Собственно, проблема в заголовке. HTTPS в Squid'е настроен в режиме accel. При попытке зайти на заблокированный ресурс через https выдается стандартная страница ошибки браузера, но страница блокировки Squid'а.
Куда копать? Возможно ли исправить? Причем желательно в том же режиме accel все работало.

Доброго времени суток!

Предистория...
Жил был серверок-прокся на 6.3+ сквид 2.7.. Обслуживал 500 запросов в минуту и не тужил.

Но тут пришло время обновляться (видимо по глупости меня). И стал он 6.4 + сквид 3.1.10

Все как бы работает, но cache.log стал рости..
причина не выявлена.. пишет следующее..

2013/10/30 17:24:20| clientProcessRequest: Invalid Request
2013/10/30 17:24:30| clientProcessRequest: Invalid Request
2013/10/30 17:24:40| clientProcessRequest: Invalid Request
2013/10/30 17:24:50| clientProcessRequest: Invalid Request
2013/10/30 17:25:00| clientProcessRequest: Invalid Request
2013/10/30 17:25:10| clientProcessRequest: Invalid Request
2013/10/30 17:25:20| clientProcessRequest: Invalid Request
2013/10/30 17:25:30| clientProcessRequest: Invalid Request
2013/10/30 17:25:51| clientProcessRequest: Invalid Request
2013/10/30 17:26:01| clientProcessRequest: Invalid Request
2013/10/30 17:26:21| clientProcessRequest: Invalid Request
2013/10/30 17:26:31| clientProcessRequest: Invalid Request
2013/10/30 17:26:41| clientProcessRequest: Invalid Request
2013/10/30 17:26:51| clientProcessRequest: Invalid Request
2013/10/30 17:27:01| clientProcessRequest: Invalid Request
2013/10/30 17:27:11| clientProcessRequest: Invalid Request
2013/10/30 17:27:21| clientProcessRequest: Invalid Request
2013/10/30 17:27:31| clientProcessRequest: Invalid Request
2013/10/30 17:27:41| clientProcessRequest: Invalid Request
2013/10/30 17:27:51| clientProcessRequest: Invalid Request
2013/10/30 17:28:11| clientProcessRequest: Invalid Request
2013/10/30 17:28:21| clientProcessRequest: Invalid Request
2013/10/30 17:28:31| clientProcessRequest: Invalid Request
2013/10/30 17:28:41| clientProcessRequest: Invalid Request

и ... так далее...

Просторы инета не дали ответов.

Вот и пришел глупенький админ просить совета у старейшин..

Что это за гадость?
никаких видимых причин нет...ошибок тоже... нареканий в работе тоже нет..

Добрый день!

Я использую локальный прокси сервер для туннелирования трафика от браузера через различние openvpn каналы (в зависимости от порта).

Сейчас появилась необходимость не "палить" локальный адрес за прокси как и само использование прокси.

В связи с этим вопрос - что мне нужно поменять в squid.conf для этого? Какие строки с 'reply_header_access' раскоментить для этого?

# AUTOGENERATED LINES
http_port 3131 name=3131
acl tasty3131 myportname 3131 src 10.12.0.58
http_access allow tasty3131
tcp_outgoing_address 10.12.0.58 tasty3131
http_port 3129 name=3129
acl tasty3129 myportname 3129 src 10.200.1.7
http_access allow tasty3129
tcp_outgoing_address 10.200.1.7 tasty3129
http_port 3128 name=3128
acl tasty3128 myportname 3128 src 10.44.0.7
http_access allow tasty3128
tcp_outgoing_address 10.44.0.7 tasty3128
http_port 3130 name=3130
acl tasty3130 myportname 3130 src 10.44.0.6
http_access allow tasty3130
tcp_outgoing_address 10.44.0.6 tasty3130
# AUTOGENERATED LINES

acl manager proto cache_object
acl localhost src 127.0.0.1/32 ::1
acl to_localhost dst 127.0.0.0/8 0.0.0.0/32 ::1

acl SSL_ports port 443
acl Safe_ports port 80        # http
acl Safe_ports port 21        # ftp
acl Safe_ports port 443        # https
acl Safe_ports port 70        # gopher
acl Safe_ports port 210        # wais
acl Safe_ports port 1025-65535    # unregistered ports
acl Safe_ports port 280        # http-mgmt
acl Safe_ports port 488        # gss-http
acl Safe_ports port 591        # filemaker
acl Safe_ports port 777        # multiling http
acl CONNECT method CONNECT

#
# Recommended minimum Access Permission configuration:
#
# Only allow cachemgr access from localhost
http_access allow manager localhost
http_access deny manager

# Deny requests to certain unsafe ports
http_access deny !Safe_ports

# Deny CONNECT to other than secure SSL ports
http_access deny CONNECT !SSL_ports

# Example rule allowing access from your local networks.
# Adapt localnet in the ACL section to list your (internal) IP networks
# from where browsing should be allowed
#http_access allow localnet
http_access allow localhost

# And finally deny all other access to this proxy
http_access deny all

# Leave coredumps in the first cache dir
coredump_dir /var/spool/squid3

# Add any of your own refresh_pattern entries above these.
refresh_pattern ^ftp:        1440    20%    10080
refresh_pattern ^gopher:    1440    0%    1440
refresh_pattern -i (/cgi-bin/|\?) 0    0%    0
refresh_pattern (Release|Packages(.gz)*)$      0       20%     2880
# example lin deb packages
#refresh_pattern (\.deb|\.udeb)$   129600 100% 129600
refresh_pattern .        0    20%    4320

#  TAG: request_header_access
#    Usage: request_header_access header_name allow|deny [!]aclname ...
#
#    WARNING: Doing this VIOLATES the HTTP standard.  Enabling
#    this feature could make you liable for problems which it
#    causes.
#
#    This option replaces the old 'anonymize_headers' and the
#    older 'http_anonymizer' option with something that is much
#    more configurable. This new method creates a list of ACLs
#    for each header, allowing you very fine-tuned header
#    mangling.
#
#    This option only applies to request headers, i.e., from the
#    client to the server.
#
#    You can only specify known headers for the header name.
#    Other headers are reclassified as 'Other'. You can also
#    refer to all the headers with 'All'.
#
#    For example, to achieve the same behavior as the old
#    'http_anonymizer standard' option, you should use:
#
#        request_header_access From deny all
#        request_header_access Referer deny all
#        request_header_access Server deny all
#        request_header_access User-Agent deny all
#        request_header_access WWW-Authenticate deny all
#        request_header_access Link deny all
#
#    Or, to reproduce the old 'http_anonymizer paranoid' feature
#    you should use:
#
#        request_header_access Allow allow all
#        request_header_access Authorization allow all
#        request_header_access WWW-Authenticate allow all
#        request_header_access Proxy-Authorization allow all
#        request_header_access Proxy-Authenticate allow all
#        request_header_access Cache-Control allow all
#        request_header_access Content-Encoding allow all
#        request_header_access Content-Length allow all
#        request_header_access Content-Type allow all
#        request_header_access Date allow all
#        request_header_access Expires allow all
#        request_header_access Host allow all
#        request_header_access If-Modified-Since allow all
#        request_header_access Last-Modified allow all
#        request_header_access Location allow all
#        request_header_access Pragma allow all
#        request_header_access Accept allow all
#        request_header_access Accept-Charset allow all
#        request_header_access Accept-Encoding allow all
#        request_header_access Accept-Language allow all
#        request_header_access Content-Language allow all
#        request_header_access Mime-Version allow all
#        request_header_access Retry-After allow all
#        request_header_access Title allow all
#        request_header_access Connection allow all
#        request_header_access All deny all
#
#    although many of those are HTTP reply headers, and so should be
#    controlled with the reply_header_access directive.
#
#    By default, all headers are allowed (no anonymizing is
#    performed).
#Default:
# none

