp,-D_FORTIFY_SOURCE=2 -fexceptions -fstack-protector --param=ssp-buffer-size=4 -m64 -mtune=generic -fpie' 'LDFLAGS=-pie' 'CXXFLAGS=-O2 -g -pipe -Wall -Wp,-D_FORTIFY_SOURCE=2 -fexceptions -fstack-protector --param=ssp-buffer-size=4 -m64 -mtune=generic -fpie' --with-squid=/builddir/build/BUILD/squid-3.1.10

[root@xxx squid]# cat squid.conf
auth_param basic program /usr/lib64/squid/squid_ldap_auth -d -R -D xxx@xxx.kz -w xxx -b «dc=xxx,dc=kz» -f sAMAccountName=%s -d xxx.xxx.kz xxx.xxx.kz
auth_param basic children 5
auth_param basic realm xxx.KZ

external_acl_type ldapg children=5 %LOGIN /usr/lib64/squid/squid_ldap_group -d -R -b «dc=xxx,dc=kz» -f "(&(sAMAccountName=%v)(memberOf=CN=%a,OU=Service-DIT,DC=xxx,DC=kz))" -D xxx@xxx.kz -w xxx -K -h xxx.xxx.kz xxx.xxx.kz

acl manager proto cache_object
acl localhost src 127.0.0.1/32 ::1
acl to_localhost dst 127.0.0.0/8 0.0.0.0/32 ::1
acl localnet src 10.0.0.0/8 # RFC1918 possible internal network
acl localnet src 172.16.0.0/12 # RFC1918 possible internal network
acl localnet src 192.168.0.0/16 # RFC1918 possible internal network
acl localnet src fc00::/7 # RFC 4193 local private network range
acl localnet src fe80::/10 # RFC 4291 link-local (directly plugged) machines

acl SSL_ports port 443 60001 8180 8643 8888
acl Safe_ports port 80 # http
acl Safe_ports port 21 # ftp
acl Safe_ports port 443 # https
acl Safe_ports port 70 # gopher
acl Safe_ports port 210 # wais
acl Safe_ports port 1025-65535 # unregistered ports
acl Safe_ports port 280 # http-mgmt a
cl Safe_ports port 488 # gss-http
acl Safe_ports port 591 # filemaker
cl Safe_ports port 777 # multiling http
acl Safe_ports port 60001 8180 8643 8888 # NUC

acl CONNECT method CONNECT
acl POST method POST
acl GET method GET
http_access allow manager localhost
http_access deny manager
http_access deny !Safe_ports
http_access deny CONNECT !SSL_ports
#http_access deny to_localhost
acl auth proxy_auth REQUIRED
acl proxy_ldap external ldapg proxyldap
http_access allow proxy_ldap
http_access allow proxy_ldap CONNECT SSL_ports
#http_access allow localnet
#http_access allow localnet CONNECT SSL_ports
http_access allow localhost
http_access deny !auth all
#http_access allow auth
http_access deny all

http_port 3128
hierarchy_stoplist cgi-bin ?
#cache_dir ufs /var/spool/squid 100 16 256
coredump_dir /var/spool/squid
refresh_pattern ^ftp: 1440 20% 10080
refresh_pattern ^gopher: 1440 0% 1440
refresh_pattern -i (/cgi-bin/|\?) 0 0% 0
refresh_pattern . 0 20% 4320

как видно из конфига сквид работает с авторизацией керберос в АД.

прокся тестовая, но на продуктивах в отличие от тестового есть еще ACL с блокировкой по сайтам.

проблема в том что и на тестовом и продуктивном прокси у многих пользователей не открывается сайт http://hh.kz

вот что пишет в логах когда на этот сайт подключаюсь я:
1401966755.556 491 xxx.xxx.xxx.xxx TCP_MISS/200 53041 GET http://hh.kz/ super_user DIRECT/178.88.114.118 text/html
1401966755.922 125 xxx.xxx.xxx.xxx TCP_MISS/200 435 GET http://hhcdn.ru/pv super_user DIRECT/94.124.200.82 text/javascript
1401966756.035 58 xxx.xxx.xxx.xxx TCP_MISS/200 436 GET http://hhcdn.ru/pv super_user DIRECT/94.124.200.82 text/javascript

