Не работает SQUID freebsd 9.3

[Labaman]

Пытаюсь поднять связку SAMS + SQUID (прозрачный) на freeBSD 9.3 (amd64), но Squid отказывается работать. Несмотря даже на явное отключение активности пользователя в SAMS, продолжает свободно пропускать всех в интернет.
Ну а теперь подробнее:
Использованные порты: apache22, squid (2.7.9), mysql-server51, php53, php53-extentions, sams, т.е. все порты подбирались по-старше, чтобы динозавр sams чувствовал себя наиболее комфортно.
Все собрал и конфигурировал в соответствии с этой статьей, кроме rejik'а - он мне не нужен (да и вроде как его скоро из портов уберут)

Внешняя сетевуха: re1
Внешний IP: 192.168.1.100
Сетевуха re0 смотрит в локалку 192.168.0.0/24. Внутренний IP (re0): 192.168.0.1
Ядро пересобрано в соответствии с потребностями интернет-шлюза:

Код: Выделить всё

options IPFIREWALL
options IPFIREWALL_FORWARD
options IPDIVERT
options DUMMYNET

Содержимое rc.conf:

Код: Выделить всё

dumpdev="NO"
hostname="moyhost.local"
ifconfig_re1="inet 192.168.1.100 netmask 255.255.255.0"
ifconfig_re1="inet 192.168.0.1 netmask 255.255.255.0"
defaultrouter="192.168.1.1"
gateway_enable="YES"
natd_enable="YES"
natd_interface="re1"
firewall_enable="YES"
firewall_type="/etc/rc.firewall"
#далее запуск служб apache22, squid, mysql, sams итд. 
......

Правила фаервола, как и полагается для этапа настройки, минимальны:
содержимое rc.firewall:

Код: Выделить всё

add 4000 divert natd ip from any to any via re1
add fwd 127.0.0.1,3128 tcp from any to any 80 via re0
add 65500 allow ip from any to any

Содержимое /usr/local/etc/squid/squid.conf стандратное, поменял только следующее:

Код: Выделить всё

....
http_port 3128 transparent
acl localnet src 192.168.0.0/24
#остальные localnet зокоментил
http_access allow localnet
http_access deny all
#все остальное осталось "как было"
....

Все службы успешно стартуют, ошибок не дают, вебка sams'а развернута, sams перенастроен на авторизацию по IP, добавлен тестовый пользователь пользователь (ip 192.168.0.11), но беда в том, что, как я писал выше, даже когда я ставлю пользователю test параметр "Отключен" со 192.168.0.11 спокойно пускает в интернет.
Более того, я убрал параметр "transparent" из squid.conf, уюал правило заворота пакетов через 127.0.0.1,3128, прописал явно на тестовом ПК в настройках браузера прокси 192.168.0.1 порт 3128 и интернет опять "потек рекой" на отключенного в через sams пользователя test (ip 192.168.0.11).
Подскажите, пожалуйста, что я делаю не так?

[Хостинг HostFood.ru]

Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/

[Labaman]

Разобрался в чем проблема:
по поводу неработоспособности SQUID даже не в прозрачном режиме:
Дело в том что у меня не работал встроеyный редиректор sams (/usr/local/samsredir/)
Обнаружил благодаря тому, что установил в настройках sams "Встроенный SQUID редиректор", sams и squid.
В итоге я получил долгожданное разграничение доступа к интернету и отключение пользователя при превышении лимита трафика.
Но, при SQUID -редиректоре не работали ограничения доступа к URL, запрет регулярных выражений и доступ к файлам.
Собственно такое положение дел меня не устроило, начал копать в сторону альтернативных редиректоров:
rejik - отпал сразу, ибо "Port make as broken and will be remove from porttree after 31.08.14" и Error1 в довесок.
squidguard - практически не взаимодействует с sams в плане настроек, вынуждая пользователя копаться в конфигах из консоли, собственно смысл sams при этом теряется. А главное не было времени с ним разбираться, ибо шлюз нужно было поднять быстро и срочно. (Хотя, учитывая его функционал, я, как будет время к нему вернусь, ибо очень уж мощный инструмент получается, когда настроишь)
Пришлось заставлять работать samsredir:
Хвала google, нарыл в глубинах статью на эту тему
В итоге, пересобрал squid c дополнительными опциями:

Код: Выделить всё

[X] SQUID_SNMP           Enable SNMP support
[X] SQUID_SSL            Enable SSL support for reverse proxies
[X] SQUID_PINGER         Install the icmp helper
[X] SQUID_ARP_ACL        Enable ACLs based on ethernet address

И переустановив его:

Код: Выделить всё

#>service sams stop
#>service squid stop
#>cd /usr/ports/www/squid/
#>make reinstall clean
#>reboot

И для надежности добавил в самый конец файла /usr/local/etc/squid/squid.conf строчку:

Код: Выделить всё

#под секциями #TAG, дабы sams случайно не затер 
riderect_program /usr/local/bin/samsredir

После этого, о чудо, все зараьботало: и блокировка пользователей, и блокировка сайтов, и запрет загрузки файлов! В общем я счастлив!
По поводу прозрачности:
Обнаружил в rc.conf лишнюю строчку:

Код: Выделить всё

firewall_type="/etc/firewall.conf"
firewall_type="open" #вот он корень всех бед =)

Убрал ее, и все пакеты пошли как надо, т.е. через SQUID!

[Perfectus]

Добрый день.
Возникает похожая проблема.
На текущий момент SQUID работает с авторизацией NTLM в домене, с условием нахождения пользователя в определенной группе.
Выставляю в настройках sqid'а:

Код: Выделить всё

riderect_program /usr/local/bin/samsredir

после этого при заходе на любой сайт сразу получаю:

Код: Выделить всё

Доступ к прокси-серверу запрещен
Access denied

Подскажите, пожалуйста, что нужно еще добавить в конфиг помимо указания на samsredir?

[Alex Keda]

что в конфиг - не знаю.
а вот в текущее обсуждение, неплохо бы логи какиенить добавить...