Все технические форумы на одном сайте Удобный поиск информации с популярных форумов в одном месте
Вопрос: Настроить SQUID для Главного Одмина

Всем доброго времени! Мне необходимо настроить SQUID(условно буду говорить: "Сквида", так проще=) ). Настроить так, чтобы локалка имела доступ в инет, а из wan не был доступен dns, dhcp. Еще нужно, чтобы работал протокол https(и заблокировать альтенативный http), так же порезать доступ в соц сети: вк, ОК, твит и прочее. В нете нашел только половину из того, что необходимо сделать, а как сделать недоступным из мира dns, dhcp - так и не могу разобраться. Я пока начинающий админ unix, прошу излагаться по понятнее, если не затруднит. Спасибо большое заранее!
P.S. альтернативные пути решения проблем не предлагать, сквиду мне поручил поставить главный админ.
Ответ: 1)Необходимо настроить сквиду на прозрачный режим
1 - установить сквид.
2)Обеспечить маршрутизацию через сквид из мира во внутрь и обратно
а при чем тут сквид?
3)Заблокировать доступность миру наши DHCP, DNS.
а при чем тут сквид?
4)Настроить на работу https, при этом заблокировав http.

а при чем тут сквид?
- это возможно, на уровне невозможного.
-Серегу, когда хоронили, видал каким бодрячком выглядел?
-Ну так, три дня не пил...

Добавлено через 7 минут
Ну, типа, если у меня есть возможность прокинуть запрос через
ваш сквид к своему, почему я не омогу этим пользоваться?

Добавлено через 32 минуты
"Маршрутизация" - возможно, ваш началник подразумевает
нечто, отличающееся от маршрутизации?
Вопрос: squid

Настроил squid по следующему мануалу:

В конфиге используются две схемы авторизации negociate и base
C доменными пользователеми все Ок
Для не доменных пользователей (например локальный Администратор) как я понял должна сработать base, но у меня почему то в cashe.log:

ERROR: Negotiate Authentication validating user. Result: {result=BH, notes={message: received type 1 NTLM token; }}
Ответ: Настроил squid по следующему мануалу:

В конфиге используются две схемы авторизации negociate и base
C доменными пользователеми все Ок
Для не доменных пользователей (например локальный Администратор) как я понял должна сработать base, но у меня почему то в cashe.log:

ERROR: Negotiate Authentication validating user. Result: {result=BH, notes={message: received type 1 NTLM token; }}
Вопрос: Не могу настроить Squid версии 3.5.12

Здравствуйте многоуважаемые форумчане

Прошу Вас помогите мне в настройке Squid. Так как Ваш покорный слуга новенький в данном деле, и практически совсем не имел дело с великолепной операционной системой Linux. Решил изучить прокси сервер на Linux Ubuntu версии 16.04, установив ее на виртуальной машине VMWare Workstation. Прочитав в интернете инструкции я сделал все как там описано и даже поднял DHCP (которая прекрасно работает). Но вот сам Suid выдает ошибку (Рисунок под названием Squid1). Также я ниже выклал рисунок с версии самого Squid.
Прошу Вас многоуважаемые форумчане помогите мне, так как я не могу понять что я не правильно делаю.
Заранее благодарен Вам.
Ответ:
Сообщение от mikkijon
Скриншоты я сделать благодаря самой программе VMWare
да хоть ручкой паркер в блокнот рисовали - КАКАЯ РАЗНИЦА?
я вам предложил команды вводить. вы ведь как-то вводили те команды, которые на скриншотах показаны? святым духом? программой вмваре? точно также введите команду
Bash
1
service squid start
Вопрос: Настроить squid на редирект http портов

Добрый день, имеется Squid в прозрачном режиме и у меня возникла проблема с фильтрацией http 8080 порта.
Особо умные звери, решили ходить на сайты с 8080 портом, где нет фильтрации... По всей видимости кальмар не умеет фильтровать http порты и требуется заворачивать все соединения на него.

Мне передали уже готовую систему фильтрации но не могу в ней разобраться, просьба помочь. Спасибо.

