Сделал аутентификацию в домене для squid через керберос в ubuntu16.04. Изменения в конфиге, относительно дефолтного, минимальны:
auth_param negotiate program /usr/lib/squid3/negotiate_kerberos_auth -s HTTP/squid.home.lo
auth_param negotiate children 200 startup=10 idle=10
auth_param negotiate keep_alive on
acl auth proxy_auth REQUIRED
http_access allow auth

При этом, в лог ложится большое количество TCP_DENIED/407. Например, при заходе на ya.ru, в лог ложится:
1465151447.251  33921 192.168.1.101 TCP_TUNNEL/200 2339 CONNECT mc.yandex.ru:443 mitiok@HOME.LO HIER_DIRECT/2a02:6b8::1:119 -
1465151447.255  32988 192.168.1.101 TCP_TUNNEL/200 1313 CONNECT mc.yandex.ru:443 mitiok@HOME.LO HIER_DIRECT/2a02:6b8::1:119 -
1465151447.318      0 192.168.1.101 TCP_DENIED/407 4074 CONNECT mc.yandex.ru:443 - HIER_NONE/- text/html
1465151447.536    275 192.168.1.101 TCP_MISS/302 579 GET http://ya.ru/ mitiok@HOME.LO HIER_DIRECT/2a02:6b8::3 -
1465151447.562      1 192.168.1.101 TCP_DENIED/407 4046 CONNECT ya.ru:443 - HIER_NONE/- text/html
1465151448.141      1 192.168.1.101 TCP_DENIED/407 4074 CONNECT yastatic.net:443 - HIER_NONE/- text/html
1465151448.147      0 192.168.1.101 TCP_DENIED/407 4074 CONNECT yastatic.net:443 - HIER_NONE/- text/html
1465151448.152      0 192.168.1.101 TCP_DENIED/407 4074 CONNECT yastatic.net:443 - HIER_NONE/- text/html
1465151448.289      0 192.168.1.101 TCP_DENIED/407 4074 CONNECT yastatic.net:443 - HIER_NONE/- text/html
1465151449.670      0 192.168.1.101 TCP_DENIED/407 4078 CONNECT www.yandex.ru:443 - HIER_NONE/- text/html
1465151449.966      0 192.168.1.101 TCP_DENIED/407 4098 CONNECT www.tns-counter.ru:443 - HIER_NONE/- text/html
1465151450.376    152 192.168.1.101 TCP_MISS/200 2250 POST http://ocsp2.globalsign.com/gsorganizationvalsha2g2 mitiok@HOME.LO HIER_DIRECT/2400:cb00:2048:1::6810:18d8 application/ocsp-response
1465151450.466    431 192.168.1.101 TCP_TUNNEL/200 3513 CONNECT www.tns-counter.ru:443 mitiok@HOME.LO HIER_DIRECT/2001:6d0:4001::2 -
1465151450.503      0 192.168.1.101 TCP_DENIED/407 4098 CONNECT www.tns-counter.ru:443 - HIER_NONE/- text/html
1465151450.769    243 192.168.1.101 TCP_TUNNEL/200 712 CONNECT www.tns-counter.ru:443 mitiok@HOME.LO HIER_DIRECT/2001:6d0:4001::2 -

Почему не срабатывает аутентификация на некоторых запросах? Как чинить?

Для гибкой настройки почтовых клиентов решил испытать nginx в режиме почтового прокси. В общем, штука такая вышла. Есть мой почтовик (postfix/dovecot). Через него nginx отправляет почту исправно.

А вот на внешние, не подконтрольные мне smtp вообще не работает.

В логе nginx (отправляю почту через не мой smtp через прокси nginx):
*29 mail auth http process status line
*29 mail auth http process headers
*29 mail auth http header: "Server: nginx/1.12.2"
*29 mail auth http header: "Date: Thu, 01 Mar 2018 08:10:45 GMT"
*29 mail auth http header: "Content-Type: text/html"
*29 mail auth http header: "Connection: close"
*29 mail auth http header: "Auth-Status: OK"
*29 mail auth http header: "Auth-Server: 1.2.3.4"
*29 mail auth http header: "Auth-Port: 465"
*29 mail auth http header done
...
upstream timed out (110: Connection timed out) while connecting to upstream, client: 102.17.23.11, server: 0.0.0.0:465, login: "backend-email@domain.com", upstream: 1.2.3.4:465

Т.е. проверку на nginx прохожу, nginx пытается соединиться с правильным 1.2.3.4:465 (в соотв. с настройками). И - timed out.

Аналогичный таймаут возникает если коннектиться на 25/STARTTLS.

Естественно, проверял напрямую (без прокси nginx) - отправка через 465/SSL/TLS идет.

nginx version: nginx/1.12.2
установлен на centos (yum install)

Куда копать?

Добрый день.
Может кто-то что-то подскажет?
В сети имеется центральный прокси с прозрачной авторизацией в active directory. Мне необходимо запустить локальный прокси на машине с windows который должен выходить в интернет через центральный. Я поставил squid. Но не смог заставить его авторизоваться на центральном прокси. Выскакивает запрос логина и пароля, но попытки ввести данные ни к чему не приводят. Логи и настройки центрального прокси не доступны.
Как решить такую проблему?
Если на локальной машине поставить другой прокси, то это можно. Но какой?  

Привет! Нужно разрешить только определённый http сайты

acl SSLProtokol proto HTTPS
acl HTTPSPort port 443
acl HTTPSSite dstdomain .mail.ru .yandex.ru .ya.ru
http_access allow SSLProtokol HTTPSPort HTTPSSite CONNECT LANUSERS

Попробовала так, но так не работает (((
Прокси не прозрачный...

Здравствуйте!

Я администратор у маленького провайдера. Как вы знаете, есть закон по которому мы должны блокировать политически неблагонадежные сайты. Для нас большой проблемы нет, наш оператор их блокирует, дополнительно заморачиваться и не очнь надо. Но вот наша доблесная прокуратура решила заработать себе галочку. Через суд нас обязали прикрыть ролик на ютубе.

Ну раз наш самый справедливый и гумманный сказал - значит надо!

У меня стоит маршрутизатор под управлением FreeBSD. Воткнул в него Режик+Squid прозрачно. Вместо ролика со злыми ингушами у наших абонентов появляется страничка с "Ай-яй-яй, не ходи сюда!!!". Все замечательно.

Только вот... Зайдя на любой сайт, типа 2ip.ru, он мне говорит IP моего маршрутизатора, а вот за этим прокси вот твой реальный АЙПИ. Не кошерно конечно, но и не так как уж и страшно. Но вот стали переодически на Яндексах и Гуглах появляться сообщения: ваш адрес очень любопытный, много задает вопросов, вы наверное терминатор!!! И требует доказать абоненту, что он истинный потомок Джона Конара, а не какойто там житкий. В общем надо капчу вводить... А это мне уже не нравиться.

Нашел в сети такую технологию Сквида TPROXY. С помощью нее Сквид загружает сайт, использую адрес клиента. Но TPROXY работает только под Linux. В портах есть lusca_head. Это сквид с TPROXY для FreeBSD. Попробывал ее.

Если включить transparent - все работает. А вот если tproxy, то в браузере выдает такую штуку.
В браузере:

While trying to process the request:

              GET / HTTP/1.1
Host: 192.168.1.59:83
User-Agent: Mozilla/5.0 (Windows NT 5.1; rv:29.0) Gecko/20100101 Firefox/29.0
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8
Accept-Language: ru-RU,ru;q=0.8,en-US;q=0.5,en;q=0.3
Accept-Encoding: gzip, deflate
Cookie: pma_lang=ru; pma_mcrypt_iv=JkfL3GPfLzg=; pmaUser-1=5o6xJk1UOio=; pma_collation_connection=utf8_general_ci
Connection: keep-alive
Cache-Control: max-age=0

            

The following error was encountered:

Invalid Request

Перед GET иммено стоят непонятные невидимые символы.

На сквид я заворачиваю с помощью ipfw:

ipfw add fwd 127.0.0.1,3128 tcp from any to not me in xmit em1
ipfw add fwd 127.0.0.1,3128 tcp from any to not me in recv em1

Уж очень хочется оставить ipfw и FreeBSD, потому что стоит еще самописный демон, который дребует именно ipfw. Также отлаженная система управления клиентами и т.д.