#  TAG: reply_header_access
#    Usage: reply_header_access header_name allow|deny [!]aclname ...
#
#    WARNING: Doing this VIOLATES the HTTP standard.  Enabling
#    this feature could make you liable for problems which it
#    causes.
#
#    This option only applies to reply headers, i.e., from the
#    server to the client.
#
#    This is the same as request_header_access, but in the other
#    direction.
#
#    This option replaces the old 'anonymize_headers' and the
#    older 'http_anonymizer' option with something that is much
#    more configurable. This new method creates a list of ACLs
#    for each header, allowing you very fine-tuned header
#    mangling.
#
#    You can only specify known headers for the header name.
#    Other headers are reclassified as 'Other'. You can also
#    refer to all the headers with 'All'.
#
#    For example, to achieve the same behavior as the old
#    'http_anonymizer standard' option, you should use:
#
#        reply_header_access From deny all
#        reply_header_access Referer deny all
#        reply_header_access Server deny all
#        reply_header_access User-Agent deny all
#        reply_header_access WWW-Authenticate deny all
#        reply_header_access Link deny all
#
#    Or, to reproduce the old 'http_anonymizer paranoid' feature
#    you should use:
#
#        reply_header_access Allow allow all
#        reply_header_access Authorization allow all
#        reply_header_access WWW-Authenticate allow all
#        reply_header_access Proxy-Authorization allow all
#        reply_header_access Proxy-Authenticate allow all
#        reply_header_access Cache-Control allow all
#        reply_header_access Content-Encoding allow all
#        reply_header_access Content-Length allow all
#        reply_header_access Content-Type allow all
#        reply_header_access Date allow all
#        reply_header_access Expires allow all
#        reply_header_access Host allow all
#        reply_header_access If-Modified-Since allow all
#        reply_header_access Last-Modified allow all
#        reply_header_access Location allow all
#        reply_header_access Pragma allow all
#        reply_header_access Accept allow all
#        reply_header_access Accept-Charset allow all
#        reply_header_access Accept-Encoding allow all
#        reply_header_access Accept-Language allow all
#        reply_header_access Content-Language allow all
#        reply_header_access Mime-Version allow all
#        reply_header_access Retry-After allow all
#        reply_header_access Title allow all
#        reply_header_access Connection allow all
#        reply_header_access All deny all
#
#    although the HTTP request headers won't be usefully controlled
#    by this directive -- see request_header_access for details.
#
#    By default, all headers are allowed (no anonymizing is
#    performed).
#Default:
# none

Всем привет.
Есть прокси сервер Squid 3.0.
Пользователи винды ходят в инет через связку Squid+samba+kerberos.

Выявилась очень странная вещь с сайтом etp.roseltorg.ru
Данный сайт прекрасно грузится через firefox, chrome и тд.
При этом в access.log вижу следующее:

1383041678.029      0 10.178.32.21 TCP_DENIED/407 3085 GET http://etp.roseltorg.ru/ - NONE/- text/htmls5000-px01:~/.mc/cedit

Стоит мне зайти через IE, пробовал 8,9,10 IE, как от сайта загружается лишь html код, css, javascript остается за бортом. При этом в логе я наблюдаю, как все эти файлы отвергаются.

Точнее отвергались, было много строчек вида:
0 10.178.32.21 TCP_DENIED/407 3085 GET http://etp.roseltorg.ru/{имя файла, будь то js или css}

В момент написания топика уже не наблюдаю этой кучи строчек с отказом, НО, сам вид сайта так и остался голым html.

Нагуглил, что может не хватать аутентификаций пользователям, менял параметр количества, не помогло.
Добавлял .roseltorg.ru в список разрешенных, прописывал отдельное правило, не помогает. Я не понимаю, куда копать.

В линуксе я довольно нубоват, в сквиде, соответственно тоже. Необходимость его администрирования появилась на работе.

В какую сторону нужно копать?

Добрый день.
Вопрос в следующем.
Каким образом можно блокировать сайты по URL, помимо прокси..пробывал сквид oops..не подходит..
Какие еше есть возможности блокировать???
Прошу вашей помощи((

Здравствуйте опешу проблему есть балансировщик за ним 5 squid авторизация в ad и все работает и все счастливы, но периодически примерно раз в месяц, начинают прилетать 407 ошибка, в ад настроено так что пароль менять не нужно, не могу понять в чем проблема может кто подскажет куда копать.

Lj,hsq ltym uehe!
Всем привет)
Появилась необходимость одной WEB программке выходить в инет.
но мой SQUID ее блочит!
в логах  192.168.100.81 NONE/417 5008 POST http://webdemand.Lup.com/rd/chnp/Service.asmx - NONE/- text/html
мои блокировки заканчиваются на ВКОНТАКТЕ, ОДНОКЛАСННИКАХ и скачивании mp3 & avi.
Жду совета!

если необходимо могу выложить все конфиги squid

Здравствуйте. Инсталлировал CentOS 6.4, squid-3.1.10-19.el6_4.i686. В squid.conf указано-

..
acl RootUser src "/etc/squid/squidblock/users/root.users"
acl Download_in_RootUsers src "/etc/squid/squidblock/users/download_allow.users"
acl BadUsers src "/etc/squid/squidblock/users/bad.users"
acl skype_users src "/etc/squid/squidblock/users/skype.users"
acl LocalNetwork src "/etc/squid/squidblock/users/local.users"
acl GPF_LocalNetwork src "/etc/squid/squidblock/users/local.gpf.users"
..