Схема:
Ответ:
Сообщение от Professional
Товарищи, ну что ни кто не сможет помочь?
Запретите In/Out/Forward 8080 в своей сети. Любой затычкой - линукс, циська, цевиндовс.
Можно написать решение для линукс, но это будет слишком нагло выглядеть.
А про циську и про виндульку - низя, ибо не линукс.
Да и не видел я их стописят лет.
Вопрос: Squid + AD Блокировка по пользователям

Добрый день.
Настроил squid с авторизацией в AD.


имеются 3 группы в AD в которые добавляются пользователи.
1. Админс - открыто все.
2. Блэк - закрыто все
3. БлэкВайт - закрыто все кроме того что хранится в вайт листе.
4. Если пользователь не принадлежит ни одной из групп то ему открыто все кроме того что хранится в блек листе.

Собственно вопрос.
Как сделать так что бы определенной группе было закрыто все что в блек листе но открыто то что в вайт листе.
Т.е. например vk.com у меня закрыт для всех пользователей. но есть люди которым он нужен, добавляю вк в вайт лист.

Конфиг

# Пути к файлам запрещающих, разрешающих определенные действия #
################################################################
# Группа в AD на которую не распространяются запреты
acl S_SQUID_ADMINS_IP external S_SQUID_ADMINS_IP
# Группа в AD в которой запрещен интернет
acl S_SQUID_BLOCK_INET external S_SQUID_BLOCK_INET
# Группа в AD в которой запрещен интернет кроме Белого списка
acl S_SQUID_BLOCK_INET_WHITE external S_SQUID_BLOCK_INET_WHITE
# Путь к белому списку сайтов
acl WhiteList dstdomain "/etc/squid/WhiteList.txt"
# Путь к черному списку сайтов
acl BlackList dstdomain "/etc/squid/BlackList.txt"
#########################
# Параметры DNS записей #
#########################
# Список DNS серверов(IP адреса), которые будут использоваться вместо тех, что определены в /etc/resolv.conf файле
dns_nameservers 192.168.1.2
#########################################
# Правила ограничений доступа клиентов #
#########################################
# Запретить доступ к портам, отсутствующим в списке выше
http_access deny !Safe_ports
# Запретить метод CONNECT не на SSL-порт
http_access deny CONNECT !SSL_ports
# Разрешить только локальное управление кэшем
http_access allow localhost manager
http_access deny manager
# Не ограничивать локальный доступ с сервера
http_access allow localhost
# Доступ в интернет без ограничения доступа
http_access allow S_SQUID_ADMINS_IP
# Блокировать интернет всем кто в указанной ниже группе AD, кроме белого списка адресов
http_access deny S_SQUID_BLOCK_INET_WHITE !WhiteList
# Блокировать интернет всем кто в указанной ниже группе AD
http_access deny S_SQUID_BLOCK_INET
# Блокировать запрещенные сайты
http_access deny BlackList
# Правила разрешающего доступ в интернет только авторизованным пользователям AD
http_access allow auth
# Блокирует все, что не было разрешено выше
http_access deny all


Добавлено через 2 минуты
Вообщем суть вопроса как привязать конкретный блек лист к конкретной группе AD ?
Ответ:
Сообщение от gng
WALRUS911
верно ли утверждение что при нахождении правила поподающего под условия дальнейший перебор правил прекращается?
,
Верно.
Верно и второе: несколько acl в одном правиле соединяются операцией И.

