QIP + Squid = sucks!

Проблемы установки, настройки и работы Правильной Операционной Системы

Модератор: terminus

Правила форума
Убедительная просьба юзать теги [cоde] при оформлении листингов.
Сообщения не оформленные должным образом имеют все шансы быть незамеченными.
barsykoff
мл. сержант
Сообщения: 132
Зарегистрирован: 2007-07-26 10:36:59
Контактная информация:

QIP + Squid = sucks!

Непрочитанное сообщение barsykoff » 2008-04-23 11:10:13

В общем, описание:
Стоит сервачек в качестве шлюза, крутился на нем Squid, пускающий всех в инет (без авторизации). Т.к. домен конторы построен на AD, то решил замутить доступ через Squid только авторизованным через AD юзерам. Прочитал статью Лиса http://www.lissyara.su/?id=1375, сделал, работает. Но есть одно НО... Раньше без авторизации пользователи спокойно коннектились QIP'ом через Squid, а сейчас не получается - уже перебрал все мыслимые и немыслимые комбинации галочек, имен юзеров и паролей в настройках QIP! Че делать? :?

Код: Выделить всё

root@/usr/local/etc/squid/acl> uname -a
FreeBSD bih-gateway.bihouse.ru 7.0-RELEASE FreeBSD 7.0-RELEASE #0: Wed Mar 26 11:17:15 MSK 2008     vitaliy@bih-gateway.bihouse.ru:/usr/obj/usr/src/sys/MYKERNEL.20080326  i386
root@/usr/local/etc/squid/acl>
Кусок конфига сквиды:

Код: Выделить всё

# OPTIONS FOR AUTHENTICATION
# -----------------------------------------------------------------------------
# Нативная авторизация (для IE, Firefox, QIP)
auth_param ntlm program /usr/local/bin/ntlm_auth --helper-protocol=squid-2.5-ntlmssp
# Число процессов для авторизации (сколько одновременно юзеров полезет в инет)
auth_param ntlm children 20
# Basic авторизация - для тех, кто не может нативно (Opera, ICQ, например)
# (ввод логина и пароля)
auth_param basic program /usr/local/bin/ntlm_auth --helper-protocol=squid-2.5-basic
# Число процессов для basic аворизации - значительно меньше, чем для нативной
auth_param basic children 3
# Заголовок окна выводимый при запросе авторизации
auth_param basic realm Squid proxy-caching web server
# Время жизни авторизации - сколько кэшировать данные (для basic)
auth_param basic credentialsttl 2 hours

# ACCESS CONTROLS
# -----------------------------------------------------------------------------

### Описание ACL

# Внешняя ACL для разруливания по группам
external_acl_type nt_group ttl=120 %LOGIN /usr/local/libexec/squid/wbinfo_group.pl
# Пользователи, которым разрешено все
acl     Squid_priv      external        nt_group        squid_priv
# Пользователи, имеющие ограничения
acl     Squid_users     external        nt_group        squid_users
# Пользователи, имеющие ограничения, но имеющие аську
acl     Squid_icq       external        nt_group        squid_icq
# Пользователи, которым разрешен метод CONNECT
acl     Squid_connect   external        nt_group        squid_connect
# Пользователи, которые прошли авторизацию на проксе
acl     Bihouse         proxy_auth      REQUIRED
# Список запрещенных пользователей
acl     Squid_deny      external        nt_group        squid_deny
# Время доступа в интернет
acl     Jobtime         time            MTWHF           09:00-19:59

# Описываем порты на которые разрешено лазить
acl     SSL_ports       port    443
acl     SSL_ports       port    465
acl     SSL_ports       port    563
acl     SSL_ports       port    995
acl     Safe_ports      port    21
acl     Safe_ports      port    80
acl     Safe_ports      port    443
acl     ICQ_ports       port    5190
# Описываем метод CONNECT
acl     CONNECT         method  CONNECT

# Все сети, все IP
acl     All             src     0.0.0.0/0.0.0.0
# Локалхост
acl     Localhost       src     127.0.0.1/255.255.255.255