При запуске squid в логах вижу сообщение-

2013/10/22 20:21:20| strtokFile: /etc/squid/squidblock/users/root.users not found
2013/10/22 20:21:20| Warning: empty ACL: acl RootUser src "/etc/squid/squidblock/users/root.users"
2013/10/22 20:21:20| strtokFile: /etc/squid/squidblock/users/download_allow.users not found
2013/10/22 20:21:20| Warning: empty ACL: acl Download_in_RootUsers src "/etc/squid/squidblock/users/download_allow.users"
2013/10/22 20:21:20| strtokFile: /etc/squid/squidblock/users/bad.users not found
2013/10/22 20:21:20| Warning: empty ACL: acl BadUsers src "/etc/squid/squidblock/users/bad.users"
2013/10/22 20:21:20| strtokFile: /etc/squid/squidblock/users/skype.users not found
2013/10/22 20:21:20| Warning: empty ACL: acl skype_users src "/etc/squid/squidblock/users/skype.users"
2013/10/22 20:21:20| strtokFile: /etc/squid/squidblock/users/local.gpf.users not found
2013/10/22 20:21:20| Warning: empty ACL: acl GPF_LocalNetwork src "/etc/squid/squidblock/users/local.gpf.users"

Т.е. из шести файлов squid видет лишь один.
Листинг каталога squid-

/etc/squid/:
итого 648
-rw-r--r--. 1 root  squid    419 Окт  1 16:40 cachemgr.conf
-rw-r--r--. 1 root  root     419 Окт  1 16:40 cachemgr.conf.default
-rw-r--r--. 1 root  root    1547 Окт  1 16:40 errorpage.css
-rw-r--r--. 1 root  root    1547 Окт  1 16:40 errorpage.css.default
lrwxrwxrwx. 1 root  root      26 Окт 22 17:26 errors -> /usr/share/squid/errors/ru
lrwxrwxrwx. 1 root  root      10 Окт 22 17:26 hosts -> /etc/hosts
lrwxrwxrwx. 1 root  root      22 Окт 22 17:26 icons -> /usr/share/squid/icons
lrwxrwxrwx. 1 root  root      14 Окт 22 17:26 logs -> /var/log/squid
-rw-r--r--. 1 root  root   11651 Окт  1 16:40 mime.conf
-rw-r--r--. 1 root  root   11651 Окт  1 16:40 mime.conf.default
-rw-r--r--. 1 root  root     421 Окт  1 16:40 msntauth.conf
-rw-r--r--. 1 root  root     421 Окт  1 16:40 msntauth.conf.default
drwxr-xr-x. 3 squid squid   4096 Окт 22 09:26 squidblock
-rw-r--r--. 1 root  root  240460 Окт 22 20:13 squid.conf
-rw-r-----. 1 root  root  144210 Окт 17 07:52 squid.conf.asplinux-20131022
-rw-r--r--. 1 root  root    2510 Окт  1 16:40 squid.conf.default
lrwxrwxrwx. 1 root  root      49 Окт 22 17:29 squid.conf.documented -> /usr/share/doc/squid-3.1.10/squid.conf.documented
-rw-r--r--. 1 root  root  211021 Апр 26 14:50 squid.conf.documented-3.1.23
-rw-r--r--. 1 root  root    1381 Окт 22 20:22 test.notes
/etc/squid/squidblock:
итого 144
-rw-r--r--. 1 squid squid   216 Окт 17 07:45 always_direct.txt
-rw-r--r--. 1 squid squid  1296 Сен 24 12:57 anonimajzery.block.txt
-rw-r--r--. 1 squid squid   279 Окт 22 08:34 anonimajzery.unblock.txt
-rw-r--r--. 1 squid squid  9423 Сен 24 12:56 badlang.block.txt
-rw-r--r--. 1 squid squid   671 Окт 22 08:33 badlang.unblock.txt
-rw-r--r--. 1 squid squid 22840 Июл 17  2012 banners.acl
-rw-r--r--. 1 squid squid   327 Окт 22 08:33 diffservice.unblock.txt
-rw-r--r--. 1 squid squid   744 Апр 15  2013 entertain.block.txt
-rw-r--r--. 1 squid squid   185 Окт 22 08:32 entertain.unblock.txt
-rw-r--r--. 1 squid squid   636 Апр 15  2013 games.block.txt
-rw-r--r--. 1 squid squid    25 Окт 22 08:32 games.unblock.txt
-rw-r--r--. 1 squid squid   483 Окт 17 07:48 good_ips.txt
-rw-r--r--. 1 squid squid   311 Мар 20  2013 mail_ru.block.txt
-rw-r--r--. 1 squid squid   165 Авг 16 05:03 mp3.block.txt
-rw-r--r--. 1 squid squid    22 Окт 22 08:32 mp3.unblock.txt
-rw-r--r--. 1 squid squid  1115 Авг 16 06:11 pirate.block.txt
-rw-r--r--. 1 squid squid    97 Окт 22 08:31 pirate.unblock.txt
-rw-r--r--. 1 squid squid 13246 Авг 15 05:12 porn.block.txt
-rw-r--r--. 1 squid squid  1541 Окт 22 09:26 porn.unblock.txt
-rw-r--r--. 1 squid squid   173 Окт 22 08:31 pron.block.txt
drwxr-xr-x. 2 squid squid  4096 Окт 22 20:11 users
/etc/squid/squidblock/users:
итого 52
-rw-r--r--. 1 squid squid  997 Окт 22 18:29 bad.users
-rw-r--r--. 1 squid squid  336 Окт 22 18:29 download_allow.users
-rw-r--r--. 1 squid squid  501 Окт 22 18:29 local.gpf.users
-rw-r--r--. 1 squid squid 4805 Окт 22 18:55 local.users
-rw-r--r--. 1 squid squid  483 Окт 22 18:29 root.users
-rw-r--r--. 1 squid squid 1205 Окт 22 18:29 skype.users

Как устранить проблему?
Спасибо.

Добрый день форумчане!
Знаком с FreeBSD не так много как хотелось... НО нет больше сил терпеть и пытаться победить проблему.. и так начну:
Имеется сервак поднятый на с ip-адресом 172.16.0.9
    root@Squid:# uname -a
    FreeBSD Squid 9.1-RELEASE FreeBSD 9.1-RELEASE #0: Fri Jun  7 16:25:36 MSK 2013     root@squid:/usr/obj/usr/src/sys/MYKERNEL  amd64

Ядро собранное с опциями:

Код: Выделить всё
    options         IPFIREWALL               # сам файрвол
    options         IPFIREWALL_VERBOSE        # логгинг пакетов, если в правиле # написано `log`
    options         IPFIREWALL_FORWARD       # перенаправление (форвардинг) пакетов# например, для прозрачного прокси
    options         DUMMYNET                # если понадобится ограничивать скорость # инета пользователям (обычно - да)
    options         IPFIREWALL_DEFAULT_TO_ACCEPT     # дефолтовое правило (последнее)

в sysctl.conf

    net.inet.ip.fw.one_pass=0
    net.inet.tcp.rfc1323=0
    net.inet.icmp.icmplim=0
    net.inet.tcp.msl=3000
    kern.maxfilesperproc=65536
    kern.maxfiles=262144
    kern.ipc.maxsockets=131072
    kern.ipc.somaxconn=1024
    net.inet.tcp.recvspace=16384
    net.inet.tcp.sendspace=16384
    kern.ipc.nmbclusters=32768
    net.inet.ip.forwarding=1