Тогда почему не работает?
правильно ли я указываю что для группы SQUID_BLOCK_INET_WHITE разрешать только сайты в списке вайт лист?
http_access allow SQUID_BLOCK_INET_WHITE WhiteList

Добавлено через 43 минуты
Разобрался все заработало. сам прощелкал)) Не в том файле белый лист писал.
Вопрос: Squid: неправильное назначение DNS у клиентов

Добрый день.
Столкнулся с такой проблемой. Настроен squid на Debian. Интернет раздается через несколько роутеров. Какое-то время все было нормально. Но недавно при подключении к Интернет вылезает "Не удается найти DNS Adress сервера". Работает все (скайп, вайбер и т.п.) кроме браузеров и почтового клиента. Посмотрел что выдает DHCP сервер - IP-адрес, шлюз - ок, но DNS выглядит так: 192.168.100.3 либо, если несколько раз включить-выключить сеть, 192.168.100.7. Должно же быть 192.168.100.251, 192.168.0.249. При выставлении DNS у клиента вручную все конечно же работает нормально. 192.168.100.3 и 192.168.100.7 - это IP-адреса роутеров в сети (при этом я подключаюсь к роутеру 192.168.100.6). Во всех роутерах DHCP-сервера отключены.
Такая беда проявляется не на всех компьютерах. Замечены 1 под Win XP, 2-Win 7, 1-Win 8. На андроидах пока не замечал.
Часто спустя какое-то время через браузеры можно ходить в интернет. Иногда при этом DNS не меняется (у клиента) иногда изменяется на тот, что настроен на сервере (192.168.100.251, 192.168.0.249).
Кто может подсказать в чем проблема?
Ответ: Marinero, спасибо. Проблема решилась. Оказался глюк в двух роутерах одновременно, скорее всего из-за того, что отключилось электричество во всем здании.
Вопрос: Не работает прозрачный прокси squid-3.5.3

Не могу понять в чем дело, перековырял вроде все настройки, до этого все работало, после обновления не пашет именно прозрачный прокси, в логах ничего нету!

ipfw2 initialized, divert loadable, nat enabled, rule-based forwarding enabled, default to deny, logging disabled

ipfw add 1000 allow tcp from me to any out via rl0 keep-state uid squid
ipfw add 1010 fwd 127.0.0.1,3128 tcp from 192.168.0.0/24 to any 80-83,8080-8083 out via rl0

uname -a 9.1-RELEASE-p22 FreeBSD 9.1-RELEASE-p22


squid.conf

access_log syslog:LOG_LOCAL4 squid

cache_mem 128 MB
cache_dir ufs /var/spool/squid 2048 64 256
maximum_object_size 8092 KB
maximum_object_size_in_memory 1024 KB
max_filedescriptors 8128

shutdown_lifetime 1 seconds
connect_timeout 20 seconds

#url_rewrite_program /usr/local/bin/squidGuard

#
# Recommended minimum configuration:
#

# Example rule allowing access from your local networks.
# Adapt to list your (internal) IP networks from where browsing
# should be allowed
acl localnet src 192.168.0.10-192.168.0.254 # RFC1918 possible internal network
acl admin src 192.168.0.2-192.168.0.9

acl SSL_ports port 443 # https
acl Safe_ports port "/usr/local/etc/squid/safe_ports.acl"
acl Safe_ports port 1025-65535 # unregistered ports

acl purge method PURGE
acl CONNECT method CONNECT

http_access deny !Safe_ports

http_access allow localhost
http_access allow admin
http_access allow localnet

http_access allow all
http_access deny all

icp_access allow localnet
icp_access deny all

# Deny CONNECT to other than secure SSL ports
#http_access deny CONNECT !SSL_ports

# We strongly recommend the following be uncommented to protect innocent
# web applications running on the proxy server who think the only
# one who can access services on "localhost" is a local user
http_access deny to_localhost

#
# INSERT YOUR OWN RULE(S) HERE TO ALLOW ACCESS FROM YOUR CLIENTS
#

# Example rule allowing access from your local networks.
# Adapt localnet in the ACL section to list your (internal) IP networks
# from where browsing should be allowed
http_access allow localnet
http_access allow localhost