# Запрещённые выражения в URL
acl     Bad_url         url_regex       "/usr/local/etc/squid/acl/bad_url.txt"
# Запрещенные домены
acl     Bad_domains     dstdomain       "/usr/local/etc/squid/acl/bad_domains.txt"
# Запрещенные подсети (ICQ, МэйлАгент и т.д.)
acl     Bad_nets        dst             "/usr/local/etc/squid/acl/bad_nets.txt"

### Собственно, описание самого доступа

# Разрешаем метод CONNECT всем для аськи
http_access     allow   CONNECT         All     Jobtime
# Запрещаем доступ неавторизованным
http_access     deny    !Bihouse
# Разрешаем доступ ко всему группе 'Squid_priv'
http_access     allow   Squid_priv      All
# Запрещаем плохие url
http_access     deny    Bad_url
# Разрешаем аську, кому надо только в рабочее время
#http_access    allow   CONNECT         Squid_icq       ICQ_ports       Jobtime
# Отказ доступа к запрещенным доменам
http_access     deny    Bad_domains
# Отказ доступа к запрещенным подсетям
http_access     deny    Bad_nets
# Разрешаем доступ обычным пользователям в рабочее время
http_access     allow   Squid_users     Safe_ports      Jobtime
# Запрещаем все, что не попало ни под одно правило
http_access     deny    All
То есть правило, разрешающее CONNECT, стоит выше всех, и, получается, можно коннектиться даже не авторизованным (ну это на время :) )

Если кип настраиваю так Изображение, то он вываливается с ошибкой "Connect with proxy failed", а в логах сквида пишет следующее:

Код: Выделить всё

1208936828.755  59925 192.168.0.1 TCP_MISS/503 0 CONNECT login.icq.com:5190 - DIRECT/64.12.161.185 -
Если кип настраиваю так Изображение, то он опять вываливается с ошибкой "Connect with proxy failed", а в логах сквида пишет следующее:

Код: Выделить всё

1208937040.097  59526 192.168.0.1 TCP_MISS/503 0 CONNECT login.icq.com:5190 - DIRECT/64.12.161.185 -
Ладно, настроим basic авторизацию...Изображение. Все равно, результат тот же :twisted:

Код: Выделить всё

1208937187.352  59574 192.168.0.1 TCP_MISS/503 0 CONNECT login.icq.com:5190 - DIRECT/64.12.161.185 -
Есть какие-нибудь мысли?

Хостинговая компания Host-Food.ru
Хостинг HostFood.ru
 

Услуги хостинговой компании Host-Food.ru

Хостинг HostFood.ru

Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/

Аватара пользователя
manefesto
Группенфюррер
Сообщения: 6934
Зарегистрирован: 2007-07-20 8:27:30
Откуда: Пермь
Контактная информация:

Re: QIP + Squid = sucks!

Непрочитанное сообщение manefesto » 2008-04-23 11:27:34

пробуй в настройках квипа поставить где логин и пароль для прокси

Код: Выделить всё

Имя пользователя name@domain
Пароль                  password
я такой яростный шо аж пиздеЦ
Изображение

barsykoff
мл. сержант
Сообщения: 132
Зарегистрирован: 2007-07-26 10:36:59
Контактная информация:

Re: QIP + Squid = sucks!

Непрочитанное сообщение barsykoff » 2008-04-23 11:39:46

Неа...
Перепробовал множество вариантов:

Код: Выделить всё

Имя пользователя    name@domain
Пароль                     password

Код: Выделить всё

Имя пользователя    name@domain.local
Пароль                     password

Код: Выделить всё

Имя пользователя    name@DOMAIN
Пароль                     password

Код: Выделить всё

Имя пользователя    name/domain
Пароль                     password
и так далее, и все время вылетает с ошибкой "Connect with proxy failed", а в логах

Код: Выделить всё

1208939849.234  59616 192.168.0.1 TCP_MISS/503 0 CONNECT login.icq.com:5190 - DIRECT/64.12.161.185 -
Есть кто-нибудь, кто настраивал сквид с авторизацией по статье и кип?