вот что пишет когда подключается пользователь: 1401966979.350 170 ууу.ууу.ууу.ууу TCP_MISS/302 561 GET http://hh.kz/ just_user DIRECT/178.88.114.118 text/html
1401966986.242 57 ууу.ууу.ууу.ууу TCP_MISS/302 533 GET http://hhid.ru/validate/;http;hh.kz;80;/ just_user DIRECT/94.124.200.81 text/plain
1401966993.306 164 ууу.ууу.ууу.ууу TCP_MISS/302 374 GET http://hh.kz/hhid/bind just_user DIRECT/178.88.114.118 text/plain
1401967000.300 149 ууу.ууу.ууу.ууу TCP_MISS/302 561 GET http://hh.kz/ just_user DIRECT/178.88.114.118 text/html
1401967007.222 57 ууу.ууу.ууу.ууу TCP_MISS/302 533 GET http://hhid.ru/validate/;http;hh.kz;80;/ just_user DIRECT/94.124.200.81 text/plain

пробовали у разных юзеров в разных браузерах, проблема везде одинаковая. загрузка висит и обрывается. что странно у меня доступ есть, хотя как видно из конфига, он у меня такой же как у всех юзеров. кеш у себя и пользователей чистился неоднократно. Сам прокси не кеширующий. Может быть настройки браузера?

уже не знаю что делать, помогите разобраться с проблемой.

Добрый день.

Возникла еще одна проблема со сквидом.

В нашей организации используется lync2013. Если пользователь выходит минуя squid линк подключается и все работает ок. Но если пользоваться выходит в сеть через squid, линк подключается, все работает, возникает окно авторизации с просьбой ввести учетные данные для связи Lync сервера.

В acl squid добавлены ip адреса lync серверов, но все равно окно появляется. Может кто нибудь настраивал связку lync через squid. Подскажите как убрать это окно, что бы не раздражало и какие еще нужно внести настройки в squid что бы пропускал lync

Здравствуйте!

Я администратор у маленького провайдера. Как вы знаете, есть закон по которому мы должны блокировать политически неблагонадежные сайты. Для нас большой проблемы нет, наш оператор их блокирует, дополнительно заморачиваться и не очнь надо. Но вот наша доблесная прокуратура решила заработать себе галочку. Через суд нас обязали прикрыть ролик на ютубе.

Ну раз наш самый справедливый и гумманный сказал - значит надо!

У меня стоит маршрутизатор под управлением FreeBSD. Воткнул в него Режик+Squid прозрачно. Вместо ролика со злыми ингушами у наших абонентов появляется страничка с "Ай-яй-яй, не ходи сюда!!!". Все замечательно.

Только вот... Зайдя на любой сайт, типа 2ip.ru, он мне говорит IP моего маршрутизатора, а вот за этим прокси вот твой реальный АЙПИ. Не кошерно конечно, но и не так как уж и страшно. Но вот стали переодически на Яндексах и Гуглах появляться сообщения: ваш адрес очень любопытный, много задает вопросов, вы наверное терминатор!!! И требует доказать абоненту, что он истинный потомок Джона Конара, а не какойто там житкий. В общем надо капчу вводить... А это мне уже не нравиться.

Нашел в сети такую технологию Сквида TPROXY. С помощью нее Сквид загружает сайт, использую адрес клиента. Но TPROXY работает только под Linux. В портах есть lusca_head. Это сквид с TPROXY для FreeBSD. Попробывал ее.

Если включить transparent - все работает. А вот если tproxy, то в браузере выдает такую штуку.
В браузере:

While trying to process the request:

              GET / HTTP/1.1
Host: 192.168.1.59:83
User-Agent: Mozilla/5.0 (Windows NT 5.1; rv:29.0) Gecko/20100101 Firefox/29.0
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8
Accept-Language: ru-RU,ru;q=0.8,en-US;q=0.5,en;q=0.3
Accept-Encoding: gzip, deflate
Cookie: pma_lang=ru; pma_mcrypt_iv=JkfL3GPfLzg=; pmaUser-1=5o6xJk1UOio=; pma_collation_connection=utf8_general_ci
Connection: keep-alive
Cache-Control: max-age=0

            

The following error was encountered:

Invalid Request

Перед GET иммено стоят непонятные невидимые символы.