# And finally deny all other access to this proxy
http_access deny all

# Squid normally listens to port 3128
http_port 3128
http_port 127.0.0.1:3128 intercept

dns_v4_first on

# Leave coredumps in the first cache dir
coredump_dir /var/squid/cache/squid

# Add any of your own refresh_pattern entries above these.
refresh_pattern ^ftp: &n... 1440 0% 10080
refresh_pattern ^gopher: 1440 0% 1440
refresh_pattern -i (/cgi-bin/|\?) 0 0% 0
refresh_pattern . 0 20% 4320

squid/cache.log


2015/06/03 12:43:34 kid1| Set Current Directory to /var/squid/cache/squid
2015/06/03 12:43:34 kid1| Starting Squid Cache version 3.5.3 for amd64-portbld-freebsd9.1...
2015/06/03 12:43:34 kid1| Service Name: squid
2015/06/03 12:43:34 kid1| Process ID 65092
2015/06/03 12:43:34 kid1| Process Roles: worker
2015/06/03 12:43:34 kid1| With 8128 file descriptors available
2015/06/03 12:43:34 kid1| Initializing IP Cache...
2015/06/03 12:43:34 kid1| DNS Socket created at [::], FD 6
2015/06/03 12:43:34 kid1| DNS Socket created at 0.0.0.0, FD 8
2015/06/03 12:43:34 kid1| Adding domain backup.hochuvotpusk.ru from /etc/resolv.conf
2015/06/03 12:43:34 kid1| Adding nameserver 192.168.0.1 from /etc/resolv.conf
2015/06/03 12:43:34 kid1| Adding nameserver 213.134.192.18 from /etc/resolv.conf
2015/06/03 12:43:34 kid1| Adding nameserver 213.134.195.253 from /etc/resolv.conf
2015/06/03 12:43:34 kid1| Logfile: opening log syslog:LOG_LOCAL4
2015/06/03 12:43:35 kid1| Unlinkd pipe opened on FD 12
2015/06/03 12:43:35 kid1| Store logging disabled
2015/06/03 12:43:35 kid1| Swap maxSize 2097152 + 131072 KB, estimated 171401 objects
2015/06/03 12:43:35 kid1| Target number of buckets: 8570
2015/06/03 12:43:35 kid1| Using 16384 Store buckets
2015/06/03 12:43:35 kid1| Max Mem size: 131072 KB
2015/06/03 12:43:35 kid1| Max Swap size: 2097152 KB
2015/06/03 12:43:35 kid1| Rebuilding storage in /var/spool/squid (clean log)
2015/06/03 12:43:35 kid1| Using Least Load store dir selection
2015/06/03 12:43:35 kid1| Set Current Directory to /var/squid/cache/squid
2015/06/03 12:43:35 kid1| Finished loading MIME types and icons.
2015/06/03 12:43:35 kid1| HTCP Disabled.
2015/06/03 12:43:35 kid1| Squid plugin modules loaded: 0
2015/06/03 12:43:35 kid1| Accepting HTTP Socket connections at local=[::]:3128 remote=[::] FD 15 flags=9
2015/06/03 12:43:35 kid1| Accepting NAT intercepted HTTP Socket connections at local=127.0.0.1:3128 remote=[::] FD 16 flags=41
2015/06/03 12:43:35 kid1| Done reading /var/spool/squid swaplog (13 entries)
2015/06/03 12:43:35 kid1| Finished rebuilding storage from disk.
2015/06/03 12:43:35 kid1| 13 Entries scanned
2015/06/03 12:43:35 kid1| 0 Invalid entries.
2015/06/03 12:43:35 kid1| 0 With invalid flags.
2015/06/03 12:43:35 kid1| 13 Objects loaded.
2015/06/03 12:43:35 kid1| 0 Objects expired.
2015/06/03 12:43:35 kid1| 0 Objects cancelled.
2015/06/03 12:43:35 kid1| 0 Duplicate URLs purged.
2015/06/03 12:43:35 kid1| 0 Swapfile clashes avoided.
2015/06/03 12:43:35 kid1| Took 0.02 seconds (698.66 objects/sec).
2015/06/03 12:43:35 kid1| Beginning Validation Procedure
2015/06/03 12:43:35 kid1| Completed Validation Procedure
2015/06/03 12:43:35 kid1| Validated 13 Entries
2015/06/03 12:43:35 kid1| store_swap_size = 164.00 KB
2015/06/03 12:43:36 kid1| storeLateRelease: released 0 objects

