Базовая аутентификация в сквиде

Проблемы установки, настройки и работы Правильной Операционной Системы

Модератор: terminus

Правила форума
Убедительная просьба юзать теги [cоde] при оформлении листингов.
Сообщения не оформленные должным образом имеют все шансы быть незамеченными.
Roman
мл. сержант
Сообщения: 108
Зарегистрирован: 2006-01-22 15:51:57
Откуда: Россия

Непрочитанное сообщение Roman » 2006-03-22 21:23:27

Чтобы пошла авторизация надо в двух статьях исправить (правда потерял прозрачность :() :
Urgor писал(а):Попробуй:

Код: Выделить всё

auth_param basic program /usr/local/libexec/squid/ncsa_auth /usr/local/squid/etc/passwd
auth_param basic children 20
auth_param basic realm Password required
auth_param basic credentialsttl 2 minute
auth_param basic casesensitive off

acl     internet          proxy_auth      REQUIRED
acl     all                  src                 0.0.0.0/0.0.0.0
acl     localhost         src                 127.0.0.0/8
acl     our_networkc  scr                 192.168.0.0/24  #тоже надо дописать
#acl     internet        proxy_auth      REQUIRED        #это правило  немного повыше

http_access     allow   internet
http_access     allow   localhost
http_access     deny   all
[quote="Статья Lissyar'ы...." Прокси-сервер SQUID" "]

Код: Выделить всё

 После чего топаем в /usr/local/etc/squid и редактируем squid.conf до такого состояния (все настройки даны для прозрачного прокси-сервера, у "непрозрачного" будут отсутствовать пункты http_accel_*):
[/quote]
Там опечатка. Надо httpd_accel_* ....Тогда все пойдет. Спасибо авторам за помощь !!!!!!!!!!

Хостинговая компания Host-Food.ru
Хостинг HostFood.ru
 

Услуги хостинговой компании Host-Food.ru

Хостинг HostFood.ru

Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2460 рублей (8 CPU, 8Gb RAM, 2x500Gb HDD, RAID 3ware 9750):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/

Аватара пользователя
Alex Keda
стреляли...
Сообщения: 35045
Зарегистрирован: 2004-10-18 14:25:19
Откуда: Made in USSR
Контактная информация:

Непрочитанное сообщение Alex Keda » 2006-03-22 22:43:09

А выложи конфиг непрозрачного?
Честно говоря непрозрачный делал пару раз в жизни ,в экспериметальных целях, один раз с авторизацией, но в обоих случаях без httpd_accel_*....
Убей их всех! Бог потом рассортирует...

Roman
мл. сержант
Сообщения: 108
Зарегистрирован: 2006-01-22 15:51:57
Откуда: Россия

Непрочитанное сообщение Roman » 2006-03-22 23:05:33

Большая часть конфига твоего. То что не пошло-заремлено. А так конфиг полностью рабочий. Еще в Opere(IE) надо включить прокси с адресом и портом сквида.

Код: Выделить всё

http_port 3128
icp_port 0
hierarchy_stoplist cgi-bin ?
acl QUERY urlpath_regex cgi-bin \?
no_cache deny QUERY
cache_mem 128 MB
maximum_object_size 8092 KB
maximum_object_size_in_memory 512 KB
cache_dir ufs /usr/local/squid/cache 2048 64 256
cache_access_log /var/log/squid/access.log
cache_log /var/log/squid/cache.log
cache_store_log /var/log/squid/store.log
cache_mgr admin@my_domain.ru
visible_hostname mail.my_domain.ru
#Уменя модем
#tcp_outgoing_address 222.222.222.222  
refresh_pattern ^ftp:           1440    20%     10080
refresh_pattern ^gopher:        1440    0%      1440
refresh_pattern .               0       20%     4320
# Пока не ползуюсь
#redirect_program /usr/local/etc/squid/redirector.pl
#redirect_children 10

auth_param basic program /usr/local/libexec/squid/ncsa_auth /usr/local/squid/passwd
#не пошло
#authenticate_program /usr/local/libexec/squid/ncsa_auth /usr/local/squid/passwd
auth_param basic children 20 
auth_param basic realm Password required 
auth_param basic credentialsttl 2 minute 
auth_param basic casesensitive off 

acl	internet	proxy_auth	REQUIRED
acl     all             src		0.0.0.0/0.0.0.0 
acl     localhost       src             127.0.0.0/8 
acl     our_networks	src		192.168.0.0/24
 

http_access     allow   internet 
http_access     allow   localhost
http_access     allow   our_networks
http_access     deny   all

