Всем добра!
Итак есть Squid Version 3.3.8 на Ubuntu 13.10
пользователей прокси 100+, NTLM авторизация, разграничение прав доступа по доменным группам.

Все работало как часы, все всем устраивало, но возникла необходимость более серьезно ограничивать доступ в интернет, а точнее блокировка мультимедийного трафика, и ограничение скачивания по расширению.
Написал ACLки, подоткнул в конфиг ограничения, все правила отрабатывают на ура, именно так как было нужно. Но после введения этих ACL спустя минут 30-60, начинает тормозить у пользователей инетрнет, каждая страница грузится около минуты, в общем работать становится невозможно. Отключаешь http_reply_access и спустя минут 15 скорость открытия страниц возвращается в норму.
В логах одно время сыпались варнинги про недостаток процессов wbinfo_group.pl
дописал ttl=120 children=15 ошибки из лога ушли, стало чуть чуть легче. но всетаки далеко от удовлетворительного.
при активной работе загрзка процессора не поднимается выше 20% оперативной памяти занимается не больше 2.5 гиг.

Ворос: Куда смотреть, что менять?

собственно листинг конфига (практически без изменений)

# OPTIONS FOR AUTHENTICATION
# -----------------------------------------------------------------------------

#  TAG: auth_param

auth_param ntlm program /usr/bin/ntlm_auth --helper-protocol=squid-2.5-ntlmssp --domain=domain.LOCAL
auth_param ntlm children 50
auth_param ntlm keep_alive on

authenticate_cache_garbage_interval 1 hour

authenticate_ttl 1 hour

acl domain proxy_auth REQUIRED
# -----------------------------------------------------------------------------

#  TAG: external_acl_type
external_acl_type nt_group ttl=120 children=15 %LOGIN /usr/lib/squid3/wbinfo_group.pl

#  TAG: acl
#================================================================================
acl     l-inet-MD    external nt_group g-inet-MD
acl     l-inet-test         external nt_group l-inet-test
acl     l-inet-LD        external nt_group g-inet-L
acl     l-inet-BD        external nt_group g-inet-BD
acl     l-inet-GS        external nt_group g-inet-GS
acl     l-inet-FD        external nt_group g-inet-FD
acl     l-inet-ID        external nt_group g-inet-ID
acl     l-inet-HD        external nt_group g-inet-HD
acl     l-inet-HC        external nt_group g-inet-HC
acl     l-inet-AIM        external nt_group g-inet-AIM
acl     l-inet-ADM        external nt_group g-inet-ADM
acl     l-inet-admin        external nt_group g-inet-admin
acl     l-inet-1C        external nt_group g-inet-1C
acl     l-inet-UD        external nt_group g-inet-UD
acl     l-inet-vk        external nt_group g-inet-vk
acl     l-inet-DIR        external nt_group g-inet-DIR
acl     l-inet-piter        external nt_group g-inet-piter

#=================================================================================
#acl manager proto cache_object
#acl localhost src 127.0.0.1/32 ::1
#acl to_localhost dst 127.0.0.0/8 0.0.0.0/32 ::1
acl localnet src 172.16.0.0/16
acl term_srv src 172.16.1.220 172.16.3.4
acl everyone src all

#=================================================================================
acl SSL_ports port 443
acl Safe_ports port 80        # http
acl Safe_ports port 21        # ftp
acl Safe_ports port 443        # https
acl Safe_ports port 70        # gopher
acl Safe_ports port 210        # wais
acl Safe_ports port 1025-65535    # unregistered ports
acl Safe_ports port 280        # http-mgmt
acl Safe_ports port 488        # gss-http
acl Safe_ports port 591        # filemaker
acl Safe_ports port 777        # multiling http
acl ICQ_ports  port 5190      # ICQ

#================================================================================
acl CONNECT method CONNECT

#=============================================================================
acl zabbix  url_regex ^http://zabbix     
acl srvcis  url_regex ^http://srvcis  
acl otrs    url_regex ^http://otrs
acl domain_local url_regex ^https://.domain.local
#acl time_socnet_evning time 18:00-20:00
## The videos come from several domains

acl noftp proto FTP
#=============================================================================
#    DENY LTS

acl     anonim        dstdomain    \
        "/usr/local/etc/squid/access/anonimaizers"

acl     deny_services        dstdomain    \
       "/usr/local/etc/squid/access/deny_services"

acl     deny_sites          dstdomain        \
      "/usr/local/etc/squid/access/deny_sites"

acl     deny_socnet          dstdomain        \
      "/usr/local/etc/squid/access/deny_socnet"

acl     job_socnet          dstdomain    \
      "/usr/local/etc/squid/access/job_socnet"

acl     porno          dstdomain        \
      "/usr/local/etc/squid/access/porno"

acl     deny_url          dstdomain        \
      "/usr/local/etc/squid/access/deny_url"

acl     dot_domain          dstdomain        \
      "/usr/local/etc/squid/access/dot_domain"

acl     top          dstdomain        \
      "/usr/local/etc/squid/access/users_top"

acl     allow_sites          dstdomain        \
      "/usr/local/etc/squid/access/allow_sites"

acl     allow_GS          dstdomain        \
      "/usr/local/etc/squid/access/allow_GD"

acl     allow_AIM          dstdomain        \
      "/usr/local/etc/squid/access/allow_AIM"

