Проблемы установки, настройки и работы Правильной Операционной Системы
Модератор: terminus
Правила форума
Убедительная просьба юзать теги [cоde] при оформлении листингов.
Сообщения не оформленные должным образом имеют все шансы быть незамеченными.
-
ASD
- мл. сержант
- Сообщения: 112
- Зарегистрирован: 2008-12-25 20:19:54
Непрочитанное сообщение
ASD » 2009-04-03 14:35:12
Стоит SQUID3(NTLM)+SAMS+REJIK...не понятно почему...но не все могут выйти в аську..
Код: Выделить всё
gw# uname -a
FreeBSD gw.ekaterinburg.ibam.local 7.1-RELEASE FreeBSD 7.1-RELEASE #0: Sat Mar 21 15:14:18 YEKT 2009 root@gw.ekaterinburg.ibam.local:/usr/obj/usr/src/sys/ASD_kernel.2009-21-03 i386
Код: Выделить всё
gw# pkg_info
apache-2.2.11_3 Version 2.2.x of Apache web server with prefork MPM.
..........................
rejik-3.2.1_1 A squid redirector used for blocking unwanted content
samba-3.0.34,1 A free SMB and CIFS client and server for UNIX
sams-1.0.4,1 Squid 2.x Accounting Management System
squid-3.0.13_1 HTTP Caching Proxy
.........................
/usr/local/etc/squid/squid.conf
Код: Выделить всё
.................................................
#NTLM
auth_param ntlm program /usr/local/bin/ntlm_auth --helper-protocol=squid-2.5-ntlmssp
auth_param ntlm children 10
auth_param ntlm keep_alive on
auth_param basic program /usr/local/bin/ntlm_auth --helper-protocol=squid-2.5-basic
auth_param basic children 5
auth_param basic realm Squid Proxy-Server
auth_param basic credentialsttl 2 hours
auth_param basic casesensitive off
..................................................
# TAG: acl
acl _sams_49d4a2a5998ea proxy_auth "/usr/local/etc/squid/49d4a2a5998ea.sams"
acl _sams_49d4a2a5998ea_time time MTWHFAS 00:00-23:59
acl _sams_49d4a2fe4ddfd proxy_auth "/usr/local/etc/squid/49d4a2fe4ddfd.sams"
acl _sams_49d4a2fe4ddfd_time time MTWHF 08:00-21:00
acl _sams_49d5938394916 proxy_auth "/usr/local/etc/squid/49d5938394916.sams"
acl _sams_49d5938394916_time_1 time 00:00-24:0
acl _sams_49d5938394916_time_2 time 0:0-00:01
acl manager proto cache_object
acl localhost src 127.0.0.1/32
acl to_localhost dst 127.0.0.0/8
acl localnet src 192.168.114.0/255.255.255.0 # RFC1918 possible internal network
acl SSL_ports port 443
acl Safe_ports port 80 # http
acl Safe_ports port 21 # ftp
acl Safe_ports port 443 # https
acl CONNECT method CONNECT
# TAG: http_access
http_access allow _sams_49d4a2a5998ea _sams_49d4a2a5998ea_time
http_access allow _sams_49d4a2fe4ddfd _sams_49d4a2fe4ddfd_time
http_access allow _sams_49d5938394916 _sams_49d5938394916_time_1 _sams_49d5938394916_time_2
http_access deny manager
http_access deny !Safe_ports
http_access deny CONNECT !SSL_ports
http_access allow localnet
http_access deny all
.....................................................
redirect_program /usr/local/rejik/redirector /usr/local/rejik/redirector.conf
redirect_children 15
...................................................