Уважаемые спецы, может кто сталкивался с подобной задачей? Помогите советом.
С уважением,
Алексей

Товарищи гуру! Подскажите как мне собрать этот хелпер для centOS 7....да не умею пользоваться гуглом..ничего не нашел (в частности исходники его) ...Буду признателен за ссылки по данной теме

Нахожусь в корпоративной сети. Имею доступ как пользователь к линуховому серверу, у которого есть выход в интернет. Захожу на этот сервер по SSH через Putty.

На рабочем месте Windows 7. Для серфинга включаю Putty, которая делает туннель и поднимает локально на машине порт SOCKS5 Proxy. Запускаю FireFox, у которого настроено использование SOCKS5 Proxy, и стоит галочка «Удаленный DNS» (в других браузерах, кстати, такой настройки не предусмотрено, поэтому они не подходят). И интернет в FireFox работает.

Теперь мне нужно начать работать с git. В git есть глобальные настройки:

> git config --list

http.proxy='socks5://127.0.0.1:9999'
https.proxy='socks5://127.0.0.1:9999'
socks.proxy=127.0.0.1:9999
socks5.proxy=127.0.0.1:9999

Однако при попытке запушить изменения, получаю ошибку:

> git push

ssh: github.com: no address associated with name
fatal: Could not read from remote repository.
Please make sure you have the correct access rights
and the repository exists.

Похоже, что ошибка эта из-за того, что git не умеет резолвить DNS-имена через SOCKS5 Proxy, а просто пользуется тем что есть в системе. А может быть, нужна какая-то дополнительная настройка.

Вопрос. Что можно в такой ситуации сделать, чтобы git начал нормально работать через SOCKS5 Proxy? Понимаю, что винда, но мне сие необходимо для разработки СПО проектов https://github.com/xintrea.

Имеется прокси-сервер (squid 2.7) для порядка 2000 пользователей. Большинству из них разрешен вход только с 1 ip-адреса.
Если использовать динамическую привязку ip-адреса к имени пользователя с помощью конструкции вида:
acl limit-1 max_user_ip -s 1
acl ip-limit-1 proxy_auth "/путь к списку имен пользователей"
http_access deny ip-limit-1 limit-1
то проблем нет, если с этим именем пользователя не пытаются зайти с 2-х компов одновременно. Например, пользователь перешел на новое рабочее место, а на старом компе не удалил сохраненные логин/пароль в броузере. Для разрешения такой ситуации добавлено:
external_acl_type BLOCK_USER_IP ...
acl BLOCK_USER_IP external BLOCK_USER_IP %SRC %LOGIN
http_access deny BLOCK_USER_IP
Проблема заключается в следующем - хотя пользователя на старом адресе прокси-сервер и не пускает, но в cache.log появляется запись:
2017/09/15 09:27:49| authenticateAuthUserRequestSetIp: user 'test' has been seen at a new IP address (10.41.77.74)
при этом его адрес привязывается к имени, и на новом месте пользователя не пускает:
2017/09/15 10:25:46| authenticateAuthUserRequestSetIp: user 'test' has been seen at a new IP address (10.4.113.253)
2017/09/15 10:25:46| aclMatchUserMaxIP: user 'test' tries to use too many IP addresses (max 1 allowed)!

Очевидно, что плюнуть адрес в таблицу squid успевает на этапе proxy_auth. Это реальная проблема, поскольку ночью не работают, все таблицы успевают очиститься, и если первым успевает засветиться неправильный адрес, то у легитимного пользователя не получается авторизоваться. Есть ли какой-то способ решить проблему, кроме недопуска через прокси по ip-адресу без %LOGIN?

Привет. squid_3.5.23
Переодически в логах при слишком длинном url, который обрезается самим squid-ом, в конце обрезанной строки появляется символ ^@ (именно одиночный символ, в редакторе 000 0x000) и приклеивается следующая строка
Вот как выглядит
>1501546393.534      7 10.0.4.4 TAG_NONE/400 33447 GET http://index.b2bcontext.ru/service/very-long-url^@1501546393.663    134 10.0.4.4 TCP_MISS/200 2052 GET http://normal-size-url normal fields

Обработчик лога неверно трактует данные из этой строки. Хочется исправить это дело.

Как такого избежать такого поведения в логе или как хотя бы  заменить этот одиночный символ ^@ на перевод строки?
Пробую:
sed -i 's|^@|\n|'
sed: -e выражение #1, символ 0: нет предыдущего регулярного выражения
или так
sed -i 's|\^@|\n|'
sed: -e выражение #1, символ 7: незавершенная команда `s'

Добрый день!
На сервере Squid в папке /var/log/squid3 лежит файл netdb.state Он весит 5.5 Гб.
Содержание примерно такое:

173.252.88.0 1 1   62.00000  291.00000 1445809914 1445809614 graph.facebook.com
178.63.73.0 1 1   19.00000   78.00000 1445810576 1445810278 forum.ipfire.org
216.58.209.0 1 1   18.00000   35.00000 1445810637 1445810337 translate.google.ru
198.41.215.0 1 1   14.00000   83.00000 1445810411 1445810111 cdnjs.cloudflare.com
64.233.162.0 1 1   25.00000   31.00000 1445810576 1445810276 fonts.googleapis.com

Можно ли его удалять? Или почистить его удалением текста внутри.

Привет!
Проблема не могу понять в чём дело не пускает на ютуб, хотя другие сайты (https) работают.
Version 3.5.12 прозрачный.
http_port 192.168.50.1:3128 intercept options=NO_SSLv3:NO_SSLv2
https_port 192.168.50.1:3129 intercept ssl-bump options=ALL:NO_SSLv3:NO_SSLv2 connection-auth=off
cert=/etc/squid/squidCA.pem

Здравствуйте. Интересует следующее. Как в squid настроить правила (директивы) что-бы он пускал
По определенной ссылке в yourube или в определенные плэйлисты, но не пускал в корень сайта и не позволял искать другие ролики соответственно. Только набор ссылок определённых роликов.
Гугл не помог ни русский ни забугорный.
Очень интересно можно ли вообще так сделать?

Доброго дня!
Имеется Ubuntu Server 12.04
Squid 3
SAMS 2
редиректор sams
все настроено и работает
Пользователи ходят в интернет, но когда пользователь заходит на сайт, который заблокирован в SAMS2 ему не выводится никаких сообщений, а просто возвращается 404 ошибка, что невозможно отобразить страницу. Ну а следовательно, если URL не запрещен, то никакихз подобных сообщений нет - пользователь попапдает куда ему надо
В настройках прокси в веб интерфейсе SAMS2 в пункте ПУТЬ К КАТАЛОГУ, ГДЕ ЛЕЖАТ ФАЙЛЫ ЗАПРЕТА  ЗАПРОСА у меня прописано:  http://192.168.2.222/sams2/messages
На сервере в этой дире /var/www/sams2/message у меня лежат разные файлы и папка. Так же пробовал создавать здесь свои html файлы со своим текстом для пользователей. Все безрезультатно.

Может быть надо где то в конфигах подправить что нибудь? Прописать конкретные пути к этим файлам? В инете не нашел.
На форуме нашел похожую тему, только ему отвечает squid, а у меня ошибка 404: http://www.opennet.dev/openforum/vsluhforumID12/6798.html

Подскажите, что можно сделать...

Доброго дня.

Может кто сталкивался с такой проблемой. Уже месяц бьюсь, решить не могу.

Есть cisco по wccp2 подключенная к серверу на FreeBSD 11.0 с установленным SQUID.
SQUID выполняет фильтрацию.
CISCO в соответствии с Access-list заворачивает по IP нужные сайты на squid
По HTTP фильтрует отлично. А по HTTPS не работает. Не пропускает все пришедшие запросы от  cisco на HTTPS.

