Базовая аутентификация в сквиде

Roman · Непрочитанное сообщение **Roman** » 2006-03-22 21:23:27

Чтобы пошла авторизация надо в двух статьях исправить (правда потерял прозрачность

) :

Urgor писал(а):Попробуй:

auth_param basic program /usr/local/libexec/squid/ncsa_auth /usr/local/squid/etc/passwd
auth_param basic children 20
auth_param basic realm Password required
auth_param basic credentialsttl 2 minute
auth_param basic casesensitive off

acl     internet          proxy_auth      REQUIRED
acl     all                  src                 0.0.0.0/0.0.0.0
acl     localhost         src                 127.0.0.0/8
acl     our_networkc  scr                 192.168.0.0/24  #тоже надо дописать
#acl     internet        proxy_auth      REQUIRED        #это правило  немного повыше

http_access     allow   internet
http_access     allow   localhost
http_access     deny   all

[quote="Статья Lissyar'ы...." Прокси-сервер SQUID" "]

Код: Выделить всё

 После чего топаем в /usr/local/etc/squid и редактируем squid.conf до такого состояния (все настройки даны для прозрачного прокси-сервера, у "непрозрачного" будут отсутствовать пункты http_accel_*):

[/quote]
Там опечатка. Надо httpd_accel_* ....Тогда все пойдет. Спасибо авторам за помощь !!!!!!!!!!

Хостинг HostFood.ru · **Хостинг HostFood.ru**

Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/

Alex Keda

А выложи конфиг непрозрачного?
Честно говоря непрозрачный делал пару раз в жизни ,в экспериметальных целях, один раз с авторизацией, но в обоих случаях без httpd_accel_*....

Roman · Непрочитанное сообщение **Roman** » 2006-03-22 23:05:33

Большая часть конфига твоего. То что не пошло-заремлено. А так конфиг полностью рабочий. Еще в Opere(IE) надо включить прокси с адресом и портом сквида.

Код: Выделить всё

http_port 3128
icp_port 0
hierarchy_stoplist cgi-bin ?
acl QUERY urlpath_regex cgi-bin \?
no_cache deny QUERY
cache_mem 128 MB
maximum_object_size 8092 KB
maximum_object_size_in_memory 512 KB
cache_dir ufs /usr/local/squid/cache 2048 64 256
cache_access_log /var/log/squid/access.log
cache_log /var/log/squid/cache.log
cache_store_log /var/log/squid/store.log
cache_mgr admin@my_domain.ru
visible_hostname mail.my_domain.ru
#Уменя модем
#tcp_outgoing_address 222.222.222.222  
refresh_pattern ^ftp:           1440    20%     10080
refresh_pattern ^gopher:        1440    0%      1440
refresh_pattern .               0       20%     4320
# Пока не ползуюсь
#redirect_program /usr/local/etc/squid/redirector.pl
#redirect_children 10

auth_param basic program /usr/local/libexec/squid/ncsa_auth /usr/local/squid/passwd
#не пошло
#authenticate_program /usr/local/libexec/squid/ncsa_auth /usr/local/squid/passwd
auth_param basic children 20 
auth_param basic realm Password required 
auth_param basic credentialsttl 2 minute 
auth_param basic casesensitive off 

acl	internet	proxy_auth	REQUIRED
acl     all             src		0.0.0.0/0.0.0.0 
acl     localhost       src             127.0.0.0/8 
acl     our_networks	src		192.168.0.0/24
 

http_access     allow   internet 
http_access     allow   localhost
http_access     allow   our_networks
http_access     deny   all

# не пошло
#httpd_accel_host virtual
#httpd_accel_port 80
#httpd_accel_uses_host_header on

coredump_dir /usr/local/squid/cache
pid_filename /usr/local/squid/logs/squid.pid

Alex Keda

Ну а у меня что написано? Что надо убрать httpd_accel*

)) Что ты и сделал закомментировав их...

Roman · Непрочитанное сообщение **Roman** » 2006-03-22 23:20:19

Sorry !!! Да, в коде все правильно !!!

Alex Keda

А я уже начал ковыряться, что где не так, и почему у меня так а у тя нетак...

Roman · Непрочитанное сообщение **Roman** » 2006-03-23 10:07:10

Не в коде, а в самой статье пропущена буква "d" вместо httpd_accel_* написано http_accel_*. А в коде все правильно !!! вот цитата

Код: Выделить всё

 После чего топаем в /usr/local/etc/squid и редактируем squid.conf до такого состояния (все настройки даны для прозрачного прокси-сервера, у "непрозрачного" будут отсутствовать пункты http_accel_*):

Вопрос ввел команду pkg_version -v ...
.......
squid-2.5.12_4 < needs updating (port has 2.5.13)
.......
Вопрос: как корректно обновить версию, чтобы сохранились все мои конфиги
Пробовал /usr/ports/www/squid make clean
#make
#make install
---> ***Error code 1
Что делать ??? Как правильно обновить версию

Alex Keda

ща поправлю.

а обновиться примерно так:

Код: Выделить всё

portupgrade `pkg_info | grep squid | awk '{print $1}'`

тока вначале порты обнови

Roman · Непрочитанное сообщение **Roman** » 2006-03-23 10:32:31

Спасибо ! Порты уже обновил. А обновить версии попробую вечером....модем (льготный траффик начинается с 17:00, а по GPRS как-то денег лишних нет

)

Alex Keda

портапгрейд из портов поставь

Код: Выделить всё

/usr/ports/>make search name='portupgrade'
Port:   portupgrade-2.0.1_1,1
Path:   /usr/ports/sysutils/portupgrade
Info:   FreeBSD ports/packages administration and management tool suite
Maint:  koma2@lovepeers.org
B-deps: ruby-1.8.4_4,1
R-deps: perl-5.8.8 ruby-1.8.4_4,1 ruby18-bdb1-0.2.2
WWW:

/usr/ports/>

а то все теряются нет такой команды

))

===
хотя... ща статью накатаю...