delay_pools 2
delay_class 1 2
delay_class 2 2
delay_access 1 allow _sams_49d4a2a5998ea
delay_access 1 deny all
delay_parameters 1 524288/524288 524288/524288
delay_access 2 allow _sams_49d4a2fe4ddfd
delay_access 2 deny all
delay_parameters 2 64000/64000 64000/64000
/usr/local/rejik/redirector.conf
Код: Выделить всё
error_log /var/log/rejik3/redirector.err
change_log /var/log/rejik3/redirector.log
make-cache /usr/local/rejik/make-cache
allow_ip 192.168.114.152/255.255.255.255
<BANNER>
ban_dir /usr/local/rejik/banlists/banners
url http://127.0.0.1/ban/1x1.gif
log off
<CHATS>
ban_dir /usr/local/rejik/banlists/chats
url http://127.0.0.1/ban/1x1.gif
<DATING>
ban_dir /usr/local/rejik/banlists/dating
url http://127.0.0.1/ban/1x1.gif
<GAME>
ban_dir /usr/local/rejik/banlists/game
url http://127.0.0.1/ban/1x1.gif
<PHISHING>
ban_dir /usr/local/rejik/banlists/phishing
url http://127.0.0.1/ban/1x1.gif
<PROXY>
ban_dir /usr/local/rejik/banlists/proxy
url http://127.0.0.1/ban/1x1.gif
<SPYWARE>
ban_dir /usr/local/rejik/banlists/spyware
url http://127.0.0.1/ban/1x1.gif
<VIRUS>
ban_dir /usr/local/rejik/banlists/virus
url http://127.0.0.1/ban/1x1.gif
<WAREZ>
ban_dir /usr/local/rejik/banlists/warez
url http://127.0.0.1/ban/1x1.gif
<PORNO>
ban_dir /usr/local/rejik/banlists/porno
url http://127.0.0.1/ban/1x1.gif
<MP3>
ban_dir /usr/local/rejik/banlists/mp3
url http://127.0.0.1/ban/1x1.gif
<PHOTOGALLERY>
ban_dir /usr/local/rejik/banlists/photogallery
url http://127.0.0.1/ban/1x1.gif
<JS>
ban_dir /usr/local/rejik/banlists/js
url http://127.0.0.1/ban/1x1.gif
<_sams_disabled_id>
work_id f:/usr/local/rejik/disabled_id.sams
ban_dir /usr/local/rejik/_sams_banlists/localhosts
url http://192.168.114.198/sams/messages/blocked.php?action=rejikdisable&url=#URL#&user=#IDENT#&ip=#IP# #_sams_
reverse #_sams_
access.log
Код: Выделить всё
1238736384.744 229 192.168.114.138 TCP_MISS/200 0 CONNECT login.icq.com:443 e.gafyatulina DIRECT/64.12.200.89 -
1238736387.880 228 192.168.114.104 TCP_MISS/200 0 CONNECT login.icq.com:443 e.vinogradova DIRECT/64.12.200.89 -
так вот e.gafyatulina работает нормально, e.vinogradova НЕТ...оба пользователя в САМС-е в одной группе, ограничений по времени и трафику нет, оба активны....
В чем может быть дело?
ASD
-
Хостинг HostFood.ru
-
Хостинг HostFood.ru
Тарифы на хостинг в России, от 12 рублей:
https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.:
https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах:
https://www.host-food.ru/domains/
-
zg
- полковник
- Сообщения: 5845
- Зарегистрирован: 2007-12-07 13:51:33
- Откуда: Верх-Нейвинск
Непрочитанное сообщение
zg » 2009-04-03 14:40:25
ASD писал(а):В чем может быть дело?
характер у виноградовой вредный?
ASD писал(а):TCP_MISS/200
в обоих случаях идёт успешный коннект смотри дальше что происходит с соединением, может фаер криво настроен.
zg
-
ASD
- мл. сержант
- Сообщения: 112
- Зарегистрирован: 2008-12-25 20:19:54
Непрочитанное сообщение
ASD » 2009-04-03 14:44:45
zg писал(а):ASD писал(а):В чем может быть дело?
характер у виноградовой вредный?
В яблочко!!!
ASD писал(а):TCP_MISS/200
в обоих случаях идёт успешный коннект смотри дальше что происходит с соединением, может фаер криво настроен.
Так прикол в том что все работало пока я не включил NTLM....не в фаере дело...в qip клиенте аутиндификация NTLM включена...
ASD
-
Amadeus
- ст. сержант
- Сообщения: 332
- Зарегистрирован: 2008-10-05 12:42:44
- Откуда: Kiev
Непрочитанное сообщение
Amadeus » 2009-04-03 14:47:23
Это товарисч третий сквид).
Не вариант пустить 5190 мимо прокси?
Нет ничего невозможного
Amadeus
-
zg
- полковник
- Сообщения: 5845
- Зарегистрирован: 2007-12-07 13:51:33
- Откуда: Верх-Нейвинск
Непрочитанное сообщение
zg » 2009-04-03 14:49:26
ASD писал(а):Так прикол в том что все работало пока я не включил NTLM
соединение идёт, сквид его не режет. Вопрос в том, что дальше с ним просиходит.