#squid -v
Squid Cache: Version 3.5.23
Service Name: squid
configure options:  '--with-default-user=squid' '--bindir=/usr/local/sbin' '--sbindir=/usr/local/sbin' '--datadir=/usr/local/etc/squid' '--libexecdir=/usr/local/libexec/squid' '--localstatedir=/var' '--sysconfdir=/usr/local/etc/squid' '--with-logdir=/var/log/squid' '--with-pidfile=/var/run/squid/squid.pid' '--with-swapdir=/var/squid/cache' '--without-gnutls' '--enable-auth' '--enable-zph-qos' '--enable-build-info' '--enable-loadable-modules' '--enable-removal-policies=lru heap' '--disable-epoll' '--disable-linux-netfilter' '--disable-linux-tproxy' '--disable-translation' '--disable-arch-native' '--enable-eui' '--enable-cache-digests' '--enable-delay-pools' '--disable-ecap' '--disable-esi' '--enable-follow-x-forwarded-for' '--enable-htcp' '--enable-icap-client' '--enable-icmp' '--enable-ident-lookups' '--enable-ipv6' '--enable-kqueue' '--with-large-files' '--enable-http-violations' '--without-nettle' '--enable-snmp' '--enable-ssl' '--with-openssl=/usr/local' 'LIBOPENSSL_CFLAGS=-I/usr/local/include' 'LIBOPENSSL_LIBS=-lcrypto -lssl' '--enable-ssl-crtd' '--disable-stacktraces' '--enable-forw-via-db' '--enable-wccp' '--enable-wccpv2' '--without-heimdal-krb5' '--without-mit-krb5' '--without-gss' '--disable-ipf-transparent' '--enable-ipfw-transparent' '--disable-pf-transparent' '--without-nat-devpf' '--enable-auth-basic=DB SMB_LM MSNT-multi-domain NCSA PAM POP3 RADIUS fake getpwnam NIS' '--enable-auth-digest=file' '--enable-external-acl-helpers=file_userip time_quota unix_group' '--enable-auth-negotiate=none' '--enable-auth-ntlm=fake smb_lm' '--enable-storeio=aufs diskd rock ufs' '--enable-disk-io=DiskThreads DiskDaemon AIO Blocking IpcIo Mmapped' '--enable-log-daemon-helpers=file' '--enable-url-rewrite-helpers=fake' '--enable-storeid-rewrite-helpers=file' '--prefix=/usr/local' '--mandir=/usr/local/man' '--disable-silent-rules' '--infodir=/usr/local/info/' '--build=amd64-portbld-freebsd11.0' 'build_alias=amd64-portbld-freebsd11.0' 'CC=cc' 'CFLAGS=-O2 -pipe  -fstack-protector -fno-strict-aliasing' 'LDFLAGS= -pthread -Wl,-rpath,/usr/local/lib -fstack-protector' 'LIBS=' 'CPPFLAGS=' 'CXX=c++' 'CXXFLAGS=-O2 -pipe -fstack-protector -fno-strict-aliasing  -Wno-unknown-warning-option -Wno-undefined-bool-conversion -Wno-tautological-undefined-compare -Wno-dynamic-class-memaccess' 'CPP=cpp' --enable-ltdl-convenience

squid.conf:

cache_effective_user squid
cache_effective_group squid

visible_hostname reestr-proxy

#debug_options ALL,5

http_port 192.168.2.230:9090

http_port 192.168.2.230:3128 intercept
https_port 192.168.2.230:3129 intercept ssl-bump generate-host-certificates=on dynamic_cert_mem_cache_size=4MB cert=/usr/local/etc/squid/squ

always_direct allow all

acl ssl_sites ssl::server_name "/var/db/zapret-info/denied_https.conf"
acl step1 at_step SslBump1
acl step2 at_step SslBump2
ssl_bump peek step1
ssl_bump bump ssl_sites
ssl_bump splice all
sslproxy_cert_error allow all
sslproxy_options NO_SSLv2,NO_SSLv3,SINGLE_ECDH_USE
sslproxy_options ALL
sslproxy_cipher ALL
sslcrtd_program /usr/local/libexec/squid/ssl_crtd -s /var/squid/ssl_db -M 4MB

icp_port 0
#hierarchy_stoplist cgi-bin ?
acl QUERY urlpath_regex cgi-bin \?
cache deny QUERY
acl apache rep_header Server ^Apache
cache_mem 1 MB
cache_swap_low 90
cache_swap_high 95
maximum_object_size 1 KB
maximum_object_size_in_memory 50 KB
cache_replacement_policy heap LFUDA
cache_dir ufs /var/squid/cache 1 1 1 no-store
logfile_rotate 7
dns_nameservers 8.8.8.8
hosts_file /etc/hosts
refresh_pattern ^ftp: 1440 20% 10080
refresh_pattern ^gopher: 1440 0% 1440
refresh_pattern . 0 20% 4320
quick_abort_min 0 KB
quick_abort_max 0 KB
half_closed_clients off
acl purge method PURGE
acl CONNECT method CONNECT
acl SSL_ports port 16869
acl SSL_ports port 443
acl Safe_ports port 80
acl Safe_ports port 8001
acl Safe_ports port 81
acl Safe_ports port 888
http_access allow manager localhost
http_access deny manager
http_access allow purge localhost
http_access deny purge
http_access deny !Safe_ports
http_access deny CONNECT !SSL_ports
http_access allow localhost
http_access allow all
http_reply_access allow all
icp_access allow all
cache_mgr root@server.ru
memory_pools off
log_icp_queries off
cachemgr_passwd q1w2e3r4 all
client_db off
buffered_logs on

wccp2_router 192.168.2.229

wccp2_rebuild_wait on

wccp2_forwarding_method 2

wccp2_return_method 2

wccp2_assignment_method 1

wccp2_service dynamic 0
wccp2_service_info 0 protocol=tcp flags=dst_ip_hash,dst_port_hash priority=240 ports=80,8001,8080,8081,81,888
wccp2_service dynamic 70
wccp2_service_info 70 protocol=tcp flags=dst_ip_hash,dst_port_hash priority=240 ports=16869,443

wccp2_address 192.168.2.230

redirect_program /usr/local/etc/squid/redirector.pl
url_rewrite_children 60 startup=10 idle=1 concurrency=0

/var/log/squid/cache.log:

2017/06/22 23:54:18 kid1| Current Directory is /var/squid
2017/06/22 23:54:18 kid1| Starting Squid Cache version 3.5.23 for amd64-portbld-freebsd11.0...
2017/06/22 23:54:18 kid1| Service Name: squid
2017/06/22 23:54:18 kid1| Process ID 16050
2017/06/22 23:54:18 kid1| Process Roles: worker
2017/06/22 23:54:18 kid1| With 1171206 file descriptors available
2017/06/22 23:54:18 kid1| Initializing IP Cache...
2017/06/22 23:54:18 kid1| DNS Socket created at [::], FD 6
2017/06/22 23:54:18 kid1| DNS Socket created at 0.0.0.0, FD 7
2017/06/22 23:54:18 kid1| Adding nameserver 92.50.201.2 from squid.conf
2017/06/22 23:54:18 kid1| helperOpenServers: Starting 5/32 'ssl_crtd' processes
2017/06/22 23:54:18 kid1| helperOpenServers: Starting 10/60 'redirector.pl' processes
2017/06/22 23:54:18 kid1| Logfile: opening log daemon:/var/log/squid/access.log
2017/06/22 23:54:18 kid1| Logfile Daemon: opening log /var/log/squid/access.log
2017/06/22 23:54:18 kid1| Unlinkd pipe opened on FD 45
2017/06/22 23:54:18 kid1| Local cache digest enabled; rebuild/rewrite every 3600/3600 sec
2017/06/22 23:54:18 kid1| Store logging disabled
2017/06/22 23:54:18 kid1| Swap maxSize 1024 + 1024 KB, estimated 157 objects
2017/06/22 23:54:18 kid1| Target number of buckets: 7
2017/06/22 23:54:18 kid1| Using 8192 Store buckets
2017/06/22 23:54:18 kid1| Max Mem  size: 1024 KB
2017/06/22 23:54:18 kid1| Max Swap size: 1024 KB
2017/06/22 23:54:18 kid1| Rebuilding storage in /var/squid/cache (clean log)
2017/06/22 23:54:18 kid1| Using Least Load store dir selection
2017/06/22 23:54:18 kid1| Current Directory is /var/squid
2017/06/22 23:54:18 kid1| Finished loading MIME types and icons.
2017/06/22 23:54:18 kid1| Accepting WCCPv2 messages on port 2048, FD 48.
2017/06/22 23:54:18 kid1| Initialising all WCCPv2 lists
2017/06/22 23:54:18 kid1| HTCP Disabled.
2017/06/22 23:54:18 kid1| Pinger socket opened on FD 53
2017/06/22 23:54:18 kid1| Squid plugin modules loaded: 0
2017/06/22 23:54:18 kid1| Adaptation support is off.
2017/06/22 23:54:18 kid1| Accepting HTTP Socket connections at local=192.168.2.230:9090 remote=[::] FD 49 flags=9
2017/06/22 23:54:18 kid1| Accepting NAT intercepted HTTP Socket connections at local=192.168.2.230:3128 remote=[::] FD 50 flags=41
2017/06/22 23:54:18 kid1| Accepting NAT intercepted SSL bumped HTTPS Socket connections at local=192.168.2.230:3129 remote=[::] FD 51 flags=
2017/06/22 23:54:18 kid1| Done reading /var/squid/cache swaplog (0 entries)
2017/06/22 23:54:18 kid1| Store rebuilding is 0.00% complete
2017/06/22 23:54:18 kid1| Finished rebuilding storage from disk.
2017/06/22 23:54:18 kid1|         0 Entries scanned
2017/06/22 23:54:18 kid1|         0 Invalid entries.
2017/06/22 23:54:18 kid1|         0 With invalid flags.
2017/06/22 23:54:18 kid1|         0 Objects loaded.
2017/06/22 23:54:18 kid1|         0 Objects expired.
2017/06/22 23:54:18 kid1|         0 Objects cancelled.
2017/06/22 23:54:18 kid1|         0 Duplicate URLs purged.
2017/06/22 23:54:18 kid1|         0 Swapfile clashes avoided.
2017/06/22 23:54:18 kid1|   Took 0.03 seconds (  0.00 objects/sec).
2017/06/22 23:54:18 kid1| Beginning Validation Procedure
2017/06/22 23:54:18 kid1|   Completed Validation Procedure
2017/06/22 23:54:18 kid1|   Validated 0 Entries
2017/06/22 23:54:18 kid1|   store_swap_size = 0.00 KB
2017/06/22 23:54:18| pinger: Initialising ICMP pinger ...
2017/06/22 23:54:18| pinger: ICMP socket opened.
2017/06/22 23:54:18| pinger: ICMPv6 socket opened
2017/06/22 23:54:19 kid1| storeLateRelease: released 0 objects

При этом /var/squid/ssl_db:
index.txt  0
size       1
каталог certs - пустой

#sockstat -4 | grep 3129
squid    squid      16050 51 tcp4   192.168.2.230:3129    *:*
#sockstat -4 | grep 3128
squid    squid      16050 50 tcp4   192.168.2.230:3128    *:*

# ipfw list
00050 fwd 192.168.2.230,3128 tcp from not me to any dst-port 80 via igb1 in
00050 fwd 192.168.2.230,3128 tcp from not me to any dst-port 8001 via igb1 in
00050 fwd 192.168.2.230,3128 tcp from not me to any dst-port 8080 via igb1 in
00050 fwd 192.168.2.230,3128 tcp from not me to any dst-port 8081 via igb1 in
00050 fwd 192.168.2.230,3128 tcp from not me to any dst-port 81 via igb1 in
00050 fwd 192.168.2.230,3128 tcp from not me to any dst-port 888 via igb1 in
00050 fwd 192.168.2.230,3129 tcp from not me to any dst-port 16869 via igb1 in
00050 fwd 192.168.2.230,3129 tcp from not me to any dst-port 443 via igb1 in

Доброго времени суток. Поставил на CentOS7 связку sams2+squid3.3.8 +SquidGuard: 1.4 Berkeley DB 5.3.21. Самс и сквид работают нормально, а вот скуидГуард почему-то не отрабатывает. Посмотрел статус.

# systemctl status squidGuard.service
● squidGuard.service - Squid Internet Object Cache and squidGuard web filter
   Loaded: loaded (/usr/lib/systemd/system/squidGuard.service; enabled; vendor preset: disabled)
   Active: failed (Result: exit-code) since Wed 2017-05-24 14:06:17 MSK; 16s ago
  Process: 1803 ExecStart=/usr/bin/squidGuard-helper start (code=exited, status=6)
May 24 14:06:17 fw.domain.local systemd[1]: Starting Squid Internet Object Cache and squidGuard web filter...
May 24 14:06:17 fw.domain.local squidGuard-helper[1803]: Starting squid: [FAILED]
May 24 14:06:17 fw.domain.local systemd[1]: squidGuard.service: control process exited, code=exited status=6
May 24 14:06:17 fw.domain.local systemd[1]: Failed to start Squid Internet Object Cache and squidGuard web filter.
May 24 14:06:17 fw.domain.local systemd[1]: Unit squidGuard.service entered failed state.
May 24 14:06:17 fw.domain.local systemd[1]: squidGuard.service failed.

Из строки

Failed to start Squid Internet Object Cache and squidGuard web filter.

делаю вывод, что squidGuard-helper пытается запустить squid и squidguard. Но т.к. squid уже запущен, то он его не стартует, а следом и не стартует squidguard. Если я ошибся, то поправьте. Ниже привожу squidGuard-helper

#!/bin/bash
PATH=/usr/bin:/sbin:/bin:/usr/sbin
export PATH
# Source function library.
. /etc/rc.d/init.d/functions
# Source networking configuration.
. /etc/sysconfig/network
# Check that networking is up.
[ !${NETWORKING} = "yes" ] && exit 0
# check if the squid-squidGuard.conf file is present
[ -f /etc/squid/squid-squidGuard.conf ] || exit 0
if [ -f /etc/sysconfig/squid ]; then
  . /etc/sysconfig/squid
fi
# don't raise an error if the config file is incomplete
# set defaults instead:
SQUID_OPTS=${SQUID_OPTS:-"-D"}
SQUID_PIDFILE_TIMEOUT=${SQUID_PIDFILE_TIMEOUT:-20}
SQUID_SHUTDOWN_TIMEOUT=${SQUID_SHUTDOWN_TIMEOUT:-100}
# determine the name of the squid binary
[ -f /usr/sbin/squid ] && SQUID=squid
[ -z "$SQUID" ] && exit 0
prog="$SQUID"
# determine which one is the cache_swap directory
CACHE_SWAP=`sed -e 's/#.*//g' /etc/squid/squid-squidGuard.conf | \
        grep cache_dir |  awk '{ print $3 }'`
[ -z "$CACHE_SWAP" ] && CACHE_SWAP=/var/spool/squid
RETVAL=0
start() {
    for adir in $CACHE_SWAP; do
        if [ ! -d $adir/00 ]; then
             echo -n "init_cache_dir $adir... "
             $SQUID -f /etc/squid/squid-squidGuard.conf -z -F -D 2>/dev/null
        fi
    done
    echo -n $"Starting1 $prog: "
    $SQUID $SQUID_OPTS -f /etc/squid/squid-squidGuard.conf 2> /dev/null
###   $SQUID_OPTS -f /etc/squid/squid-squidGuard.conf 2> /dev/null
   RETVAL=$?
    if [ $RETVAL -eq 0 ]; then
       timeout=0;
       while : ; do
          [ ! -f /var/run/squid.pid ] || break
          if [ $timeout -ge $SQUID_PIDFILE_TIMEOUT ]; then
             RETVAL=1
             break
          fi
          sleep 1 && echo -n "."
          timeout=$((timeout+1))
       done
    fi
    [ $RETVAL -eq 0 ] && touch /var/lock/subsys/$SQUID
    [ $RETVAL -eq 0 ] && echo_success
    [ $RETVAL -ne 0 ] && echo_failure
    echo
    return $RETVAL
}
stop() {
    echo -n  $"Stopping $prog: "
    $SQUID -k check -f /etc/squid/squid-squidGuard.conf >/dev/null 2>&1
    RETVAL=$?
    if [ $RETVAL -eq 0 ] ; then
        $SQUID -k shutdown -f /etc/squid/squid-squidGuard.conf &
        rm -f /var/lock/subsys/$SQUID
        timeout=0
        while : ; do
                [ -f /var/run/squid.pid ] || break
                if [ $timeout -ge $SQUID_SHUTDOWN_TIMEOUT ]; then
                    echo
                    return 1
                fi
                sleep 2 && echo -n "."
                timeout=$((timeout+2))
        done
        echo_success
        echo
    else
        echo_failure
        echo
    fi
    return $RETVAL
}
reload() {
    $SQUID $SQUID_OPTS -k reconfigure -f /etc/squid/squid-squidGuard.conf
}
restart() {
    stop
    start
}
condrestart() {
    [ -e /var/lock/subsys/squid ] && restart || :
}
rhstatus() {
    status $SQUID
    $SQUID -k check -f /etc/squid/squid-squidGuard.conf
}
probe() {
    return 0
}
case "$1" in
start)
    start
    ;;
stop)
    stop
    ;;
#reload)
#    reload
#    ;;
#
#restart)
#    restart
#    ;;
#
#condrestart)
#    condrestart
#    ;;
#
#status)
#    rhstatus
#    ;;
#
#probe)
#    exit 0
#    ;;
*)
#    echo $"Usage: $0 {start|stop|status|reload|restart|condrestart}"
    exit 1
esac
exit $?