На сквид я заворачиваю с помощью ipfw:

ipfw add fwd 127.0.0.1,3128 tcp from any to not me in xmit em1
ipfw add fwd 127.0.0.1,3128 tcp from any to not me in recv em1

Уж очень хочется оставить ipfw и FreeBSD, потому что стоит еще самописный демон, который дребует именно ipfw. Также отлаженная система управления клиентами и т.д.

Уважаемые спецы, может кто сталкивался с подобной задачей? Помогите советом.
С уважением,
Алексей

Задача - тормозить скорость некоторым пользователям на некоторые ресурсы.

Условие- удобство администрирования - веб-интерфейс для добавления/удаления пользователей/ресурсов, скорость, учет трафика, отчеты посещаемости и пр.

Пока пользуюсь SAMS, только приходится после каждого реконфигурирования сквида из панели самс добавлять delay_pools для определенных ресурсов, т.к. самс перезаписывает конфиг.

Кто-то знает более изящное решение чем каждый раз редактировать конфиг вручную?

Добрый день. Вопрос следующий:

можно ли сделать так, что бы Squid брал конфиг, расположенный на шаре?

Если да, то как указать сквиду, расположения файлы squid.conf?

Аналогичный вопрос про сквигард.

Достался мне в наследство сервер со Squid 2.6.
Раньше имел с ним только пару раз сталкивался, и ограничивался самыми простыми настройками.
Проблема в следующем: Блокируется страница страница.ру из одной из подсетей(на экран браузера выводится соответствующее сообщение от squid). Причем только от некоторых адресов. Не могу понять где прописан запрет на этот адрес. Ни в одном файле acl данногго ресурса нет.  
Где еще нужно посмотреть?

Весь Интернет идет через squid. Можно ли не настраивая iptables открыть порты tcp/udp 1930-1940? Заранее спасибо за помощь!

Добрый день!
Установил squid 2.7 для windows. все ок. файл squid.conf сконфигурировал! прокси работает.
логи посещенных страниц пишутся в файл access.log  все ок.

Но в лог файл пишутся все запросы что у осложняет в дальнейшем анализ какой пользователь был на каких сайтах.

Как задать правило чтоб в лог писались только запросу цельных сайтов например:
mail.ru
google.ru
news.ru
а запросы например:
googleads.g.doubleclick.net
awaps.yandex.ru
ssl.gstatic.com и т.д.  отбраковывались и в лог файл не писались!

Добрый день! Помогите разобраться с проблемой. Ситуация такая, есть микротик 1100 (на нем 3 интерфейса wan-внешний адрес, lan-192.168.1.254/20 и proxy-192.168.1.7/20) и есть машина со сквид 3.1 прозрачный на ubuntu (адрес-192.168.1.5/20). На машине  ubuntu в rc.local прописаны след правила
iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 80 -j DNAT --to 192.168.1.5:3128
route add -net 192.168.0.0 netmask 255.255.240.0 gw 192.168.1.7 dev eth0
На микротике прописан роут до машины со сквидом с маркировкой, в mangle написано правило chain=prerouting action=mark-routing new-routing-mark=to-proxy
passthrough=yes protocol=tcp src-address-list=proizvodstvo dst-port=80.
Сквид собирает логи, все отлично работает,

НО проблема в том, что c компьютеров в сети не проходит пинг на машину с ubuntu, а с машины ubuntu пингуются все компьютеры.

Заранеее благодарю!

Добрый день.

Проблема в следующем

В наличии Debian + Squid 1.4 + SquidGuard

Настраиваю в SquidGuard доступ группы Pol-squidGuard-SocialNetwork-Allowed для доступа к соц.сетям. ACL не срабатывает и сбрасывается на default. Но если в Acl прописывать user имяпользователя, то все срабатывает. В логах сквидгард пишет Added LDAP source:username, то есть вроде как он пользователя из группы подхватывает. Посмотрите пожалуйста свежим взглядом на конфиг и направьте в какую сторону капать.