Тема в принципе поднималась, правда давненько, но думаю поиск может кое-что дать полезное.
zg
-
ASD
- мл. сержант
- Сообщения: 112
- Зарегистрирован: 2008-12-25 20:19:54
Непрочитанное сообщение
ASD » 2009-04-03 14:51:03
Amadeus писал(а):Это товарисч третий сквид).
Не вариант пустить 5190 мимо прокси?
мимо..эт крайний метод...какие еще варианты? Т.е. еще раз повторю что без НТЛМ вроде все было ок...
ASD
-
Amadeus
- ст. сержант
- Сообщения: 332
- Зарегистрирован: 2008-10-05 12:42:44
- Откуда: Kiev
Непрочитанное сообщение
Amadeus » 2009-04-03 14:52:31
Понятно что крайний, просто вот
Первый же возникающий вопрос - почему не ставил третий сквид? Ставил. Работает. Синтаксис как у 2.6 - но, QIP, сцуко, не может нативно авторизоваться. Авторизовалка ntlm у него кривая.
Третий так принципиален? у меня 2.7.5 2.7.6 2.6.15 стоят основные.
Третий ставил только дял каскада из за ICAP
Это из статьи лисяры)
Нет ничего невозможного
Amadeus
-
ASD
- мл. сержант
- Сообщения: 112
- Зарегистрирован: 2008-12-25 20:19:54
Непрочитанное сообщение
ASD » 2009-04-03 14:55:44
zg писал(а):ASD писал(а):Так прикол в том что все работало пока я не включил NTLM
соединение идёт, сквид его не режет. Вопрос в том, что дальше с ним просиходит.
Тема в принципе поднималась, правда давненько, но думаю поиск может кое-что дать полезное.
с обеда рою...чет ничего толкового не нашел....
а как можно узнать - что с ним дальше?
почему не вся толпа отрубается...почему кто то в аське? хрень какая то....
ASD
-
Amadeus
- ст. сержант
- Сообщения: 332
- Зарегистрирован: 2008-10-05 12:42:44
- Откуда: Kiev
Непрочитанное сообщение
Amadeus » 2009-04-03 14:58:17
Клиенты разные у всех? через асю проходит а через QIP нет я так понял?
Нет ничего невозможного
Amadeus
-
ASD
- мл. сержант
- Сообщения: 112
- Зарегистрирован: 2008-12-25 20:19:54
Непрочитанное сообщение
ASD » 2009-04-03 14:58:57
Amadeus писал(а):Понятно что крайний, просто вот
Первый же возникающий вопрос - почему не ставил третий сквид? Ставил. Работает. Синтаксис как у 2.6 - но, QIP, сцуко, не может нативно авторизоваться. Авторизовалка ntlm у него кривая.
Третий так принципиален? у меня 2.7.5 2.7.6 2.6.15 стоят основные.
Третий ставил только дял каскада из за ICAP
Это из статьи лисяры)
У 3его кривая авторизовалка? ...а как же другие сервисы авторизуются? теже браузеры?....может QIP.....но у меня он на ура конектится...
ASD
-
ASD
- мл. сержант
- Сообщения: 112
- Зарегистрирован: 2008-12-25 20:19:54
Непрочитанное сообщение
ASD » 2009-04-03 15:00:04
Amadeus писал(а):Клиенты разные у всех? через асю проходит а через QIP нет я так понял?
я не правильно выразился...аськи как приложения ни у кого нет...тока QIP....я сам на QIP...без проблем..
ASD
-
Amadeus
- ст. сержант
- Сообщения: 332
- Зарегистрирован: 2008-10-05 12:42:44
- Откуда: Kiev
Непрочитанное сообщение
Amadeus » 2009-04-03 15:04:10
QIP, сцуко, не может нативно авторизоваться. Авторизовалка ntlm у него кривая.
я сам на QIP...без проблем..
У тебя то наверное порты открыты и под админским ИП?:)
Нет ничего невозможного
Amadeus
-
ASD
- мл. сержант
- Сообщения: 112
- Зарегистрирован: 2008-12-25 20:19:54
Непрочитанное сообщение
ASD » 2009-04-03 15:07:14
Amadeus писал(а):QIP, сцуко, не может нативно авторизоваться. Авторизовалка ntlm у него кривая.