в rc.conf прописано такое - 172.16.0.7 адрес моего устройства Cisco (Asa 5550) с кем сервер и соединяется для создания wccp :

    cloned_interfaces="gre0"
    ifconfig_gre0="inet 172.16.0.9 10.10.10.10 netmask 255.255.255.255  tunnel 172.16.0.9 172.16.0.7 link2 up"

ipfw такие правила

    00001 allow ip from any to any via lo0
    00002 deny ip from any to 127.0.0.0/8
    00003 deny ip from 127.0.0.0/8 to any
    00004 allow gre from any to any frag
    00200 fwd 172.16.0.9,3130 tcp from any to any dst-port 80 recv gre0
    65535 allow ip from any to any

и на конец настройки на ASA конкретно для wccp

    ciscoasa# sh run | include wccp
    access-list wccp-server extended permit ip host 172.16.0.9 any
    access-list wccp-traffic extended deny ip host 172.16.0.9 any
    access-list wccp-traffic extended permit ip host 172.16.0.154 any
    wccp web-cache redirect-list wccp-traffic group-list wccp-server
    wccp interface inside web-cache redirect in

теперь сам кольмар:

    root@Squid:/etc # squid -v
    Squid Cache: Version 3.3.9
    configure options:  '--with-default-user=squid' '--bindir=/usr/local/sbin' '--sbindir=/usr/local/sbin' '--datadir=/usr/local/etc/squid' '--libexecdir=/usr/local/libexec/squid' '--localstatedir=/var' '--sysconfdir=/usr/local/etc/squid' '--with-logdir=/var/log/squid' '--with-pidfile=/var/run/squid/squid.pid' '--with-swapdir=/var/squid/cache/squid' '--enable-auth' '--enable-build-info' '--enable-loadable-modules' '--enable-removal-policies=lru heap' '--disable-epoll' '--disable-linux-netfilter' '--disable-linux-tproxy' '--disable-translation' '--enable-auth-basic=DB MSNT MSNT-multi-domain NCSA PAM POP3 RADIUS  fake getpwnam' '--enable-auth-digest=file' '--enable-external-acl-helpers=file_userip time_quota unix_group SQL_session' '--enable-auth-negotiate=none' '--enable-auth-ntlm=fake smb_lm' '--enable-storeio=diskd rock ufs aufs' '--enable-disk-io=AIO Blocking DiskDaemon IpcIo Mmapped DiskThreads' '--enable-log-daemon-helpers=file' '--enable-url-rewrite-helpers=fake' '--disable-ipv6' '--enable-delay-pools' '--disable-snmp' '--enable-ssl' '--with-openssl=/usr/local' '--enable-ssl-crtd' '--enable-htcp' '--disable-forw-via-db' '--enable-cache-digests' '--enable-wccp' '--enable-wccpv2' '--disable-http-violations' '--disable-eui' '--enable-ipfw-transparent' '--disable-pf-transparent' '--disable-ipf-transparent' '--enable-follow-x-forwarded-for' '--enable-ecap' '--enable-icap-client' '--disable-esi' '--enable-kqueue' '--with-large-files' '--disable-optimizations' '--enable-debug-cbdata' '--prefix=/usr/local' '--mandir=/usr/local/man' '--infodir=/usr/local/info/' '--build=amd64-portbld-freebsd9.1' 'build_alias=amd64-portbld-freebsd9.1' 'CC=cc' 'CFLAGS=-pipe -I/usr/local/include -I/usr/local/include -g' 'LDFLAGS= -pthread -Wl,-rpath=/usr/local/lib -L/usr/local/lib -L/usr/local/lib' 'CPPFLAGS=' 'CXX=c++' 'CXXFLAGS=-pipe -I/usr/local/include -I/usr/local/include -g' 'CPP=cpp'

некоторые настройки из squid.conf

    acl localnet src 172.16.0.0/16
    http_access allow localnet
    http_access deny all
    #прозрачный порт для 80го порта (Http)

    http_port 172.16.0.9:3130 intercept

    #порт необходим для нормальной работы кольмара
    http_port 127.0.0.1:3128

    wccp2_router 172.16.0.7
    wccp2_forwarding_method gre
    wccp2_return_method gre
    wccp2_service standard 0

И так суть проблемы: при завороте на ASA пользователя на пример 172.16.0.154 то происходит зависание на минутку (в принципе логично пока не создатся маршрутизация на са и не пойдт пакеты по новому) и после начинает отрабатывать как положено всё. Счетчик ipfw растет

    00001     0       0 allow ip from any to any via lo0
    00002     0       0 deny ip from any to 127.0.0.0/8
    00003     0       0 deny ip from 127.0.0.0/8 to any
    00004    44    2112 allow gre from any to any frag
    00200   414  132913 fwd 172.16.0.9,3130 tcp from any to any dst-port 80 recv gre0

Но проблема в другом - если я заворачиваю не одного пользователя, а под сеть 172.16.1.0/24 то у всех пользователей странички интернет не открываются и вываливается сообщение от Squid Operation time out. В общем отваливаются странички по таймауту... я уже не знаю что делать и как победить проблему... Прошу помощи!!! :st: Нет сил, нет нервов...
При этом в access.log тишина - будто пользователь вообще не куда не пытался зайти....... HELP

у меня конфиг виртуальных юзеров
так вот файлы с флагом -w всё-равно удаляются, а мне надо, чтобы некоторые нельзя было удалить
как?

конфиг:
pam_service_name=vsftpd
nopriv_user=somenoprivuser
secure_chroot_dir=/var/run/vsftpd/empty

guest_enable=YES
guest_username=someusername
local_enable=YES
write_enable=YES
anonymous_enable=NO
anon_upload_enable=YES
anon_mkdir_write_enable=YES
anon_other_write_enable=YES
anon_world_readable_only=NO
chroot_local_user=YES
user_sub_token=$USER
local_root=/usr/local/homas/$USER

listen=YES
pasv_min_port=30000
pasv_max_port=30999
max_clients=50
max_per_ip=2
data_connection_timeout=60
hide_ids=YES
ftpd_banner=banner
delete_failed_uploads=YES
use_localtime=YES

vsftpd_log_file=/var/log/vsftpd.log
xferlog_file=/var/log/xferlog.log
log_ftp_protocol=YES
xferlog_enable=YES
dual_log_enable=YES

Доброго всем времени суток.
Сразу к вопросу.

Имеем сервер на FreeBSD, стоит ipfw+pf(не спрашивайте почему такая связка, очень удобно, во всяком случае мне нравится очень), но проблема не в этом.

На борту стоит squid+ntlm+basic аутентификация пользователей из домена(Active Directory). Так же поставил SAMS.
У меня руками прописаны списки запрещенных сайтов и 3 группы пользователей.
Группы пользователей: InetUs, InetVIP, InetFull
Списки запрета доступа: Access.Denied и еще один список, которые разрешает только некоторые сайта из списка запрещенных для определенной группы.
Итак, InetUs - Запрещены все сайты из списка
InetVIP - запрещены все сайта из списка запрещенных, но разрешены некоторые из этого же списка
InetFull - разрешено все.
В Active Directory пользователям назначены группы в зависимости от их разрешений. Из домена авторизация проходит, с SAMS-ом почти разобрался(ну не люблю я подобные вещи, которые работают неизвестно для меня как)
В общем все вроде как работает, юзеры ходят, авторизация и по ntlm и по basic, списки запрета работают.