Конфиг SquidGuard:

#
# CONFIG FILE FOR SQUIDGUARD
#

dbhome /usr/local/squidGuard/db
logdir /usr/local/squidGuard/log

ldapbinddn CN=svcSquidGuard,CN=Users,OU=MSK00,OU=Offices,DC=ylrus,DC=com
ldapbindpass пароль

ldapcachetime 300

src socialnet_allowed {
            
ldapusersearch ldap://s-msk00-gdc01.ylrus.com:3268/dc=ylrus,dc=com?sAMAccountName?sub?(&(memberof=CN=pol-squidGuard-SocialNetwork-Allowed,OU=Groups,DC=ylrus,DC=com)(sAMAccountName=%s))
}
dest porn {
    domainlist    porn/domains
    urllist        porn/urls
    redirect     http://admin.foo.bar.de/cgi/blocked?clientaddr=%a+clien...
}

dest socialnetwork {

       domainlist       socialnet/domains
        urllist         socialnet/urls
      redirect http://www.foo.bar/squidGuard.cgi?clientaddr=%a&clientn...

}

acl     {
    socialnet_allowed {
       pass  !porn socialnetwork
       redirect http://www.foo.bar/allblocked.html
    }
    default {
        pass !porn !socialnetwork    
        redirect http://admin.foo.bar.de/cgi/blocked?clientaddr=%a+clien...
    }
        
}

Здравствуйте!

Имеется полностью рабочий рутер на Ubuntu 10.04, Squid работает в прозрачном режиме, так же работает Dansguardian для фильтрации по нехорошим словам. При запуске рутера стартует следующий скрипт:
---
#!/bin/sh
echo 1> /proc/sys/net/ipv4/ip_forward
iptables -A INPUT -i lo -j ACCEPT
iptables -A FORWARD -i eth1 -o eth0 -j ACCEPT
iptables -t nat -A POSTROUTING -o eth0 -s 192.168.1.0/24 -j MASQUERADE
iptables -A FORWARD -i eth0 -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A FORWARD -i eth0 -o eth1 -j REJECT
iptables -t nat - A PREROUTING -i eth1 -d ! 192.168.1.0/24 -p tcp -m multiport --dport 80,8080 -j DNAT --to 192.168.1.9:8081
---
Все работало как надо до тех пор, пока не вырисовался один сайт на Sharepoint, который отказывается принимать авторизацию пока клиент ходит из-за Squid`a. Требуется запустить все локальные компы на конкретный IP адрес в интете напрямую минуя Squid.
Поначитавшись всякого я добавил пятой строкой iptables -A FORWARD -p tcp -i eth1 -d xxx.xxx.xxx.xxx -j ACCEPT и предпоследней строкой iptables -t nat -A PREROUTING -d xxx.xxx.xxx.xxx/32 -i eth0 -p tcp -j ACCEPT.

Вывод iptables-save:
---
# Generated by iptables-save v1.4.4 on Tue May  6 21:15:39 2014
*nat
:PREROUTING ACCEPT [26297:1969646]
:POSTROUTING ACCEPT [16773:1020025]
:OUTPUT ACCEPT [16773:1020025]
-A PREROUTING -d 31.200.206.190/32 -i eth0 -p tcp -j ACCEPT
-A PREROUTING ! -d 192.168.1.0/24 -i eth1 -p tcp -m multiport --dports 80,8080 -j DNAT --to-destination 192.168.1.9:8081
-A POSTROUTING -s 192.168.1.0/24 -o eth0 -j MASQUERADE
COMMIT
# Completed on Tue May  6 21:15:39 2014
# Generated by iptables-save v1.4.4 on Tue May  6 21:15:39 2014
*filter
:INPUT ACCEPT [1305273:1235840308]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [862306:2176859318]
-A INPUT -i lo -j ACCEPT
-A FORWARD -i eth1 -o eth0 -j ACCEPT
-A FORWARD -d 31.200.206.190/32 -i eth1 -p tcp -j ACCEPT
-A FORWARD -i eth0 -m state --state RELATED,ESTABLISHED -j ACCEPT
-A FORWARD -i eth0 -o eth1 -j REJECT --reject-with icmp-port-unreachable
COMMIT
# Completed on Tue May  6 21:15:39 2014

Это уже с добавленными строчками, IP сайта, на кототрый надо пустить юзеров напрямую, 31.200.206.190
---

И не работает. Пожалуйста, помогите сделать.