#acl     vk          dstdomain        \
#      "/usr/local/etc/squid/access/vk"

acl     L_deny          dstdomain        \
      "/usr/local/etc/squid/access/L_deny"

acl     term_allow          dstdomain        \
      "/usr/local/etc/squid/access/term_allow"

#acl     deny_AIM          dstdomain        \
#      "/usr/local/etc/squid/access/deny_AIM"

#acl блокировка скаивания по расширению файла
acl extension_files urlpath_regex -i "/usr/local/etc/squid/access/download_access/extension_files"

#блокировка скачивания файлов для приложений по типу файла (mp3, tar, torrent Блокировка мультимедийного флеш)
acl tipe_application rep_mime_type -i "/usr/local/etc/squid/access/download_access/tipe_application"

#Блокировка потокового аудио
acl tipe_audio rep_mime_type -i "/usr/local/etc/squid/access/download_access/tipe_audio"

#Блокировка потокового видео
acl tipe_video rep_mime_type -i "/usr/local/etc/squid/access/download_access/tipe_video"

#^application/x-shockwave-flash$
#acl not_media rep_mime_type content-type video

#  TAG: http_access
# INSERT YOUR OWN RULE(S) HERE TO ALLOW ACCESS FROM YOUR CLIENTS
#===============================================================================

#http_access deny localnet
#http_access allow localnet
#http_access allow localhost
#http_access allow manager localhost
#http_access deny to_localhost
#http_access deny manager
http_access deny !Safe_ports
http_access deny CONNECT !SSL_ports
#http_replay_access deny not_media
#+++++++++++++++++++++++++++++++++++++++
http_access         deny         term_srv         !term_allow
#+++++++++++++++++++++++++++++++++++++++
#+++ Иcключения из запрещающего списка для всех авторизованных пользователей
http_access        allow       domain         allow_sites

#+++ Разрешения по групам (Приоритет выше запрещений по спискам)

      

http_access        deny        l-inet-ID    job_socnet

http_access        allow        l-inet-MD
http_reply_access    allow         l-inet-MD tipe_audio
http_reply_access    allow         l-inet-MD tipe_video

http_access        allow        l-inet-BD
          
http_access        allow        l-inet-DIR

http_access        deny        l-inet-LD         LD_deny

http_access        allow        l-inet-ADM          job_socnet

http_access        allow        l-inet-vk        job_socnet

http_access        allow        l-inet-GD          allow_GS
http_access        allow        l-inet-GD        job_socnet

http_access        allow        l-inet-admin

http_access        allow        l-inet-AIM        
http_reply_access    allow         l-inet-AIM tipe_video

# +++    Запретить пользователям домена ниже приведенные списки    +++

http_access       deny       domain deny_socnet
http_access       deny       domain deny_services  
http_access       deny       domain dot_domain  
http_access       deny       domain deny_url
http_access       deny       domain anonim
http_access       deny       domain deny_url  
http_access       deny       domain porno
http_access       deny       domain job_socnet

# запрет на скачивание по расширению и по типу
http_access       deny       domain extension_files
http_reply_access    deny         domain tipe_application
http_reply_access    deny         domain tipe_video
http_reply_access    deny         domain tipe_audio

# +++    Разрешить пользователям домена все что не вошло в списки выше    +++
http_access        allow       domain

#---Запретить вообще все
#http_access       deny       domain

#=====DENY ALL======
# Запретить все не авторизованным пользователям
http_access         deny         everyone
http_access         deny         noftp

#================================================================================

# NETWORK OPTIONS
# -----------------------------------------------------------------------------

http_port 3128

# MEMORY CACHE OPTIONS
# -----------------------------------------------------------------------------
cache_mem 256 MB

maximum_object_size_in_memory 512 KB

# DISK CACHE OPTIONS
# -----------------------------------------------------------------------------
cache_dir ufs /var/spool/squid3 2048 16 256

cache_swap_low 90

cache_swap_high 95

# LOGFILE OPTIONS
# -----------------------------------------------------------------------------
access_log /var/log/squid3/access.log squid

cache_store_log none

logfile_rotate 2

# OPTIONS FOR TROUBLESHOOTING
# -----------------------------------------------------------------------------
cache_log /var/log/squid3/cache.log

debug_options ALL,1

coredump_dir /var/spool/squid3

# OPTIONS FOR TUNING THE CACHE
# -----------------------------------------------------------------------------

refresh_pattern ^ftp:        1440    20%    10080
refresh_pattern ^gopher:    1440    0%    1440
refresh_pattern -i (/cgi-bin/|\?) 0    0%    0
refresh_pattern (Release|Packages(.gz)*)$      0       20%     2880

refresh_pattern .        0    20%    4320

quick_abort_min 16 KB

quick_abort_max 16 KB

quick_abort_pct 95

# ADMINISTRATIVE PARAMETERS
# -----------------------------------------------------------------------------
cache_effective_user proxy

visible_hostname proxy.domain.local

# ERROR PAGE OPTIONS
# -----------------------------------------------------------------------------
error_directory /usr/share/squid-langpack/ru

# ICAP OPTIONS
# -----------------------------------------------------------------------------
icap_enable on

icap_preview_enable on

icap_preview_size 128

icap_send_client_ip on

icap_send_client_username on

icap_client_username_header X-Client-Username

icap_service service_req reqmod_precache bypass=1 icap://127.0.0.1:1344/squidclamav
adaptation_access service_req allow all
icap_service service_resp respmod_precache bypass=1 icap://127.0.0.1:1344/squidclamav
adaptation_access service_resp allow all

# DNS OPTIONS
# -----------------------------------------------------------------------------
dns_retransmit_interval 5 seconds

dns_timeout 2 minutes

dns_nameservers 172.16.1.1 172.16.1.11 8.8.8.8

hosts_file /etc/hosts

Приветствую!