И вот тут руководство ставит задачу: Нужно, чтобы squid автоматически подтягивал пользователей и записывал в нужную группы на проксе. Т.е. создаем мы нового пользователя в домене, добавляем скажем в группу InetUs и он сразу автоматом появляется в списке юзеров на прокси-сервере. Так же, нужно скажем перенести юзера из одной группы(InetUs) в другую группу(InetVip) и надо чтобы все изменения на проксе произошли автоматом.

Теперь подскажите пожалуйста, возможно ли такое или нет?
P.S. Руководство виндузятники, поэтому им сложно объяснить невозможность и я на всякий случай решил поинтересоваться у гуру. Я конечно понимаю, что с костылями и горой скриптов это вохможно, но это не вариант и я понимаю что почти стандартными средствами это не возможно.

Подскажите пожалуйста, очень жду совета гуру.

Люди, уже голову всю сломал. Подскажите, пожалуйста.

Сервер squid работает с аутентификацией kerberos и авторизацией по группам с помощью хелпера squid_ldap_group (тест squid_ldap_group) проходит удачно и видно подтверждение того, что пользователи находятся в своих группах.

acl у меня такие:
acl OFFICE external ldap_verify Access_Proxy_ftl_OFFICE
acl VIP external ldap_verify Access_Proxy_ftl_VIP

acl media url_regex "/etc/squid/deny_flash.conf"
acl allusers proxy_auth REQUIRED
http_access allow VIP
http_access allow media OFFICE
http_access deny !allusers all

Что хочу получиьт в итоге: acl VIP доступен весь интернет без ограничений.
acl OFFICE должен быть заблокирован доступ к flash контенту.
Файлик: /etc/squid/deny_flash.conf
acl media rep_mime_type video/flv video/x-flv
acl mediapr urlpath_regex \.flv(\?.*)?$
acl media rep_mime_type application/x-shockwave-flash
acl mediapr urlpath_regex \.swf(\?.*)?$
acl mimeblock rep_mime_type -i ^video
acl mimeblock rep_mime_type -i ^audio

#http_access deny mediapr
#http_reply_access deny media

C acl, приведенными сверху, группа VIP работает отлично.
А с acl OFFICE, пользователям из группы OFFICE вообще ничего не доступно: обращаясь на любой веб-сайт, получаю страницу squid: Доступ запрещен. И так абсолютно везде.
Если просто заинклюдить(include) файл deny_flash.conf в конфиг squid, то flash блокируется как и положено, но для всех. А мне нужно только для группы OFFICE. Помогите, пожалуйста.

Доброго времени суток!
Нужен совет. Имеется прокси squid и прозрачный http. Т.к. http прозрачный, то можно легко залочить неугодные мне сайты. Но как быть с Https траффиком? можно ли не имея прозрачный https лочить CONNECT? Если да, то как?
Заранее благодарен за ответы

Здравствуйте. Который день бьюсь с проблемой и не могу решить. Пытаюсь с помощью сквида заблокировать доступ определенному IP адресу и не получается, чтобы я не пробовал.
Версия Squid 2.7 (Windows)
Режим - transparent
Блокируемый IP - 192.168.8.129

Вот конфиг:
acl all src 0.0.0.0/0
acl manager proto cache_object
acl localhost src 127.0.0.1/255.255.255.255
acl to_localhost dst 127.0.0.0/8
acl SSL_ports port 443
acl Safe_ports port 80 # http
acl Safe_ports port 21 # ftp
acl Safe_ports port 443 # https
acl Safe_ports port 70 # gopher
acl Safe_ports port 210 # wais
acl Safe_ports port 1025-65535 # unregistered ports
acl Safe_ports port 280 # http-mgmt
acl Safe_ports port 488 # gss-http
acl Safe_ports port 591 # filemaker
acl Safe_ports port 777 # multiling http
acl CONNECT method CONNECT

acl bad_ip src 192.168.8.129
acl our_networks src 192.168.8.50-192.168.8.240

http_access deny bad_ip
http_access deny !Safe_ports
http_access deny CONNECT !SSL_ports

http_access allow manager localhost
http_access deny manager

http_access allow our_networks
http_access allow localhost
http_reply_access allow all

http_access deny all

В чем проблема не подскажете? Заранее спасибо.

Салют. Сейчас squid настроил таким оразом, что все пользователи в домене аутентифицируются с помощью kerberos и с помощью squid_ldap_group получают свой разграниченный долбанный интернет.
Но, остался вопрос. Для тех, кто не в домене, можно ли выдавать запрос логина/пароля, после ввода которого пользователь (входящий в соответствующую группу) получал свой долбанно-разграниченный интернет?
Предполагаю, что нужно использовать ntlm-авторизацию, но где-то тут читал, что сквид использует первую попавшуюся ему схему авторизации. Может можно в существующий конфиг добавить какую-то строчку, чтобы запросило логин и пароль для пользователя? (Хотя из мира фантастики чето).

Стоит задача прозрачно авторизовать пользователей в домене. Но только для того чтобы в лог падал имя пользователя.
При этом не доменные пользователи должны работать без авторизации.
Так вот если аксес лист первым идет с авторизацией а второй для подсетки, то не доменным пользователям вываливается окно с запросом логина и пароля.
А если наоборот то в лог не падает имя пользователя.

Прописывать до авторизации пользователей IP адреса машин не в домене тоже не подходит, ибо они могут меняться.

Может кто знает как выйти из ситуации?

Всем привет. Столкнулся с такой проблемой. Есть сайт в локале. Он на Apache идет авторизация по ldap (mod_authnz_ldap).

Если идти НЕ через проксю сквида, то все нормально. Спрашивает пароль и дает доступ.
Но если через сквида то
  (13) Permission denied
The remote host or network may be down. Please try the request again.
access.log говорит
TCP_MISS/504 1413 GET http://site/ - DIRECT/- text/html

httpd-error.log apache молчит
httpd-access.log apache молчит

Как я ето вижу, сквид пытается получить сайт а оно ему отвечает нет ибо не дал логин.
На етом все.
Подскажите как решить данную проблемму?

Народ имеется freebsd прокси с внутренним 192.168.1.1,3128 и внешний канал допустим с адресом 195.190.100.200. Как в обход сквида выходить в инет по какому-нибудь статическому ip (например 192.168.1.11).
Данная функция реализована кем-то раньше работавшим для одного ip  (этот ип обходит squid), но не могу на прокси-машине найти правило форвардинга, ни в squid.conf, ни в файерволле, и работник тот благополучно испарился

Добрый день. Прошу Вас помочь разобраться с настройками squid. У меня есть несколько подсетей, для них уже есть рабочие правила и настройки. Но, у меня появилась необходимость сделать доступ по паролю в интернет только для одного компьютера в сети, так как он удаленный, работает через VPN и с ограниченным трафиком. Находил авторизацию через домен и для всех пользователей. Но мне надо только для одного компьютера и всё. Помогите, подскажите.
Спасибо

Приветствую!