Аватара пользователя
manefesto
Группенфюррер
Сообщения: 6934
Зарегистрирован: 2007-07-20 8:27:30
Откуда: Пермь
Контактная информация:

Re: QIP + Squid = sucks!

Непрочитанное сообщение manefesto » 2008-04-23 11:50:25

я такой яростный шо аж пиздеЦ
Изображение

barsykoff
мл. сержант
Сообщения: 132
Зарегистрирован: 2007-07-26 10:36:59
Контактная информация:

Re: QIP + Squid = sucks!

Непрочитанное сообщение barsykoff » 2008-04-23 11:55:46

Одновременно искали, даже на одних и тех же сайтах :D
Спасибо за старания!

Аватара пользователя
manefesto
Группенфюррер
Сообщения: 6934
Зарегистрирован: 2007-07-20 8:27:30
Откуда: Пермь
Контактная информация:

Re: QIP + Squid = sucks!

Непрочитанное сообщение manefesto » 2008-04-23 12:00:51

проблема решена ?
я такой яростный шо аж пиздеЦ
Изображение

barsykoff
мл. сержант
Сообщения: 132
Зарегистрирован: 2007-07-26 10:36:59
Контактная информация:

Re: QIP + Squid = sucks!

Непрочитанное сообщение barsykoff » 2008-04-23 13:07:33

А вот и не решена...((
Делал, как рекомендуется тут http://forum.qip.ru/showpost.php?p=99026&postcount=2, но опять та же самая ошибка.
Причем, avast! (антивирь для венды) нормально проходит авторизацию с такими настройками.
Поставил миранду, прописываю настройки, но ошибки к сквиде уже другие:

Код: Выделить всё

1208944478.132      1 192.168.0.1 TCP_DENIED/407 2038 GET http://http.proxy.icq.com/hello - NONE/- text/html
1208944478.735    602 192.168.0.1 TCP_MISS/200 400 GET http://http.proxy.icq.com/hello vitaliy DIRECT/64.12.163.130 AIM/HTTP
1208944478.740      1 192.168.0.1 TCP_DENIED/407 2032 GET http://64.12.163.130/monitor? - NONE/- text/html
1208944478.747      2 192.168.0.1 TCP_DENIED/407 1813 POST http://64.12.163.130/data? - NONE/- text/html
1208944579.112  45360 192.168.0.1 TCP_MISS/404 361 GET http://64.12.163.130/monitor? vitaliy DIRECT/64.12.163.130 AIM/HTTP
Поставил оригинальный клиент ICQ6, работает...

Что-то в кипе кривовато напрограммировано. Попробую откатиться на предыдущие билды.

barsykoff
мл. сержант
Сообщения: 132
Зарегистрирован: 2007-07-26 10:36:59
Контактная информация:

Re: QIP + Squid = sucks!

Непрочитанное сообщение barsykoff » 2008-04-23 13:19:45

Старые билды тоже не принесли ничего хорошего... :?
Кстати, замечено, что ICQ6 и MirandaIM пользуют GET и POST, а кип - только CONNECT.

Аватара пользователя
moadip
мл. сержант
Сообщения: 114
Зарегистрирован: 2007-01-17 14:32:23

Re: QIP + Squid = sucks!

Непрочитанное сообщение moadip » 2008-04-23 14:06:20

попробуй в кипе поставить
порт 443
тип прокси: http(s)
Я бы изменил мир, но Бог не дает исходники...

barsykoff
мл. сержант
Сообщения: 132
Зарегистрирован: 2007-07-26 10:36:59
Контактная информация:

Re: QIP + Squid = sucks!

Непрочитанное сообщение barsykoff » 2008-04-23 14:23:23

Пробовал, не помогает :(

Аватара пользователя
manefesto
Группенфюррер
Сообщения: 6934
Зарегистрирован: 2007-07-20 8:27:30
Откуда: Пермь
Контактная информация:

Re: QIP + Squid = sucks!