На данный момент тестирую связку WinServer 2012 (в роли АД) + Ubuntu Server 14 со squid3 и керберос авторизацией на виртуальной машине.

На винде настроил ДНС + АД, на убунте указал использование АДшного ДНСа + синхронизацию времени и настроил krb5.

ДНС преобразование в обе стороны идет верно - доменное имя прокси сервера разрешается.

Тикеты керберос получает и в варианте запроса с паролем, и в варианте запроса через кейтаб файл. Прокси запускается, парс ошибок не находит. Однако, при попытке открытия какой-либо веб-страницы в браузере, настроенном на использование прокси (по доменному имени, а не ип), появляется ошибка, сообщающая о том, что мы не авторизованы. В то время как на прокси в логах вылезает еррор: "ERROR: Negotiate Authentication validating user. Error returned 'BH received type 1 NTLM token'"

Гугление сообщает, что данная ошибка решается задачей прокси сервера в виде доменного имени, вместо айпи адреса. Но у меня-то он итак задан в виде доменного имени! Подскажите, почему браузер пытается авторизоваться НТЛМом вместо кербероса (вхожу в учетку прям на контроллере домена фаерфоксом). Куда рыть?

Добрый день товарищи.
Столкнулся вот с такой проблемой.
Есть машина Debian 7.5, squid 3.1.20 + ntlm аунтефикация + squidguard + ldap
Через сквид работают 5 пользователей, страницы открываются с задержкой,  выяснил что проблема в NTLM аунтефикации, так же вычитал что для протокол HTTP вначале использует Basic и Digest авторизацию и лишь потом NTLM. По этому и происходят задержки.
ТАк же в cache.log постояно сыпиться

got NTLMSSP command 3, expected 1
got NTLMSSP command 3, expected 1
got NTLMSSP command 3, expected 1
got NTLMSSP command 3, expected 1
got NTLMSSP command 3, expected 1
got NTLMSSP command 3, expected 1

На этих 5 клиентах выставил Lan Manager authentication level : Send LM&NTLM - use NTLMv2 session security if possible, но записи сыпяться.
Есть ли другой вариант авторизации кроме Basic? например керберос? и будет ли при авторизации керберос запрашиваться у пользователя логин и пароль при доступен в интернет?

Всем привет!
Помогите решить такой вопрос:
Использую squid. Решил поставить SAMS для упрощения работы с squid. Поставил.
Объясните как уже существующие данные в squid (группы, пользователи, правила) привязать к SAMSу.

доброго времени суток.

в компании разрешен доступ в интернет только через прокси....
есть необходимость пускать различные устройства (мобильные устройства, гостевые устройства ,смарт тв) где нельзя прописать прокси в интернет.

для этого купили роутер и настроили транспарент прокси(squid 2.6) и нат для 80 и 443 портов.

http работает https нет, от родительского прокси приходят сообщения:
trying to retrieve the URL: https://code.google.com/p/ifmo-game-1/wiki/UsingSVN

The following error was encountered:

Unsupported Request Method and Protocol
Squid does not support all request methods for all access protocols. For example, you can not POST a Gopher request.

Можно ли что-то сделать на стороне транспарент прокси для решения данной проблемы?

схема:
<pre>

/------------\
\------------/|-----------|
       client |      wifi.|
              |    router |
  /----------\|           |
/ squid.     |           |
<  transparent|           |
\proxy.      |           |/-----\
  \----------/|___________|\-----/ parent proxy

</pre>

Есть прокси/фаервол/NAT на Debian 7 (7.4). Два сетевых интерфейса (eth0 - WAN; eth1 - LAN (сеть 172.16.1.0/24)). Установлен SQUID (Version 2.7.STABLE9)+ iptables. Интернет есть у всех, канал 8 Mbit.
Этот канал хочу порезать при помощи сквида. До этого никогда такого не делал. Задача: отделить тех, кто качает и ходит в соцсети от всех остальных. Первым (качкам и вконтактникам) порезать скорость, вторым дать "равные" доли от канала. Оставив при этом запаса ~2 Mbit от канала. Нашел несколько инструкций по настройке squid и delay_pool в частности, в итоге получился следующий конфиг:

acl all src all
acl manager proto cache_object
acl localhost src 127.0.0.1/32
acl to_localhost dst 127.0.0.0/8 172.16.1.0/24
acl localnet src 172.16.1.0/24    # RFC1918 possible internal network
acl vip src "/etc/squid/lists/vip"
acl file_bad urlpath_regex -i \.mp3$ \.asf$ \.wma$ \.flv$
acl bad_url dst "/etc/squid/lists/bad_url"
acl SSL_ports port 443        # https
acl SSL_ports port 563        # snews
acl SSL_ports port 873        # rsync
acl Safe_ports port 80        # http
acl Safe_ports port 21        # ftp
acl Safe_ports port 443        # https
acl Safe_ports port 70        # gopher
acl Safe_ports port 210        # wais
acl Safe_ports port 1025-65535    # unregistered ports
acl Safe_ports port 280        # http-mgmt
acl Safe_ports port 488        # gss-http
acl Safe_ports port 591        # filemaker
acl Safe_ports port 777        # multiling http
acl Safe_ports port 631        # cups
acl Safe_ports port 873        # rsync
acl Safe_ports port 901        # SWAT
acl purge method PURGE
acl CONNECT method CONNECT

http_access allow manager
http_access allow localnet vip
http_access deny manager
http_access deny !Safe_ports
http_access deny CONNECT !SSL_ports
http_access allow localnet
http_access allow localhost
http_access deny all
cachemgr_passwd ghjcnjq all
http_port 172.16.1.1:3128 transparent
hierarchy_stoplist cgi-bin ?
access_log /var/log/squid/access.log squid
log_fqdn on
refresh_pattern ^ftp:        1440    20%    10080
refresh_pattern ^gopher:    1440    0%    1440
refresh_pattern -i (/cgi-bin/|\?) 0    0%    0
refresh_pattern (Release|Packages(.gz)*)$    0    20%    2880
refresh_pattern .        0    20%    4320
acl shoutcast rep_header X-HTTP09-First-Line ^ICY.[0-9]
upgrade_http0.9 deny shoutcast
acl apache rep_header Server ^Apache
broken_vary_encoding allow apache
extension_methods REPORT MERGE MKACTIVITY CHECKOUT
hosts_file /etc/hosts
coredump_dir /var/spool/squid
cache_dir ufs /var/spool/squid 5000 16 256
minimum_object_size 2 KB
maximum_object_size 61440 KB
via off
forwarded_for delete

delay_pools 4

delay_class 1 1
delay_parameters 1 768000/768000
delay_access 1 allow vip
delay_access 1 deny all

delay_class 2 2
delay_parameters 2 64000/5000000 8000/1024000
delay_access 2 allow file_bad
delay_access 2 deny all

delay_class 3 2
delay_parameters 2 64000/5000000 16000/2048000
delay_access 3 allow bad_url
delay_access 3 deny all

delay_class 4 3
delay_parameters 4 704000/50000000 -1/-1 38000/10000000
delay_access 4 allow localnet

Сквид ошибок не находит в конфиге, нормально стартует. Но при этом ВСЕ пользователи у меня в классе 4. Вторым и третьим классом никто не стал... Что неправильно в конфиге и как добиться выполнения поставленной задачи?

Добрый день.

Снова проблема со сквидом. Сейчас работает связка squid + ntlm. В логах acces.log

1405939794.775      0 172.18.2.34 TCP_DENIED/407 3928 GET http://crl.microsoft.com/pki/crl/products/microsoftrootcert.crl - NONE/- text/html [Cache-Control:$
1405939794.791      0 172.18.2.34 TCP_DENIED/407 4288 GET http://crl.microsoft.com/pki/crl/products/microsoftrootcert.crl - NONE/- text/html [Cache-Control:$
1405939794.807      0 172.18.2.34 TCP_DENIED/407 4214 GET http://crl.microsoft.com/pki/crl/products/microsoftrootcert.crl - NONE/- text/html [Cache-Control:$
1405939794.830      0 172.18.2.34 TCP_DENIED/407 3953 GET http://crl.microsoft.com/pki/crl/products/MicCodSigPCA_08-31... - NONE/- text/html [Cache-Co$
1405939794.846      0 172.18.2.34 TCP_DENIED/407 4313 GET http://crl.microsoft.com/pki/crl/products/MicCodSigPCA_08-31... - NONE/- text/html [Cache-Co$
1405939794.861      0 172.18.2.34 TCP_DENIED/407 4239 GET http://crl.microsoft.com/pki/crl/products/MicCodSigPCA_08-31... - NONE/- text/html [Cache-Co$
1405939794.884      0 172.18.2.34 TCP_DENIED/407 3901 GET http://crl.microsoft.com/pki/crl/products/CodeSigPCA.crl - NONE/- text/html [Cache-Control: max-ag$
1405939794.900      0 172.18.2.34 TCP_DENIED/407 4261 GET http://crl.microsoft.com/pki/crl/products/CodeSigPCA.crl - NONE/- text/html [Cache-Control: max-ag$
1405939794.916      0 172.18.2.34 TCP_DENIED/407 4191 GET http://crl.microsoft.com/pki/crl/products/CodeSigPCA.crl - NONE/- text/html [Cache-Control: max-ag$
1405939795.159      0 172.18.2.34 TCP_DENIED/407 3734 CONNECT ssl.google-analytics.com:443 - NONE/- text/html [Host: ssl.google-analytics.com\r\nProxy-Conne$
1405939795.179      0 172.18.2.34 TCP_DENIED/407 4094 CONNECT ssl.google-analytics.com:443 - NONE/- text/html [Host: ssl.google-analytics.com\r\nProxy-Conne$ 