# не пошло
#httpd_accel_host virtual
#httpd_accel_port 80
#httpd_accel_uses_host_header on

coredump_dir /usr/local/squid/cache
pid_filename /usr/local/squid/logs/squid.pid

Аватара пользователя
Alex Keda
стреляли...
Сообщения: 35045
Зарегистрирован: 2004-10-18 14:25:19
Откуда: Made in USSR
Контактная информация:

Непрочитанное сообщение Alex Keda » 2006-03-22 23:10:15

:)
Ну а у меня что написано? Что надо убрать httpd_accel* :))) Что ты и сделал закомментировав их...
Убей их всех! Бог потом рассортирует...

Roman
мл. сержант
Сообщения: 108
Зарегистрирован: 2006-01-22 15:51:57
Откуда: Россия

Непрочитанное сообщение Roman » 2006-03-22 23:20:19

Sorry !!! Да, в коде все правильно !!!

Аватара пользователя
Alex Keda
стреляли...
Сообщения: 35045
Зарегистрирован: 2004-10-18 14:25:19
Откуда: Made in USSR
Контактная информация:

Непрочитанное сообщение Alex Keda » 2006-03-22 23:58:44

А я уже начал ковыряться, что где не так, и почему у меня так а у тя нетак...
Убей их всех! Бог потом рассортирует...

Roman
мл. сержант
Сообщения: 108
Зарегистрирован: 2006-01-22 15:51:57
Откуда: Россия

Непрочитанное сообщение Roman » 2006-03-23 10:07:10

Не в коде, а в самой статье пропущена буква "d" вместо httpd_accel_* написано http_accel_*. А в коде все правильно !!! вот цитата

Код: Выделить всё

 После чего топаем в /usr/local/etc/squid и редактируем squid.conf до такого состояния (все настройки даны для прозрачного прокси-сервера, у "непрозрачного" будут отсутствовать пункты http_accel_*):
Вопрос ввел команду pkg_version -v ...
.......
squid-2.5.12_4 < needs updating (port has 2.5.13)
.......
Вопрос: как корректно обновить версию, чтобы сохранились все мои конфиги
Пробовал /usr/ports/www/squid make clean
#make
#make install
---> ***Error code 1
Что делать ??? Как правильно обновить версию

Аватара пользователя
Alex Keda
стреляли...
Сообщения: 35045
Зарегистрирован: 2004-10-18 14:25:19
Откуда: Made in USSR
Контактная информация:

Непрочитанное сообщение Alex Keda » 2006-03-23 10:24:08

ща поправлю.

а обновиться примерно так:

Код: Выделить всё

portupgrade `pkg_info | grep squid | awk '{print $1}'`
тока вначале порты обнови
Убей их всех! Бог потом рассортирует...

Roman
мл. сержант
Сообщения: 108
Зарегистрирован: 2006-01-22 15:51:57
Откуда: Россия

Непрочитанное сообщение Roman » 2006-03-23 10:32:31

Спасибо ! Порты уже обновил. А обновить версии попробую вечером....модем (льготный траффик начинается с 17:00, а по GPRS как-то денег лишних нет :))

Аватара пользователя
Alex Keda
стреляли...
Сообщения: 35045
Зарегистрирован: 2004-10-18 14:25:19
Откуда: Made in USSR
Контактная информация:

Непрочитанное сообщение Alex Keda » 2006-03-23 10:46:06

портапгрейд из портов поставь

Код: Выделить всё

/usr/ports/>make search name='portupgrade'
Port:   portupgrade-2.0.1_1,1
Path:   /usr/ports/sysutils/portupgrade
Info:   FreeBSD ports/packages administration and management tool suite
Maint:  koma2@lovepeers.org
B-deps: ruby-1.8.4_4,1
R-deps: perl-5.8.8 ruby-1.8.4_4,1 ruby18-bdb1-0.2.2
WWW:

/usr/ports/>
а то все теряются нет такой команды :)))

===
хотя... ща статью накатаю...
Убей их всех! Бог потом рассортирует...