Где, что поправить, что бы заработало. Заранее всем спасибо.

Есть Ubuntu Server 16. Поставил SQUID, настроил. Все работает. НО работает только в мозиле. В хроме и опере открывает не все сайты. Например яндекс\вк не открывает. Никаких ошибок. Просто бесконечно грузит. Но если дописать в строке https://www.(https://www.vk.com например) то сразу заходит. Подскажите пожалуйста где копать и что сделать?

Всем доброго дня суток, собственно есть производственная необходимость в приготовлении сквида по схеме {ipfw+https+intercept+ssl_bump - без подмены сертификата, только SNI для блокировки сайтов} Буду рад если поделитесь рецептами.

Доброго времени суток! Подскажите как можно запустить https через прокси (не прозрачный),
сейчас настроена так: в политиках домена прописал проксю, в iptables прописано
iptables -t nat -A PREROUTING -i eth0 -p tcp -m multiport --dport 80,8080,443 -j REDIRECT --to-port 3128
HTTP запросы проходят нормально и фильтруются, а вот HTTPS не хочет, при этом access.log отображаются https-запросы. Если в самом браузере прописать проксю, то https робит.

Здравствуйте товарищи! Помогите решить проблему и направить на путь праведный!
Система - FreeBSD 11, squid - 3.5.25
Squid настроил в прозрачном режиме, вот конфиг:

visible_hostname squid
dns_nameservers  10.86.31.254

acl localnet src 192.168.100.0/24    # RFC1918 possible internal network

acl SSL_ports  port 443
acl Safe_ports port 80        # http
acl Safe_ports port 21        # ftp
acl Safe_ports port 443        # https
acl Safe_ports port 70        # gopher
acl Safe_ports port 210        # wais
acl Safe_ports port 1025-65535    # unregistered ports
acl Safe_ports port 280        # http-mgmt
acl Safe_ports port 488        # gss-http
acl Safe_ports port 591        # filemaker
acl Safe_ports port 777        # multiling http
acl CONNECT method CONNECT

http_access deny !Safe_ports
http_access deny CONNECT !SSL_ports
http_access allow localhost manager
http_access deny manager
http_access allow localnet CONNECT

acl admins src 192.168.100.13 192.168.100.10

acl white_list url_regex -i "/usr/local/etc/squid/white_list"

acl administration src "/usr/local/etc/squid/lists/administration"

acl pupils_215 src "/usr/local/etc/squid/lists/pupils_215"

http_access allow admins
http_access allow administration
http_access allow white_list pupils_215

http_access deny all

http_port 127.0.0.1:3128 intercept options=NO_SSLv3:NO_SSLv2
https_port 127.0.0.1:3129 intercept ssl-bump options=ALL:NO_SSLv3:NO_SSLv2 connection-auth=off cert=/usr/local/etc/squid/squidCA.pem

always_direct allow all
sslproxy_cert_error allow all
sslproxy_flags DONT_VERIFY_PEER

acl white_list_ssl ssl::server_name_regex "/usr/local/etc/squid/white_list"
acl step1 at_step SslBump1
ssl_bump peek step1
ssl_bump terminate !white_list_ssl !admins
ssl_bump splice all

sslcrtd_program /usr/local/libexec/squid/ssl_crtd -s /var/db/ssl_db -M 4MB

error_directory /usr/local/etc/squid/errors/ru

coredump_dir /var/squid/cache
cache deny all

pid_filename /var/run/squid/squid.pid

refresh_pattern ^ftp:        1440    20%    10080
refresh_pattern ^gopher:    1440    0%    1440
refresh_pattern -i (/cgi-bin/|\?) 0    0%    0
refresh_pattern .        0    20%    4320

Работает все хорошо, все как надо. Админов и администрацию пускает куда угодно. Учеников пускает только на сайты из белого списка, но есть одно большое НО! Некоторые сайты(в белом списке) отображаются не полностью. К примеру gosuslugi.ru. Для этого сайта нужно добавить в белый список сайт gu-st.ru, но это я узнал из интернета(считаем, что пока я его не добавил). При попытки открыть сайт госуслуг в access.log пишет такое:

1495003400.855  24433 192.168.100.44 TCP_TUNNEL/200 18256 CONNECT www.gosuslugi.ru:443 - ORIGINAL_DST/109.207.1.97 -
1495003400.866      5 192.168.100.44 TAG_NONE/200 0 CONNECT 109.207.1.97:443 - HIER_NONE/- -
1495003401.096      4 192.168.100.44 TAG_NONE/200 0 CONNECT 109.207.1.34:443 - HIER_NONE/- -
1495003401.096      5 192.168.100.44 TAG_NONE/200 0 CONNECT 109.207.1.34:443 - HIER_NONE/- -
1495003401.098      4 192.168.100.44 TAG_NONE/200 0 CONNECT 109.207.1.34:443 - HIER_NONE/- -
1495003401.100      4 192.168.100.44 TAG_NONE/200 0 CONNECT 109.207.1.34:443 - HIER_NONE/- -
1495003401.102      9 192.168.100.44 TAG_NONE/200 0 CONNECT 109.207.1.34:443 - HIER_NONE/- -
1495003401.113     11 192.168.100.44 TAG_NONE/200 0 CONNECT 109.207.1.34:443 - HIER_NONE/- -
1495003401.124      4 192.168.100.44 TAG_NONE/200 0 CONNECT 109.207.1.34:443 - HIER_NONE/- -
1495003401.126      5 192.168.100.44 TAG_NONE/200 0 CONNECT 109.207.1.34:443 - HIER_NONE/- -
1495003401.133      8 192.168.100.44 TAG_NONE/200 0 CONNECT 109.207.1.34:443 - HIER_NONE/- -
1495003401.137      8 192.168.100.44 TAG_NONE/200 0 CONNECT 109.207.1.34:443 - HIER_NONE/- -
1495003401.144      7 192.168.100.44 TAG_NONE/200 0 CONNECT 109.207.1.34:443 - HIER_NONE/- -
1495003401.147      6 192.168.100.44 TAG_NONE/200 0 CONNECT 109.207.1.34:443 - HIER_NONE/- -
1495003401.152      8 192.168.100.44 TAG_NONE/200 0 CONNECT 109.207.1.34:443 - HIER_NONE/- -
1495003401.171      6 192.168.100.44 TAG_NONE/200 0 CONNECT 109.207.1.34:443 - HIER_NONE/- -
1495003401.174      2 192.168.100.44 TAG_NONE/200 0 CONNECT 109.207.1.34:443 - HIER_NONE/- -
1495003401.183      4 192.168.100.44 TAG_NONE/200 0 CONNECT 109.207.1.34:443 - HIER_NONE/- -
1495003401.203      2 192.168.100.44 TAG_NONE/200 0 CONNECT 109.207.1.34:443 - HIER_NONE/- -
1495003401.211      2 192.168.100.44 TAG_NONE/200 0 CONNECT 109.207.1.34:443 - HIER_NONE/- -
1495003401.221      2 192.168.100.44 TAG_NONE/200 0 CONNECT 109.207.1.34:443 - HIER_NONE/- -
1495003401.241      2 192.168.100.44 TAG_NONE/200 0 CONNECT 5.143.224.43:443 - HIER_NONE/- -

Начну с конца. ip 5.143.224.43 - мне не понятный и даже не пингуется! ip 109.207.1.34 - nslookup говорит что это mail.gas-u.ru, я его добавляю в белый список и ничего!! А при попытке пингануть gu-st.ru выдает туже айпишку, что и для mail.gas-u.ru. То есть как мне узнать что мне нужно конкретно добавить сайт gu-st.ru в белый список я не понял.