я сам на QIP...без проблем..
У тебя то наверное порты открыты и под админским ИП?:)
у меня тока в режике, но помио меня еще 5-ток челов в аську(через qip) ходят...
allow_ip 192.168.114.152/255.255.255.255
ASD
-
Amadeus
- ст. сержант
- Сообщения: 332
- Зарегистрирован: 2008-10-05 12:42:44
- Откуда: Kiev
Непрочитанное сообщение
Amadeus » 2009-04-03 15:11:33
Код: Выделить всё
acl SSL_ports port 443
acl Safe_ports port 80 # http
acl Safe_ports port 21 # ftp
acl Safe_ports port 443 # https
Покажи файрвол. Можно попробовать найти решение. Вот в верхнем куске добавь 5190 и проверь что получится
Нет ничего невозможного
Amadeus
-
ASD
- мл. сержант
- Сообщения: 112
- Зарегистрирован: 2008-12-25 20:19:54
Непрочитанное сообщение
ASD » 2009-04-06 6:11:16
Amadeus писал(а):Код: Выделить всё
acl SSL_ports port 443
acl Safe_ports port 80 # http
acl Safe_ports port 21 # ftp
acl Safe_ports port 443 # https
Покажи файрвол. Можно попробовать найти решение. Вот в верхнем куске добавь 5190 и проверь что получится
Добавил...без изменений...
Пробывал еще так:
Код: Выделить всё
acl ICQ_ports port 5190 #ICQ
http_access allow CONNECT ICQ_ports
так же без результата....если четсно не пойму зачем добавлять 5190 порт...
Правила фаера
rl0 - сетевуха в инет
re0 - внутрянка
ipfw list
Код: Выделить всё
00010 allow ip from any to any via lo0
00015 check-state
00020 allow ip from any to any out via re0
00021 allow ip from any to any in via re0
00110 allow tcp from any to IP_DNS1 dst-port 53 out via rl0 setup keep-state
00111 allow udp from any to IP_DNS1 dst-port 53 out via rl0 keep-state
00112 allow tcp from any to IP_DNS2 dst-port 53 out via rl0 setup keep-state
00113 allow udp from any to IP_DNS2 dst-port 53 out via rl0 keep-state
00200 allow tcp from any to any dst-port 80 out via rl0 setup keep-state
00220 allow tcp from any to any dst-port 443 out via rl0 keep-state
00240 allow tcp from me to any out via rl0 setup uid root keep-state
00250 allow icmp from any to any out via rl0 keep-state
00280 divert 8668 ip from any to any via rl0
00281 allow tcp from IP_INTERNET 1222 to any out via rl0
00282 allow tcp from any to 192.168.114.222 dst-port 1222
00283 allow tcp from IP_INTERNET 1024 to any out via rl0
00284 allow tcp from any to 192.168.114.204 dst-port 1024
00299 deny log logamount 100 ip from any to any out via rl0
00300 deny ip from 192.168.0.0/16 to any in via rl0
00301 deny ip from 172.16.0.0/12 to any in via rl0
00302 deny ip from 10.0.0.0/8 to any in via rl0
00303 deny ip from 127.0.0.0/8 to any in via rl0
00304 deny ip from 0.0.0.0/8 to any in via rl0
00305 deny ip from 169.254.0.0/16 to any in via rl0
00306 deny ip from 192.0.2.0/24 to any in via rl0
00307 deny ip from 204.152.64.0/23 to any in via rl0
00308 deny ip from 224.0.0.0/3 to any in via rl0
00310 deny icmp from any to any in via rl0
00315 deny tcp from any to any dst-port 113 in via rl0
00320 deny tcp from any to any dst-port 137 in via rl0
00321 deny tcp from any to any dst-port 138 in via rl0
00322 deny tcp from any to any dst-port 139 in via rl0
00323 deny tcp from any to any dst-port 81 in via rl0
00330 deny ip from any to any frag in via rl0
00332 deny tcp from any to any established in via rl0
01499 deny log logamount 100 ip from any to any in via rl0
01999 deny log logamount 100 ip from any to any
65535 deny ip from any to any
ASD
-
ASD
- мл. сержант
- Сообщения: 112
- Зарегистрирован: 2008-12-25 20:19:54
Непрочитанное сообщение
ASD » 2009-04-06 6:31:14
Сегодня вообще какой то пипец...ни кто кроме меня в аську (через qip) попасть не может...