в cache.log

got NTLMSSP command 3, expected 1
got NTLMSSP command 3, expected 1
got NTLMSSP command 3, expected 1
got NTLMSSP command 3, expected 1
got NTLMSSP command 3, expected 1
got NTLMSSP command 3, expected 1
got NTLMSSP command 3, expected 1
got NTLMSSP command 3, expected 1
got NTLMSSP command 3, expected 1
got NTLMSSP command 3, expected 1
got NTLMSSP command 3, expected 1
got NTLMSSP command 3, expected 1
got NTLMSSP command 3, expected 1
got NTLMSSP command 3, expected 1
got NTLMSSP command 3, expected 1
got NTLMSSP command 3, expected 1
got NTLMSSP command 3, expected 1
got NTLMSSP command 3, expected 1
got NTLMSSP command 3, expected 1
got NTLMSSP command 3, expected 1
got NTLMSSP command 3, expected 1
got NTLMSSP command 3, expected 1
got NTLMSSP command 3, expected 1
got NTLMSSP command 3, expected 1
got NTLMSSP command 3, expected 1
got NTLMSSP command 3, expected 1
got NTLMSSP command 3, expected 1
got NTLMSSP command 3, expected 1
got NTLMSSP command 3, expected 1
got NTLMSSP command 3, expected 1

в интернетах находил, что стоит пересобирать самбу и править ntlmssp. Если другой не столь кардинальный сбособ дать доступ офису в облако? в самом сквиде все ip облачных сервисов прописаны, в сквидгарде есть отдельный блок для офиса облачном, в котором все domains и urls облачных сервисов прописаны, это все не дает желаемого эффекта. Прошу вашей помощи

Добрый день. Моя борьба со сквидом подошла к финалу. Пытаюсь сделать сквид "прозрачным". Для этого при через gre тунель соеденияю сквид и циску и при помощи wccp хочу весь трафик циски передать сквиду.

Конфиг тунеля:

auto gre1
iface gre1 inet static
address 172.18.0.54
netmask 255.255.255.252
modprobe ip_gre
up ifconfig gre1 multicast
pre-up iptunnel add gre1 mode gre local 172.18.1.49 remote 172.18.1.1 ttl 255
pointopoint 172.18.0.53
post-down iptunnel del gre1

НА этом этапе все замечательно работает. Машина где сквид пингует адрес 0.53, циска пингует адрес 0.54.

Часть конфига сквида:

http_port  3128 transparent
wccp_address 172.18.1.49:3128
wccp2_router 172.18.1.1
wccp2_forwarding_method gre
wccp2_return_method gre
wccp2_service standard 0 password=cisco

Часть конфига циски:

ip wccp version 2
!
ip wccp web-cache group-list 10
!
access-list 10 remark **** Defining SQUID Proxy Servers ****
access-list 10 permit 172.18.1.49
access-list 10 permit 172.18.1.47
!
!
!
ip access-list extended SQUID_PROXY
    deny ip 172.18.0.0 0.0.255.255 any
    deny ip 172.18.0.0 0.0.255.255 172.18.0.0 0.0.255.255
    deny ip 172.18.0.0 0.0.255.255 10.7.0.0 0.0.255.255
    permit ip 172.18.2.32 0.0.0.7 any
Remark **** Deny squid server access WCCP ****
    deny ip host 172.18.1.49 any
!
ip wccp web-cache redirect-list SQUID_PROXY
!
!
int bvi1
ip wccp web-cache redirect in

На этом этапе весь трафик от циски вроде идет к сквиду, но такое чувство, что все таки не идет. Так как ни одно правило сквидгарда не срабатывает. Подскажите пожалуйста, что я забыл или что не так сделал.

Добрый день!
Помогите решить возникшую проблему.

При запуске squid показывает вот такую ошибку:
squid ERROR: Could not send signal to process 1534: (3) No such process

Присутствует также ошибка при вводе команды fsck:
e2fsck: cannot continue, aborting

Достался мне в наследство сервер со Squid 2.6.
Раньше имел с ним только пару раз сталкивался, и ограничивался самыми простыми настройками.
Проблема в следующем: Блокируется страница страница.ру из одной из подсетей(на экран браузера выводится соответствующее сообщение от squid). Причем только от некоторых адресов. Не могу понять где прописан запрет на этот адрес. Ни в одном файле acl данногго ресурса нет.  
Где еще нужно посмотреть?

Добрый день.

Возникла еще одна проблема со сквидом.

В нашей организации используется lync2013. Если пользователь выходит минуя squid линк подключается и все работает ок. Но если пользоваться выходит в сеть через squid, линк подключается, все работает, возникает окно авторизации с просьбой ввести учетные данные для связи Lync сервера.

В acl squid добавлены ip адреса lync серверов, но все равно окно появляется. Может кто нибудь настраивал связку lync через squid. Подскажите как убрать это окно, что бы не раздражало и какие еще нужно внести настройки в squid что бы пропускал lync

Добрый день.

Задача следующая использовать сквид, как реверс прокси для пропуска Lync2013 в облако.

Вот мой кусок конфига, подскажите, где я сделал ошибки.