Из этого вытекает другой вопрос, мне нужно для каждого такого сайта добавлять нужные им доменные имена?
Тот же некорректно отображаемый habrahabr.ru в access.log выдает кучу ip адресов которые не понятны для nslookup.

Сам вопрос! Как мне сделать так, чтобы сайты из белого списка подтягивали все что им нужно от куда угодно и все хорошо отображалось?

DISTRIB_DESCRIPTION="Ubuntu 16.04.2 LTS"

Ставлю squid root@ubuntu:~# sudo apt-get install squid Чтение списков пакетов… Готово Построение дерева зависимостей Чтение информации о состоянии… Готово Предлагаемые пакеты: squidclient squid-cgi squid-purge smbclient winbindd НОВЫЕ пакеты, которые будут установлены: squid обновлено 0, установлено 1 новых пакетов, для удаления отмечено 0 пакетов, и 17 пакетов не обновлено. Необходимо скачать 0 B/2 317 kB архивов. После данной операции, объём занятого дискового пространства возрастёт на 7 643 kB. Выбор ранее не выбранного пакета squid. (Чтение базы данных … на данный момент установлен 61681 файл и каталог.) Подготовка к распаковке …/squid_3.5.12-1ubuntu7.3_amd64.deb … Распаковывается squid (3.5.12-1ubuntu7.3) … Обрабатываются триггеры для man-db (2.7.5-1) … Обрабатываются триггеры для systemd (229-4ubuntu16) … Обрабатываются триггеры для ureadahead (0.100.0-19) … Обрабатываются триггеры для ufw (0.35-0ubuntu2) … Настраивается пакет squid (3.5.12-1ubuntu7.3) … Skipping profile in /etc/apparmor.d/disable: usr.sbin.squid root@ubuntu:~# Skipping profile in /etc/apparmor.d/disable: usr.sbin.squid

Иду в /etc/squid/.........внутри ничего нет ??? Почему нет squid.conf ???

root@ubuntu:~# whereis squid
squid: /usr/sbin/squid /usr/lib/squid /etc/squid /usr/share/squid /usr/share/man/man8/squid.8.gz

Вопрос №1.
Имеется прокси сервер squid на операционке Ubuntu Server 16.04. Захотел поменять каталог, куда будут вываливаться логи со стандартного /var/log/squid на просто /LOGS. Соответственно, создал данную папку, сменил ей овнера на proxy (учетка из под которой работает squid) и для верности назначил права 777. Результат - не стартует! Говорит пермишен денайд!!! Нагуглил похожую проблему, где был совет сделать chmod a+x на каталог логов. Попробовал - заработало! Что это за уличная магия такая????!!! Ведь 777 должно итак давать все разрешения кому угодно!

Вопрос №2.
squid -k rotate ротейтит аксес логи, а кэш.лог остается не тронутым. Как быть? На 14-й убунте ротейтились все логи.

Здравствуйте.
ОС Centos 7
squid 3.3
сеть 192.168.0.0/24

не режет скорость

acl SSL_ports port 443 # RFC1918 possible internal network
acl Safe_ports port 80 # RFC1918 possible internal network
acl Safe_ports port 21 # RFC1918 possible internal network
acl Safe_ports port 443 # RFC 4193 local private network range
acl Safe_ports port 70 # RFC 4291 link-local (directly plugged) machines

acl Safe_ports port 210
acl Safe_ports port 1025-65535 # http
acl Safe_ports port 280 # ftp
acl Safe_ports port 488 # https
acl Safe_ports port 591 # gopher
acl Safe_ports port 777 # wais
acl CONNECT method CONNECT # unregistered ports
acl test src 192.168.0.252

http_access deny !Safe_ports

http_access deny CONNECT !SSL_ports

http_access allow localhost manager
http_access deny manager

http_access allow localhost

http_access allow test
http_access deny all

http_port 3128 transparent

cache_dir ufs /var/spool/squid 1000 16 256

coredump_dir /var/spool/squid

cache_mem 2000 MB
delay_pools 1
delay_class 1 2
delay_parameters 1 125000/125000 125000/125000
delay_access 1 allow test
delay_access 1 deny all

Что-то поменялось у Микрософт со скайпом или еще что. Недавно , а может в новых версиях скайпа и перестали проходить звонки абонентам. ECHO TEST не работает. Сама авторизация  в скайп проходит, контакты видны.  Версию скайпа пробовали последнюю и которая для бизнеса тоже. Если перезапустить скайп на той стороне, то там видят пропущенные звонки. Если выпускать напрямую через NAT, то само собой клиент работает, но надо через проксю.
Сталкивался кто-нибудь?
Для чистоты эксперимента создал аксели правила и поставил их выше других

#skype
acl numeric_IPs dstdom_regex ^(([0-9]+\.[0-9]+\.[0-9]+\.[0-9]+)|(\[([0-9a-f]+)?:([0-9a-f:]+)?:([0-9a-f]+|0-9\.]+)?\])):443
acl Skype_UA browser ^skype
acl skypenet  dst "/etc/squid/skype_networks"
acl skypedom  dstdomain "/etc/squid/skype_domains"
acl localnet src 10.0.0.0/8
http_access allow CONNECT localnet numeric_IPS Skype_UA
http_access allow skypenet localnet
http_access allow skypedom localnet

в файлах прописал сети и домены скайпа, который нарыл в инете и добавлял еще, которые ловил по tcp/denied   в логе сквида

tail -f access.log | grep айпи

домены такие
.microsoftonline.com
.skypeassets.com
.lync.com
.aria.microsoft.com
.blob.core.windows.net
.aspnetcdn.com
.msecnd.net
.azure.net
.skype.com
.streaming.mediaservices.windows.net
.keydelivery.mediaservices.windows.net
.msads.net
.adnxs.com
.trouter.io
.globalsign.com

Сети приводить не буду, список большой.

После нажатия на эхотест в логе две строки
TCP_MISS/200 274 CONNECT 13.107.8.20:443 - DIRECT/13.107.8.20 -
TCP_MISS/200 274 CONNECT 13.107.8.20:443 - DIRECT/13.107.8.20 -

и всё, пока не слетит, после того как звонок слетел, есть другие записи.

Всем привет!
Есть организация примерно 200 машинами, большинство в домене, четверть в раб. группах (те, что не в домене в одной под сети но, с узким каналом связи (по этому не в домене)). В данный момент прокси сервер настроен на прозрачном Трафик Инспекторе с авторизацией по MAC адресам на WinSRV2008r2. Ищу бесплатную альтернативу Трафик Инспектору без настроек прокси браузера с авторизацией (в альтернативе) по MAC'ам (предпочтительней), IP адресам, AD, с возможностью фильтровать контент http https, по подразделам сайтов (там форумы соц сети порно майлы игровые и т.д.), с возможностью фильтровать потоковое видео аудио. Больше склонен к UNIX системам типа CentOS (есть маленький опыт настройки UNIX систем), пробовал настраивать squid+sams+rejik, но как только дошел до прозрачности, сразу все упало, ибо не хочется к каждому пользователю бегать настраивать прокси сервер в разного рода программах (не только браузерах).