В ближайшее время планирую переделывать фряшный шлюз. На данный момент используется связка сквид+сквидгард в прозрачном режиме для http. Для работы некоторых ресурсов https открываю порты правилами фаервола (соответственно никаких логов их посещения пользователями не вижу). Хочу переводить всех на обычный режим (не транспарент), для того, чтобы через сквид было доступно также https проксирование. Возник вопрос - реально ли сделать раздельную обработку сквидгардом пользовательских обращений? Требуется, чтобы http ресурсы работали по чёрному списку (можно все, что не запрещено блокировками), а https ресурсы по белому списку (можно только то, что разрешено).

Добрый день, есть сервер на Ubuntu 10.10 на нем Squid с ncsa авторизацией + Sams. Теперь надо добавить проверку по MAC-ам без привязки MAC-а к логину или IP, подскажите как прикрутить к Squid-овскому конфигу файл с собсно MAC-ами (их чуть более пятисот)
P.S. Заранее извиняюсь за возможно глупый вопрос но помощь очень нужна ибо с Линуксом только начал дружить.

Всем Утра! и хорошей недели)

нужна ваша помощь

Есть прокси, есть сервер введенный в домен (wbinfo на все что хочешь отвечает хорошо);
Но авторизация через ntlm_helper не работает, даже
проверка как то странно отвечает, не по faq'у (http://wiki.squid-cache.org/ConfigExamples/Authenticate/Ntlm):

ввожу в командной строке:
/usr/lib/squid3/ntlm_auth --helper-protocol=squid-2.5-basic

а он мне выдает полную справку по хелперу, и предлагает указывать в команде мой домен, я его указываю, действие повторяется....
ничего не пойму. Подскажите кто знает?!

ubuntu 12.04-serv

Доброго времени суток ув. Форумчане. Прошу вашей помощи так как погуглив так и не нашел нужной мне информации. Имеется прокси squid (Version 3.2.9) на freeBSD (9.0-RELEASE-p7) сервер настроен прозрачно в связке с Cisco 2911 по протоколу wccp. Все работает отлично, но в логах постоянный "срачЪ" типа такого:

2013/08/01 01:19:28 kid1| ACL::checklistMatches WARNING: 'torrent_mime' ACL is used but there is no HTTP reply -- not matching.
2013/08/01 01:19:28 kid1| ACL::checklistMatches WARNING: 'torrent_mime' ACL is used but there is no HTTP reply -- not matching.
2013/08/01 01:19:28 kid1| ACL::checklistMatches WARNING: 'deny_rep_mime_flashvideo' ACL is used but there is no HTTP reply -- not matching.
2013/08/01 01:19:28 kid1| ACL::checklistMatches WARNING: 'deny_rep_mime_shockwave' ACL is used but there is no HTTP reply -- not matching.
2013/08/01 01:19:28 kid1| ACL::checklistMatches WARNING: 'fails' ACL is used but there is no HTTP reply -- not matching.
2013/08/01 01:19:28 kid1| ACL::checklistMatches WARNING: 'x-type2' ACL is used but there is no HTTP reply -- not matching.
2013/08/01 01:19:28 kid1| ACL::checklistMatches WARNING: 'torrent_mime' ACL is used but there is no HTTP reply -- not matching.
2013/08/01 01:19:28 kid1| ACL::checklistMatches WARNING: 'fails' ACL is used but there is no HTTP reply -- not matching.
2013/08/01 01:19:28 kid1| ACL::checklistMatches WARNING: 'torrent_mime' ACL is used but there is no HTTP reply -- not matching.
2013/08/01 01:19:28 kid1| ACL::checklistMatches WARNING: 'torrent_mime' ACL is used but there is no HTTP reply -- not matching.
2013/08/01 01:19:28 kid1| ACL::checklistMatches WARNING: 'deny_rep_mime_flashvideo' ACL is used but there is no HTTP reply -- not matching.
2013/08/01 01:19:28 kid1| ACL::checklistMatches WARNING: 'deny_rep_mime_shockwave' ACL is used but there is no HTTP reply -- not matching.
2013/08/01 01:19:28 kid1| ACL::checklistMatches WARNING: 'fails' ACL is used but there is no HTTP reply -- not matching.
2013/08/01 01:19:28 kid1| ACL::checklistMatches WARNING: 'x-type2' ACL is used but there is no HTTP reply -- not matching.
2013/08/01 01:19:28 kid1| ACL::checklistMatches WARNING: 'torrent_mime' ACL is used but there is no HTTP reply -- not matching.
2013/08/01 01:19:28 kid1| ACL::checklistMatches WARNING: 'fails' ACL is used but there is no HTTP reply -- not matching.
2013/08/01 01:19:28 kid1| ACL::checklistMatches WARNING: 'torrent_mime' ACL is used but there is no HTTP reply -- not matching.
2013/08/01 01:19:28 kid1| ACL::checklistMatches WARNING: 'torrent_mime' ACL is used but there is no HTTP reply -- not matching.
2013/08/01 01:19:28 kid1| ACL::checklistMatches WARNING: 'deny_rep_mime_flashvideo' ACL is used but there is no HTTP reply -- not matching.
2013/08/01 01:19:28 kid1| ACL::checklistMatches WARNING: 'deny_rep_mime_shockwave' ACL is used but there is no HTTP reply -- not matching.
2013/08/01 01:19:28 kid1| ACL::checklistMatches WARNING: 'fails' ACL is used but there is no HTTP reply -- not matching.
2013/08/01 01:19:28 kid1| ACL::checklistMatches WARNING: 'x-type2' ACL is used but there is no HTTP reply -- not matching.
2013/08/01 01:19:28 kid1| ACL::checklistMatches WARNING: 'torrent_mime' ACL is used but there is no HTTP reply -- not matching.
2013/08/01 01:19:28 kid1| ACL::checklistMatches WARNING: 'fails' ACL is used but there is no HTTP reply -- not matching.
2013/08/01 01:19:28 kid1| ACL::checklistMatches WARNING: 'torrent_mime' ACL is used but there is no HTTP reply -- not matching.
2013/08/01 01:19:28 kid1| ACL::checklistMatches WARNING: 'torrent_mime' ACL is used but there is no HTTP reply -- not matching.