#### Reverse proxy for lync2013########
#http_port 3128 accel defaultsite=squid.domain.com vhost
#cache_peer sipdir.online.lync.com parent 443 0 no-query originserver name=lync2013
#acl lync2013_users dstdomain sipdir.online.lync.com
#http_access allow lync2013_users
#cache_peer_access lync2013 allow lync2013_users
#cache_peer_access lync2013 allow all

Сам сквид запускает, но когда линк запускается требуется пароль для доступа к серверу Localhost

Спасибо за помощь за ранее

Доброго времени суток. Имеется шлюз на FreeBSD 9.1 и squid 3.3. Как только запускаю его - он сразу начинает посылать кучу запросов на google.com и тот банит мою сеть. Сквид собирал из портов.

ОС RHEL 6
Squid Cache: Version 3.1.10 configure options: '--build=x86_64-redhat-linux-gnu' '--host=x86_64-redhat-linux-gnu' '--target=x86_64-redhat-linux-gnu' '--program-prefix=' '--prefix=/usr' '--exec-prefix=/usr' '--bindir=/usr/bin' '--sbindir=/usr/sbin' '--sysconfdir=/etc' '--datadir=/usr/share' '--includedir=/usr/include' '--libdir=/usr/lib64' '--libexecdir=/usr/libexec' '--sharedstatedir=/var/lib' '--mandir=/usr/share/man' '--infodir=/usr/share/info' '--enable-internal-dns' '--disable-strict-error-checking' '--exec_prefix=/usr' '--libexecdir=/usr/lib64/squid' '--localstatedir=/var' '--datadir=/usr/share/squid' '--sysconfdir=/etc/squid' '--with-logdir=$(localstatedir)/log/squid' '--with-pidfile=$(localstatedir)/run/squid.pid' '--disable-dependency-tracking' '--enable-arp-acl' '--enable-follow-x-forwarded-for' '--enable-auth=basic,digest,ntlm,negotiate' '--enable-basic-auth-helpers=LDAP,MSNT,NCSA,PAM,SMB,YP,getpwnam,multi-domain-NTLM,SASL,DB,POP3,squid_radius_auth' '--enable-ntlm-auth-helpers=smb_lm,no_check,fakeauth' '--enable-digest-auth-helpers=password,ldap,eDirectory' '--enable-negotiate-auth-helpers=squid_kerb_auth' '--enable-external-acl-helpers=ip_user,ldap_group,session,unix_group,wbinfo_group' '--enable-cache-digests' '--enable-cachemgr-hostname=localhost' '--enable-delay-pools' '--enable-epoll' '--enable-icap-client' '--enable-ident-lookups' '--enable-linux-netfilter' '--enable-referer-log' '--enable-removal-policies=heap,lru' '--enable-snmp' '--enable-ssl' '--enable-storeio=aufs,diskd,ufs' '--enable-useragent-log' '--enable-wccpv2' '--enable-esi' '--with-aio' '--with-default-user=squid' '--with-filedescriptors=16384' '--with-dl' '--with-openssl' '--with-pthreads' 'build_alias=x86_64-redhat-linux-gnu' 'host_alias=x86_64-redhat-linux-gnu' 'target_alias=x86_64-redhat-linux-gnu' 'CFLAGS=-O2 -g -pipe -Wall -Wp,-D_FORTIFY_SOURCE=2 -fexceptions -fstack-protector --param=ssp-buffer-size=4 -m64 -mtune=generic -fpie' 'LDFLAGS=-pie' 'CXXFLAGS=-O2 -g -pipe -Wall -Wp,-D_FORTIFY_SOURCE=2 -fexceptions -fstack-protector --param=ssp-buffer-size=4 -m64 -mtune=generic -fpie' --with-squid=/builddir/build/BUILD/squid-3.1.10

[root@xxx squid]# cat squid.conf
auth_param basic program /usr/lib64/squid/squid_ldap_auth -d -R -D xxx@xxx.kz -w xxx -b «dc=xxx,dc=kz» -f sAMAccountName=%s -d xxx.xxx.kz xxx.xxx.kz
auth_param basic children 5
auth_param basic realm xxx.KZ

external_acl_type ldapg children=5 %LOGIN /usr/lib64/squid/squid_ldap_group -d -R -b «dc=xxx,dc=kz» -f "(&(sAMAccountName=%v)(memberOf=CN=%a,OU=Service-DIT,DC=xxx,DC=kz))" -D xxx@xxx.kz -w xxx -K -h xxx.xxx.kz xxx.xxx.kz

acl manager proto cache_object
acl localhost src 127.0.0.1/32 ::1
acl to_localhost dst 127.0.0.0/8 0.0.0.0/32 ::1
acl localnet src 10.0.0.0/8 # RFC1918 possible internal network
acl localnet src 172.16.0.0/12 # RFC1918 possible internal network
acl localnet src 192.168.0.0/16 # RFC1918 possible internal network
acl localnet src fc00::/7 # RFC 4193 local private network range
acl localnet src fe80::/10 # RFC 4291 link-local (directly plugged) machines

acl SSL_ports port 443 60001 8180 8643 8888
acl Safe_ports port 80 # http
acl Safe_ports port 21 # ftp
acl Safe_ports port 443 # https
acl Safe_ports port 70 # gopher
acl Safe_ports port 210 # wais
acl Safe_ports port 1025-65535 # unregistered ports
acl Safe_ports port 280 # http-mgmt a
cl Safe_ports port 488 # gss-http
acl Safe_ports port 591 # filemaker
cl Safe_ports port 777 # multiling http
acl Safe_ports port 60001 8180 8643 8888 # NUC