Roman
мл. сержант
Сообщения: 108
Зарегистрирован: 2006-01-22 15:51:57
Откуда: Россия

Непрочитанное сообщение Roman » 2006-03-23 11:08:48

Здорово ! Вечером хотелось бы почиттать эту статью :)

Аватара пользователя
Alex Keda
стреляли...
Сообщения: 35045
Зарегистрирован: 2004-10-18 14:25:19
Откуда: Made in USSR
Контактная информация:

Непрочитанное сообщение Alex Keda » 2006-03-23 11:37:46

Ща. заодно и обновляю в процессе.
Убей их всех! Бог потом рассортирует...

Roman
мл. сержант
Сообщения: 108
Зарегистрирован: 2006-01-22 15:51:57
Откуда: Россия

Непрочитанное сообщение Roman » 2006-03-23 11:49:37

Я в одной организации видел, что у них интернет-авторизация по логину и паролю (NCSA-это точно, я у сисадмина спрашивал). Но когда я залез в настройки браузера в пункте "прокси" было пусто...(прозрачность).Как такое может быть ? У него два Linuxa (один чисто роутер с фаерволом, встроенным в ядро, на другом программное обеспечение Squid, Samba и т.д.....это говорит для безопасности...т.е. две штуки). Я спросил его как он сделал...а он не говорит...много чего может мне и неправильно сказал ????)

Аватара пользователя
Alex Keda
стреляли...
Сообщения: 35045
Зарегистрирован: 2004-10-18 14:25:19
Откуда: Made in USSR
Контактная информация:

Непрочитанное сообщение Alex Keda » 2006-03-23 12:25:41

Roman писал(а):Я в одной организации видел, что у них интернет-авторизация по логину и паролю (NCSA-это точно, я у сисадмина спрашивал).
прям окошко выскакивает с требование пароля?

чё-то слабо верится :(

====
либо, раз у него два линуха - на первом прозрачный прокси, шлющий запросы на сквид (непрозрачный) на втором....

Я изгалялся, делал что-то подобное - два сквида на одной машине...
Убей их всех! Бог потом рассортирует...

Roman
мл. сержант
Сообщения: 108
Зарегистрирован: 2006-01-22 15:51:57
Откуда: Россия

Непрочитанное сообщение Roman » 2006-03-23 12:30:04

Я два года работал там, :lol: и два года там выскакивало окошко для ввода пароля и логина

Аватара пользователя
Alex Keda
стреляли...
Сообщения: 35045
Зарегистрирован: 2004-10-18 14:25:19
Откуда: Made in USSR
Контактная информация:

Непрочитанное сообщение Alex Keda » 2006-03-23 12:38:03

тогда тока вариант с двумя подряд проксями. Может ещё что можно, но мне в голову не приходит ничё...
Убей их всех! Бог потом рассортирует...

Roman
мл. сержант
Сообщения: 108
Зарегистрирован: 2006-01-22 15:51:57
Откуда: Россия

Непрочитанное сообщение Roman » 2006-03-23 12:46:02

Сегодня пойду туда и поытаю его, если конечно расколется и тогда сообщу :)

Так как у меня модем (я понимаю...ты с модемами дело не имеешь...у тебя выделенка), вопрос для меня "болезненный":
При наборе URL модем сначало соединяется с интернетом...что не удивительно (у провайдера округление траффика до минуты). Вопрос как сделать, чтобы Squid сначала проверил легальность доступа...если Ок`ей то пускай соединяет, если нет то сразу бы "сказал" доступ запрещен...НЕ ДОЗВАНИВАЯСЬ !!!!
Пробовал в resolv.conf выставит первым nameserver 192.168.0.1(127.0.0.1), потом уж сервера провайдера...только чего-то бестолку :(

Roman
мл. сержант
Сообщения: 108
Зарегистрирован: 2006-01-22 15:51:57
Откуда: Россия