И идут постоянно, помогает только если закоментить в squid.conf эти правила. Соответственно кусок конфига относящиеся к нему:

acl fails rep_mime_type ^.*mms.*
acl fails rep_mime_type ^.*ms-hdr.*
acl fails rep_mime_type ^.*x-fcs.*
acl fails rep_mime_type ^.*x-ms-asf.*
acl fails2 urlpath_regex dvrplayer mediastream mms://
acl fails2 urlpath_regex .asf$ .afx$ .flv$ .swf$
acl deny_rep_mime_flashvideo rep_mime_type -i video/flv
acl deny_rep_mime_shockwave rep_mime_type -i ^application/x-shockwave-flash$
acl x-type req_mime_type -i ^application/octet-stream$
acl x-type req_mime_type -i application/octet-stream
acl x-type req_mime_type -i ^application/x-mplayer2$
acl x-type req_mime_type -i application/x-mplayer2
acl x-type req_mime_type -i ^application/x-oleobject$
acl x-type req_mime_type -i application/x-oleobject
acl x-type req_mime_type -i application/x-pncmd
acl x-type req_mime_type -i ^video/x-ms-asf$
acl x-type2 rep_mime_type -i ^application/octet-stream$
acl x-type2 rep_mime_type -i application/octet-stream
acl x-type2 rep_mime_type -i ^application/x-mplayer2$
acl x-type2 rep_mime_type -i application/x-mplayer2
acl x-type2 rep_mime_type -i ^application/x-oleobject$
acl x-type2 rep_mime_type -i application/x-oleobject
acl x-type2 rep_mime_type -i application/x-pncmd
acl x-type2 rep_mime_type -i ^video/x-ms-asf$
acl torrent_mime rep_mime_type -i ^application/x-bittorrent$
acl torrent_mime rep_mime_type -i application/x-bittorrent

http_reply_access deny deny_rep_mime_flashvideo
http_reply_access deny deny_rep_mime_shockwave
http_access deny fails
http_reply_access deny fails
http_access deny fails2
http_reply_access deny fails2
http_access deny x-type
http_reply_access deny x-type
http_access deny torrent_mime      
http_reply_access deny torrent_mime
#http_access deny x-type2
#http_reply_access deny x-type2
http_access deny torrent_mime
http_reply_access deny torrent_mime

Говорят что это наблюдается в версиях именно от 3.0 и выше. Помогите, может кто то решал уже? Заранее благодарен.

Добрый день!
Я новичок в Linux. Встал такой вопрос:
Нужно установить squid для перехвата https трафика. Система - RHEL 6, скачал последнюю версию squid с сайта. Захожу под root, затем tar xvzf squid-3.3.8.tar.gz после распаковки перехожу и запускаю ./configure --enable-icap-client --enable-useragent-log --enable-referer-log --enable-kill-parent-hack --enable-ssl --enable-follow-x-forwarded-for --enable-ssl-crtd --enable-delay-pools --enable-xmalloc-statistics (опции нужны для ssl трафика), затем make all, затем make install.
Порядок установки правильный? Как после этого запускать/останавливать squid? service squid выдает, что unrecognized service. squid -v ничего не показывает (command not found) - или ее надо из какого-то другого места запускать. Или эта команда годится только к тем, что были из rpm установлены? Никакого пользователя squid для установки создавать не надо? Папка /usr/local/squid появилась.

Если устанавливать squid из rpm, то можно как-то эти параметры (опции) --enable-icap-client --enable-useragent-log --enable-referer-log --enable-kill-parent-hack --enable-ssl --enable-follow-x-forwarded-for --enable-ssl-crtd --enable-delay-pools --enable-xmalloc-statistics выставить?

И еще вопрос: если squid уже стоит, то чтобы пересобрать его с указанными опциями, то нужно его удалять или же нет? Сохранятся ли при этом настройки?

Сталкнулся с такой бедой - не работает через прокси один сайт и тогда когда заходишь в админку.

После ввода логина и пароля браузер пишет 503 ошибку, в логах скивда

192.168.1.19 TCP_NEGATIVE_HIT/503 519 GET http://.su/administrator/index.php? - NONE/- text/html

Подскажите, пожалуйста, куда копать?

не много не в тему но может сможете помочь
Проблема следующая Имеем 3 сетевых интерфейса eth0 - внешний сетевой интерфейс имеет внешний IP:89.175.100.126 и подцеплено 4 альаса eth0:1 - 89.175.188.85 eth0:2 - 89.175.188.87 eth0:3 - 89.175.188.84 eth0:4 - 89.175.188.81 так же имеем 2 внутренние сетевые карты eth1 - 192.168.1.44 eth2 - 192.168.0.1
результат выполнения ifconfig

eth0      Link encap:Ethernet  HWaddr 00:1f:1e:02:91:31
          inet addr:89.175.100.126  Bcast:89.175.100.255  Mask:255.255.255.252
          inet6 addr: fe80::21f:1eff:fe02:9131/64 Scope:Link
          UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1
          RX packets:450185 errors:0 dropped:0 overruns:0 frame:0
          TX packets:402434 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:1000
          RX bytes:321291572 (321.2 MB)  TX bytes:85646661 (85.6 MB)

eth0:1    Link encap:Ethernet  HWaddr 00:1f:1e:02:91:31
          inet addr:89.175.188.85  Bcast:89.175.188.87  Mask:255.255.255.252
          UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1

eth0:2    Link encap:Ethernet  HWaddr 00:1f:1e:02:91:31
          inet addr:89.175.188.87  Bcast:89.175.188.87  Mask:255.255.255.252
          UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1

eth0:3    Link encap:Ethernet  HWaddr 00:1f:1e:02:91:31
          inet addr:89.175.188.86  Bcast:89.175.188.87  Mask:255.255.255.252
          UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1

eth0:4    Link encap:Ethernet  HWaddr 00:1f:1e:02:91:31
          inet addr:89.175.188.81  Bcast:89.175.188.83  Mask:255.255.255.255
          UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1

eth1      Link encap:Ethernet  HWaddr 00:1f:1e:02:52:89
          inet addr:192.168.1.44  Bcast:192.168.1.255  Mask:255.255.255.0
          inet6 addr: fe80::21f:1eff:fe02:5289/64 Scope:Link
          UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1
          RX packets:460803 errors:0 dropped:1272 overruns:0 frame:0
          TX packets:457629 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:1000
          RX bytes:91068596 (91.0 MB)  TX bytes:323854354 (323.8 MB)

eth2      Link encap:Ethernet  HWaddr c8:be:19:d3:91:d7
          inet addr:192.168.0.44  Bcast:192.168.0.255  Mask:255.255.255.0
          inet6 addr: fe80::cabe:19ff:fed3:91d7/64 Scope:Link
          UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1
          RX packets:57665 errors:0 dropped:1272 overruns:0 frame:0
          TX packets:0 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:1000
          RX bytes:5965976 (5.9 MB)  TX bytes:309803 (309.8 KB)

lo        Link encap:Local Loopback
          inet addr:127.0.0.1  Mask:255.0.0.0
          inet6 addr: ::1/128 Scope:Host
          UP LOOPBACK RUNNING  MTU:65536  Metric:1
          RX packets:34 errors:0 dropped:0 overruns:0 frame:0
          TX packets:34 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:0
          RX bytes:2632 (2.6 KB)  TX bytes:2632 (2.6 KB)

В сети Eth1 куча компов которые выходят через этот шлюз в инет и несколько копов с разными сервисами. В сети eth2 есть только один компьютер с веб сервером почему то проброс портов до сети eth1 работает нормально А вот в eth2 не прорабатывает. И из сети eth1 не получается увидеть сайт в сети eth2