Установил squid через webmin (прошу не закидать тазами ) , ставил на ununtu , последней стабильной версии , но при попытки инициализации кеша пришет  " Каталоги кэша Squid /hdd1, /ssd1, /hdd2, /ssd2, /hdd3, /ssd3 не были инициализированы.Это должно быть сделано до запуска Squid." Делаю , но происходит "FATAL: Bungled /etc/squid/squid.conf line 3468: cache_dir rock /hdd1 ... min-size=100000
Squid Cache (Version 3.5.12): Terminated abnormally.
CPU Usage: 0.004 seconds = 0.004 user + 0.000 sys
Maximum Resident Size: 159024 KB
Page faults with physical i/o: 0"
Редактировал данные каталоги  "/hdd1, /ssd1, /hdd2, /ssd2, /hdd3, /ssd3" , но после сохранения и повторного запуска удаляются все значения и появляется "min-size=100000 " в
группе каталог 1 уровня , подскажите как решить данную проблему.

Добрый день!
Пытаюсь настроить Squid для корпоративной сети. Нужно работать в двух режимах непрозрачный с авторизацией по группам в АД, и прозрачный для разного рода устройств, которые либо не поддерживают WPAD, либо нет возможности указывать прокси в браузере вручную (гостевые android телефоны, ноутбуки, ПК и т.д).
С первым вариантом все в порядке.
Со вторым - затык. HTTP работает, HTTPS как бы тоже, но браузер ругается на поддельный сертификат. Устанавливать сертификаты на каждое новое устройство желания нет.
Поэтому вопрос:
Есть ли возможность настроить Сквид в прозрачном(!) режиме для работы с https без установки сквидовского сертификата на клиенты? В гугле искал, оф. документацию читал, ответа пока не нашел. Достаточно чтобы Сквид просто смотрел SNI в Client Hello, и пропускал (то есть splice) или делал terminate, в зависимости от SNI, ну и писал логи по этим сайтам. То есть можно обойтись без дешифровки (bump)
Спасибо

Здравствуйте !
принимайте новичка :)
Озадачился созданием прокси SQUID, на Ubuntu
Создал сервер, установил squid/3.5.12
Поднял NAT.
СОДЕРЖАНИЕ squid.config :
acl url_filtred src 192.168.0.1-192.168.1.250

acl localnet src 192.168.0.0/24 192.168.1.0/24

access_log daemon:/var/log/squid/access.log squid
logfile_rotate 31

acl SSL_ports port 443
acl Safe_ports port 80          # http
acl Safe_ports port 21          # ftp
acl Safe_ports port 443         # https
acl Safe_ports port 70          # gopher
acl Safe_ports port 210         # wais
acl Safe_ports port 1025-65535  # unregistered ports
acl Safe_ports port 280         # http-mgmt
acl Safe_ports port 488         # gss-http
acl Safe_ports port 591         # filemaker
acl Safe_ports port 777         # multiling http
acl CONNECT method CONNECT

http_access deny CONNECT !SSL_ports

http_access allow localhost manager
http_access deny manager

#http_access allow localnet
http_access allow localhost

# And finally deny all other access to this proxy

auth_param basic program /usr/lib/squid/ncsa_auth /etc/squid/internet_users
auth_param basic children 5
auth_param basic realm =My PROXY serveR=
auth_param basic credentialsttl 2 hours
acl internet_users proxy_auth REQUIRED
http_access allow internet_users

http_access deny all

http_port 192.168.1.252:3128 intercept

maximum_object_size 4 MB

cache_dir ufs /var/spool/squid 2048 16 256

СОДЕРЖАНИЕ nat:

#!/bin/sh

#Включаем форвардинг пакетов
echo 1 > /proc/sys/net/ipv4/ip_forward

#Разрешаем траффик на lo
iptables -A INPUT -i lo -j ACCEPT

# Запрещаем HTTP через NAT
#iptables -A FORWARD -i eth1 -p tcp --dport 80 -j REJECT

#Разрешаем доступ из внутренней сети наружу
iptables -A FORWARD -i ens160 -o ens192 -j ACCEPT

#Включаем NAT
iptables -t nat -A POSTROUTING -o ens192 -s 192.168.0.0/23 -j MASQUERADE

#Разрешаем ответы из внешней сети
iptables -A FORWARD -i ens192 -m state --state ESTABLISHED,RELATED -j ACCEPT

#Запрещаем доступ снаружи во внутреннюю сеть
iptables -A FORWARD -i ens192 -o ens160 -j REJECT

# Заворачиваем http на прокси
iptables -t nat -A PREROUTING -i ens160 ! -d 192.168.0.0/23 -p tcp -m multiport --dport 80,8080 -j DNAT --to 192.168.1.252:3128

# Заворачиваем http на прокси
iptables -t nat -A PREROUTING -i ens160 ! -d 192.168.1.0/23 -p tcp -m multiport --dport 80,8080 -j DNAT --to 192.168.1.252:3128

Если в конфиге квида вместо строки
http_port 192.168.1.252:3128 intercept

оставить  http_port 3128
и убрать :
# And finally deny all other access to this proxy

auth_param basic program /usr/lib/squid/ncsa_auth /etc/squid/internet_users
auth_param basic children 5
auth_param basic realm =My PROXY serveR=
auth_param basic credentialsttl 2 hours
acl internet_users proxy_auth REQUIRED
http_access allow internet_users

то пускает всех из локалки (с указанием прокси в браузере)

Ткните носом - что не так.

Заранее спасибо !!!

Нужно создать локальный кеш Yandex Maps, нашол конфиг немного поправил
оригинал в блоге http://yvoinov.blogspot.com/2015/09/squid-3-yandex-maps.html
версия squid 3.5,  FreeBSD 11

 acl store_rewrite_list_web url_regex "/usr/local/etc/squid/url.rewrite_web"   
 acl GET method GET
   
 cat /usr/local/etc/squid/url.rewrite_web:   
   
  # Yandex maps  
  vec[\d][\d]\.maps\.yandex\.net  
  lrs\.maps\.yandex\.net  
  stv\.maps\.yandex\.net   
     
 cat /usr/local/etc/squid/squid.conf:   
   
  # Storeurl rewriter   
  store_id_program /usr/local/squid/libexec/storeid_file_rewrite            /usr/local/etc/squid/storeid.conf   
  store_id_children 32 startup=0 idle=1 concurrency=0   
  # Store ID access   
  store_id_access deny !GET   
  store_id_access allow store_rewrite_list   
  store_id_access allow store_rewrite_list_web   
  store_id_access allow store_rewrite_list_web_cdn   
  store_id_access deny all   
  store_id_bypass off   
     
 cat /usr/local/etc/squid/storeid.conf:   
    
  vec[\d][\d]\.maps\.yandex\.net\/tiles\?.*x=([^&]+).*&y=([^&]+).*&z=([^&]+).*&lang=([^&]+)   http://ymaps-vec.squidinternal/$1/$2/$3/$4  
  lrs\.maps\.yandex\.net\/tiles\?.*x=([^&]+).*&y=([^&]+).*&z=([^&]+).*&lang=([^&]+)  http://ymaps-lrs.squidinternal/$1/$2/$3/$4  
  stv\.maps\.yandex\.net\/images\/.*oid=([^&]+).*x=([^&]+).*&y=([^&]+).*&z=([^&]+)   http://ymaps-stv.squidinternal/$1/$2/$3/$4  
 

Запуск squid

Starting squid.
2017/01/25 16:21:11| ACL not found: store_rewrite_list
FATAL: Bungled /usr/local/etc/squid/squid.conf line 86: store_id_access allow store_rewrite_list
Squid Cache (Version 3.5.23): Terminated abnormally.
CPU Usage: 0.005 seconds = 0.000 user + 0.005 sys
Maximum Resident Size: 23040 KB
Page faults with physical i/o: 0
/usr/local/etc/rc.d/squid: WARNING: failed to start squid

Подскажите пожалуйста куда смотреть, и что почитать?
store_rewrite_list
store_rewrite_list_web
store_rewrite_list_web_cdn  нужно создать вручную ?
И зачем нужен !GET ?

Приветствую. Пытаюсь настроить элементарный прозрачный конфиг, без подделки сертификатов, но получается так, что либо нормально фильтруется https и полностью пропускается http, либо нормально фильтруется http и полностью не пропускается https.