Код: Выделить всё
1238988313.019 0 192.168.114.138 TCP_DENIED/407 2548 CONNECT login.icq.com:443 - NONE/- text/html
1238988313.235 213 192.168.114.138 TCP_MISS/200 0 CONNECT login.icq.com:443 e.gafyatulina DIRECT/64.12.161.185 -
1238988318.814 0 192.168.114.104 TCP_DENIED/407 2548 CONNECT login.icq.com:443 - NONE/- text/html
1238988319.032 216 192.168.114.104 TCP_MISS/200 0 CONNECT login.icq.com:443 e.vinogradova DIRECT/64.12.161.185 -
1238988320.735 0 192.168.114.100 TCP_DENIED/407 2548 CONNECT login.icq.com:443 - NONE/- text/html
1238988320.954 217 192.168.114.100 TCP_MISS/200 0 CONNECT login.icq.com:443 a.zharkov DIRECT/64.12.161.185 -
1238988324.167 0 192.168.114.132 TCP_DENIED/407 2175 CONNECT login.icq.com:443 - NONE/- text/html
что за хрень? Повторюсь...я просто на ура логинюсь...хотя лог у меня похлеще..
Код: Выделить всё
1238988523.769 0 192.168.114.152 TCP_DENIED/407 2540 CONNECT login.icq.com:443 - NONE/- text/html
1238988524.755 985 192.168.114.152 TCP_MISS/200 358 CONNECT login.icq.com:443 a.dvoryak DIRECT/64.12.161.185 -
1238988524.757 0 192.168.114.152 TCP_DENIED/407 2536 CONNECT 64.12.28.117:443 - NONE/- text/html
ставил родного icq клиента таже хрень....
отключал режик....таже хрень...
ASD
-
ASD
- мл. сержант
- Сообщения: 112
- Зарегистрирован: 2008-12-25 20:19:54
Непрочитанное сообщение
ASD » 2009-04-07 15:30:08
Все таки кто нибудь может объяснить?
Код: Выделить всё
1238988523.769 0 192.168.114.152 TCP_DENIED/407 2540 CONNECT login.icq.com:443 - NONE/- text/html
1238988524.755 985 192.168.114.152 TCP_MISS/200 358 CONNECT login.icq.com:443 a.dvoryak DIRECT/64.12.161.185 -
1238988524.757 0 192.168.114.152 TCP_DENIED/407 2536 CONNECT 64.12.28.117:443 - NONE/- text/html
407 - это не проходит авторизация на прокси....а потом проходит....потом снова не проходит...а я работаю...что за хрень?
ASD
-
ASD
- мл. сержант
- Сообщения: 112
- Зарегистрирован: 2008-12-25 20:19:54
Непрочитанное сообщение
ASD » 2009-04-08 12:37:03
Вообщем забил я на это дело..
Ставлю галку в аутендификации.
пробиваю пользователя(как в домене)
пароль
снимаю галку NTLM аутендификация
Все работает. Пользователям теперь каждые 2 недели менять пароль
....жаль мне их
ASD
-
f0s
- ст. лейтенант
- Сообщения: 1082
- Зарегистрирован: 2007-03-13 18:43:31
- Откуда: Санкт-Петербург
-
Контактная информация:
Непрочитанное сообщение
f0s » 2009-04-09 14:44:43
вот как сделано у меня. все работает
Код: Выделить всё
[f0s@router] /usr/local/etc/squid/> cat squid.conf | grep 5190
acl SSL_ports port 5190
acl Safe_ports port 5190
named, named, what is my TTL value?..
[FidoNet 2:550/2 && 2:5030/4441]
f0s
-
ASD
- мл. сержант
- Сообщения: 112
- Зарегистрирован: 2008-12-25 20:19:54
Непрочитанное сообщение
ASD » 2009-04-09 18:00:46
f0s писал(а):вот как сделано у меня. все работает
Код: Выделить всё
[f0s@router] /usr/local/etc/squid/> cat squid.conf | grep 5190
acl SSL_ports port 5190
acl Safe_ports port 5190
попробую....а смысл? видте проблема затруднена тем что некоторые пользователи через раз могут законектится, некоторые вообще не конектятся...а некоторые "железно" в конекте...
при том что версия квипа у всех одна...
ASD