#!/bin/bash

#Стираем iptables
iptables -F
iptables -t nat -F

#параметры по умолчанию iptables -P INPUT ACCEPT

iptables -P FORWARD ACCEPT
iptables -P OUTPUT ACCEPT

#Маскарадим
iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE

#Разрешаем если нужно ping
iptables -t filter -A FORWARD -p icmp -j ACCEPT

#Разрешаем уже установленые соединения iptables -A FORWARD -p tcp -m state --state ESTABLISHED,RELATED -j ACCEPT

#Разрешаем dns
iptables -t filter -A FORWARD -p tcp --sport 53 -j ACCEPT
iptables -t filter -A FORWARD -p tcp --dport 53 -j ACCEPT
iptables -t filter -A FORWARD -p udp --sport 53 -j ACCEPT
iptables -t filter -A FORWARD -p udp --dport 53 -j ACCEPT

iptables -t nat -A PREROUTING -p tcp --dport 443 -d 89.175.100.126 -j DNAT --to-destination 192.168.1.168
iptables -A FORWARD -p tcp --dport 443 -d 192.168.1.168 -j ACCEPT
iptables -A FORWARD -p tcp --sport 443 -s 192.168.1.168 -j ACCEPT
iptables -t nat -A PREROUTING -d 89.175.188.85 -j DNAT --to-destination 192.168.1.202
iptables -t nat -A PREROUTING -d 89.175.188.87 -j DNAT --to-destination 192.168.1.203
iptables -t nat -A PREROUTING -p tcp --dport 3389 -d 89.175.100.126 -j DNAT --to-destination 192.168.1.176
iptables -t nat -A PREROUTING -p tcp --dport 5222 -d 89.175.100.126 -j DNAT --to-destination 192.168.1.200
iptables -t nat -A PREROUTING -p tcp -m multiport --dport 25,110,125,143,993 -d 89.175.100.126 -j DNAT --to-destination 192.168.1.224
iptables -t nat -A PREROUTING -p tcp --dport 80 -d 89.175.188.81 -j DNAT --to-destination 192.168.0.204 -не прорабатывает
iptables -A FORWARD -p tcp -o eth2 -d 192.168.0.204 -s 192.168.1.223 --dport 80 -j ACCEPT -не прорабатывает
iptables -A FORWARD -p tcp -o eth2 -d 192.168.0.204 -s 192.168.1.223 --dport 6022 -j ACCEPT - не прорабатывает

остальное все работает

По мере необходимости в организации пришлось ставить Squid. Ставился он под Windows и при попытке наборы команды c:\squid\sbin\squid -z выдаёт ошибку  
2013/08/06 14:04:17| parseConfigFile: squid.conf:2963 unrecognized: 'upgrade_http0.9'

Здравствуйте!
Не смог подобрать нормальное название темы, но смысл именно таков ;).
Хочется закрыть доступ ко всему флешу, кроме вполне определенных адресов. Для этого в конфиге прописываю следующее:

acl radio url_regex -i css\.moskva\.fm/f/MoskvaPlayerDark\.swf
acl hard-traffic-mime rep_mime_type -i application/x-shockwave-flash

http_access allow lan radio
http_reply_access deny lan hard-traffic-mime

При чём разрешающее правило для радио прописано выше, чем запрещающее на весь флеш.
При этом в логе я всё так же наблюдаю:
[05/Aug/2013_09:25:57] 10.0.0.2 TCP_DENIED/403 1429 GET http://css.moskva.fm/f/MoskvaPlayerDark.swf text/html

Каким образом это можно реализовать?

squid + kerberos + AD

В логах сквида ровно через час появляются четыре строчки:
==========================
2013/07/23 16:42:29| authenticateNegotiateHandleReply: Error validating user via Negotiate. Error returned 'BH gss_accept_sec_context() failed: Unspecified GSS failure.  Minor code may provide more information. '
2013/07/23 16:42:29| authenticateNegotiateHandleReply: Error validating user via Negotiate. Error returned 'BH gss_accept_sec_context() failed: Unspecified GSS failure.  Minor code may provide more information. '
2013/07/23 16:42:32| authenticateNegotiateHandleReply: Error validating user via Negotiate. Error returned 'BH gss_accept_sec_context() failed: Unspecified GSS failure.  Minor code may provide more information. '
2013/07/23 16:42:32| authenticateNegotiateHandleReply: Error validating user via Negotiate. Error returned 'BH gss_accept_sec_context() failed: Unspecified GSS failure.  Minor code may provide more information. '
==========================

А так все работает отлично, но хочется разобраться. Кто нибудь сталкивался с подобным?

Добрый день!
В файле cache.log Squid3 3.1.6 (Debian Stable 6.07) заметил следующие строки, после настройки Sqstat.php .
2013/07/16 10:20:05| CacheManager: <unknown>@127.0.0.1: password needed for 'storedir'
2013/07/16 10:20:05| CacheManager: <unknown>@127.0.0.1: password needed for 'info'
2013/07/16 10:20:05| CacheManager: <unknown>@127.0.0.1: password needed for 'counters'
2013/07/16 10:20:05| CacheManager: <unknown>@127.0.0.1: password needed for 'counters'
2013/07/16 10:25:05| CacheManager: <unknown>@127.0.0.1: password needed for 'storedir'
2013/07/16 10:25:05| CacheManager: <unknown>@127.0.0.1: password needed for 'info'
2013/07/16 10:25:05| CacheManager: <unknown>@127.0.0.1: password needed for 'counters'
2013/07/16 10:25:05| CacheManager: <unknown>@127.0.0.1: password needed for 'counters'
2013/07/16 10:30:07| CacheManager: <unknown>@127.0.0.1: password needed for 'storedir'
2013/07/16 10:30:07| CacheManager: <unknown>@127.0.0.1: password needed for 'info'
2013/07/16 10:30:07| CacheManager: <unknown>@127.0.0.1: password needed for 'counters'
2013/07/16 10:30:07| CacheManager: <unknown>@127.0.0.1: password needed for 'counters'
2013/07/16 10:35:05| CacheManager: <unknown>@127.0.0.1: password needed for 'storedir'
2013/07/16 10:35:05| CacheManager: <unknown>@127.0.0.1: password needed for 'info'
2013/07/16 10:35:05| CacheManager: <unknown>@127.0.0.1: password needed for 'counters'
2013/07/16 10:35:05| CacheManager: <unknown>@127.0.0.1: password needed for 'counters'

Часть конфигурации squid.conf
cachemgr_passwd mypassword counters storedir info

Еще столкнулись с проблемой, что с недавнего времени Squid стал занимать всю оперативную память (16ГБ) и вылетать. До этого были настройки по умолчанию. После этого добавил в файл конфигурации следующие строки:
cache_mem 256 MB
maximum_object_size_in_memory 40 KB
maximum_object_size 20480 KB
cache_dir aufs /var/spool/squid3 3072 16 256

Но это ситуацию не изменило. Приходится ежедневно перезапускать Squid по 2-3 раза, чтобы у пользователей был интернет.
Подскажите, как можно решить данные две проблемы.