Непрочитанное сообщение manefesto » 2008-04-23 14:37:59

используй правильный софт...pidgin
я такой яростный шо аж пиздеЦ
Изображение

barsykoff
мл. сержант
Сообщения: 132
Зарегистрирован: 2007-07-26 10:36:59
Контактная информация:

Re: QIP + Squid = sucks!

Непрочитанное сообщение barsykoff » 2008-04-23 14:54:53

Хе-хе, пидгин, тоже не хочет коннектиться )))
Выдает ошибку 503-ю, что подключение к прокси невозможно. Перепробовал разные имена, толку - ноль.
Вот и думаю, где косяк: то ли в настройках сквида, то ли в мессенджерах.
Скорее, в последних, т.к. другие приложения (антивирь и ICQ6) нормально идут через прокси с NTLM-авторизацией.

Аватара пользователя
manefesto
Группенфюррер
Сообщения: 6934
Зарегистрирован: 2007-07-20 8:27:30
Откуда: Пермь
Контактная информация:

Re: QIP + Squid = sucks!

Непрочитанное сообщение manefesto » 2008-04-23 15:00:28

Если я не ошибаюсь, то достаточно указать в настроках IE настройки прокси....и они автоматом становятся глобальными..... а дальше в настройках клиента можно уже и не указывать настройки прокси...
Если не прав то поправьте

PS: гугли....
я такой яростный шо аж пиздеЦ
Изображение

barsykoff
мл. сержант
Сообщения: 132
Зарегистрирован: 2007-07-26 10:36:59
Контактная информация:

Re: QIP + Squid = sucks!

Непрочитанное сообщение barsykoff » 2008-04-23 15:08:39

Возможно, но не во всех клиентах. QIP, например, лезет через шлюз, который у юзеров не должен быть прописан.

P.S. Гуглю... :(

Аватара пользователя
Alex Keda
стреляли...
Сообщения: 35465
Зарегистрирован: 2004-10-18 14:25:19
Откуда: Made in USSR
Контактная информация:

Re: QIP + Squid = sucks!

Непрочитанное сообщение Alex Keda » 2008-04-23 23:12:59

странно...
я вот с ним как раз дольше всего боролся - эта падла пролезала со свистом.
Убей их всех! Бог потом рассортирует...

Аватара пользователя
freeman
лейтенант
Сообщения: 734
Зарегистрирован: 2007-03-18 5:13:25

Re: QIP + Squid = sucks!

Непрочитанное сообщение freeman » 2008-04-26 0:38:28

У меня с такой схемой Qip пашет :)
Выделывается бывает, но решается установкой или снятием галки NTLM авторизация и играми с версиями, в тех редких случаях когда не коннектится у клиентов.
Остатся должен только один ...

barsykoff
мл. сержант
Сообщения: 132
Зарегистрирован: 2007-07-26 10:36:59
Контактная информация:

Re: QIP + Squid = sucks!

Непрочитанное сообщение barsykoff » 2008-04-27 22:05:01

Короче, труба :twisted:
Остаются юзвери без аськи :D

Аватара пользователя
manefesto
Группенфюррер
Сообщения: 6934
Зарегистрирован: 2007-07-20 8:27:30
Откуда: Пермь
Контактная информация:

Re: QIP + Squid = sucks!

Непрочитанное сообщение manefesto » 2008-04-28 7:02:08

а админ без ЗП.
я такой яростный шо аж пиздеЦ
Изображение

barsykoff
мл. сержант
Сообщения: 132
Зарегистрирован: 2007-07-26 10:36:59
Контактная информация:

Re: QIP + Squid = sucks!

Непрочитанное сообщение barsykoff » 2008-04-28 9:35:16

Да нееее, без ЗП не останусь :D
Шеф аську вообще запретил, это просто мне было интересно, почему не работает. Раньше без авторизаци все пахало.

suspender
сержант
Сообщения: 160
Зарегистрирован: 2007-11-19 10:47:09

Re: QIP + Squid = sucks!