Roman · Непрочитанное сообщение **Roman** » 2006-03-23 11:08:48

Здорово ! Вечером хотелось бы почиттать эту статью

Alex Keda

Ща. заодно и обновляю в процессе.

Roman · Непрочитанное сообщение **Roman** » 2006-03-23 11:49:37

Я в одной организации видел, что у них интернет-авторизация по логину и паролю (NCSA-это точно, я у сисадмина спрашивал). Но когда я залез в настройки браузера в пункте "прокси" было пусто...(прозрачность).Как такое может быть ? У него два Linuxa (один чисто роутер с фаерволом, встроенным в ядро, на другом программное обеспечение Squid, Samba и т.д.....это говорит для безопасности...т.е. две штуки). Я спросил его как он сделал...а он не говорит...много чего может мне и неправильно сказал ????)

Alex Keda

Roman писал(а):Я в одной организации видел, что у них интернет-авторизация по логину и паролю (NCSA-это точно, я у сисадмина спрашивал).

прям окошко выскакивает с требование пароля?

чё-то слабо верится

====
либо, раз у него два линуха - на первом прозрачный прокси, шлющий запросы на сквид (непрозрачный) на втором....

Я изгалялся, делал что-то подобное - два сквида на одной машине...

Roman · Непрочитанное сообщение **Roman** » 2006-03-23 12:30:04

Я два года работал там,

и два года там выскакивало окошко для ввода пароля и логина

Alex Keda

тогда тока вариант с двумя подряд проксями. Может ещё что можно, но мне в голову не приходит ничё...

Roman · Непрочитанное сообщение **Roman** » 2006-03-23 12:46:02

Сегодня пойду туда и поытаю его, если конечно расколется и тогда сообщу

Так как у меня модем (я понимаю...ты с модемами дело не имеешь...у тебя выделенка), вопрос для меня "болезненный":
При наборе URL модем сначало соединяется с интернетом...что не удивительно (у провайдера округление траффика до минуты). Вопрос как сделать, чтобы Squid сначала проверил легальность доступа...если Ок`ей то пускай соединяет, если нет то сразу бы "сказал" доступ запрещен...НЕ ДОЗВАНИВАЯСЬ !!!!
Пробовал в resolv.conf выставит первым nameserver 192.168.0.1(127.0.0.1), потом уж сервера провайдера...только чего-то бестолку

Roman · Непрочитанное сообщение **Roman** » 2006-03-23 12:46:48

Сегодня пойду туда и попытаю его, если конечно расколется и тогда сообщу

Так как у меня модем (я понимаю...ты с модемами дело не имеешь...у тебя выделенка), вопрос для меня "болезненный":
При наборе URL модем сначало соединяется с интернетом...что не удивительно (у провайдера округление траффика до минуты). Вопрос как сделать, чтобы Squid сначала проверил легальность доступа...если Ок`ей то пускай соединяет, если нет то сразу бы "сказал" доступ запрещен...НЕ ДОЗВАНИВАЯСЬ !!!!
Пробовал в resolv.conf выставит первым nameserver 192.168.0.1(127.0.0.1), потом уж сервера провайдера...только чего-то бестолку

Alex Keda

незнаю

==
совет хошь? Посчитай скока отдаёте за момед, посчитай выделенку с установкой, (и траффик посчитай).
Есть подозрение, что выделенка через несколько месяцев окупится. И если так - к начальству, с расчётами.

советую не говорить ,что на выделенке траффик увеличится

)) А он точно увеличится.

Alex Keda

Ну и плюсы распиши, типа своего майл-сервера, и прочее, и рассказы о том как сейчас всё плохо и как станет хорошо...

Roman · Непрочитанное сообщение **Roman** » 2006-03-23 12:56:30

Спасибо ! Так наверное и сделаю

Roman · Непрочитанное сообщение **Roman** » 2006-03-23 13:01:14

Спасибо за статью ! Вечером попробую обновиться

Alex Keda

незачто

Urgor · Непрочитанное сообщение **Urgor** » 2006-03-23 13:49:14

Roman писал(а):acl internet proxy_auth REQUIRED
acl all src 0.0.0.0/0.0.0.0
acl localhost src 127.0.0.0/8
acl our_networks src 192.168.0.0/24

http_access allow internet
http_access allow localhost
http_access allow our_networks
http_access deny all

А разве с "http_access allow our_networks" оно будет не пущать юзеров из сетки 192.168.0.0/24 что пароля не знают? А смысл в паролЯх тогда?

Roman · Непрочитанное сообщение **Roman** » 2006-03-23 14:10:57

Надо вставить еще правила, тогда у кого нет пароля...то используются эти правила.

acl allowed_sites dstdomain "/usr/local/my_doc_smb/squid/allowed_sites.conf"
acl limited_IP src "/usr/local/my_doc_smb/squid/limited_IP.conf"
acl denied_sites dstdomain "/usr/local/my_doc_smb/squid/denied_ext.conf"

http_access deny denied_sites
http_access allow allowed_sites
http_access deny limited_IP

[/code]

forum.lissyara.su

Базовая аутентификация в сквиде

Услуги хостинговой компании Host-Food.ru