Если попробовать перенастроить браузер на прокси 192.168.0.1:3128 все работает
но прозрачный никак, где я накосячил?
Ответ:
westvovik
Вообще не понимаю
кстати до этого версия squid 3.3 работала!
Но после обновления все встало!
с этого и начинать надо было, быстрее бы причина стала ясна.

westvovik
Боюсь на рабочем роутере накосячить с обновлениями FreeBSD, а так да конечно нужно уже обновляться
клонируй систему на другое железо и проведи тестовое обновление


vkle
Такая проблема не может вылезти из-за использования уже неподдерживаемого релиза ОС?
сильно смотневаюсь, тем более что поддержка 9.1 прекратилась чуть менее полугода назад.
Вопрос: Установить и настроить proxy-server squid

3.​ На сервере необходимо установить и настроить proxy-server squid, чтобы сервер раздавал интернет на локальные сети I и II. При этом, в локальной сети I закрыть сайты: vk.com, mail.ru; а в локальной сети II – ya.ru, e1.ru.
Заранее благодарю за любую полезную информацию или помощь
Ответ: Мой файл выглядит так:
C++
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
http_port 192.168.0.1:3128
acl localnet src 192.168.0.0/255.255.255.0
acl localhost src 127.0.0.1/255.255.255.255
acl all src 0.0.0.0/0.0.0.0
 
error_directory C:\Squid\share\errors\Ukrainian-1251
 
acl soc dstdomain "C:\Squid\ban\soc.txt"
http_access deny soc
 
http_access allow localnet
http_access allow localhost
 
acl torrnet port 1024-65535
acl CONNECT method CONNECT
acl net src 192.168.0.0/255.255.255.0
http_access allow CONNECT torrnet net 
 
 
http_access deny all
cache_log none
cache_store_log none
 
cache_dir ufs c:/squid/var/cache 100 16 256
- у меня соц. сети прописаные в файлике. Не работает только кеш - он у меня разростается в гигабайты...
За инфу про патч спасибо - испробую.
Вопрос: CentOS 6.4+Squid+iptables

Хочется организовать полностью прозрачный прокси -сервер, который будет пропускать через себя весь интернет трафик. Без изменения настроек браузера.
Проблема: не получается организовать прозрачный Squid, а точнее сделать редирект трафика на Squid через iptables.
Что имеется:
- CentOS 6.4 выступающий в качестве шлюза.
- Squid 3.1.
- 2 сетевых интерфейса. eth0 (172.22.22.22/24) - смотрит во внешку, eth1(192.168.10.20/21) - смотрит в локальную сеть. Установлены последние обновления для системы.
- webmin.
Что было сделано:
был установлен пакет программ, необходимых для решения проблемы, настроен squid без всяких глубоких настроек разрешений и запрета.
Настроен, но не правильно iptables. Вот как он выглядит
Ответ: А в конфиге сквида указано, что порт 3128 - прозрачный?
Вопрос: Настройка squid

Здравствуйте, подскажите, пожалуйста, возможно ли организовать фильтрацию https трафика посредством squid? Если да, то как? Поделитесь знаниями или ссылкой... С http я разобрался, dansguardion использовал, а вот что делать с https пока не могу понять
Ответ:
Сообщение от Serega@93-93
возможно ли организовать фильтрацию https трафика посредством squid?
И да и нет.
Есть два способа.
1. метод CONNECT. Прокси в данном случае не может быть прозрачным. Фильтровать содержимое нельзя, только ip, частично url. Поиск настроек по фразе "squid connect method"
2. Последние версии сквида (уже года как два) научились подменять сертификат. Клиентский браузер будет выдавать предупреждение, что сертификат не соответствует сайту, но обычно его можно настроить на прием сквидовского сертификата. В этом случае можно проксировать прозрачно и фильтровать весь трафик. Клиенты, естественно, должны быть предупреждены, что в сети идет полная прослушка, включая номера карт и пароли. Поиск настроек по фразе "squid bumping SSL/TLS"