acl CONNECT method CONNECT
acl POST method POST
acl GET method GET
http_access allow manager localhost
http_access deny manager
http_access deny !Safe_ports
http_access deny CONNECT !SSL_ports
#http_access deny to_localhost
acl auth proxy_auth REQUIRED
acl proxy_ldap external ldapg proxyldap
http_access allow proxy_ldap
http_access allow proxy_ldap CONNECT SSL_ports
#http_access allow localnet
#http_access allow localnet CONNECT SSL_ports
http_access allow localhost
http_access deny !auth all
#http_access allow auth
http_access deny all

http_port 3128
hierarchy_stoplist cgi-bin ?
#cache_dir ufs /var/spool/squid 100 16 256
coredump_dir /var/spool/squid
refresh_pattern ^ftp: 1440 20% 10080
refresh_pattern ^gopher: 1440 0% 1440
refresh_pattern -i (/cgi-bin/|\?) 0 0% 0
refresh_pattern . 0 20% 4320

как видно из конфига сквид работает с авторизацией керберос в АД.

прокся тестовая, но на продуктивах в отличие от тестового есть еще ACL с блокировкой по сайтам.

проблема в том что и на тестовом и продуктивном прокси у многих пользователей не открывается сайт http://hh.kz

вот что пишет в логах когда на этот сайт подключаюсь я:
1401966755.556 491 xxx.xxx.xxx.xxx TCP_MISS/200 53041 GET http://hh.kz/ super_user DIRECT/178.88.114.118 text/html
1401966755.922 125 xxx.xxx.xxx.xxx TCP_MISS/200 435 GET http://hhcdn.ru/pv super_user DIRECT/94.124.200.82 text/javascript
1401966756.035 58 xxx.xxx.xxx.xxx TCP_MISS/200 436 GET http://hhcdn.ru/pv super_user DIRECT/94.124.200.82 text/javascript

вот что пишет когда подключается пользователь: 1401966979.350 170 ууу.ууу.ууу.ууу TCP_MISS/302 561 GET http://hh.kz/ just_user DIRECT/178.88.114.118 text/html
1401966986.242 57 ууу.ууу.ууу.ууу TCP_MISS/302 533 GET http://hhid.ru/validate/;http;hh.kz;80;/ just_user DIRECT/94.124.200.81 text/plain
1401966993.306 164 ууу.ууу.ууу.ууу TCP_MISS/302 374 GET http://hh.kz/hhid/bind just_user DIRECT/178.88.114.118 text/plain
1401967000.300 149 ууу.ууу.ууу.ууу TCP_MISS/302 561 GET http://hh.kz/ just_user DIRECT/178.88.114.118 text/html
1401967007.222 57 ууу.ууу.ууу.ууу TCP_MISS/302 533 GET http://hhid.ru/validate/;http;hh.kz;80;/ just_user DIRECT/94.124.200.81 text/plain

пробовали у разных юзеров в разных браузерах, проблема везде одинаковая. загрузка висит и обрывается. что странно у меня доступ есть, хотя как видно из конфига, он у меня такой же как у всех юзеров. кеш у себя и пользователей чистился неоднократно. Сам прокси не кеширующий. Может быть настройки браузера?

уже не знаю что делать, помогите разобраться с проблемой.

Добрый день. Вопрос следующий:

можно ли сделать так, что бы Squid брал конфиг, расположенный на шаре?

Если да, то как указать сквиду, расположения файлы squid.conf?

Аналогичный вопрос про сквигард.

Задача - тормозить скорость некоторым пользователям на некоторые ресурсы.

Условие- удобство администрирования - веб-интерфейс для добавления/удаления пользователей/ресурсов, скорость, учет трафика, отчеты посещаемости и пр.

Пока пользуюсь SAMS, только приходится после каждого реконфигурирования сквида из панели самс добавлять delay_pools для определенных ресурсов, т.к. самс перезаписывает конфиг.

Кто-то знает более изящное решение чем каждый раз редактировать конфиг вручную?

Весь Интернет идет через squid. Можно ли не настраивая iptables открыть порты tcp/udp 1930-1940? Заранее спасибо за помощь!

Добрый день.

Проблема в следующем

В наличии Debian + Squid 1.4 + SquidGuard

Настраиваю в SquidGuard доступ группы Pol-squidGuard-SocialNetwork-Allowed для доступа к соц.сетям. ACL не срабатывает и сбрасывается на default. Но если в Acl прописывать user имяпользователя, то все срабатывает. В логах сквидгард пишет Added LDAP source:username, то есть вроде как он пользователя из группы подхватывает. Посмотрите пожалуйста свежим взглядом на конфиг и направьте в какую сторону капать.

Конфиг SquidGuard:

#
# CONFIG FILE FOR SQUIDGUARD
#

dbhome /usr/local/squidGuard/db
logdir /usr/local/squidGuard/log

ldapbinddn CN=svcSquidGuard,CN=Users,OU=MSK00,OU=Offices,DC=ylrus,DC=com
ldapbindpass пароль

ldapcachetime 300

src socialnet_allowed {
            
ldapusersearch ldap://s-msk00-gdc01.ylrus.com:3268/dc=ylrus,dc=com?sAMAccountName?sub?(&(memberof=CN=pol-squidGuard-SocialNetwork-Allowed,OU=Groups,DC=ylrus,DC=com)(sAMAccountName=%s))
}
dest porn {
    domainlist    porn/domains
    urllist        porn/urls
    redirect     http://admin.foo.bar.de/cgi/blocked?clientaddr=%a+clien...
}

dest socialnetwork {

       domainlist       socialnet/domains
        urllist         socialnet/urls
      redirect http://www.foo.bar/squidGuard.cgi?clientaddr=%a&clientn...