Конфиг элементарный:

http_port 10.96.243.1:3128 intercept options=NO_SSLv3:NO_SSLv2
http_port 10.96.243.1:3130 options=NO_SSLv3:NO_SSLv2
https_port 10.96.243.1:3129 intercept ssl-bump options=ALL:NO_SSLv3:NO_SSLv2 connection-auth=off cert=/etc/squid/squidCA.pem
acl localnet src 10.0.0.0/8     # RFC1918 possible internal network
acl SSL_ports port 443
acl Safe_ports port 80          # http
acl Safe_ports port 443         # https
acl CONNECT method CONNECT
acl http_allow dstdomain "/etc/squid/http_allow_domains.txt"
acl https_allow ssl::server_name  "/etc/squid/https_allow_domains.txt"
sslproxy_cert_error allow all
sslproxy_flags DONT_VERIFY_PEER
acl step1 at_step SslBump1
ssl_bump peek step1
ssl_bump splice https_allow
ssl_bump terminate all
cache deny all
http_access deny !Safe_ports
http_access deny CONNECT !SSL_ports
http_access allow localhost manager
http_access deny manager
http_access allow all http_allow
http_access allow all https_allow
http_access deny all
always_direct allow all
coredump_dir /var/spool/squid
refresh_pattern .               0       0%      0
logformat ssl %ts.%03tu %6tr %>a %la:%lp %Ss/%03>Hs %<st %rm %ssl::>sni %ru %[un %Sh/%<a %mt
access_log daemon:/var/log/squid/access.log logformat=ssl

# cat http_allow_domains.txt
.google.com
# cat https_allow_domains.txt
.google.com

В таком виде фильтруется http, а https не работает - выдает самоподписаную страницу с отказом доступа.

если правила доступа поменять на:

http_access allow all

То начинает нормально фильтроваться https, а http пропускается весь, что логично.

Что я делаю не так????

Добрый день! Два года к ряду работал себе Squid и сегодня без ведомых причин все встало колом и не пашет. Авторизация проходит!
С Самого сервера инет есть ping по имени и ИП, nslookup работает!
Telnet на сервер подключается
Минуя SQUID инет пашет.
Прошу Помощи!
Логи:
2017/01/25 13:15:08 kid1| Set Current Directory to /var/spool/squid3
2017/01/25 13:15:08 kid1| Starting Squid Cache version 3.4.8 for i586-pc-linux-gnu...
2017/01/25 13:15:08 kid1| Process ID 1141
2017/01/25 13:15:08 kid1| Process Roles: worker
2017/01/25 13:15:08 kid1| With 65535 file descriptors available
2017/01/25 13:15:08 kid1| Initializing IP Cache...
2017/01/25 13:15:08 kid1| DNS Socket created at [::], FD 7
2017/01/25 13:15:08 kid1| DNS Socket created at 0.0.0.0, FD 8
2017/01/25 13:15:08 kid1| Adding domain domain.local from /etc/resolv.conf
2017/01/25 13:15:08 kid1| Adding nameserver 192.168.21.215 from /etc/resolv.conf
2017/01/25 13:15:08 kid1| helperOpenServers: Starting 0/50 'basic_ldap_auth' processes
2017/01/25 13:15:08 kid1| helperOpenServers: No 'basic_ldap_auth' processes needed.
2017/01/25 13:15:08 kid1| helperOpenServers: Starting 5/5 'ext_ldap_group_acl' processes
2017/01/25 13:15:08 kid1| Logfile: opening log /var/log/squid3/access.log
2017/01/25 13:15:08 kid1| WARNING: log name now starts with a module name. Use 'stdio:/var/log/squid3/access.log'
2017/01/25 13:15:08 kid1| Local cache digest enabled; rebuild/rewrite every 3600/3600 sec
2017/01/25 13:15:08 kid1| Store logging disabled
2017/01/25 13:15:08 kid1| Swap maxSize 0 + 262144 KB, estimated 20164 objects
2017/01/25 13:15:08 kid1| Target number of buckets: 1008
2017/01/25 13:15:08 kid1| Using 8192 Store buckets
2017/01/25 13:15:08 kid1| Max Mem  size: 262144 KB
2017/01/25 13:15:08 kid1| Max Swap size: 0 KB
2017/01/25 13:15:08 kid1| Using Least Load store dir selection
2017/01/25 13:15:08 kid1| Set Current Directory to /var/spool/squid3
2017/01/25 13:15:08 kid1| Finished loading MIME types and icons.
2017/01/25 13:15:08 kid1| HTCP Disabled.
2017/01/25 13:15:08 kid1| Pinger socket opened on FD 22
2017/01/25 13:15:08 kid1| Squid plugin modules loaded: 0
2017/01/25 13:15:08 kid1| Adaptation support is off.
2017/01/25 13:15:08 kid1| Accepting HTTP Socket connections at local=192.168.21.217:3128 remote=[::] FD 20 flags=9
2017/01/25 13:15:08| pinger: Initialising ICMP pinger ...
2017/01/25 13:15:08| pinger: ICMP socket opened.
2017/01/25 13:15:08| pinger: ICMPv6 socket opened
2017/01/25 13:15:09 kid1| storeLateRelease: released 0 objects
2017/01/25 13:15:27 kid1| Starting new basicauthenticator helpers...
2017/01/25 13:15:27 kid1| helperOpenServers: Starting 1/50 'basic_ldap_auth' processes
Конфиг:
auth_param basic program /usr/lib/squid3/basic_ldap_auth -R -D ProxyUser1@domain.local -w "password" -b "DC=domain,DC=local" -f "sAMAccountName=%s" -h 192.168.21.215
#и параметры для его запуска
auth_param basic children 50
auth_param basic realm Welcome! Please, enter your password.
auth_param basic credentialsttl 12 hours
auth_param basic casesensitive off
#описываем локальную сеть (про acl'ки типа localhost и all squid3 знает сам)
acl localnet src 192.168.21.0/24
#разрешенные порты, методы и области подключения
acl Safe_ports port 20-21
acl SSL_ports port 443
acl Safe_ports port 80
acl Safe_ports port 8080
acl Safe_ports port 443
#http_access deny !Safe_ports
acl CONNECT method CONNECT
external_acl_type ldap_users %LOGIN /usr/lib/squid3/ext_ldap_group_acl -v 3 -P -R -K -b "dc=domain,dc=local" -D "cn=ProxyUser,cn=Users,dc=domen,dc=local" -w "password"
-f "(&(objectclass=person)(sAMAccountName=%v)(memberOf:1.2.840.113556.1.4.1941:=cn=%g,CN=Users,dc=domen,dc=local))" -h 192.168.21.215
#Запрещенные сайты
acl black_list dstdomain "/etc/squid3/black_list"

#Группы
acl Internet external ldap_users Internet
acl Internetmin external ldap_users Internetmin
http_access allow all Internet
#Запретить группе сайты из листа
#http_access allow all Internetmin
http_access deny Internetmin black_list
http_access allow all Internetmin
#в конце запретим всем остальным пользование этим прокси-сервером
http_access deny all
#далее идут мои настройки
http_port 192.168.21.217:3128
#SYSTEM
# Куда и в каком объеме будем писать логи
access_log /var/log/squid3/access.log
logfile_rotate 100
coredump_dir /var/spool/squid3
# Запрещаем отображение версии прокси-сервера и имени
httpd_suppress_version_string on
visible_hostname PROXYSERVER
# Включаем русский язык для сообщений сервера
error_directory /usr/share/squid3/errors/Russian-1251
error_default_language ru# Включаем русский язык для сообщений сервера
error_directory /usr/share/squid3/errors/Russian-1251

Iptables:
iptables -n -L -v --line-numbers
Chain INPUT (policy ACCEPT 0 packets, 0 bytes)
num   pkts bytes target     prot opt in     out     source               destina                                                  tion

Chain FORWARD (policy ACCEPT 0 packets, 0 bytes)
num   pkts bytes target     prot opt in     out     source               destina                                                  tion

Chain OUTPUT (policy ACCEPT 0 packets, 0 bytes)
num   pkts bytes target     prot opt in     out     source               destina

При чем
Сайт ulmart.ru и opennet.ru открываются.
Напомню что все сайты которые не открываются тип mail.ru или vk.com открываются на прямую из этой же сети.