Непрочитанное сообщение suspender » 2008-04-28 13:43:18

+1
qip работает (где то только с галкой ntlm, где то только без неё).
Единственное что было - qip сам как то решает на какой сервак ему лезть. Например прописано у него в настройках login.icq.com - а оно на какой то oscar.aol.com лезет или ещё куда то. Последовательно выловил из логов почти все такие урлы и добавил в icq acl - стало нормально.

Alex_PC
проходил мимо

Re: QIP + Squid = sucks!

Непрочитанное сообщение Alex_PC » 2008-04-29 14:18:58

Странно , я настраивал squid тоже по статье с этого сайта , и QIP коннектится через ntlm без проблем. Ввожу в QIP имя и пароль пользователя из (AD 2003) и всё работает

Аватара пользователя
a1ds
проходил мимо
Сообщения: 4
Зарегистрирован: 2009-04-19 14:41:44
Откуда: Отовсюда

Re: QIP + Squid = sucks!

Непрочитанное сообщение a1ds » 2009-04-19 15:23:56

FreeBSD 7.0-RELEASE
Squid Cache: Version 2.7.STABLE5

У мя ntlm + qip (b. 8092) аутентификацию не проходил нивкакую, добавил basic теперь все ок.

В qip имя пользователя и пароль из AD
Галку аутентификация оставить, NTLM снять.
Поставить галку поддерживать соединение.

В первом окне галка безопасный вход.

Из конфига squid

Код: Выделить всё

auth_param ntlm program /usr/local/bin/ntlm_auth --helper-protocol=squid-2.5-ntlmssp
auth_param ntlm children 10
auth_param ntlm keep_alive on

auth_param basic program /usr/local/bin/ntlm_auth --helper-protocol=squid-2.5-basic
auth_param basic children 5
auth_param basic credentialsttl 2 hours
auth_param basic realm SQUID at info

………………

acl SSL_ports port 443

………………

acl CONNECT method CONNECT

……………….

http_access deny CONNECT !SSL_ports


dimidrol80
рядовой
Сообщения: 38
Зарегистрирован: 2008-06-07 17:50:21
Контактная информация:

Re: QIP + Squid = sucks!

Непрочитанное сообщение dimidrol80 » 2009-04-21 8:40:42

Я конечно извиняюсь но вставлю и свои 5 копеек
Каким фаерволом вы пользуетесь?
Приведите конфиг которым вы выпускаете сквида в мир

Аватара пользователя
a1ds
проходил мимо
Сообщения: 4
Зарегистрирован: 2009-04-19 14:41:44
Откуда: Отовсюда

Re: QIP + Squid = sucks!

Непрочитанное сообщение a1ds » 2009-04-22 11:44:00

dimidrol80 писал(а):Я конечно извиняюсь но вставлю и свои 5 копеек
Каким фаерволом вы пользуетесь?
Приведите конфиг которым вы выпускаете сквида в мир

Код: Выделить всё

#!/bin/sh

# Some var here
cmd_fw="/sbin/ipfw" # path to ipfw
cmd_fwq="/sbin/ipfw -q" # path to ipfw with quiet
cmd_fwa="/sbin/ipfw add" # add command
cmd_fwaq="/sbin/ipfw -q add" # add command with quiet
ks="keep-state"

# Local net parms
l_ip="192.168.255.2" # lan ip
l_net="192.168.255.0/24" # lan mask
l_ifc="rl0" # lan interface

# Other params
adm0_host="192.168.255.111" # who have access to SSH, etc.
adm1_host="192.168.255.112" # who have access to SSH, etc.
ssh=34567 # use this, default is 22

$cmd_fw -f flush # flush all rules

#Loopback
$cmd_fwa allow ip from any to any via lo0
$cmd_fwa deny log ip from 127.0.0.0/8 to any
$cmd_fwa deny log ip from any to 127.0.0.0/8

#SSH  - IN
$cmd_fwa allow log tcp from $adm0_host to $l_ip $ssh in via $l_ifc $ks
$cmd_fwa allow log tcp from $adm1_host to $l_ip $ssh in via $l_ifc $ks