}

acl     {
    socialnet_allowed {
       pass  !porn socialnetwork
       redirect http://www.foo.bar/allblocked.html
    }
    default {
        pass !porn !socialnetwork    
        redirect http://admin.foo.bar.de/cgi/blocked?clientaddr=%a+clien...
    }
        
}

Добрый день!
Установил squid 2.7 для windows. все ок. файл squid.conf сконфигурировал! прокси работает.
логи посещенных страниц пишутся в файл access.log  все ок.

Но в лог файл пишутся все запросы что у осложняет в дальнейшем анализ какой пользователь был на каких сайтах.

Как задать правило чтоб в лог писались только запросу цельных сайтов например:
mail.ru
google.ru
news.ru
а запросы например:
googleads.g.doubleclick.net
awaps.yandex.ru
ssl.gstatic.com и т.д.  отбраковывались и в лог файл не писались!

Добрый день! Помогите разобраться с проблемой. Ситуация такая, есть микротик 1100 (на нем 3 интерфейса wan-внешний адрес, lan-192.168.1.254/20 и proxy-192.168.1.7/20) и есть машина со сквид 3.1 прозрачный на ubuntu (адрес-192.168.1.5/20). На машине  ubuntu в rc.local прописаны след правила
iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 80 -j DNAT --to 192.168.1.5:3128
route add -net 192.168.0.0 netmask 255.255.240.0 gw 192.168.1.7 dev eth0
На микротике прописан роут до машины со сквидом с маркировкой, в mangle написано правило chain=prerouting action=mark-routing new-routing-mark=to-proxy
passthrough=yes protocol=tcp src-address-list=proizvodstvo dst-port=80.
Сквид собирает логи, все отлично работает,

НО проблема в том, что c компьютеров в сети не проходит пинг на машину с ubuntu, а с машины ubuntu пингуются все компьютеры.

Заранеее благодарю!

Здравствуйте!

Имеется полностью рабочий рутер на Ubuntu 10.04, Squid работает в прозрачном режиме, так же работает Dansguardian для фильтрации по нехорошим словам. При запуске рутера стартует следующий скрипт:
---
#!/bin/sh
echo 1> /proc/sys/net/ipv4/ip_forward
iptables -A INPUT -i lo -j ACCEPT
iptables -A FORWARD -i eth1 -o eth0 -j ACCEPT
iptables -t nat -A POSTROUTING -o eth0 -s 192.168.1.0/24 -j MASQUERADE
iptables -A FORWARD -i eth0 -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A FORWARD -i eth0 -o eth1 -j REJECT
iptables -t nat - A PREROUTING -i eth1 -d ! 192.168.1.0/24 -p tcp -m multiport --dport 80,8080 -j DNAT --to 192.168.1.9:8081
---
Все работало как надо до тех пор, пока не вырисовался один сайт на Sharepoint, который отказывается принимать авторизацию пока клиент ходит из-за Squid`a. Требуется запустить все локальные компы на конкретный IP адрес в интете напрямую минуя Squid.
Поначитавшись всякого я добавил пятой строкой iptables -A FORWARD -p tcp -i eth1 -d xxx.xxx.xxx.xxx -j ACCEPT и предпоследней строкой iptables -t nat -A PREROUTING -d xxx.xxx.xxx.xxx/32 -i eth0 -p tcp -j ACCEPT.

Вывод iptables-save:
---
# Generated by iptables-save v1.4.4 on Tue May  6 21:15:39 2014
*nat
:PREROUTING ACCEPT [26297:1969646]
:POSTROUTING ACCEPT [16773:1020025]
:OUTPUT ACCEPT [16773:1020025]
-A PREROUTING -d 31.200.206.190/32 -i eth0 -p tcp -j ACCEPT
-A PREROUTING ! -d 192.168.1.0/24 -i eth1 -p tcp -m multiport --dports 80,8080 -j DNAT --to-destination 192.168.1.9:8081
-A POSTROUTING -s 192.168.1.0/24 -o eth0 -j MASQUERADE
COMMIT
# Completed on Tue May  6 21:15:39 2014
# Generated by iptables-save v1.4.4 on Tue May  6 21:15:39 2014
*filter
:INPUT ACCEPT [1305273:1235840308]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [862306:2176859318]
-A INPUT -i lo -j ACCEPT
-A FORWARD -i eth1 -o eth0 -j ACCEPT
-A FORWARD -d 31.200.206.190/32 -i eth1 -p tcp -j ACCEPT
-A FORWARD -i eth0 -m state --state RELATED,ESTABLISHED -j ACCEPT
-A FORWARD -i eth0 -o eth1 -j REJECT --reject-with icmp-port-unreachable
COMMIT
# Completed on Tue May  6 21:15:39 2014

Это уже с добавленными строчками, IP сайта, на кототрый надо пустить юзеров напрямую, 31.200.206.190
---

И не работает. Пожалуйста, помогите сделать.