Непрочитанное сообщение Roman » 2006-03-23 12:46:48

Сегодня пойду туда и попытаю его, если конечно расколется и тогда сообщу :)

Так как у меня модем (я понимаю...ты с модемами дело не имеешь...у тебя выделенка), вопрос для меня "болезненный":
При наборе URL модем сначало соединяется с интернетом...что не удивительно (у провайдера округление траффика до минуты). Вопрос как сделать, чтобы Squid сначала проверил легальность доступа...если Ок`ей то пускай соединяет, если нет то сразу бы "сказал" доступ запрещен...НЕ ДОЗВАНИВАЯСЬ !!!!
Пробовал в resolv.conf выставит первым nameserver 192.168.0.1(127.0.0.1), потом уж сервера провайдера...только чего-то бестолку :(

Аватара пользователя
Alex Keda
стреляли...
Сообщения: 35045
Зарегистрирован: 2004-10-18 14:25:19
Откуда: Made in USSR
Контактная информация:

Непрочитанное сообщение Alex Keda » 2006-03-23 12:49:24

незнаю :(

==
совет хошь? Посчитай скока отдаёте за момед, посчитай выделенку с установкой, (и траффик посчитай).
Есть подозрение, что выделенка через несколько месяцев окупится. И если так - к начальству, с расчётами.

советую не говорить ,что на выделенке траффик увеличится :))) А он точно увеличится.
Убей их всех! Бог потом рассортирует...

Аватара пользователя
Alex Keda
стреляли...
Сообщения: 35045
Зарегистрирован: 2004-10-18 14:25:19
Откуда: Made in USSR
Контактная информация:

Непрочитанное сообщение Alex Keda » 2006-03-23 12:50:18

Ну и плюсы распиши, типа своего майл-сервера, и прочее, и рассказы о том как сейчас всё плохо и как станет хорошо...
Убей их всех! Бог потом рассортирует...

Roman
мл. сержант
Сообщения: 108
Зарегистрирован: 2006-01-22 15:51:57
Откуда: Россия

Непрочитанное сообщение Roman » 2006-03-23 12:56:30

Спасибо ! Так наверное и сделаю :)

Roman
мл. сержант
Сообщения: 108
Зарегистрирован: 2006-01-22 15:51:57
Откуда: Россия

Непрочитанное сообщение Roman » 2006-03-23 13:01:14

Спасибо за статью ! Вечером попробую обновиться :)

Аватара пользователя
Alex Keda
стреляли...
Сообщения: 35045
Зарегистрирован: 2004-10-18 14:25:19
Откуда: Made in USSR
Контактная информация:

Непрочитанное сообщение Alex Keda » 2006-03-23 13:35:49

незачто
Убей их всех! Бог потом рассортирует...

Аватара пользователя
Urgor
лейтенант
Сообщения: 663
Зарегистрирован: 2006-03-14 16:30:18
Откуда: Гилея (СПб)
Контактная информация:

Непрочитанное сообщение Urgor » 2006-03-23 13:49:14

Roman писал(а):acl internet proxy_auth REQUIRED
acl all src 0.0.0.0/0.0.0.0
acl localhost src 127.0.0.0/8
acl our_networks src 192.168.0.0/24

http_access allow internet
http_access allow localhost
http_access allow our_networks
http_access deny all
А разве с "http_access allow our_networks" оно будет не пущать юзеров из сетки 192.168.0.0/24 что пароля не знают? А смысл в паролЯх тогда?
Власть в руках у чужаков, и ты им платишь дань...

Roman
мл. сержант
Сообщения: 108
Зарегистрирован: 2006-01-22 15:51:57
Откуда: Россия

Непрочитанное сообщение Roman » 2006-03-23 14:10:57

Надо вставить еще правила, тогда у кого нет пароля...то используются эти правила.
acl allowed_sites dstdomain "/usr/local/my_doc_smb/squid/allowed_sites.conf"
acl limited_IP src "/usr/local/my_doc_smb/squid/limited_IP.conf"
acl denied_sites dstdomain "/usr/local/my_doc_smb/squid/denied_ext.conf"

http_access deny denied_sites
http_access allow allowed_sites
http_access deny limited_IP
[/code]