#PROXY - IN
$cmd_fwa allow ip from $l_net to $l_ip 3128 in via $l_ifc $ks

#HTTP - IN
$cmd_fwa allow ip from $l_net to $l_ip 80 in via $l_ifc $ks

#SAMBA - IN
$cmd_fwa allow ip from $l_net to $l_ip 139 in via $l_ifc $ks
$cmd_fwa allow ip from $l_net to $l_ip 445 in via $l_ifc $ks

#ICMP - OUT & IN
$cmd_fwa allow icmp from any to any icmptypes 0,8,11

#ANY - OUT
$cmd_fwa allow ip from $l_ip to any out via $l_ifc $ks

# DENY ALL OTHER
$cmd_fwa deny ip from any to any

Скажу что связка такая squid + samba + sams + AD

Те firefox и IE гуляют нормально (ftp, http, https), а вот с qip'ом ловлю глюк (например если c галкой NTLM, раз 5-6 подключаться пишет (Auth. fail) потом если его оставить может подцепиться мин через 20 - 30 O_o )

Может руки кривые ... :oops:

frya_foreva
рядовой
Сообщения: 41
Зарегистрирован: 2009-03-19 13:49:56

Re: QIP + Squid = sucks!

Непрочитанное сообщение frya_foreva » 2009-04-23 5:23:13

a1ds писал(а):
dimidrol80 писал(а):Я конечно извиняюсь но вставлю и свои 5 копеек
Каким фаерволом вы пользуетесь?
Приведите конфиг которым вы выпускаете сквида в мир

Код: Выделить всё

#!/bin/sh

# Some var here
cmd_fw="/sbin/ipfw" # path to ipfw
cmd_fwq="/sbin/ipfw -q" # path to ipfw with quiet
cmd_fwa="/sbin/ipfw add" # add command
cmd_fwaq="/sbin/ipfw -q add" # add command with quiet
ks="keep-state"

# Local net parms
l_ip="192.168.255.2" # lan ip
l_net="192.168.255.0/24" # lan mask
l_ifc="rl0" # lan interface

# Other params
adm0_host="192.168.255.111" # who have access to SSH, etc.
adm1_host="192.168.255.112" # who have access to SSH, etc.
ssh=34567 # use this, default is 22

$cmd_fw -f flush # flush all rules

#Loopback
$cmd_fwa allow ip from any to any via lo0
$cmd_fwa deny log ip from 127.0.0.0/8 to any
$cmd_fwa deny log ip from any to 127.0.0.0/8

#SSH  - IN
$cmd_fwa allow log tcp from $adm0_host to $l_ip $ssh in via $l_ifc $ks
$cmd_fwa allow log tcp from $adm1_host to $l_ip $ssh in via $l_ifc $ks

#PROXY - IN
$cmd_fwa allow ip from $l_net to $l_ip 3128 in via $l_ifc $ks

#HTTP - IN
$cmd_fwa allow ip from $l_net to $l_ip 80 in via $l_ifc $ks

#SAMBA - IN
$cmd_fwa allow ip from $l_net to $l_ip 139 in via $l_ifc $ks
$cmd_fwa allow ip from $l_net to $l_ip 445 in via $l_ifc $ks

#ICMP - OUT & IN
$cmd_fwa allow icmp from any to any icmptypes 0,8,11

#ANY - OUT
$cmd_fwa allow ip from $l_ip to any out via $l_ifc $ks

# DENY ALL OTHER
$cmd_fwa deny ip from any to any

Скажу что связка такая squid + samba + sams + AD

Те firefox и IE гуляют нормально (ftp, http, https), а вот с qip'ом ловлю глюк (например если c галкой NTLM, раз 5-6 подключаться пишет (Auth. fail) потом если его оставить может подцепиться мин через 20 - 30 O_o )

Может руки кривые ... :oops:

у меня такаяже проблема.
стоит связка squid + sams (авторизация по IP). квип коннектится нормально, но через секунд 10 дисконектится, потом опять коннектится и так в цикле, может все таки ктонить решил проблему с квипом? поделитесь опытом.